Jump to content

GPO kein Zugriff mehr

autowolf

Von autowolf
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

autowolf Experienced

autowolf   12

Geschrieben
Geschrieben

Hallo Leute,

 

habe Mist gebaut.

 

Wollte eine GPO für einen Terminalserver so verrechten, dass diese für den Kompletten Server greift, aber nicht für den Admin. Habe ich schon 1000x gemacht.

Im Eifer des Gefechts habe ich im Punkt Deligierung div. Gruppen gelöscht. Mit dem Erfolg das ich selber per GPO Verwaltung kein Zugriff mehr auf diese GPO habe.

Habe derweilen schon eine neue angelegt die auch 1a läuft.

 

Das Problem ist jetzt, dass in der Ereignissanzeige Fehler auftauchen, dass die GPO nicht geladen werden kann. Klar das System selber hat ja auch kein Zugriff mehr. Die ID der GPO sehe ich.

Nach dem ich Google etwas bemüht habe, gibt es ja in der AD die „gplink“s die in der jeweiligen OU auf die ID der GPO verweisen.

 

Meine Idee ist jetzt, dass ich den gplink lösche um den Fehler zu beseitigen. Die GPO selber sollte ja keine Probleme mehr machen, wenn die AD sie nicht mehr „kennt“.

 

Nur wie und wo kann ich diese löschen. Per Powershell trau ich mich eigentlich nicht wirklich.

Habt Ihr vielleicht eine andere Idee ?

 

Gruß Autowolf

System SBS 2011 (SP´s und Updates aktuell) + 2008 Terminalserver

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

starte LDP.exe und verbinde Dich mit dem Knoten "CN=Policies,CN=SYSTEM,DC=<domain>,DC=<tld>".

 

Dort gehst Du jede GUID durch und schaust, welche der GUIDs Dir keine Attribute anzeigen, sprich Du kein Leserecht hast. Diese GUIDs (=GPOs) versorgst Du dann per Rechtsklick --> Advanced --> SACL (glaub ich) und gibst Deinem Administrativen Benutzer wieder Zugrff auf die jeweiloge GPO.

 

Dann kannst Du die GPOs wieder mit der GPMC verwalten.

 

Achtung:

- Nur dem administrativen Benutzer READ+WRITE Rechte geben, nicht "APPLY" für ihn oder andere Benutzer. Sonst greifen die GPOs wieder, was Du nicht möchtest.

- Zusätzlich beachte, daß im SYSVOL ebenso die alten GPOs liegen (sprich der Group Policy Template Teil). D.g. bearbeite die GPOs nach dem Setzen der ACLs wieder in der GPMC - dort sollte beim Klicken einer entsprechenden GPO der Hinweis kommen, daß das AD Objekt nicht mit dem SYSVOL Objekt (ACLs) übereinstimmt. Klicke hier "OK", um das wieder gerade zu ziehen.

 

Die Links der betreffenden GPOs zu löschen ist eine sinnvolle Idee - jedoch nur, wenn Du nicht das gesamte Attribut leerst, sondern nur diejenigen GUIDs entfernst, die zu den "problematischen" GPOs gehören... Warte also lieber, bis Du sie wieder normal mit der GPMC bearbeiten kannst nach der LDP Aktion. :)

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...