Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO Dateirechte greift nicht

Frage Microsoft

Mitglied: nic7575

nic7575 (Level 1) - Jetzt verbinden

10.02.2010, aktualisiert 11.02.2010, 7695 Aufrufe, 13 Kommentare

Folgende Ausgangsstellung:

DC Win2008R2 in Domäne mit XP-Clients
Benutzer sind in einer OU "Firma" Computer in einer OU "Workstations"

Wir haben einige Programme die Schreibrechte in Verzeichnissen brauchen.

Das Verzeichnis ist z.B. c:\test

Wir haben nun eine Gruppenrichtlinie erstellt:

Computerconfiguration->Windowseinstellungen->Sicherheitseinstellungen->Dateisystem

Dort neuer Eintrag c:\test und Domänenbenutzer mit Lese-/Schreibrechten ausgestattet
-> vorhandene Berechtigungen für alle Unterordner und ..... ersetzen

Diese GPO ist verknüpft mit dem Stamm der Domöne also firma.local

Die Vererbung ist weder auf der OU Workstations noch auf OU Firma deaktiviert.

Teilweise existiert der Ordner auf der Arbeitsstation schon teilweise nicht. Wenn wir nun den Ordner test anlegen und ein gpupdate /force machen ändert sich auch nach Neustart nix. Die Rechte werden nicht verändert.

Sowohl gpresult als auch rsop.msc sagen die Richtlinie wurde angewendet.

Wir sind etwas ratlos warum die Rechte nicht gesetzt werden. Die Workstations sind komplett durchgepatcht via WSUS.

Hat da jemand ne Idee oder Ansätze ?
Mitglied: wannabe
10.02.2010 um 18:45 Uhr
Nur so als Idee:

Auf ner W2k3 Domäne hab ich sowas auch im Einsatz, läuft tadellos. Da Windows Variablen mag, würd ich die auch nutzen -> damit klappts nämlich bei mir.
So denke ich, dass du die Berechtigung für "%SystemDrive%\temp" vergeben möchtest.
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:07 Uhr
Danke aber das ersetzt er automatisch...also bei mir steht in der GPO %SystemDrive%\test...
Bitte warten ..
Mitglied: wannabe
10.02.2010 um 19:15 Uhr
Nett

Hast du auch bei den Sicherheitseinstellungen in der Gruppenrichtlinie die Vererbung übergeordneter Berechtigungen für den Ordner deaktiviert?
Also bei "Sicherheit bearbeiten" - "Erweitert".
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 19:22 Uhr
Hatte ich nicht beachtet...nachgeschaut ist aber per Default abgewählt.. !
Bitte warten ..
Mitglied: nic7575
10.02.2010 um 21:05 Uhr
Jetzt ist ein GPO-Experte gefragt.....
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 00:22 Uhr
Hi.
Es sollte so klappen. Hab's schnell mit einem 2008er und xp nachgestellt.
Starte procmon auf dem Client und filtere während Du gpupdate /force /target:computer auf dem Client machst nach process name: services.exe und Pfad c:\test. Du solltest einen Versuch sehen, die Sicherheit zu verändern, also Operation: SetSecurityFile
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 18:16 Uhr
Habe ich gemacht.....ich sehe allerdings keinen Versuch.
Muss man noch etwas anderes einstellen/beachten ?
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 18:51 Uhr
Seltsam. Nee, es fehlt nichts.
Nimm einen weiteren, schon vorhandenen Ordner und teste erneut.
Bitte warten ..
Mitglied: nic7575
11.02.2010 um 19:04 Uhr
Habe schon eine weitere Gruppenrichtlinie mit einem Ordner c:\test2 erstellt. Auch sie wird laut gpresult angewendet, passieren tut aber nix.
Bitte warten ..
Mitglied: DerWoWusste
11.02.2010 um 21:31 Uhr
Kriegen wir schon noch.
Öffne mal \\DeinDC\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(wobei 31B2F340-016D-11D2-945F-00C04FB984F9 die ID Deiner Policy sein muss, hier: default policy)

Dort steht bei mir unter anderem:
[File Security]
"%SystemDrive%\test",2,"D:PAR(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;0x1200a9;;;DU)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;S-1-5-21-2649727851-2174783705-3715056715-1106)(A;OICI;0x1200a9;;;BU)"
(ich hab den Domänenbenutzern Leserechte gewährt)

Was steht bei Dir unter [File Security]?
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:21 Uhr
Bei mir steht in der GptTmpl.inf:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\test",0,"D:PAR(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;DU)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)"

Ziemlich cryptisch.
Bitte warten ..
Mitglied: nic7575
12.02.2010 um 08:46 Uhr
Ich bin der Sache aufgrund Deiner Antwort gerade etwas näher gekommen. In meiner Tmpl.inf war ist ja nun keine BenutzerID zu finden, ich habe in der Sicherheitsfilterung nun aber auch nur "Authentifizierte Benutzer" drinstehen. Sobald ich nun z.B. "Jeder" dort hinzufüge klappt es plötzlich !!

Ich habe aber bei anderen GPOs, z.B. Firewallausnahmen, Laufwerksverknüpfungen, auch nur Authentifizierte Benutzer" drinstehen und das geht so auch prima. Muß man bei solchen GPOs speziell die Gruppe in der Sicherheitsfilterung angeben ?

EDIT: Also ich habe es jetzt hi und her getestet es geht einwandfrei.

Ich verstehe allerdings immer noch nicht warum ich bei einigen GPO's nur die "Authentifizierte Benutzer" in der Sicherheitsfilterung drinstehen haben muß und bei anderen das nicht klappt.....
Bitte warten ..
Mitglied: DerWoWusste
12.02.2010 um 11:41 Uhr
Bei mir geht es ohne "jeder" - keine Ahnung, sollte ohne gehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO greift nicht
gelöst Frage von 118080Windows Server20 Kommentare

Moin Leute :) ich bin nach längerem auch wieder mal hier. Und zwar hab ich folgendes Problem: Ich habe ...

Windows Server
2008 GPO greift nicht richtig
Frage von minicoopWindows Server2 Kommentare

Hallo, folgende Umgebung: W2008 Domäne W2008R2 TS mit IE11 Es wird eine GPO auf domäne.local verknüpft, Benutzerkonfiguration, Richtlinien, Administrative ...

Windows Server
GPO auf User-OU greift nicht
gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server
GPO greift auf unterer OU nicht
gelöst Frage von MissJonesWindows Server7 Kommentare

Hallo ihr Lieben, ich habe mich gerade mal hier angemeldet, da ich trotz der vorhandenen Beiträge nicht weiterkomme. Momentan ...

Neue Wissensbeiträge
Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 StundeHumor (lol)2 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 16 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 17 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 19 StundenAdministrator.de Feedback10 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...