rt1970 10 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Hallo! Konfiguration: SBS 2011 und Windows 7 Pro x64 Clients Problem (seit gestern): Richtlinien bei denen ich "Authentifizierte Benutzer" gelöscht habe und eine Sicherheitsgruppe (User) hinzugefügt habe werden nicht angewendet. Ich möchte aber dass Laufwerke und Drucker bestimmten Benutzergruppen zur Verfügung gestellt werden. Bis vorgestern ging alles einwandfrei. Seit gestern Mittag verschwinden Laufwerke und Drucker bei einigen(?) Computern... Die Windows-Updates des SBS habe ich erst vorhin installiert. Daran sollte es nicht liegen... Die Clients installieren immer Mittags ihre Updates... GPResult bringt bei den betroffenen GPOs folgende Meldung z.B.: {41B3ECDE-2AC3-48E1-8629-969D580475B2} Zugriff nicht möglich Via Explorer komme ich sowohl über \\Servernamen als auch \\Domaene.local auf die Richtlinie... Ereignisanzeige ist auch Clean... Ist irgendein Update gekommen, das die Richtlinien, die User bzw. Gruppen zugeordnet sind, nicht mehr gehen? Gruß René bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Kurzer Blick in die heutigen Threads... http://www.mcseboard.de/topic/207529-kb3159398/ http://www.mcseboard.de/topic/207530-autostart-der-programme-über-gpo-seit-16062016-nicht-mehr-möglich/ Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 Oh man.... Peinlich! Hab ich im falschen Thema nachgesehen... Also MUSS im Sicherheitsfilter die "Authentifizierter User" rein? Und unter Delegierung dann die Usergruppe? Oder verstehe ich da was falsch? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Ja, das verstehst du nicht falsch. ;) Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) @NorbertFe :D Geht aber nicht... Wenn ich die "authentifizierten User" aus der Delegierung löschen will, sind sie auch im Sicherheitsfilter raus :( Wie kann ich nun die Richtlinie nur bestimmten Usern/Gruppen zuweisen??? Ach gefunden! Falsch herum gedacht! "Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen." von http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493 bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Ja, das verstehst du nicht falsch. ;) Dann habe ich es wohl falsch verstanden. 1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so) 2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so) Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.) Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 Dann habe ich es wohl falsch verstanden. 1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so) 2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so) Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.) Wenn die drin stehen hast Du auch keine Probleme! Die Domänencomputer brauchst dann nicht hinzufügen! Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Ach gefunden! Falsch herum gedacht! "Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen." von http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493 Da gibts auch ein Skript verlinkt, was das geradezieht. ;) Dann habe ich es wohl falsch verstanden. 1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so) 2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so) Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.) Schau dir im Link mal das Skript an, das macht das alles automagisch. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 Schau dir im Link mal das Skript an, das macht das alles automagisch. ACHTUNG! Englisches AD! Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen! Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Da gibts auch ein Skript verlinkt, was das geradezieht. ;) Schau dir im Link mal das Skript an, das macht das alles automagisch. Schön wärs. Das Skript im ZIP-File unter https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran). Wenn ich das dann angepasst habe (ebenso Set-GPPermission s), dann läuft das Skript duch, aber es passiert gar nichts. Und noch einmal die Frage: Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.) "Führe mal irgendein Skript aus udn stelle nicht zu viele Fragen!" ist nicht die richtige Antwort. ACHTUNG! Englisches AD! Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen! Und siehe da, nach allen Fehlerkorrekturen sieht es dann so aus: $allGPOs = get-gpo -all foreach ($gpo in $allGPOs) { # first read the GPO permissions to find out if Authn Users and Domain Computers is missing $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Authentifizierte Benutzer” -TargetType group -ErrorAction SilentlyContinue $perm2 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue if ($perm1 -eq $null -and $perm2 -eq $null) # if no authn users or domain computers is found, then add Authn Users read perm { Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Authenticated Users” -TargetType Group Write-Host $gpo.DisplayName “has been modified to grant Authenticated Users read access” } } Das läuft zumindest durch (und ändert bei mir rein gar nichts). Jetzt weiß ich immer noch nicht, was mit "If you are using security filtering, add the Domain Computers group with read permission." ist, das Skript ändert daran ja nichts. Ich nutze security filtering und wüsste gern, was deswegen noch zu tun ist. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 Bei Delegation muss noch "Domönencomputer" mit lesen rein? Falsch. Entweder "Domänencomputer" oder "Authentifizierte Benutzer". Beides geht auch - muss aber nicht! Grund: "Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context." https://support.microsoft.com/en-us/kb/3163622 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Moin, Das Skript im ZIP-File unter https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/ kann nicht funktionieren, weil es den Befehl Get-GPPermission nicht gibt (zumindest nicht auf meinem 2008 R2). Der heißt richtig Get-GPPermissions (mit "s" hinten dran). doch, den gibt es. Aber erst ab Windows Server 2012. Da funktioniert beides, weil die Variante mit "s" als Alias definiert ist. CommandType Name ----------- ---- Alias Get-GPPermissions Alias Set-GPPermissions Cmdlet Get-GPPermission Cmdlet Set-GPPermission Und du müsstest in dem wichtigen Teil mit Set-GPPermission(s) den Namen der Gruppe natürlich auch anpassen. Gruß, Nils Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Falsch. Entweder "Domänencomputer" oder "Authentifizierte Benutzer". Woher nimmst du diese Gewissheit? Ich interpretiere "This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group." und "Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO). If you are using security filtering, add the Domain Computers group with read permission." so: Wer GPOs nutzen will, muss sie lesbar für "Authentifizierte Benutzer" machen. Wer aber GPOs zusammen mit security filtering nutzen will, muss "Domänencomputer" Leserechte geben. Da lese ich kein entweder oder. Habe ich falsch übersetzt oder habt ihr schlampig gelesen? Das Originalskript jetzt so modifiziert, dass es Domänencomputer mit Leserechten hinzufügt, damit man Security Filtering nutzen kann: # deutsche Version $allGPOs = get-gpo -all foreach ($gpo in $allGPOs) { # first read the GPO permissions to find out if Authn Users and Domain Computers is missing $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domänencomputer” -TargetType group -ErrorAction SilentlyContinue if ($perm1 -eq $null) # if no domain computers is found, then add Domänencomputer read perm { Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domänencomputer” -TargetType Group Write-Host $gpo.DisplayName “has been modified to grant Domänencomputer read access” } } Und die englische Version: # english Version $allGPOs = get-gpo -all foreach ($gpo in $allGPOs) { # first read the GPO permissions to find out if Authn Users and Domain Computers is missing $perm1 = Get-GPPermissions -Guid $gpo.id -TargetName “Domain Computers” -TargetType group -ErrorAction SilentlyContinue if ($perm1 -eq $null) # if no domain computers is found, then add Domain Computers read perm { Set-GPPermissions -Guid $gpo.Id -PermissionLevel GpoRead -TargetName “Domain Computers” -TargetType Group Write-Host $gpo.DisplayName “has been modified to grant Domain Computers read access” } } bearbeitet 16. Juni 2016 von Schweizerin Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Habe ich falsch übersetzt oder habt ihr schlampig gelesen? Will ich nicht ausschließen, dass ich schlampig gelesen habe! Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;) Ich würde das so übersetzen: If you are using security filtering, add the Domain Computers group with read permission Wenn Du Sicherheitsfilter benutzt, dann füge die entsprechenden Domänen-Computer hinzu... Es geht ja hier um ein Sicherheits-Update, dass den Man-in-the-Middle verhindern soll: The vulnerability could allow elevation of privilege if an attacker launches a man-in-the-middle (MiTM) attack against the traffic passing between a domain controller and the target machine Da könnte er sich authentifizieren, aber nicht als Computer... PS: meine Meinung/Interpretation bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;) Dann würde ich sagen, du nutzt kein Security Filtering. Und wenn du in ein paar Monaten/Jahren Security Filtering nutzen willst, dann wirst du dir einen Wolf suchen, weil es nicht funktioniert. Also warum nur die halbe Lösung umsetzen und nicht die, die immer funktioniert? Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen. Bei mir sind die überall vorhanden (war mal eine 2003er Domäne, die jetzt 2008 R2 ist). Wurden die "Authentifizierte Benutzer" gelöscht? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.