Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst GPO Dateirechte greift nicht

Mitglied: nic7575

nic7575 (Level 1) - Jetzt verbinden

10.02.2010, aktualisiert 11.02.2010, 7707 Aufrufe, 13 Kommentare

Folgende Ausgangsstellung:

DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"

Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.

Das Verzeichnis ist z.B. c:\test

Wir haben nun eine Gruppenrichtlinie erstellt:

Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem

Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen

Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local

Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.

Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.

Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.

Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.

Hat da jemand ne Idee oder Ansätze ?
Mitglied: wannabe
10.02.2010 um 18:45 Uhr
Nur so als Idee:

Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:07 Uhr
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
Bitte warten ..
Mitglied: wannabe
10.02.2010 um 19:15 Uhr
Nett

Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:22 Uhr
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 21:05 Uhr
Jetzt ist ein GPO-Experte gefragt.....
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 00:22 Uhr
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 18:16 Uhr
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 18:51 Uhr
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 19:04 Uhr
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 21:31 Uhr
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)

Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)

Was steht bei Dir unter [File Security]?
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:21 Uhr
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"

Ziemlich cryptisch.
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:46 Uhr
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!

Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?

EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.

Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Bitte warten ..
Mitglied: DerWoWusste
12.02.2010 um 11:41 Uhr
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO greift nicht
gelöst Frage von 118080Windows Server20 Kommentare

Moin Leute :) ich bin nach längerem auch wieder mal hier. Und zwar hab ich folgendes Problem: Ich habe ...

Windows Server
2008 GPO greift nicht richtig
Frage von minicoopWindows Server2 Kommentare

Hallo, folgende Umgebung: W2008 Domäne W2008R2 TS mit IE11 Es wird eine GPO auf domäne.local verknüpft, Benutzerkonfiguration, Richtlinien, Administrative ...

Windows Server
GPO auf User-OU greift nicht
gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server
GPO greift auf unterer OU nicht
gelöst Frage von MissJonesWindows Server7 Kommentare

Hallo ihr Lieben, ich habe mich gerade mal hier angemeldet, da ich trotz der vorhandenen Beiträge nicht weiterkomme. Momentan ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...