NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Woher nimmst du diese Gewissheit? Ich interpretiere "This issue may occur if the Group Policy Object is missing the Read permissions for the Authenticated Users group or if you are using security filtering and are missing Read permissions for the domain computers group." und "Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO). If you are using security filtering, add the Domain Computers group with read permission." so: Wer GPOs nutzen will, muss sie lesbar für "Authentifizierte Benutzer" machen. Wer aber GPOs zusammen mit security filtering nutzen will, muss "Domänencomputer" Leserechte geben. Rate mal, wer ebenfalls Authentifizierter Nutzer ist. Richtige Antwort: Domänencomputer. ;) Ansonsten siehe meinen Link hin zu www.gruppenrichtlinien.de Bye Norbert Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe. Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen! Genau in dem Augenblick fehlen die in der Lasche "Delegierung" Und da die Richtlinien NUN vom Computeraccount gelesen werden und nicht mehr vom Useraccount gibt es Probleme, wenn der Computeraccount (PC1$) nicht mehr darauf zugreifen kann. Richtige Antwort: Domänencomputer Wenn man die "DomänenComputer" hinzufügt ist die Richtlinie noch ein Stück sicherer als mit "authentifizierte Benutzer" wo man nur Username und Passwort braucht... Sollte ich mich irren bitte ich um Korrektur! bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Genau, weil sie eben darauf filtern. ;) Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe. Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen! Das macht man bei Laufwerken aber viel besser direkt in der Laufwerkszuordnung. Zweiter Reiter "Common" und dann Haken bei "Item Level Targeting" setzen. Anschließend auf Targeting klicken. Dort links oben "New Item" und dann "Security Group" auswählen (oder was auch immer, da kann man auch OUs und alles möglichen Krempel als Bedingungen auswählen), selbige auswählen und gut ists. Dann gilt diese Laufwerkszuordnung innerhalb der GPO nur für bestimmte Leute. Da muss man nicht umständlich pro Sicherheitsgruppe eine GPO anlegen, so wie du das scheinbar machst. bearbeitet 16. Juni 2016 von Schweizerin Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Dass es auch anders geht mag ja sein, ist aber gar nicht das Thema. Es gibt auch Richtlinien und Settings, die man filtern will, die kein ILT können. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Rate mal, wer ebenfalls Authentifizierter Nutzer ist. Richtige Antwort: Domänencomputer. ;) Ja schon. Aber warum erwähnt dann Microsoft explizit "If you are using security filtering, add the Domain Computers group with read permission."? Irgend einen Grund muss es doch haben beim EInsatz von Security Filtering statt auf Authentizierte Benutzer auf Domänencomputer zu setzen!? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Ja, weil Domänencomputer die "kleinere" Einheit ist, die aber trotzdem alle benötigten Objekte beinhaltet. Mit Authentifizierten usern können eben ALLE Authentifzierten User die GPOs lesen. Bei Domänencomputern eben nur die Computer. ;)Mag Haarspalterei sein, führt aber beides zum Ziel. Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) Da muss man nicht umständlich pro Sicherheitsgruppe eine GPO anlegen, so wie du das scheinbar machst Ich lege ganz normal eine Richtlinie an, verknüpfe sie auf die entsprechende übergeordnete OU und trage im Sicherheitsfilter die User/Gruppen ein. Fertig. Unterschied: GPP liegt nicht im root sondern in der OU, was aber eigentlich auch egal ist... Dafür ist ja der Filter... Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused: Wieder etwas zum testen und wieder dazu gelernt! Das macht man bei Laufwerken aber viel besser direkt in der Laufwerkszuordnung. Mag sein. Ist aber schneller zu kontrollieren und einfacher im Sicherheitsfilter ;) :cool: Mag Haarspalterei sein, führt aber beides zum Ziel. ...und Sicherheitsaspekt ;) bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Den Sicherheitsaspekt hatte ich absichtlich weggelasse, da ich davon ausgehe, dass ich vorher auch jedes GPO lesen konnte und auf kompromitierten Rechnern jederzeit der Zugriff als Computer auf die GPOs möglich sein dürfte. Es sei denn, es wird eben mit expliziter Rechtevergabe auf speziellen Gruppen gearbeitet. :) Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 (bearbeitet) kompromitierten Rechnern jederzeit der Zugriff als Computer auf die GPOs möglich sein dürfte wenn der Man-in-the-Middle einen Domänen-Member-Computer hat... Wenn nicht (privater Laptop z.B.) dann hat er dann auch keinen Zugriff MEHR auf die Richtlinie trotz bekanntem Username/Passwort... Aber wie Du schon gesagt hast: Haarspalterei! Beides geht und reicht. Per Default ist ja auch der Lese-Zugriff für die "Authentifizierten" erlaubt! bearbeitet 16. Juni 2016 von rt1970 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Genau das meinte ich. ;) Zitieren Link zu diesem Kommentar
Schweizerin 1 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused: Wieder etwas zum testen und wieder dazu gelernt! Ich kenne das auch erst seit wenigen Monaten und habe mich vorher mit zu vielen GPOs und deren unendlichen Verknüpferei an OUs beschäftigt. Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte als ILT verstehe ich nicht. Bei mir hat jeder Ordner (oder Drucker) eine eigene Sicherheitsgruppe und wem ich einen Laufwerksbuchstaben an diesem Ordner vergeben will, der bekommt den nur dann per ILT zugewiesen, wenn er Mitglied der Ordnerberechtigungsgruppe ist. Wo übersehe ich da eine (und sei es nur eine haarspaltende) Sicherheitslücke (wenn die Delegierung der GPO auf Domänencomputer gestellt ist und die Sicherheitsfiltreung alle auth. User erlaubt)? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte als ILT verstehe ich nicht. Hat er nicht behauptet. Es "Ist aber schneller zu kontrollieren und einfacher im Sicherheitsfilter". Bye Norbert Zitieren Link zu diesem Kommentar
rt1970 10 Geschrieben 16. Juni 2016 Autor Melden Teilen Geschrieben 16. Juni 2016 Ich kenne das auch erst seit wenigen Monaten und habe mich vorher mit zu vielen GPOs und deren unendlichen Verknüpferei an OUs beschäftigt. Das fiel mir auch sofort dazu ein! Sehr gute Lösung!!! Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte Hab ich nicht behauptet wie NorbertFe schon bemerkt hat. Fakt ist, dass nach dem Patch die GPOs als Computeraccount gelesen werden und nicht mehr als der entsprechende User. Darum ist es einen Tacken sicherer wenn man dort im besten Fall den entsprechenden Computeraccount(s) Zugriff zum lesen gewährt, als wenn man die "authentifizierten Benutzer" wählt. Nur Lese-Zugriff des Benutzers funktioniert nicht mehr! Ja, weil Domänencomputer die "kleinere" Einheit ist, die aber trotzdem alle benötigten Objekte beinhaltet. Mit Authentifizierten usern können eben ALLE Authentifzierten User die GPOs lesen. Bei Domänencomputern eben nur die Computer. Der Domänencomputer-Account hat eben das Mindestmaß an Rechte damit es funktioniert. Gibst ja einen User auch keine Admin-Rechte damit er mit Word arbeiten kann, obwohl auch das ginge... Weiß auch nicht mehr, wie ich es anders formulieren soll... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.