GPO wird nicht angewendet bei Filterung auf Administratoren Gruppe

[testperson 1.674]

Hi,

 

in einer OU befinden sich mehrere Terminalserver auf die eine GPO (Loopback aktiv) angewendet werden soll. Diese GPO hat in der Sicherheitsfilterung alles auf Standard bis auf:

 

- Domänen Administratoren -> Übernehmen verweigern

- Organisations Administratoren -> Übernehmen verweigern

- Administratoren -> Übernehmen verweigern

 

In dieser Konstellation meldet GPRESULT, dass die Computerrichtlinie aufgrund "Zugriff verweigert (Sicherheitsfilterung)" nicht angewendet wird.

 

Entferne ich die Gruppe Administratoren aus der Sicherheitsfilterung oder gebe Ihr das entsprechende Recht zum Übernehmen der GPO, wird diese korrekt angewendet.

 

In der Administratoren Gruppe befindet sich keiner der Computerkonten der Terminalserver. Ebenfalls nicht in Member Gruppen der Administratoren Gruppe.

 

Übersehe ich hier irgendwas? Gibt es besonderheiten bei der Sicherheitsfilterung auf die Administratoren Gruppe? Ist das so gewollt?

 

Gruß

Jan

[daabm 1.335]

Ja, und was ist jetzt das Problem? Funktioniert doch alles,wie erwartet :-) User GPOs werden nicht von Computern angewendet, sondern von Usern. Und wenn Du der Usergruppe das Übernehmen verweigerst, dann ist das eben so...

 

Zum Weiterlesen:  http://evilgpo.blogspot.com/2012/02/loopback-demystified.html

[testperson 1.674]

Hi,

 

nein funktioniert es nicht.. Oder ich habe hier einen Denkfehler (was ich nicht ausschließen möchte) ;)

 

- Terminalserver befinden sich in der TerminalOU

- GPO ist an die TerminalOU verknüpft

- GPO beinhaltet Loopback ersetzen und verschiedene RDP Richtlinien sowie unter Benutzerkonfiguration diverse Einschränkungen für User

- <DOMÄNE>\Administratoren, Domänen-Admins und Orga-Admins dürfen die GPO nicht übernehmen

 

Meine Erwartung: Die Terminalservern sollten die Richtlinien unter Computerkonfifguration anwenden und die Benutzer die sich an den Servern anmelden sollten durch den Loopbackverarbeitungsmodus die Richtlinien aus der Benutzerkonfiguration anwenden, solange Sie nicht Mitglieder der <DOMÄNE>\Administratoren, der Domänen-Admins oder der Orga-Admins sind.

 

Was passiert: Die Terminalserver übernehmen nicht einmal den Loopbackverarbeitungsmodus aus der Computerkonfiguration und folglich werden die Richtlinien auch nicht auf die Benutzer angewendet, die sich anmelden.

 

Das ganze wäre ja so Ok, wenn sich die Computerkonten der Terminalserver in einer der Gruppen befänden, die die Richtlinie nicht übernehmen oder ggfs. nichtmal lesen dürften. Aber das ist hier nicht der Fall. Sobald ich der Gruppe <DOMÄNE>\Administratoren das Übernehmen ermögliche, wenden die Terminalserver die Richtlinien aus der Computerkonfiguration an.

 

Gruß

Jan

[daabm 1.335]

Na, dann musst Du den Terminalservern - oder einer geeigneten Gruppe - natürlich auch das Übernehmen erlauben. "Domänencomputer" wäre recht geeignet, wenn die TS in einer separaten OU stehen...

[testperson 1.674]

Hi,

 

die Terminalserver sollten das Recht zum Übernehmen der GPO doch haben, da die Authentifizierten User sowohl Lese- als auch Übernahmerechte haben.

Wie gesagt, sobald ich der Gruppe <Domäne>\Administratoren erlaube die GPO zu Übernehmen passt alles.

 

Eventuell ist es im Ausgangspost etwas "wirr" beschrieben. Ich liste mal die gesamten Berechtigungen auf die GPO auf:

 

Authentifizierte Benutzer

Zulassen: Lesen und Gruppenrichtlinie übernehmen

Verweigern: Nichts

 

Domänen-Admins

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen

Verweigern: Gruppenrichtlinie übernehmen

 

Organisations-Admins

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen

Verweigern: Gruppenrichtlinie übernehmen

 

Domänencontroller der Organisation

Zulassen: Lesen

Verweigern: Nichts

 

System

Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen

Verweigern: Nichts

 

Administratoren

Zulassen: Lesen

Verweigern: Gruppenrichtlinie übernehmen

 

In dieser Konstelation werden die Computerrichtlinien nicht angewendet.

 

Gruß

Jan

[NorbertFe 2.016]

Sie übernehmen es nicht, oder gpresult zeigts nicht an?

[NilsK 2.922]

Moin,

 

möglicherweise nur ein Anzeigeproblem, wenn du dich als Admin anmeldest, um es zu kontrollieren?

 

Ansonsten: Bei GPOs bin ich mir gerade nicht ganz sicher, aber ich habe in einzelnen Fällen schon gesehen, dass "Auth. Users" nicht ausreichte, um Computer auf irgendwas zugreifen zu lassen. Es half dann, dedizierte Computergruppen oder die Computerkonten direkt zu berechtigen (auch wenn das eigentlich nicht nötig sein sollte). Das hat Martin oben ja auch schon angeregt. Probier das doch mal.

 

Gruß, Nils

[testperson 1.674]

Hi,

Sie übernehmen es nicht, oder gpresult zeigts nicht an?

 

gpresult zeigt sowohl unter abgelehnte Computer Richtlinien als auch bei den Benutzer Richtlinien "Zugriff verweigert (Sicherheitsfilterung)". Als Benutzer taucht die Richtlinie nirgends auf. Weder als abgelehnt noch als angewendet.

 

 

Moin,

 

möglicherweise nur ein Anzeigeproblem, wenn du dich als Admin anmeldest, um es zu kontrollieren?

 

Ansonsten: Bei GPOs bin ich mir gerade nicht ganz sicher, aber ich habe in einzelnen Fällen schon gesehen, dass "Auth. Users" nicht ausreichte, um Computer auf irgendwas zugreifen zu lassen. Es half dann, dedizierte Computergruppen oder die Computerkonten direkt zu berechtigen (auch wenn das eigentlich nicht nötig sein sollte). Das hat Martin oben ja auch schon angeregt. Probier das doch mal.

 

Gruß, Nils

 

Sobald ich mich mit einem Testuser anmelde oder auch einem "normalen" User, werden die Richtlinien ebenfalls nicht übernommen. Jetzt wo du es schreibst, die Terminalserver Computerkonten hatte ich bereits explizit (Sowohl das Konto direkt, als auch eine neue Gruppe mit den Konten) mit den Berechtigungen "Lesen" und "Gruppenrichtlinie übernehmen" aufgenommen, leider mit gleichem Ergebnis. Die Terminalserver wurden auch nach Änderungen an den GPOs jeweils durchgestartet.

 

Das ganze ist bei einem SBS 2011 und einem 2008 R2 RDS Host aufgefallen, habe es aber auch schon an einem 2008 R2 DC sowie 2008 R2 RDS Host und unter Server 2012 getestet. Hier erbigt sich das gleiche Bild. Des Weiteren habe ich Testweise einmal der Default Domain Policy den Adminsitratoren die Übernahme verweigert und das gleiche Ergebnis erhalten.

 

Vielen Dank schonmal für die Unterstützung :)

 

Gruß

Jan

[NorbertFe 2.016]

Die default Domain Policy verbietet sich selbst für testzwecke. Denn die Tests damit haben keine Aussagekraft.

[daabm 1.335]

Du hast irgendwas verbogen.... Im Gruppenrichtlinien-Ergebnissatz stehen die Sicherheitsgruppen, in denen der COmputer beim Anwenden Mitglied war. Was steht da denn so drin?

[testperson 1.674]

Hi,

 

in der Tat die Terminalserver sind in der Gruppe "VORDEFINIERT\Administratoren". Ist das per Default so? Habe das mal bei verschiedenen Memberserver in unterschiedlichen Domänen getestet und die Computerkonten der Memberserver waren alle in der Gruppe "VORDEFINIERT\Administratoren".

 

Gruß

Jan

[NorbertFe 2.016]

Nein das is nicht normal.

[daabm 1.335]

Nein das is nicht normal.

 

Jetzt, wo der TO das schreibt - doch, das ist normal. Und ja, works as designed. Deshalb arbeitet man auch nicht mit VORDEFINIERT\*

 

In diesen Gruppen ist JEDER Computeraccount automatisch Mitglied:

VORDEFINIERT\Administratoren

Jeder

VORDEFINIERT\Prä-Windows 2000 kompatibler Zugriff

VORDEFINIERT\Benutzer

VORDEFINIERT\Windows-Autorisierungszugriffsgruppe

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

NT-AUTORITÄT\Diese Organisation

Verbindliche Beschriftung\Systemverbindlichkeitsstufe

Fallweise kommen dann noch Domänencomputer oder Domänencontroller dazu. :D

[NorbertFe 2.016]

Echt? Muss ich glatt mal nachschauen. Aber das mit den vordefinierten Gruppen kann ich unterschreiben. Und nicht nur beim Thema gpo.

 

Bye

Norbert

[daabm 1.335]

 

Muss ich glatt mal nachschauen.

Brauchst nicht - hab's ja selber aus nem gpresult kopiert :-)