Jump to content

GPP wird seit gestern nur bei "Authentifizierten Benutzer" übernommen

rt1970

Von rt1970
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben

Woher nimmst du diese Gewissheit? Ich interpretiere "This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group." und "Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO). If you are using security filtering, add the Domain Computers group with read permission." so:

 

Wer GPOs nutzen will, muss sie lesbar für "Authentifizierte Benutzer" machen. Wer aber GPOs zusammen mit security filtering nutzen will, muss "Domänencomputer" Leserechte geben.

Rate mal, wer ebenfalls Authentifizierter Nutzer ist. Richtige Antwort: Domänencomputer. ;)

Ansonsten siehe meinen Link hin zu www.gruppenrichtlinien.de

 

Bye

Norbert

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen

Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe.

Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen!

Genau in dem Augenblick fehlen die in der Lasche "Delegierung"

Und da die Richtlinien NUN vom Computeraccount gelesen werden und nicht mehr vom Useraccount gibt es Probleme, wenn der Computeraccount (PC1$) nicht mehr darauf zugreifen kann.

Richtige Antwort: Domänencomputer

Wenn man die "DomänenComputer" hinzufügt ist die Richtlinie noch ein Stück sicherer als mit "authentifizierte Benutzer" wo man nur Username und Passwort braucht...

 

Sollte ich mich irren bitte ich um Korrektur!

bearbeitet von rt1970
Link zu diesem Kommentar
Schweizerin Community Regular

Schweizerin   1

Geschrieben
Geschrieben (bearbeitet)

Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe.

Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen!

 

Das macht man bei Laufwerken aber viel besser direkt in der Laufwerkszuordnung. Zweiter Reiter "Common" und dann Haken bei "Item Level Targeting" setzen. Anschließend auf Targeting klicken. Dort links oben "New Item" und dann "Security Group" auswählen (oder was auch immer, da kann man auch OUs und alles möglichen Krempel als Bedingungen auswählen), selbige auswählen und gut ists. Dann gilt diese Laufwerkszuordnung innerhalb der GPO nur für bestimmte Leute. Da muss man nicht umständlich pro Sicherheitsgruppe eine GPO anlegen, so wie du das scheinbar machst.

bearbeitet von Schweizerin
Link zu diesem Kommentar
Schweizerin Community Regular

Schweizerin   1

Geschrieben
Geschrieben

Rate mal, wer ebenfalls Authentifizierter Nutzer ist. Richtige Antwort: Domänencomputer. ;)

 

Ja schon. Aber warum erwähnt dann Microsoft explizit "If you are using security filtering, add the Domain Computers group with read permission."? Irgend einen Grund muss es doch haben beim EInsatz von Security Filtering statt auf Authentizierte Benutzer auf Domänencomputer zu setzen!?

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

 Da muss man nicht umständlich pro Sicherheitsgruppe eine GPO anlegen, so wie du das scheinbar machst

Ich lege ganz normal eine Richtlinie an, verknüpfe sie auf die entsprechende übergeordnete OU und trage im Sicherheitsfilter die User/Gruppen ein. Fertig.

Unterschied: GPP liegt nicht im root sondern in der OU, was aber eigentlich auch egal ist... Dafür ist ja der Filter...

Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused:  Wieder etwas zum testen und wieder dazu gelernt!

Das macht man bei Laufwerken aber viel besser direkt in der Laufwerkszuordnung.

Mag sein. Ist aber schneller zu kontrollieren und einfacher im Sicherheitsfilter ;)  :cool:

Mag Haarspalterei sein, führt aber beides zum Ziel.

...und Sicherheitsaspekt ;)

bearbeitet von rt1970
Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

kompromitierten Rechnern jederzeit der Zugriff als Computer auf die GPOs möglich sein dürfte

wenn der Man-in-the-Middle einen Domänen-Member-Computer hat... Wenn nicht (privater Laptop z.B.) dann hat er dann auch keinen Zugriff MEHR auf die Richtlinie trotz bekanntem Username/Passwort...

Aber wie Du schon gesagt hast: Haarspalterei! Beides geht und reicht. Per Default ist ja auch der Lese-Zugriff für die "Authentifizierten" erlaubt!

bearbeitet von rt1970
Link zu diesem Kommentar
Schweizerin Community Regular

Schweizerin   1

Geschrieben
Geschrieben

Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused:  Wieder etwas zum testen und wieder dazu gelernt!

 

Ich kenne das auch erst seit wenigen Monaten und habe mich vorher mit zu vielen GPOs und deren unendlichen Verknüpferei an OUs beschäftigt.

 

Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte als ILT verstehe ich nicht. Bei mir hat jeder Ordner (oder Drucker) eine eigene Sicherheitsgruppe und wem ich einen Laufwerksbuchstaben an diesem Ordner vergeben will, der bekommt den nur dann per ILT zugewiesen, wenn er Mitglied der Ordnerberechtigungsgruppe ist. Wo übersehe ich da eine (und sei es nur eine haarspaltende) Sicherheitslücke (wenn die Delegierung der GPO auf Domänencomputer gestellt ist und die Sicherheitsfiltreung alle auth. User erlaubt)?

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben

Ich kenne das auch erst seit wenigen Monaten und habe mich vorher mit zu vielen GPOs und deren unendlichen Verknüpferei an OUs beschäftigt.

Das fiel mir auch sofort dazu ein! Sehr gute Lösung!!!

Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte

Hab ich nicht behauptet wie NorbertFe schon bemerkt hat. Fakt ist, dass nach dem Patch die GPOs als Computeraccount gelesen werden und nicht mehr als der entsprechende User. Darum ist es einen Tacken sicherer wenn man dort im besten Fall den entsprechenden Computeraccount(s) Zugriff zum lesen gewährt, als wenn man die "authentifizierten Benutzer" wählt. Nur Lese-Zugriff des Benutzers funktioniert nicht mehr!

Ja, weil Domänencomputer die "kleinere" Einheit ist, die aber trotzdem alle benötigten Objekte beinhaltet. Mit Authentifizierten usern können eben ALLE Authentifzierten User die GPOs lesen. Bei Domänencomputern eben nur die Computer.

Der Domänencomputer-Account hat eben das Mindestmaß an Rechte damit es funktioniert. Gibst ja einen User auch keine Admin-Rechte damit er mit Word arbeiten kann, obwohl auch das ginge...

Weiß auch nicht mehr, wie ich es anders formulieren soll...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...