7
Admin kann GPO nicht lesen
Hi,
habe hier einn kleines Problem mit einigen GPO.
Wir haben ein größeres AD mit mehreren Domänen und mehreren Admins.
Die Admins haben in den seltesten Fällen Domänen- oder gar Organisations-Admin-Rechte.
3 dieser Admins, welche keine Domänen- und/oder Organisations-Admins sind, sind von einem Problem betroffen, wo ich gerade nicht weiterkomme.
Diesen Admins sind in einer Gruppe. Dieser Gruppe wurde das Rechte zum Bearbeiten vieler GPO erteilt. Das funktioniert auch tadellos.
Nun gibt es aber eine Hand voll GPO, für welche Sie berechtigt sind, welche sie in der Domäne im Container "Gruppenrichtlinien" gar nicht sehen, und dort, wo diese GPOs verlinkt sind, werden sie im Baum angezeigt mit "Zugriff nicht möglich". Rechts im Detailbereich steht dann "Auf das Gruppenrichtlinienobjekt kann nicht zugegriffen werden, weil Sie keine Leserechte darauf haben."
Klarer Fall, dachte ich. Effektive Berechtigungen überprüft --> da sind keine Verweigerungen drin. Die Benutzer haben effektiv das Recht, diese GPO zu lesen und zu bearbeiten. Hm ...
Gut, dann stimmen wohl die Rechte im SYSVOL nicht. Habe also im SYSVOL-Ordner dieser GPO die Berechtigungen vom Stammordner der GPO nochmal explizit an alle untergeordneten Ordner und Dateien durchgedrückt. (\\domain.local\SYSVOL\domain.local\policies\{GUID}\.... ) --> kein Effekt.
Die Berechtigungen für das AD-Objekt unter --> domain.local\System\Policies
habe ich auch überprüft.
Selbst wenn ich einen dieser Benutzer direkt an der GPO als berechtigt eintrage (also ohne Gruppe) ändert das nichts. Der Benutzer erscheint in der ACL des AD-Objekts und in der ACL des SYSVOL-Ordners. Aber in der GPO MMC steht für diese GPO immer noch "Zugriff nicht möglich".
Irgendwo übersehe ich etwas.
Replikations-Probleme habe ich ausgeschlossen. Auch wenn ich die GPO MMC explizit mit anderen DC's verbinde, besteht das Problem weiterhin.
Die Admins haben auch schon mehrmals ihre MMC-Cache gelöscht. Ändert nichts.
Auch von einem anderen Computer mit lokal installiertem RSAT geht es nicht. Auf diesem anderen Computer haben die Bentuzer definitiv ein anderes Profil. Das habe ich auch überprüft.
Hat jemand noch ne Idee?
E.
habe hier einn kleines Problem mit einigen GPO.
Wir haben ein größeres AD mit mehreren Domänen und mehreren Admins.
Die Admins haben in den seltesten Fällen Domänen- oder gar Organisations-Admin-Rechte.
3 dieser Admins, welche keine Domänen- und/oder Organisations-Admins sind, sind von einem Problem betroffen, wo ich gerade nicht weiterkomme.
Diesen Admins sind in einer Gruppe. Dieser Gruppe wurde das Rechte zum Bearbeiten vieler GPO erteilt. Das funktioniert auch tadellos.
Nun gibt es aber eine Hand voll GPO, für welche Sie berechtigt sind, welche sie in der Domäne im Container "Gruppenrichtlinien" gar nicht sehen, und dort, wo diese GPOs verlinkt sind, werden sie im Baum angezeigt mit "Zugriff nicht möglich". Rechts im Detailbereich steht dann "Auf das Gruppenrichtlinienobjekt kann nicht zugegriffen werden, weil Sie keine Leserechte darauf haben."
Klarer Fall, dachte ich. Effektive Berechtigungen überprüft --> da sind keine Verweigerungen drin. Die Benutzer haben effektiv das Recht, diese GPO zu lesen und zu bearbeiten. Hm ...
Gut, dann stimmen wohl die Rechte im SYSVOL nicht. Habe also im SYSVOL-Ordner dieser GPO die Berechtigungen vom Stammordner der GPO nochmal explizit an alle untergeordneten Ordner und Dateien durchgedrückt. (\\domain.local\SYSVOL\domain.local\policies\{GUID}\.... ) --> kein Effekt.
Die Berechtigungen für das AD-Objekt unter --> domain.local\System\Policies
habe ich auch überprüft.
Selbst wenn ich einen dieser Benutzer direkt an der GPO als berechtigt eintrage (also ohne Gruppe) ändert das nichts. Der Benutzer erscheint in der ACL des AD-Objekts und in der ACL des SYSVOL-Ordners. Aber in der GPO MMC steht für diese GPO immer noch "Zugriff nicht möglich".
Irgendwo übersehe ich etwas.
Replikations-Probleme habe ich ausgeschlossen. Auch wenn ich die GPO MMC explizit mit anderen DC's verbinde, besteht das Problem weiterhin.
Die Admins haben auch schon mehrmals ihre MMC-Cache gelöscht. Ändert nichts.
Auch von einem anderen Computer mit lokal installiertem RSAT geht es nicht. Auf diesem anderen Computer haben die Bentuzer definitiv ein anderes Profil. Das habe ich auch überprüft.
Hat jemand noch ne Idee?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299749
Url: https://administrator.de/contentid/299749
Printed on: April 25, 2024 at 07:04 o'clock
7 Comments
Latest comment
Hi.
Auch wenn kein Zugriff besteht, erhältst Du per Doppelklick die GUID. Such diese GUID mal als User im Explorer unter Sysvol auf und schau, ob Du in den Ordner reinkommst. Wenn nicht, prüfe erneut die NTFS-Rechte dort.
Auch wenn kein Zugriff besteht, erhältst Du per Doppelklick die GUID. Such diese GUID mal als User im Explorer unter Sysvol auf und schau, ob Du in den Ordner reinkommst. Wenn nicht, prüfe erneut die NTFS-Rechte dort.
Auch wenn kein Zugriff besteht, erhältst Du per Doppelklick die GUID. Such diese GUID mal als User im Explorer unter Sysvol auf und schau, ob Du in den Ordner reinkommst. Wenn nicht, prüfe erneut die NTFS-Rechte dort.
Hi DWW,habe ich doch geschrieben. Den betreffenden SYSVOL-Ordner habe ich auch schon geprüft. Der Benutzer kann die Dateien dort auch öffnen, z.B. mit Notepad oder mit einem Hex-Editor. Das ist ja der Punkt, den ich nicht verstehe ...
E.
Ok, habe ich übersehen.
Prüf mal mit procmon, ob Du access denials sehen kannst, wenn Du die GPMC öffnest.
Prüf mal mit procmon, ob Du access denials sehen kannst, wenn Du die GPMC öffnest.
Prüf mal mit procmon, ob Du access denials sehen kannst, wenn Du die GPMC öffnest.
Gute Idee. Mach ich mal ....
@dww
Das geht leider nicht. Wenn ich Procmon auf dem Computer mit dem RSAT ausführe, dann zeichnet er nichts für UNC-Pfade auf. Wenn ich es auf dem DC ausführe, mit welchem ich verbunden bin, dann zeichnet er nichts auf, was über Netzwerk kommt. Habe z.B. explizit über den Namen des Servers auf das Sysvokl zugegriffen und eine INI in diesem GPO-Verzeichnis geöffnet. da wird nichts aufgezeichnet ...
Oder muss ich dafür im Procmon erst irgendwas aktivieren?
Das geht leider nicht. Wenn ich Procmon auf dem Computer mit dem RSAT ausführe, dann zeichnet er nichts für UNC-Pfade auf. Wenn ich es auf dem DC ausführe, mit welchem ich verbunden bin, dann zeichnet er nichts auf, was über Netzwerk kommt. Habe z.B. explizit über den Namen des Servers auf das Sysvokl zugegriffen und eine INI in diesem GPO-Verzeichnis geöffnet. da wird nichts aufgezeichnet ...
Oder muss ich dafür im Procmon erst irgendwas aktivieren?
Ja, aktiviere den "advanced output" im Menü "filter".
Da wird nichts mit dem betreffenden Pfad aufgezeichnet .... 
Selbst wenn ich eine lesbare GPO aus dieser Domäne mit der GPO MMC öffne, kommt nichts.
Wohl aber für LocalSystem und svchost.exe - ich nehme an, der Server hat gerade seine GPO's aktualisiert.
Selbst wenn ich eine lesbare GPO aus dieser Domäne mit der GPO MMC öffne, kommt nichts.
Wohl aber für LocalSystem und svchost.exe - ich nehme an, der Server hat gerade seine GPO's aktualisiert.
