kein öffnen der GPO (DDP) als Admin möglich

mt11341 · 18. Oktober 2011

Hallo zusammen,

ich kann die Default Domain Policy und Default Domain Controllers Policy nicht mehr öffnen, obwohl ich als Admin angemeldet bin.

Möchte ich das GPO bearbeiten, erscheint folgende Fehlermeldung:

Anmeldung fehlgeschlagen: Dem Benutzer wurde der angeforderte Anmeldetyp auf diesem Computer nicht erteilt.

Es wurden wohl in der DDP Einstellungen an diesen Punkten vorgenommen:

Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien/Zuweisen von Benutzerrechten

Wie kann ich die GPO wieder bearbeiten?

Was bedeutet "angeforderter Anmeldetyp"?

Ich bin ratlos und hoffe auf eure Unterstützung. Besten Dank im Voraus.

morpheus · 18. Oktober 2011

Versuchst du es direkt auf dem domaincontroller oder remote? Was schreibt das eventlog?

mt11341 · 18. Oktober 2011

Ich habe beides versucht. Remote wie lokal funktioniert es nicht

Eventlog ist ganz normal.

mt11341 · 18. Oktober 2011

Ich vermute, die Administratoren wurden durch eine Verweigerung ausgesperrt.

Gibt es eine Möglichkeit, die GPO wieder zu ändern?

mt11341 · 18. Oktober 2011

Das eventlog sagte folgendes:

Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=verwaltung,DC=kr,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\verwaltung.kr.local\sysvol\verwaltung.kr.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Anmeldung fehlgeschlagen: Dem Benutzer wurde der angeforderte Anmeldetyp auf diesem Computer nicht erteilt. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

----

und danach:

---

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Dunkelmann · 19. Oktober 2011

Wie sehen die ACL für das SYSVOL bzw. das Policy Verzeichnis aus? Da solltest Du die -möglicherweise- fehlerhaften Sicherheitsfilter finden.

C:\Windows\sysvol\...\{31B2F340-016D-11D2-945F-00C04FB984F9}

mt11341 · 19. Oktober 2011

Die ACL sind ok.

Über C:\WINDOWS\SYSVOL kann ich zugreifen, aber über \\domain.local\SYSVOL erhalte ich die Fehlermeldung:

Anmeldung fehlgeschlagen: Dem Benutzer wurde der angeforderte Anmeldetyp auf diesem Computer nicht erteilt.

Ich vermute, in dem GPO der DDCP wurden die "Lokalen Richtlinien/Benutzerrechte" eingeschränkt. Denn hier wurde auch etwas geändert.

Welche Einstellung könnte dafür verantwortlich sein, dass dieses Vereichnis nicht erreicht wird?

Die Replikation läuft natürlich auch nicht.

Gruß

MT

XP-Fan · 19. Oktober 2011

Hallo,

du könntest versuchen auf dem DC die GPP zurückzusetzen mittels dcgpofix.

Erst beide Links lesen und verstehen, dann umsetzen.

-> How can I restore the contents of the Default Domain and Default Domain Controller (DC) Group Policy Objects (GPOs)?

-> Fehlermeldung, wenn Sie Dcgpofix.exe-Tool auf einem Windows Server 2008-basierten Domänencontroller ausführen: "die Active Directory-Schema-Version für diese Domäne und die Version für dieses Tool stimmen nicht überein"

mt11341 · 19. Oktober 2011

Hallo,

wenn ich es richtig verstanden habe, wird mittels dcgpofix eigentlich nur die Datei gpttmpl.inf neu beschrieben. Dies kann man auch von Hand machen.

Aber die "neue" gpttmpl.inf findet keine Anwendung, da gpupdate nicht funktioniert.

Wie kann ich das "neue" GPO zwingen, das es angewendet wird (gpupdate funktioniert ja nicht)?:confused:

mt11341 · 19. Oktober 2011

Hier mal noch das Ergebnis von dcdiag (Was bedeuten die Fehler?):

Domain Controller Diagnosis

Performing initial setup:

Done gathering initial info.

Doing initial required tests

Testing server: Standort\SERVERINTERFLEX

Starting test: Connectivity

......................... SERVERINTERFLEX passed test Connectivity

Doing primary tests

Testing server: Standort\SERVERINTERFLEX

Starting test: Replications

[GATEWAY-BANK] DsBindWithSpnEx() failed with error 5,

Zugriff verweigert.

......................... SERVERINTERFLEX passed test Replications

Starting test: NCSecDesc

[sERVERINTERFLEX] LDAP bind failed with error 1323,

Das Kennwort kann nicht aktualisiert werden. Der Wert, der fr das aktuelle Kennwort angegeben wurde, ist falsch..

......................... SERVERINTERFLEX failed test NCSecDesc

Starting test: NetLogons

......................... SERVERINTERFLEX passed test NetLogons

Starting test: Advertising

......................... SERVERINTERFLEX passed test Advertising

Starting test: KnowsOfRoleHolders

......................... SERVERINTERFLEX passed test KnowsOfRoleHolders

Starting test: RidManager

......................... SERVERINTERFLEX passed test RidManager

Starting test: MachineAccount

......................... SERVERINTERFLEX passed test MachineAccount

Starting test: Services

......................... SERVERINTERFLEX passed test Services

Starting test: ObjectsReplicated

......................... SERVERINTERFLEX passed test ObjectsReplicated

Starting test: frssysvol

......................... SERVERINTERFLEX passed test frssysvol

Starting test: frsevent

......................... SERVERINTERFLEX passed test frsevent

Starting test: kccevent

......................... SERVERINTERFLEX passed test kccevent

Starting test: systemlog

......................... SERVERINTERFLEX passed test systemlog

Starting test: VerifyReferences

......................... SERVERINTERFLEX passed test VerifyReferences

Running partition tests on : ForestDnsZones