NilsK 2.934 Geschrieben 11. Juni 2020 Melden Teilen Geschrieben 11. Juni 2020 Moin, was genau mit deiner Gruppe nicht stimmt, kann ich dir aus der Ferne auch nicht sagen. Typischerweise, wenn etwas mit Berechtigungen nicht geht, wenn man eine Gruppe berechtigt, aber funktioniert, sobald man die Mitglieder der Gruppe einzeln berechtigt, dann wird die Gruppenmitgliedschaft nicht wirksam. Das wiederum ist meist der Fall, wenn das Access Token nicht aktuell ist. Dem kann man bei Usern durch Neuanmeldung abhelfen, bei Computern durch Neustart (was in dem Fall übrigens ein gezielter und begründeter Neustart ist und kein Schuss ins Blaue, weil man dadurch die Neuanmeldung des Computerkontos erzwingt). Eine Andere Möglichkeit, die durchaus sehr oft vorkommt: Falsche Gruppe ausgewählt ... Da es bei dir begrifflich durcheinander geht: Du sprichst da von "Gruppen", wo es um Gruppen geht und da von "OUs", wo OUs gemeint sind? Auch hier verwechseln Neulinge bisweilen die Dinge. Im übrigen kann, wie Martin richtig sagt, die Ausgabe von gpresult helfen. Ebenso wäre ein Blick ins Ereignisprotokoll sinnvoll. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 11. Juni 2020 Melden Teilen Geschrieben 11. Juni 2020 vor 12 Minuten schrieb teletubbieland: Die PCs habe ich in die Gruppe geschoben. Dann schau doch mal an deinem Test-PC nach, ob der PC auch tatsächlich in der Gruppe ist: "gpresult /R /SCOPE COMPUTER" Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 11. Juni 2020 Autor Melden Teilen Geschrieben 11. Juni 2020 vor 1 Minute schrieb testperson: Dann schau doch mal an deinem Test-PC nach, ob der PC auch tatsächlich in der Gruppe ist: "gpresult /R /SCOPE COMPUTER" mach ich. danke. vor 11 Minuten schrieb NilsK: Moin, was genau mit deiner Gruppe nicht stimmt, kann ich dir aus der Ferne auch nicht sagen. Typischerweise, wenn etwas mit Berechtigungen nicht geht, wenn man eine Gruppe berechtigt, aber funktioniert, sobald man die Mitglieder der Gruppe einzeln berechtigt, dann wird die Gruppenmitgliedschaft nicht wirksam. Das wiederum ist meist der Fall, wenn das Access Token nicht aktuell ist. Dem kann man bei Usern durch Neuanmeldung abhelfen, bei Computern durch Neustart (was in dem Fall übrigens ein gezielter und begründeter Neustart ist und kein Schuss ins Blaue, weil man dadurch die Neuanmeldung des Computerkontos erzwingt). Eine Andere Möglichkeit, die durchaus sehr oft vorkommt: Falsche Gruppe ausgewählt ... Da es bei dir begrifflich durcheinander geht: Du sprichst da von "Gruppen", wo es um Gruppen geht und da von "OUs", wo OUs gemeint sind? Auch hier verwechseln Neulinge bisweilen die Dinge. Im übrigen kann, wie Martin richtig sagt, die Ausgabe von gpresult helfen. Ebenso wäre ein Blick ins Ereignisprotokoll sinnvoll. Gruß, Nils Naja, die falsche Gruppe ist es nicht und der flapsige Spruch sollte nicht despektierlich sein. Neustart hatte ich natürlich schon gemacht und das Ereignisprotokoll sagte gar nichts. Mit gpresult /h wurde nichts abgebildet bzgl. der Computerrichtlinien. Erst als in den PC per Hand in die GPO genommen habe. Gruß Ingolf Interessant: Habe jetzt nochmal das gleiche Prezedere mit einer anderen Gruppe und GPO durchgeführt und es funtioniert, wie es sein soll. Vermutlich liegt es wirklich an den Auth Users. Den Test mache ich dann aber lieber am WE Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. Juni 2020 Melden Teilen Geschrieben 12. Juni 2020 vor 12 Stunden schrieb teletubbieland: Neustart hatte ich natürlich schon gemacht und das Ereignisprotokoll sagte gar nichts. Mit gpresult /h wurde nichts abgebildet bzgl. der Computerrichtlinien. Erst als in den PC per Hand in die GPO genommen habe. Wo genau schaust Du denn im Eventlog nach? Für GPOs gibt es einen eigenen Zweig. Mit gpresult /h kommt nichts, gar nichts? Keine Ausgabe? Den letzten Satz verstehe ich überhaupt nicht. Was willst Du uns damit mitteilen? vor 12 Stunden schrieb teletubbieland: Interessant: Habe jetzt nochmal das gleiche Prezedere mit einer anderen Gruppe und GPO durchgeführt und es funtioniert, wie es sein soll. Vermutlich liegt es wirklich an den Auth Users. Wir filtern hier auch immer wieder auf Computergruppen, funktioniert wie gewünscht und gedacht. Liegen Computer- und Benutzerobjekte in der gleichen OU? Liegt das GPO auch auf dieser OU oder höher? Die User- und Computerobjekte müssen unterhalb dem GPO liegen, ansonsten funktioniert das Gewünschte nicht. Die Gruppe kann liegen wo Du sie hinlegen willst. Wichtig ist auch noch der Weg wie man die Gruppe in die Sicherheitsfilterung des GPO bringt. Und natürlich muss die Gruppe, wenn Computer- und Benutzerobjekte in der Gruppe sein, auch das Recht zum Lesen und Übernehmen des GPO haben. Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 14. Juni 2020 Autor Melden Teilen Geschrieben 14. Juni 2020 Soderle: Der springende Punkt war tatsächlich, dass ich beim ersten Mal die authentifizierten Benutzer entfernt und durch die Gruppe ersetzt habe. Habe eine neu Richtlinie angelegt, Berechtigigungen angpasst und sihe da: Kaum macht man's richtig, funktioniert es Danke für Eure Unterstützung und schönen Sonntag noch ! Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Juni 2020 Melden Teilen Geschrieben 14. Juni 2020 vor 56 Minuten schrieb teletubbieland: Habe eine neu Richtlinie angelegt, Berechtigigungen angpasst und sihe da: Kaum macht man's richtig, funktioniert es Und oben mit der Gruppe ersetzen nennst du nicht "Berechtigungen angepaßt"? Was genau hast du denn jetzt anders gemacht? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 14. Juni 2020 Melden Teilen Geschrieben 14. Juni 2020 Hi, ich habe das Gefühl, hier sollte (zumindest für die Theorie) nochmal vorne angefangen werden: Was hast du denn am Ende mit diesem GPO vor? Bestimmte PCs sollen die Computerkonfiguration aus dem GPO anwenden? Deshalb sind die Computer in der Gruppe? Bestimmte User sollen die Benutzerkonfiguration aus dem GPO an diesen bestimmten PCs angewendet bekommen? Deshalb sind die User in der Gruppe? So wie ich das hier heraus lese sind entweder die Computerkonten (ggfs. auch die Benutzerkonten) in der Gruppe nicht notwendig bzw. brauchst du die Gruppe dann evtl. gar nicht oder die authentifizierten Benutzer in der Sicherheitsfilterung falsch. Dass dein Ergebnis im Moment korrekt ist, wird an der noch(?) passenden OU-Struktur liegen. Ich möchte aber auch nicht ausschließen, dass ich hier irgendwo etwas falsch interpretiere. :) Gruß Jan Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 14. Juni 2020 Autor Melden Teilen Geschrieben 14. Juni 2020 Ja, im Eifer des Gefechts drückt man sich vielleicht nicht immer klar aus. Ich versuche es nochmal: Erstellt habe ich eine OU in dieser habe ich eine Grupper mit Mitgliedern aus der Domäne erstellt. Da in der GPO Benutzer und Computervorgaben sind, besteht die Gruppe aus Beidem. Danach habe ich der Gruppe Leserechte für die GPO gegeben und es läuft. Wie gesagt: Fehler war das Löschen der Authentifizierten Benutzer. Früher hatte das so funktioniert... Jetzt ist alles gut und der Threat kann von mir aus geschlossen weren Gruß Ingolf Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Juni 2020 Melden Teilen Geschrieben 14. Juni 2020 Wenn in der OU nur die Gruppe steckt, dann ist dein Design eh falsch. Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 14. Juni 2020 Melden Teilen Geschrieben 14. Juni 2020 vor 23 Minuten schrieb teletubbieland: Erstellt habe ich eine OU in dieser habe ich eine Grupper mit Mitgliedern aus der Domäne erstellt. Da in der GPO Benutzer und Computervorgaben sind, besteht die Gruppe aus Beidem. Danach habe ich der Gruppe Leserechte für die GPO gegeben und es läuft. Ich glaube hier gibt es ein Missverständnis und so wie du es beschreibst (und ich es verstehe), ist die Gruppe unnötig. Schau dir die letzte Antwort von daabm nochmal an (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402352) weitere Informationen dazu finden sich hier: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gpod/4b293f38-2e0b-48e6-9df6-ec3fd8c48512 Deine (Sicherheits- / Verteiler-) Gruppen im Active-Directory haben direkt erstmal nichts mit Gruppenrichtlinien zu tun. Das findet sich in Sunnys letzter Antwort (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402372) (und den o.g. Links ebenfalls) wieder. Sei mir nicht böse, allerdings klingt das für mich nach der ein und anderen fehlenden Grundlage im Bereich Gruppenrichtlinien (und Active-Directory). vor 57 Minuten schrieb teletubbieland: Früher hatte das so funktioniert... Ist aber jetzt auch schon genau vier Jahre her: https://docs.microsoft.com/de-de/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622 Zitieren Link zu diesem Kommentar
teletubbieland 167 Geschrieben 14. Juni 2020 Autor Melden Teilen Geschrieben 14. Juni 2020 vor einer Stunde schrieb testperson: Ich glaube hier gibt es ein Missverständnis und so wie du es beschreibst (und ich es verstehe), ist die Gruppe unnötig. Schau dir die letzte Antwort von daabm nochmal an (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402352) weitere Informationen dazu finden sich hier: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gpod/4b293f38-2e0b-48e6-9df6-ec3fd8c48512 Deine (Sicherheits- / Verteiler-) Gruppen im Active-Directory haben direkt erstmal nichts mit Gruppenrichtlinien zu tun. Das findet sich in Sunnys letzter Antwort (https://www.mcseboard.de/topic/218188-nochmal-gpo/?do=findComment&comment=1402372) (und den o.g. Links ebenfalls) wieder. Sei mir nicht böse, allerdings klingt das für mich nach der ein und anderen fehlenden Grundlage im Bereich Gruppenrichtlinien (und Active-Directory). Ist aber jetzt auch schon genau vier Jahre her: https://docs.microsoft.com/de-de/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622 Zu 1: Ich habe mir Sunnys Antwort druchgelesen und genauso auch gemacht, aslo scheinen wir aneinander vorbei zu reden. Kann ja mal passieren. Zu 2: Das ist das, was mich ja auf den Trichter mit den Authentifizierten Benutzern gebracht hat. Gruß Ingolf Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Juni 2020 Melden Teilen Geschrieben 14. Juni 2020 (bearbeitet) vor 4 Stunden schrieb teletubbieland: Zu 1: Ich habe mir Sunnys Antwort druchgelesen und genauso auch gemacht, aslo scheinen wir aneinander vorbei zu reden. Kann ja mal passieren. Dann beschreib doch nochmal ganz genau was Du wie und wo gemacht hast. Hast Du wirklich eine OU angelegt und dort NUR eine Gruppe abgelegt? Keine Computer- und Benutzerobjekte? Und wie genau hast Du die Sicherheitsgruppe in das GPO gebracht? Bitte genau den Weg beschreiben. Und um noch mehr Verwirrung zu stiften: Ein GPO greift nicht auch Gruppen, nur auf (Gruppen von) Comuter- und/oder Benutzerobjekten. :) bearbeitet 14. Juni 2020 von Sunny61 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.