Jump to content
Weingeist

Neue GPO - Zugriff verweigert / Modifizieren: geht

Recommended Posts

Hallo Leute,

 

Habe in einer Umgebung das Problem, dass ich die GPO's nicht mehr verändern kann. Ist relativ schwierig nachzuvollziehen seit wann das Problem besteht, weil ich da schon eine halbe Ewigkeit keine neuen GPO's mehr erstellt habe.  In den letzten Monaten ja fast Jahre habe ich da lediglich Windows-Updates eingespielt oder GPO's verändert.

 

Was ich schon versucht habe:

- Prüfung der Event-Logs --> Keinerlei Einträge, auch nicht bei der FilterEngine wo normal etwas auftaucht wenn irgendwo Zugriff verweigert erscheint (habe umfangreiches Logging aktiviert)

- Check der Berechtigung von SYSVOL auf dem Server, keine sichtbare Beeinschränkung, Admins haben Vollzugriff

 

Was ich nicht mehr sicher bin: Ob ich in dieser Umgebung seit der Umstellung auf einen Central Store schonmal Policies neu erstellt habe oder nicht.

 

Jemand eine Idee was das sein könnte?

 

GPO's werden auch sauber angewant ohne Kniffe wie force update oder ähnliches.

 

Grüsse und vielen Dank

Share this post


Link to post
Share on other sites

Jeweils Bearbeiten, löschen, sicherheit ändern für die Admins und Besitzer sind sie auch. Das alles geht auch. Scheint irgendwo ein Neuerstellungsrecht zu fehlen, fragt sich wo.

Share this post


Link to post
Share on other sites

@daabm: Nochmals mit anderen Worten:

Der Fehler: es lässt sich keine neue GPO auf dem DC erstellen, ändern ist aber kein Problem, löschen auch nicht. Anzeigen auch nicht.

 

Wie er sich äussert: Es erscheint nur eine Meldung: "Zugriff verweigert"  wenn eine GPO erstellt wird.  0815 Msgbox ohne Symbol, nur ein OK Button, ohne sonstige Erklärung oder Err. Nummer. Kein Log-Eintrag, weder im administrativen Teil, noch bei Group Policy noch bei der FilterEngine (wo Zugriffsverletzung aller Art normal geloggt werden, sofern aktiv).

 

Der Server ist weder abgestürzt (dass AD beschädig sein könnte) noch sonstwas. Es wurdne lediglich Updates eingespielt. Einträge im AD unter Computer/Benutzer erstellen ist auch kein Problem. Alles was ich den letzten Monaten gemacht wurde, ist die Windows Updates einzuspielen.

 

Werde mal versuchen den Policies-Ordner neu zu erstellen und die Berechtigungen frisch zuzuweisen. Gefällt mir zwar nicht so richtig, aber mir fehlt sonst grad eine zündende Idee.

Edited by Weingeist

Share this post


Link to post
Share on other sites
vor 12 Stunden schrieb daabm:

Das Debug Logging interessiert Dich nicht? Das würde ich als erstes einschalten.

Wie und was genau? Bis jetzt hatte ich Probleme dieser Art noch nie, bzw. beschränkten sie sich auf das verabeiten auf den Zielmaschinen, das replizieren oder unterschiedliche Varianten der GPO's. =)

--> Suche wohl falsch einfach falsch. Fand nix dazu.l

 

@xrated2: Besitzverhältnisse liegen auch bei den Domain-Admins. Aber das problem sind ja auch nicht die existierenden GPO's. Da läuft alles rund. Sobald ich auf den Button neu erstellen drücke, kann ich noch den gewünschten Namen eingenben und sobald ich das bestätige, ist fertig.

Edited by Weingeist

Share this post


Link to post
Share on other sites

Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g

Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?

Share this post


Link to post
Share on other sites

@daabm: *lololol*

Stimmt das ist widersprüchlich, ist mir erst jetzt aufgefallen wo dus sagst. Doofe Wortwahl. Auch wenn ich sonst überall geschrieben habe, dass modifizieren geht. Inklusive im Titel.

 

Sysvol-Berechtigungen wurde - zumindest in der Theorie - nix dran rumgeschraubt. Allerdings olé olé, war da doch was im Argen. Und zwar waren die Write-Berechtigungen für Zugriff der Admins auf policies lediglich für Unterordner und Dateien nicht aber für den Ordner Policies an sich vergeben. Gefühlt 100x die Berechtigungen angeschaut und trotzdem nicht gesehen. Ich glaubs echt nicht. Wie dies dahin bzw. weg kam, ist nicht mehr nachzuvollziehen. *hmpf*  :applaus::applaus:

 

Danke für die Geduld! :engel:

 

Edited by Weingeist

Share this post


Link to post
Share on other sites

Ja, das nennt man betriebsblind - woher ich das weiß? :-) Da fehlt dann halt ein Kollege, der auch mal mit draufschaut. Credits wären noch nett... 👍

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...