EFS Domänenweit über Gruppenrichtlinie deaktivieren

[RainerS 10]

Hallo!

 

Wir möchten in unserer W2k Domäne domänenweit die Verwendung von EFS verhindern (lokal und über Netzlaufwerke).

 

Lt. Microsoft funktioniert das, wenn man in der Default Domain Policy unter Computerkonfiguration - Sicherheitseinstellungen - Richtlinien öffentlicher Schlüssel die Richtlinie "Agenten für die Wiederherstellung verschlüsselter Daten" löscht.

 

Siehe hierzu auch diesen Artikel:

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;222022

 

Wie schaut das aber nun aus, wenn man irgendwann wieder mal EFS verwenden können möchte? Die Richtlinie ist ja dann weg! Lässt sich die irgendwie exportieren?

Oder gibt es eine andere "leichtere" Möglichkeit EFS domänenweit zu deaktivieren ?

[grizzly999 11]

Nein, bei W2k gibt es da keine andere Möglichkeit. Man muss nur zuvor das Zertifikat des Wiederherstellungsagenten exportieren, dann kann man später auch wieder importieren.

 

grizzly999

[RainerS 10]

Danke!

 

Ich habe es nun so gemacht, dass ich nicht die ganze Richtlinie gelöscht habe, sondern nur das Zertifikat des Wiederherstellungsagenten.

Das funzt! Die User bekommen nun eine Meldung, dass nicht Verschlüsselt werden kann, weil kein Wiederherstellungsagent definiert ist.

 

Bei der Aktion, fragt mich nicht wie, ist mir aber leider an Malheur passiert!

Ich hab ausversehen das Sicherheitstemplate für den Basic Server (basicsv.inf) auf dem ersten DC der Domäne ausgeführt.

 

Danach ging auf den Clients einiges nicht mehr. Viele NTFS- und Registryrechte waren verändert, Diensteinstellungen anders usw.

Hab es leider nicht sofort gemerkt, erst nachdem erste User Probs bekamen, da war dann die Richtline schon auf vielen Clients ausgeführt :(!

 

Hab dann die Änderungen per Hand in der Policy rückgängig gemacht und auf den Clients die schlimmsten Sachen über NetInstall repariert.....****e Sache!

 

Wirkt sich diese Richtlinie eigentlich auch auf die Mitgliedsserver aus?

[grizzly999 11]

Nein, die Richtlinie wirkt sich in dem Fall nicht auf andere Rechner in der Domänen aus.

 

grizzly999

[RainerS 10]

Original geschrieben von grizzly999

Nein, die Richtlinie wirkt sich in dem Fall nicht auf andere Rechner in der Domänen aus.

 

grizzly999

 

Hi Grizzly,

 

du meinst wars***einlich "nicht auf andere Server in der Domäne", oder?

 

Haben sich durch die Aktion vielleicht noch andere Gruben aufgetan, die ich noch nicht kenne?

[grizzly999 11]

Nein, ich meinte andere Rechner, sofern du die inf-Datei lokal auf dem DC eingespielt hast, und nicht z.b. in einer Domänen- oder OU-Richtlinie. Dann würde sie natürlich auch andere Rechner betreffen.

 

grizzly999

[RainerS 10]

Original geschrieben von grizzly999

sofern du die inf-Datei lokal auf dem DC eingespielt hast, und nicht z.b. in einer Domänen- oder OU-Richtlinie.

grizzly999

 

Doch :(, genau das!

In der "Default Domain Policy", auf oberster Ebene!

 

Heißt das dann, alle DC und alle Mitgliedsserver wären auch betroffen (Clients sind es ja, wie ich an den Probs schon gemerkt habe).

Wenn ja, geht mir dann gleich die ganze Domäne flöten......?

[grizzly999 11]

Heißt das dann, alle DC und alle Mitgliedsserver wären auch betroffen

Jaain. Zunächst betreffen die Einstellungen alle Computer (W2k/XP/W2k3) in der Domäne, egal welche Funktion sie haben, es sei denn, eine Richtlinie an einer OU würde an irgend einer Stelle andere, konkurrierende Einstellungen setzen, dann haben jene Vorang.

 

Aber: die Domäne geht dir deshalb nicht flöten. Es werden halt die Einstellungen -vornehmlich Sicherheitseinstellungen - aus der Basicsrv.inf auf die Rechner gegeben.

Die

 

grizzly999