137431
Goto Top

Fehler bei GPO Berechtigung

Hallo zusammen,

ich bin gerade dabei, Teamviewer per GPO auszurollen. Einige PCs sollen die Software aber nicht bekommen. Dazu habe ich eine Gruppe erstellt, in der die betreffenden PCs Mitglied sind. In der entsprechenden GPO haben "Authentifizierte Benutzer" das Recht zum Lesen und Anwenden der GPO. Der anderen Gruppe habe ich diese Rechte explizit auf "Deny" gesetzt.

01

02

Wenn ich nun unter "Delegierung" die Gruppe markiere und auf "Erweitert" klicke, werden die Sicherheitseinstellungen aufgerufen. Merkwürdigerweise ist dann alles ausgegraut und ich kann dort dann keine Änderungen mehr vornehmen.


03

04


05

Verlasse ich dann alle Dialogfenster, erhalte ich folgende Meldung:

06

Habe ich da was falsch gemacht bzw. was bedeutet diese Meldung? Das ganze wurde auf einem Win 2012 R2 erstellt.

Content-Key: 589676

Url: https://administrator.de/contentid/589676

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: NordicMike
NordicMike 22.07.2020 aktualisiert um 10:58:18 Uhr
Goto Top
auf einem Bild sehe ich deine Domain (noch nicht ausgegraut)
Mitglied: 137431
137431 22.07.2020 um 11:05:00 Uhr
Goto Top
Uups. Danke. Korrigiert
Mitglied: chgorges
chgorges 22.07.2020 um 11:46:25 Uhr
Goto Top
Hi,

ich komme nicht mit, was machen die Authentifizierten Benutzer in der Sicherheitsfilterung? Ist viel zu kompliziert, dein Vorgehen kann in ein paar Monaten keiner mehr inkl. dir selber nachvollziehen, wie das funktioniert.

Schmeiß die Authentifizierten Benutzer aus der Filterung einfach raus und nimm die Gruppe für die PCs, die die Software bekommen sollen -> fertig ist der Lack.
Mitglied: 137431
137431 22.07.2020 um 13:04:02 Uhr
Goto Top
@chgorges

Seit 2016 mit Release MS16-072 macht man das nicht mehr so. Authenticated Users müssen drin bleiben.
Mitglied: DerWoWusste
DerWoWusste 22.07.2020 aktualisiert um 13:31:18 Uhr
Goto Top
Authenticated Users müssen drin bleiben
Das verstehst Du gründlich falsch. Wenn man eine GPO an User verteilt, und dabei Sicherheitsfilterung verwendet (sprich: nur bestimmte User sollen die GPO bekommen), dann muss man authenticated users mit Leserechten drin lassen (oder aber Domänencomputer mit Leserechten drin lassen). In dem Fall hier wird aber eine Richtlinie an Rechner verteilt.

Sei's drum - Du hast ja vor, an alle bis auf ein paar zu verteilen, die in einer Gruppe sind. Also Authenticated users drin lassen mit Read und apply und ein deny apply für die auszuschließende Gruppe setzen und fertig.

Dass es ausgegraut ist, liegt daran, dass diese rechte von oben geerbt werden bei der im Screenshot dargestellten Gruppe - normal!
Mitglied: Doskias
Doskias 22.07.2020 aktualisiert um 14:06:39 Uhr
Goto Top
Sehe ich auch so. ich komme da auch nicht mehr mit.

Mein vorgehen wäre folgendes:

1. ALLES (ja alles) aus den Sicherheitsfilterung rauswerfen, inkl., authentifizierte Benutzer.
2. In der Delegierung die authentifizierten Benutzer mit Leseberechtigungen hinzufügen
3. EINEN (!!!) Computer als Test-Kandidaten auswählen und in der Sicherheitsfilterung eintragen.
4. Wenn hier das gewünschte Ergebnis vorliegt, die Gruppe Eintragen und mit den Rechnern befüllen.

Bedenke auch, dass (wenn du es nicht händisch anstößt) neu angelegte Gruppen immer noch einen Prozess des AD abwarten müssen, bis sie zur Verfügung stehen. Der läuft in der Standardkonfiguration irgendwann nachts durch. Wenn du die Gruppe also heute angelegt hast, kann es sein dass sie erst morgen für solche Aufgaben zur Verfügung steht. Daher Punkt 3, es mit einem ausgewählten Rechner zu testen.

Achso: Dass du die GPO in der OU einordnen musst wo die betroffenen Rechner hinterlegt sind, ist selbsterklärend, oder? ;)
Mitglied: chgorges
chgorges 23.07.2020 um 12:37:43 Uhr
Goto Top
Zitat von @137431:

@chgorges

Seit 2016 mit Release MS16-072 macht man das nicht mehr so. Authenticated Users müssen drin bleiben.

Nope, du hast die Updatebeschreibung nicht richtig gelesen oder nicht verstanden.

Das einzige, was seit dem Update gemacht werden muss, ist die Authenticated Users in der Delegierung lesend drin zu lesen, oder besser (Best Practise) die Domänencomputer. Heißt in der Filterung löschen und in der Delegierung lesend wieder hinzufügen.

In der Sicherheitsfilterung haben die gefühlt noch nie etas verloren gehabt.
Mitglied: DerWoWusste
DerWoWusste 23.07.2020 um 13:13:49 Uhr
Goto Top
Delegierung ist nichts anderes als Modifizieren der ACL, wo man auch Einschränkungen der GPO-Übernahme, besser bekannt als Sicherheitsfilterung vornehmen kann, @chgorges.
Mitglied: 137431
137431 23.07.2020 um 13:18:27 Uhr
Goto Top
Bekenne mich schuldig, wohl nicht richtig verstanden. Danke für eure Erläuterungen.
Mitglied: 137431
137431 23.07.2020 um 13:26:05 Uhr
Goto Top
Hab auf die GPO keinen Zugriff mehr:

gpo_error

Bin als Domänen Admin drin
Mitglied: DerWoWusste
DerWoWusste 23.07.2020 um 13:29:05 Uhr
Goto Top
Eröffne dazu bitte eine neue Frage, sonst wird das nur Durcheinander.

Meines Wissens musst Du nun gleich mehere Dinge tun:
1 Berechtigungen in Adsiedit wieder auf Standard setzen
2 Berechtigungen auf die Dateien der GPO unterhalb von \\deinedom.local\sysvol\policies\...GPO zurücksetzen.
Mitglied: 137431
137431 23.07.2020 um 14:43:58 Uhr
Goto Top
ok, danke. Hab ein neues Thema erstellt

Kein Zugriff auf einzelne GPO mehr
Mitglied: 137431
137431 23.07.2020 um 14:49:33 Uhr
Goto Top
Habs hinbekommen. Konnte nun GPO löschen.
Mitglied: 137431
137431 23.07.2020 aktualisiert um 14:54:22 Uhr
Goto Top
@DerWoWusste

Mach ich deinen Vorschlag in der Sicherheitsfilterung, oder unter Delegierung. Sorry, aber verstehe den genauen Unterschied nicht wie sich was auswirkt.
Mitglied: DerWoWusste
DerWoWusste 23.07.2020 um 14:55:49 Uhr
Goto Top
Beides ist das Selbe. Die Delegierung führt bei einem Klick auf erweitert zur maske der ACL-Bearbeitung, wo ich Sicherheitsfilterungen vornehme. Wie beschrieben: Authenticated users drin lassen mit Read und apply und ein deny apply für die auszuschließende Gruppe setzen und fertig.
Mitglied: 137431
137431 23.07.2020 um 15:13:10 Uhr
Goto Top
ok, hab ich so gemacht.

Wie wäre es denn im umgekehrten Fall, also wenn diese spezielle Gruppe die GPO anwenden soll, aber der Rest nicht. Würde ich dann bei "Authenticates Users" den Haken bei "Anwenden" rausnehmen und bei der speziellen Gruppe den Haken rein?

Oder anderes gefragt. "Authenticates Users" enthält ja auch alle Computerkonten. Das muss immer in irgendeiner Form drin bleiben, auch wenn sich die GPO nicht auf Computer, sondern auf den Userkontext bezieht?
Mitglied: DerWoWusste
DerWoWusste 23.07.2020 aktualisiert um 15:30:20 Uhr
Goto Top
Würde ich dann bei "Authenticates Users" den Haken bei "Anwenden" rausnehmen und bei der speziellen Gruppe den Haken rein?
Ja, genau so.
Authenticates Users" enthält ja auch alle Computerkonten. Das muss immer in irgendeiner Form drin bleiben, auch wenn sich die GPO nicht auf Computer, sondern auf den Userkontext bezieht?
Wie schon in deinem eigenen MS-Link angedeutet: die GPO wird immer vom Computerkonto verarbeitet, egal, ob User- oder Computer-GPO. Entweder, man lässt authenticated users mit read drin, oder man entfernt authenticated users und nimmt die Gruppe Domänen-Computer mit read rein (und achtet darauf, dass auch die Admingruppe mit read drin bleibt).

Probleme, wie dein Aussperren passieren nur, wenn man der Gruppe authenticated Users das Lesen verweigert (deny read).
Mitglied: 137431
137431 23.07.2020 um 15:37:07 Uhr
Goto Top
alles klar. Jetzt bin ich wieder etwas schlauer. Danke für die Info.