Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Default Domain Policy kann nicht mehr bearbeitet werden

Frage Microsoft Windows Server

Mitglied: jlaufenburg

jlaufenburg (Level 1) - Jetzt verbinden

09.01.2015, aktualisiert 11.01.2015, 1711 Aufrufe, 21 Kommentare

Hallo Zusammen,
vielleicht kann mir jemand weiter Helfen.

Ich habe das Problem, dass ich in der Gruppenrichtlinien Verwaltung die Default Domain Policy nicht mehr bearbeiten kann.
Fehler: Auf das Gruppenrichtlinienobjekt kann nicht zugegriffen werden, weil Sie keine Leserechte darauf haben.

Ansonsten Funktioniert die Default Domain Policy aber und wird auch von allen Clients gezogen und Angewendet.
Gpresult sagt Angewendete Gruppenrichtlinienobjekte.
Name: Default Domain Policy
Verknüpfungsstandort: dug.local
Revivion: AD (5), Sysvol (5)

Benutzerrechte auf die Policy im Sysvol sind passend.
Dieses wurde bereits vom MS Support gescheckt.
Wir haben hier auch schon ein Ticket Offen, sind aber bisher noch nicht weiter gekommen.
Zurücksetzten ist laut MS Kritisch, da wir Exchange in unserem unternehmen einsetzten.

Hoffe jemand hat eine Idee.

Beste Grüße
Jörg

Mitglied: DerWoWusste
09.01.2015, aktualisiert um 15:49 Uhr
Hi.

Ändere die Zugriffsrechte auf den Ordner der Policy und alle Unterodner+Dateien:
\\DeinDC\SYSVOL\\DeineDom.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

({31B2...} ist der Identifier für jene Policy, er ist für die DDP immer gleich)
Bitte warten ..
Mitglied: jlaufenburg
09.01.2015 um 16:25 Uhr
Hi DerWoWusste,
der Support von MS hat das schon gescheckt.
Die Rechte sind alle passend gesetzt.

Gruß
Jörg
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 09.01.2015, aktualisiert 13.01.2015
Das bezweifle ich. Dieser Fehler ist altbekannt, er kommt dann vor, wenn Admins verhindern wollen, dass die DDP von bestimmten Rechnern/Usern übernommen wird und dafür Verweigerungen setzen. Genau dann passiert das.
Ich gebe deshalb mal die korrekten ACLs wieder (mittels icacls auf Policies\{31B2F34...):
01.
CREATOR OWNER:(OI)(CI)(IO)(F) 
02.
 
03.
NT AUTHORITY\Authenticated Users:(OI)(CI)(RX) 
04.
 
05.
NT AUTHORITY\SYSTEM:(OI)(CI)(F) 
06.
 
07.
domain\Domänen-Admins:(OI)(CI)(F) 
08.
 
09.
domain\Organisations-Admins:(OI)(CI)(F) 
10.
 
11.
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS:(OI)(CI)(RX)
Vergleich das bitte mal.
Bitte warten ..
Mitglied: jlaufenburg
09.01.2015 um 16:51 Uhr
Hi,
werde ich machen.

Kannst du mir einmal die Syntax geben die du beim icacls angegeben hast, dann poste ich das Ergebnis.

Danke und Gruß
Jörg
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 09.01.2015, aktualisiert 11.01.2015
Icalcs Ordnername
Bitte warten ..
Mitglied: DerWoWusste
10.01.2015 um 14:57 Uhr
Es sollte auch ein leichtes sein, mttels procmon am DC festzustellen, wo der Access denial denn liegt. Wieso das der Support nicht vorschlägt, wüsste ich gerne.
Procmon anwerfen, Policy aufrufen, Log nach "access denied" durchsuchen, schon siehst Du, was zu erwarten ist.
Bitte warten ..
Mitglied: jlaufenburg
12.01.2015, aktualisiert um 15:55 Uhr
Hallo DerWoWusste,
ich verzweifle....

So sehen aktuell die Berechtigungen aus.

\\dug.local\SysVol\dug.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
NT-AUTORITÄT\Authentifizierte Benutzer: (OI)(CI)R
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION: (OI)(CI)R
DUG\Dom„nen-Admins: (OI)(CI)(NP)F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
DUG\Organisations-Admins: (OI)(CI)F
NT-AUTORITÄT\SYSTEM: (OI)(CI)F


Typ Prinzipal Zugriff Geerbt von Anwenden auf
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen, Ausführen keine Diesen Ordner, Unterordner und Dateien
Zulassen NT-AUTORITÄT\Domänenvontroller der Organisation Lesen, Ausführen keine Diesen Ordner, Unterordner und Dateien
Zulassen DUG\Domänen-Admins Vollzugriff keine Diesen Ordner, Unterordner und Dateien
Zulassen ERSTELLER-BESITZER Vollzugriff keine Nur Unterordner und Dateien
Zulassen DUG\Organisations-Admins Vollzugriff keine Diesen Ordner, Unterordner und Dateien
Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff keine Diesen Ordner, Unterordner und Dateien

Im Procmon kann ich nichts sehen was mir einen Anhaltspunkt gibt, wo der Access denial liegt.

Danke und Gruß
Jörg
Bitte warten ..
Mitglied: DerWoWusste
12.01.2015 um 16:01 Uhr
Setz doch bitte mal die Zugriffsrechte so wie empfohlen. Deine sind verstellt.
->dom admins: full mit Vererbung
->auth. Benutzer UND Domänencontroller: Read und Execute
Bitte warten ..
Mitglied: jlaufenburg
12.01.2015, aktualisiert um 16:09 Uhr
Hi,
bis auf das NP bei Domänen-Admins sieht es jetzt aus wie bei dir.

\\dug.local\SysVol\dug.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
NT-AUTORITŽT\Authentifizierte Benutzer: (OI)(CI)(RX)
NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION: (OI)(CI)(RX)
DUG\Dom„nen-Admins: (OI)(CI)(NP)(F)
ERSTELLER-BESITZER: (OI)(CI)(IO)(F)
DUG\Organisations-Admins: (OI)(CI)(F)
NT-AUTORITŽT\SYSTEM: (OI)(CI)(F)
Bitte warten ..
Mitglied: DerWoWusste
12.01.2015 um 16:25 Uhr
Und, wo ist das Problem, das NP noch wegzubekommen? Das steht für "Vererbung ist ausgeschaltet". Stell also dort in den erweiterten Berechtigungen bei Dom. Admins ein, dass es auch für Dateien und Unterordner übernommen wird.
Bitte warten ..
Mitglied: jlaufenburg
12.01.2015 um 16:51 Uhr
Gib mir bitte nochmal einen TIpp wie.
Über die Windows GUI bringt das nichts. Da ist es eingeschaltet, das dir rechte runter vererbt werden.
Bitte warten ..
Mitglied: DerWoWusste
12.01.2015 um 17:01 Uhr
Nimm mal icacls. Bin gerade unterwegs.
Bitte warten ..
Mitglied: jlaufenburg
12.01.2015 um 17:10 Uhr
Ich habs mit folgeden Befehl versucht, bringt aber immer noch nichts.
icacls \\dug.local\SysVol\dug.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\ /inheritance:e /t
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 12.01.2015, aktualisiert 13.01.2015
01.
icacls  \\dug.local\SysVol\dug.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9} /grant "domänen-admins":(OI)(CI)(F)
Bitte warten ..
Mitglied: jlaufenburg
13.01.2015, aktualisiert um 09:04 Uhr
Hi,
auf Anhieb hat es mit dem Befehl nicht geklappt.
Erst nach dem ich die Domänen-Admins einmal entfernt habe, konnte ich die Berechtigungen entsprechend setzten.

\\dug.local\SysVol\dug.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
DUG\Domänen-Admins: (OI)(CI)(F)
NT-AUTORITÄT\Authentifizierte Benutzer: (OI)(CI)(RX)
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION: (OI)(CI)(RX)
ERSTELLER-BESITZER: (OI)(CI)(IO)(F)
DUG\Organisations-Admins: (OI)(CI)(F)
NT-AUTORITŽT\SYSTEM: (OI)(CI)(F)

Aber funktionieren tut es leider immer noch nicht wieder.
Bitte warten ..
Mitglied: DerWoWusste
13.01.2015 um 09:41 Uhr
Ok, weitere Denkanstöße:

-kannst Du die xml-Dateien im Policyordner fehlerfrei öffnen? (nicht modifizieren!)
-was spuckt procmon denn aus im Moment des Fehlers, wenn man Focus setzt auf mmc.exe?
-ist die mmc gestartet mit einem Konto, das nun Zugriff haben müsste?
-Geht es zufällig mit einem anderen Domänenadmin?
-kannst Du die Policy noch exportieren?
-Wenn Du RSAT nutzen solltest, geht es evtl. am DC selbst besser?
-Hast Du mehrere DCs, bearbeitest Du auch wirklich die Policy, deren Rechte Du angepasst hast?
Bitte warten ..
Mitglied: jlaufenburg
13.01.2015 um 10:10 Uhr
-kannst Du die xml-Dateien im Policyordner fehlerfrei öffnen? (nicht modifizieren!)
XML Dateien liegen in dem Ordner nicht, aber alle anderen kann ich öffnen und auch bearbeiten.

-was spuckt procmon denn aus im Moment des Fehlers, wenn man Focus setzt auf mmc.exe?
Jede menge, aber nichts was auf die Richtlinie verweist.

-ist die mmc gestartet mit einem Konto, das nun Zugriff haben müsste?
Ja, ich bin als Domänen Administrator angemeldet.

-Geht es zufällig mit einem anderen Domänenadmin?
Leider auch nicht.

-kannst Du die Policy noch exportieren?
nein geht auch nicht mehr.

-Wenn Du RSAT nutzen solltest, geht es evtl. am DC selbst besser?
Die Änderungen habe ich jetzt nicht vom Basisdomänencontroller aus gemacht.
Aber auch auf diesem ist der Zugriff nicht möglich.

-Hast Du mehrere DCs, bearbeitest Du auch wirklich die Policy, deren Rechte Du angepasst hast?
Ja wir haben mehrer DC`s und ich bin mir sicher, dass ich diese Policy bearbeite.
Die ID steht in der Fehlermeldung mit drin {31B2F340-016D-11D2-945F-00C04FB984F9}

Hast du Lust mit Teamviewer einmal drauf zu schauen?
Gerne auch Offiziell mit Rechnung, etc.
Bitte warten ..
Mitglied: DerWoWusste
13.01.2015 um 10:17 Uhr
Ok,

ich könnte nach Feierabend und Sport raufschauen, aber das kann heute spät werden. Da Microsoft schon nicht weiterkommt, gebe ich dem auch nur geringe Chancen.
Morgen Abend Zeit, evtl. 18 Uhr?
Bitte warten ..
Mitglied: jlaufenburg
13.01.2015 um 10:30 Uhr
Hört sich gut an, schicke dir dann meine Kontakdaten.

MS hat noch einen neuen Aktionsplan geschickt, den werde ich aber erst nochmal durch probieren.
Bitte warten ..
Mitglied: DerWoWusste
13.01.2015 um 10:34 Uhr
Hab ihn gelesen. Ja, die SACLS können es natürlich auch sein, unbedingt machen.
Bitte warten ..
Mitglied: jlaufenburg
13.01.2015 um 11:45 Uhr
Problem gelöst!

Zum einen waren es mit Sicherheit die Berechtigungen, zum anderen der folgende Aktionsplan von MS.

Aktionsplan:
Copy the GUID from the Default Domain Policy
1. Go to Start > Run.
2. Open the GPMC.msc
3. Go to the Default Domain Policy that is “Inaccessible”.


Figure 1: Select "Inaccessible".
4. Copy the GUID which appears under the scope tab in the content view of the Group Policy console.

Figure 2: Copy the GUID (Unique ID) from the content view.
Recover Procedure

1. Start the cmd as Administrator
2. Type the following command: dsacls cn={GUID},cn=policies,cn=system,dc=domain,dc=domain

Example: cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=Policies,cn=system,dc=contoso,dc=com


Figure 3: Run the “dsacls” commandline tool
You’ll now be shown a list with 2 columns. First part lists the users and groups and the second column lists the permissions.
In the example provided here you should simply look for “Deny” permission.

Figure 4: View Rights on the GPO

3. If the object has been denied for the specific group or user you can run the following command: dsacls cn={GUID},cn=policies,cn=system,dc=domain,dc=domain /R USER/GROUP

Example: dsacls cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=Policies,cn=system,dc=contoso,dc=com /R “Authenticated Users”

Info:
/R {User | Group} [{User | Group}]...
Deletes all ACEs for the specified users or groups. User can be specified as User@Domain or as Domain\User. Group can be specified as Group@Domain or as Domain\Group.
You can delete ACEs for multiple users and groups in a single /R parameter

4. If you want you can give the user/group who were denied some more rights. You’ll have to adjust this to whatever you’re trying to recover in your environment.

Please type the following line: dsacls cn={GUID},cn=policies,cn=system,dc=domain,dc=domain /G USER/GROUP:GA

Example: dsacls cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=Policies,cn=system,dc=contoso,dc=com /G “Authenticated Users”:GA


Figure 5: Grant "Generic All" to Authenticated Users
Info:
Syntax for PermissionStatement
PermissionStatement values use the following format:

{User | Group}:Permissions[;{ObjectType | Property}][;InheritedObjectType]
Parameters

{User | Group}
Specifies the user or group to whom the rights apply. User can be specified as a distinguished name, User@Domain, or Domain\User. Group can be specified as a distinguished name, Group@Domain, or Domain\Group.

Permissions
Type one or more of the values in the following tables (without spaces).

Generic Permissions
Value Description
GR Generic Read
GE Generic Execute
GW Generic Write
GA Generic All

5. Head back to the Group Policy Management Console and find the place where the GPO is linked to, or check the Group Policy Objects container.
Now it should be possible to edit the group policy object again since rights has been “restored”.
Dsacls
http://msdn.microsoft.com/de-de/library/cc779257%28v=ws.10%29.aspx

Besten Dank für die Hile!!!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

Windows Server
gelöst Active Directory Domain Default User Profile (for Windows 8.1) (4)

Frage von adm2015 zum Thema Windows Server ...

Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...