testperson 1.711 Geschrieben 24. Dezember 2014 Melden Teilen Geschrieben 24. Dezember 2014 Hi, in einer OU befinden sich mehrere Terminalserver auf die eine GPO (Loopback aktiv) angewendet werden soll. Diese GPO hat in der Sicherheitsfilterung alles auf Standard bis auf: - Domänen Administratoren -> Übernehmen verweigern - Organisations Administratoren -> Übernehmen verweigern - Administratoren -> Übernehmen verweigern In dieser Konstellation meldet GPRESULT, dass die Computerrichtlinie aufgrund "Zugriff verweigert (Sicherheitsfilterung)" nicht angewendet wird. Entferne ich die Gruppe Administratoren aus der Sicherheitsfilterung oder gebe Ihr das entsprechende Recht zum Übernehmen der GPO, wird diese korrekt angewendet. In der Administratoren Gruppe befindet sich keiner der Computerkonten der Terminalserver. Ebenfalls nicht in Member Gruppen der Administratoren Gruppe. Übersehe ich hier irgendwas? Gibt es besonderheiten bei der Sicherheitsfilterung auf die Administratoren Gruppe? Ist das so gewollt? Gruß Jan Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 24. Dezember 2014 Melden Teilen Geschrieben 24. Dezember 2014 Ja, und was ist jetzt das Problem? Funktioniert doch alles,wie erwartet :-) User GPOs werden nicht von Computern angewendet, sondern von Usern. Und wenn Du der Usergruppe das Übernehmen verweigerst, dann ist das eben so... Zum Weiterlesen: http://evilgpo.blogspot.com/2012/02/loopback-demystified.html Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 25. Dezember 2014 Autor Melden Teilen Geschrieben 25. Dezember 2014 Hi, nein funktioniert es nicht.. Oder ich habe hier einen Denkfehler (was ich nicht ausschließen möchte) ;) - Terminalserver befinden sich in der TerminalOU - GPO ist an die TerminalOU verknüpft - GPO beinhaltet Loopback ersetzen und verschiedene RDP Richtlinien sowie unter Benutzerkonfiguration diverse Einschränkungen für User - <DOMÄNE>\Administratoren, Domänen-Admins und Orga-Admins dürfen die GPO nicht übernehmen Meine Erwartung: Die Terminalservern sollten die Richtlinien unter Computerkonfifguration anwenden und die Benutzer die sich an den Servern anmelden sollten durch den Loopbackverarbeitungsmodus die Richtlinien aus der Benutzerkonfiguration anwenden, solange Sie nicht Mitglieder der <DOMÄNE>\Administratoren, der Domänen-Admins oder der Orga-Admins sind. Was passiert: Die Terminalserver übernehmen nicht einmal den Loopbackverarbeitungsmodus aus der Computerkonfiguration und folglich werden die Richtlinien auch nicht auf die Benutzer angewendet, die sich anmelden. Das ganze wäre ja so Ok, wenn sich die Computerkonten der Terminalserver in einer der Gruppen befänden, die die Richtlinie nicht übernehmen oder ggfs. nichtmal lesen dürften. Aber das ist hier nicht der Fall. Sobald ich der Gruppe <DOMÄNE>\Administratoren das Übernehmen ermögliche, wenden die Terminalserver die Richtlinien aus der Computerkonfiguration an. Gruß Jan Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Dezember 2014 Melden Teilen Geschrieben 25. Dezember 2014 Na, dann musst Du den Terminalservern - oder einer geeigneten Gruppe - natürlich auch das Übernehmen erlauben. "Domänencomputer" wäre recht geeignet, wenn die TS in einer separaten OU stehen... Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 26. Dezember 2014 Autor Melden Teilen Geschrieben 26. Dezember 2014 Hi, die Terminalserver sollten das Recht zum Übernehmen der GPO doch haben, da die Authentifizierten User sowohl Lese- als auch Übernahmerechte haben. Wie gesagt, sobald ich der Gruppe <Domäne>\Administratoren erlaube die GPO zu Übernehmen passt alles. Eventuell ist es im Ausgangspost etwas "wirr" beschrieben. Ich liste mal die gesamten Berechtigungen auf die GPO auf: Authentifizierte Benutzer Zulassen: Lesen und Gruppenrichtlinie übernehmen Verweigern: Nichts Domänen-Admins Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen Verweigern: Gruppenrichtlinie übernehmen Organisations-Admins Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen Verweigern: Gruppenrichtlinie übernehmen Domänencontroller der Organisation Zulassen: Lesen Verweigern: Nichts System Zulassen: Lesen, Schreiben, Alle untergeordneten Objekte erstellen, Alle untergeordneten Objekte löschen Verweigern: Nichts Administratoren Zulassen: Lesen Verweigern: Gruppenrichtlinie übernehmen In dieser Konstelation werden die Computerrichtlinien nicht angewendet. Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Dezember 2014 Melden Teilen Geschrieben 26. Dezember 2014 Sie übernehmen es nicht, oder gpresult zeigts nicht an? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 26. Dezember 2014 Melden Teilen Geschrieben 26. Dezember 2014 Moin, möglicherweise nur ein Anzeigeproblem, wenn du dich als Admin anmeldest, um es zu kontrollieren? Ansonsten: Bei GPOs bin ich mir gerade nicht ganz sicher, aber ich habe in einzelnen Fällen schon gesehen, dass "Auth. Users" nicht ausreichte, um Computer auf irgendwas zugreifen zu lassen. Es half dann, dedizierte Computergruppen oder die Computerkonten direkt zu berechtigen (auch wenn das eigentlich nicht nötig sein sollte). Das hat Martin oben ja auch schon angeregt. Probier das doch mal. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 26. Dezember 2014 Autor Melden Teilen Geschrieben 26. Dezember 2014 Hi, Sie übernehmen es nicht, oder gpresult zeigts nicht an? gpresult zeigt sowohl unter abgelehnte Computer Richtlinien als auch bei den Benutzer Richtlinien "Zugriff verweigert (Sicherheitsfilterung)". Als Benutzer taucht die Richtlinie nirgends auf. Weder als abgelehnt noch als angewendet. Moin, möglicherweise nur ein Anzeigeproblem, wenn du dich als Admin anmeldest, um es zu kontrollieren? Ansonsten: Bei GPOs bin ich mir gerade nicht ganz sicher, aber ich habe in einzelnen Fällen schon gesehen, dass "Auth. Users" nicht ausreichte, um Computer auf irgendwas zugreifen zu lassen. Es half dann, dedizierte Computergruppen oder die Computerkonten direkt zu berechtigen (auch wenn das eigentlich nicht nötig sein sollte). Das hat Martin oben ja auch schon angeregt. Probier das doch mal. Gruß, Nils Sobald ich mich mit einem Testuser anmelde oder auch einem "normalen" User, werden die Richtlinien ebenfalls nicht übernommen. Jetzt wo du es schreibst, die Terminalserver Computerkonten hatte ich bereits explizit (Sowohl das Konto direkt, als auch eine neue Gruppe mit den Konten) mit den Berechtigungen "Lesen" und "Gruppenrichtlinie übernehmen" aufgenommen, leider mit gleichem Ergebnis. Die Terminalserver wurden auch nach Änderungen an den GPOs jeweils durchgestartet. Das ganze ist bei einem SBS 2011 und einem 2008 R2 RDS Host aufgefallen, habe es aber auch schon an einem 2008 R2 DC sowie 2008 R2 RDS Host und unter Server 2012 getestet. Hier erbigt sich das gleiche Bild. Des Weiteren habe ich Testweise einmal der Default Domain Policy den Adminsitratoren die Übernahme verweigert und das gleiche Ergebnis erhalten. Vielen Dank schonmal für die Unterstützung :) Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. Dezember 2014 Melden Teilen Geschrieben 26. Dezember 2014 Die default Domain Policy verbietet sich selbst für testzwecke. Denn die Tests damit haben keine Aussagekraft. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. Dezember 2014 Melden Teilen Geschrieben 27. Dezember 2014 Du hast irgendwas verbogen.... Im Gruppenrichtlinien-Ergebnissatz stehen die Sicherheitsgruppen, in denen der COmputer beim Anwenden Mitglied war. Was steht da denn so drin? Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 27. Dezember 2014 Autor Melden Teilen Geschrieben 27. Dezember 2014 Hi, in der Tat die Terminalserver sind in der Gruppe "VORDEFINIERT\Administratoren". Ist das per Default so? Habe das mal bei verschiedenen Memberserver in unterschiedlichen Domänen getestet und die Computerkonten der Memberserver waren alle in der Gruppe "VORDEFINIERT\Administratoren". Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 27. Dezember 2014 Melden Teilen Geschrieben 27. Dezember 2014 Nein das is nicht normal. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 28. Dezember 2014 Melden Teilen Geschrieben 28. Dezember 2014 Nein das is nicht normal. Jetzt, wo der TO das schreibt - doch, das ist normal. Und ja, works as designed. Deshalb arbeitet man auch nicht mit VORDEFINIERT\* In diesen Gruppen ist JEDER Computeraccount automatisch Mitglied: VORDEFINIERT\Administratoren Jeder VORDEFINIERT\Prä-Windows 2000 kompatibler Zugriff VORDEFINIERT\Benutzer VORDEFINIERT\Windows-Autorisierungszugriffsgruppe NT-AUTORITÄT\NETZWERK NT-AUTORITÄT\Authentifizierte Benutzer NT-AUTORITÄT\Diese Organisation Verbindliche Beschriftung\Systemverbindlichkeitsstufe Fallweise kommen dann noch Domänencomputer oder Domänencontroller dazu. :D Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 28. Dezember 2014 Melden Teilen Geschrieben 28. Dezember 2014 Echt? Muss ich glatt mal nachschauen. Aber das mit den vordefinierten Gruppen kann ich unterschreiben. Und nicht nur beim Thema gpo. Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 28. Dezember 2014 Melden Teilen Geschrieben 28. Dezember 2014 Muss ich glatt mal nachschauen. Brauchst nicht - hab's ja selber aus nem gpresult kopiert :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.