Wolke2k4 11 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Moin, folgendes Problem (Forumssuche ergab kein brauchbares Ergebnis): Ein Admin hat sich in der GPMC in einer OU GPO offensichtlich selber das Recht zum Lesen entzogen. Dementsprechend kann er jetzt natürlich nicht mehr auf die GPO zugreifen, die Eigenschaften bearbeiten usw. Gibt es einen Weg, wie man ohne GPMC an die Eigenschaften der GPO ran kommt um die Rechte wieder gerade zu biegen? Gruß Wolke Nachtrag: Interessanterweise bringt selbst das Anpassen des entsprechenden GPO Ordners im Sysvol Ordner des DCs nichts. Ich kann mir mit den ensprechenden Rechten die Ordner anzeigen lassen, die GPMC zeigt jedoch immer noch den Status "Zugriff nicht möglich" an.
Necron 71 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Moin, folgendes Problem (Forumssuche ergab kein brauchbares Ergebnis): Ein Admin hat sich in der GPMC in einer OU GPO offensichtlich selber das Recht zum Lesen entzogen. Dementsprechend kann er jetzt natürlich nicht mehr auf die GPO zugreifen, die Eigenschaften bearbeiten usw. Gibt es einen Weg, wie man ohne GPMC an die Eigenschaften der GPO ran kommt um die Rechte wieder gerade zu biegen? Hi, hat er nur seinen Admin-Account ausgesperrt oder direkt die ganze Gruppe Domainadmins? Wenn er nur sich selber ausgesperrt hat, kann er einen neuen Admin-Account anlegen der in der Gruppe der Domainadmins ist und so per GPMC auf die GPO zugreifen und die Einstellung rückgängig machen, danach aber den neu erstellten Admin-Account löschen.
grizzly999 11 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Weiss er, wie er das gemacht hat? Ist es "nur" eine Domänen-Admin? Organistonsadmins haben auch die Berechtigung auf die GPOs. grizzly999
Wolke2k4 11 Geschrieben 17. Oktober 2006 Autor Melden Geschrieben 17. Oktober 2006 Die Idee kam mir auch schon... das Problem ist jedoch, dass die Rechte für die Gruppe der Autentifizierten Nutzer (was ja so ziemlich der Grupe jeder gleich kommt) auf Vollzugriff verweigert gestellt wurde. :suspect: :( Auch der zweite Admin hat auf die GPO keinen Zugriff...
Wolke2k4 11 Geschrieben 17. Oktober 2006 Autor Melden Geschrieben 17. Oktober 2006 Sonst niemand eine Idee? :(
Velius 10 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Die Idee kam mir auch schon... das Problem ist jedoch, dass die Rechte für die Gruppe der Autentifizierten Nutzer (was ja so ziemlich der Grupe jeder gleich kommt) auf Vollzugriff verweigert gestellt wurde. :suspect: :( Auch der zweite Admin hat auf die GPO keinen Zugriff... Die kannst du vergessen, denn das bedeutet eigentlich dass "jeder darf nicht", und verweigern ist restriktiver. Auch ein Org.-Admin ist ein authentifizierter Benutzer..... Man könnte sie noch von einer Sicherung restoren, sollte eine gemacht worden sein (Backup des Sysvol\....\policies Verzeichnis, GPMC Backup). Ist es denn eine der Default policies? Wenn nicht, dann rauchen, sonst hier posten.....;)
Wolke2k4 11 Geschrieben 17. Oktober 2006 Autor Melden Geschrieben 17. Oktober 2006 Deswegen hatte ich die Rechte ja entsprechend angepasst, aber eben ohne Erfolg. Gott sei Dank ist es keine der Default Policies. Die Rücksicherung wäre natürlich noch eine Idee. Mal schauen... Die Rechte so anzupassen, wie sie vorher waren hilft offensichtlich nicht.
Wolke2k4 11 Geschrieben 17. Oktober 2006 Autor Melden Geschrieben 17. Oktober 2006 Kann mir mal jemand sagen, warum bei der NT Sicherung der Sysvol Ordner nicht einzeln zurückgesichert werden kann? :mad: Selbst die Rücksicherung des kompletten Systemstate in einen alternativen Ordner bring einen großen Haufen Müll hervor, in dem natürlich nicht die Policy steckt...
woiza 10 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Hi, wo passt du die Rechte an? Auf dem SysVol? Das ist in dem Fall der uninteressante Teil der GPO. Der interessante wäre im AD. Evtl. würde also ein Auth. Restore des entsprechenden AD-Objektes genügen. Gruß woiza
Daim 12 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Salut, wie sehen denn die SMB-Signing Einstellungen aus ? Siehe: Yusuf`s Directory - Blog - Zugriff auf die GPOs verweigert
blub 115 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 hast es schonmal mit dem echten Administrator (SID:500) Account probiert? cu blub
Wolke2k4 11 Geschrieben 17. Oktober 2006 Autor Melden Geschrieben 17. Oktober 2006 Erstmal vielen Dank für die zahlreichen Antworten! Ich glaube ich werde mir den ganzen Aufwand ersparen und die GPO neu einrichten, bevor ich meine Zeit mit Testen und Gucken vertue. Ist zwar eine Policy für einen TS und daher nicht in 2 Minuten zusammengeklickt aber diese Variante greift am wenigsten in das bestehende System ein. So ist das halt. Ein falscher Klick und schon hat man wieder mehr Arbeit. :suspect: Na ja, wenn man nicht alles selber macht... In dem Zusammenhang mal eine andere Frage. Kann man GPO Settings exportieren, sodass man sie bspw. auch auf anderen Systemen ohne großen Aufwand importieren kann?
weg5st0 10 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Schau mal auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials unter Security Templates Eigenbau inf-Vorlage
Daim 12 Geschrieben 17. Oktober 2006 Melden Geschrieben 17. Oktober 2006 Wenn Du Dir die GPMC installierst, installieren sich 32 Scripte im Verzeichnis „%PROGRAMFILES%\GPMC\Scripts“. Dort ist auch etwas für Dich dabei ;) Gruppenrichtlinien - Übersicht, FAQ und Tutorials
Empfohlene Beiträge