Neue GPO - Zugriff verweigert / Modifizieren: geht

[Weingeist 159]

Hallo Leute,

 

Habe in einer Umgebung das Problem, dass ich die GPO's nicht mehr verändern kann. Ist relativ schwierig nachzuvollziehen seit wann das Problem besteht, weil ich da schon eine halbe Ewigkeit keine neuen GPO's mehr erstellt habe.  In den letzten Monaten ja fast Jahre habe ich da lediglich Windows-Updates eingespielt oder GPO's verändert.

 

Was ich schon versucht habe:

- Prüfung der Event-Logs --> Keinerlei Einträge, auch nicht bei der FilterEngine wo normal etwas auftaucht wenn irgendwo Zugriff verweigert erscheint (habe umfangreiches Logging aktiviert)

- Check der Berechtigung von SYSVOL auf dem Server, keine sichtbare Beeinschränkung, Admins haben Vollzugriff

 

Was ich nicht mehr sicher bin: Ob ich in dieser Umgebung seit der Umstellung auf einen Central Store schonmal Policies neu erstellt habe oder nicht.

 

Jemand eine Idee was das sein könnte?

 

GPO's werden auch sauber angewant ohne Kniffe wie force update oder ähnliches.

 

Grüsse und vielen Dank

[zahni 554]

Wie sehen Rechte an den GPO-Objekten im AD aus?

[Weingeist 159]

Jeweils Bearbeiten, löschen, sicherheit ändern für die Admins und Besitzer sind sie auch. Das alles geht auch. Scheint irgendwo ein Neuerstellungsrecht zu fehlen, fragt sich wo.

[daabm 1.354]

Mir fehlt der konkrete Fehler bei der konkreten Aktion: Was genau machst Du, und was genau passiert dann?

BTW: Die GPMC hat ein Debug Logging, das könnte helfen. https://lmgtfy.com/?q=gpmc+debug+logging&s=d&t=w

[Weingeist 159]

@daabm: Nochmals mit anderen Worten:

Der Fehler: es lässt sich keine neue GPO auf dem DC erstellen, ändern ist aber kein Problem, löschen auch nicht. Anzeigen auch nicht.

 

Wie er sich äussert: Es erscheint nur eine Meldung: "Zugriff verweigert"  wenn eine GPO erstellt wird.  0815 Msgbox ohne Symbol, nur ein OK Button, ohne sonstige Erklärung oder Err. Nummer. Kein Log-Eintrag, weder im administrativen Teil, noch bei Group Policy noch bei der FilterEngine (wo Zugriffsverletzung aller Art normal geloggt werden, sofern aktiv).

 

Der Server ist weder abgestürzt (dass AD beschädig sein könnte) noch sonstwas. Es wurdne lediglich Updates eingespielt. Einträge im AD unter Computer/Benutzer erstellen ist auch kein Problem. Alles was ich den letzten Monaten gemacht wurde, ist die Windows Updates einzuspielen.

 

Werde mal versuchen den Policies-Ordner neu zu erstellen und die Berechtigungen frisch zuzuweisen. Gefällt mir zwar nicht so richtig, aber mir fehlt sonst grad eine zündende Idee.

bearbeitet 25. Oktober 2019 von Weingeist

[daabm 1.354]

Das Debug Logging interessiert Dich nicht? Das würde ich als erstes einschalten.

[xrated2 15]

Also bei mir ist der Besitzer die Domänen-Admins, gibt ja noch andere Admingruppen

[Weingeist 159]

vor 12 Stunden schrieb daabm:

Das Debug Logging interessiert Dich nicht? Das würde ich als erstes einschalten.

Wie und was genau? Bis jetzt hatte ich Probleme dieser Art noch nie, bzw. beschränkten sie sich auf das verabeiten auf den Zielmaschinen, das replizieren oder unterschiedliche Varianten der GPO's. =)

--> Suche wohl falsch einfach falsch. Fand nix dazu.l

 

@xrated2: Besitzverhältnisse liegen auch bei den Domain-Admins. Aber das problem sind ja auch nicht die existierenden GPO's. Da läuft alles rund. Sobald ich auf den Button neu erstellen drücke, kann ich noch den gewünschten Namen eingenben und sobald ich das bestätige, ist fertig.

bearbeitet 26. Oktober 2019 von Weingeist

[daabm 1.354]

Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g

Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?

[xrated2 15]

Funktioniert die Replizierung von SYSVOL sauber?

 

Rufst du die GUI vielleicht mit dem falschen Benutzer auf?

[Weingeist 159]

@daabm: *lololol*

Stimmt das ist widersprüchlich, ist mir erst jetzt aufgefallen wo dus sagst. Doofe Wortwahl. Auch wenn ich sonst überall geschrieben habe, dass modifizieren geht. Inklusive im Titel.

 

Sysvol-Berechtigungen wurde - zumindest in der Theorie - nix dran rumgeschraubt. Allerdings olé olé, war da doch was im Argen. Und zwar waren die Write-Berechtigungen für Zugriff der Admins auf policies lediglich für Unterordner und Dateien nicht aber für den Ordner Policies an sich vergeben. Gefühlt 100x die Berechtigungen angeschaut und trotzdem nicht gesehen. Ich glaubs echt nicht. Wie dies dahin bzw. weg kam, ist nicht mehr nachzuvollziehen. *hmpf* 

 

Danke für die Geduld!

 

bearbeitet 29. Oktober 2019 von Weingeist

[daabm 1.354]

Ja, das nennt man betriebsblind - woher ich das weiß? Da fehlt dann halt ein Kollege, der auch mal mit draufschaut. Credits wären noch nett... ?

[Weingeist 159]

Yeah... Absolut korrekt

 

Yep, bei solchen Sachen ist das definitiv von Vorteil.