Exxodos 10 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hallo zusammen, wie der Titel schon sagt, habe ich es geschafft, mich selbst aus der DDP auszusperren... Statt dem "Default Domain Policy" Eintrag steht dort nur noch "Zugriff nicht möglich" und "...kann nicht zugegriffen werden, weil Sie keine Leserechte haben". Ja, ich weiß dass das selten dämlich war... :rolleyes: Meine Frage ist jetzt: Gibt es eine Möglichkeit, die Berechtigung wieder zu setzen? Habe es mittels SetGPOPermissions.wsf probiert (sowohl mit Namen als auch mit {eindeutigeID}), allerdings meldet mir das zurück, es würde keine GPO mit diesem Namen in der Domäne existieren... Jemand eine Idee? Gruß, Exxodos Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hi Exxodos, willkommen an Bo(a)rd, :) schau einmal hier hinein: http://www.mcseboard.de/windows-server-forum-78/gpmc-gpo-zugriff-verweigert-alle-154782.html Viele Grüße olc Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 (bearbeitet) Hallo olc, vielen Dank für die schnelle Antwort. Ich komme aber da zugegebenermaßen nicht viel weiter. Muss auch dazu sagen, dass ich das nur "hobbymäßig" mache, also nicht sooo den großen Plan habe. Folgendes gemacht: > LDP gestartet > Als Admin verbunden > Durchsuchen -> Sicherheit -> Sicherheitsbeschreibung Dort die ID und den Namen der Policy als Definierten Namen gesucht: ***Calling Security Error: Ungültige DN-Syntax. <34> Server error 0000208F: NameErr: DSID-031001F7, problem 2006 (bad name), data 8350, best match of '{id}' Error 0x208F: Die Syntax des Objektnamens ist ungültig Und wenn ich das über Strg+S mache, kommt das hier: ***Searching... ldap_search_s(ld, "dc=subs,dc=meine-domain,dc=de", 1, "(&(objectClass=groupPolicyContainer)(name={31B2F340-016D-11D2-945F-00C04FB984F9}))", attrList, 0, &msg) Getting 0 entries: Jemand eine Idee? :suspect: Gruß, Exxodos bearbeitet 8. Mai 2011 von Exxodos Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hi, warum nutzt Du die LDP Suche und gehst nicht direkt zu "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=deine-domain,DC=tld"? Dann kannst Du auf das Policy Objekt selbst rechts klicken und wie im Thread oben beschrieben die Sicherheit zurück setzen. Ansonsten kann man auch mit ADSIEdit.msc den "Default Security Desriptor" vom Schema auf das Objekt publizieren, aber das ist eigentlich nicht notwendig. Viele Grüße olc Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 Hey olc, würd ich glatt machen, aber: wie mach ich das ;-) Gruß, Exxodos Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hi, wie gesagt, ich empfehle den LDP Weg zu gehen - schau es DIr bitte noch einmal an. Das ist nicht schwer/tragisch. :) Default schema permissions (die Du dann ggf. nach Deinen Wünschen anpassen mußt) kannst Du recht einfach mit dsacls zurück setzen: C:\> dsacls.exe "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,[b][color="Red"]DC=deine-domain,DC=tld[/color][/b]" /S /T Danach dann noch einmal mittels GPMC in die Policy hinein klicken, es kommt dann ein Dialog, daß die SYSVOL Berechtigungen gerade gezogen werden müssen. Das dann bestätigen und es sollte wieder in Ordnung sein. Viele Grüße olc Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 Hey olc, bei dsacls.exe sagt es mir, ein erforderliches Attribut würde fehlen, deswegen könne der Befehl nicht ausgeführt werden. Ich würd ja gerne den LDP Weg probieren, aber ich weiß nicht, wie ich in diesen Pfad komme. Also dieser Schritt: Starte dazu LDP, verbinde Dich mit dem Admin Account auf den Domänen Kontext, navigiere zu dem betroffenen Gruppenrichtlinienobjekt unter "CN={GUID},CN=Policies,CN=System,DC=domain,DC=tld" Wenn ich LDP starte, mich einlogge und verbinde ist links alles leer, rechts stehen irgendwelche Infos. Wenn ich auf Ansicht->Struktur gehe, und Basis-DN freilasse, habe ich links etliche Menüpunkte, von denen die meisten aber "no children" haben. Verzeihe, dass ich so **** frage, aber: Wie navigiere ich denn zu diesem Punkt? :confused: Gruß, Exxodos Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 Okay, bevor ich jetzt wieder Mist mache, frage ich lieber: Ich habe jetzt unter Ansicht->Struktur das hier als Basis-DN angegeben: "CN=Policies,CN=System,DC=subdomain,DC=domain,DC=de" jetzt habe ich links zwei Einträge stehen, einmal Default Domain Policy und einmal Default Domain Controllers Policy. Wenn ich jetzt mit rechts auf den der DDP klicke, habe ich dort keinen Eintrag SecurityDescriptor, aber unter "Schwer" den Eintrag "Sicherheitsbeschreibung". Dort steht nochmal der definierte Name und zwei Haken für "SACL" und "Textabbild" sowie die Optionen "Abbrechen" und "OK". Sehe ich das richtig, dass ich hier jetzt SACL anhaken und das mit OK bestätigen soll? Verwirrte Grüße, Exxodos Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hi, die Antwort lautet: "Ja". ;) SACL und dann siehst Du die ACL Einträge, in denen Du Dich bzw. die entsprechende Admin Gruppe wieder hinzufügst. Es kann nichts kaputt gehen, bevor Du "Ok" klickst. Wenn Du nicht weißt, was Du genau tust, klicke lieber auf "Abbrechen" und schalte einen Dienstleister ein. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 Hey olc, okay, ich bin da jetzt drin... und ich hab kein Plan was ich tue. Das Problem ist, dass ich nicht so einfach einen Dienstleister einschalten kann - der Server steht in einer studentischen Fachschaft, Support der Haus-IT ist extrem zeitaufwändig und stressig und von extern jemanden kommen lassen, ist finanziell nicht drin. Ich verstehe auch nicht, warum das nicht funktioniert... Domänen-Admins / Organisations-Admins: ACE-Typ: Zulassen Zugriffsmaske: Alles angehakt bis auf "Zugriff steuern" ACE-Kennzeichen: Vererben, Nur Vererbung Administrator: Full control Ich sehe nirgends eine Option die das erklären würde... Frustrierte Grüße, Exxodos Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 8. Mai 2011 Melden Teilen Geschrieben 8. Mai 2011 Hey olc, okay, ich bin da jetzt drin... und ich hab kein Plan was ich tue. Off-Topic:Beste Voraussetzungen. Was soll OLC denn noch sagen? ;) Bye Norbert Zitieren Link zu diesem Kommentar
Exxodos 10 Geschrieben 8. Mai 2011 Autor Melden Teilen Geschrieben 8. Mai 2011 Witzig ;P Okay, ich habs aber hinbekommen. Stur alle Werte mit Default Domain Controller Policy abgeglichen... Ich komme jetzt wieder rein und alles ist gut. Hoffe ich. Vielen Dank fürs Helfen und die Geduld! Gruß, Exxodos Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.