15
GPO wurde entfernt, Zugriff auf Wechselmedien immer noch nicht möglich
Hallo zusammen,
folgendes Szenario:
Wir haben einen Windows Server 2008 Standard, der DC ist.
Ich hatte probeweise eine GPO erstellt, bei der in der Benutzerkonfiguration der Zugriff auf Wechselmedien verboten war.
Hat auch prima geklappt.
Problem: Obwohl ich die GPO restlos entfernt habe (Verknüpfung und auch die GPO selber), auf Server und Client gpupdate / Force durchliefen ließ können die damals gesperrten Benutzer nicht mehr auf USB-Laufwerke (Digicam) zugreifen.
Muss ist jetzt erst wieder eine GPO einrichten, in der die Einstellung "Zugriff auf Wechselmedien sperren" deaktiviert wird?
Danke im Voraus
folgendes Szenario:
Wir haben einen Windows Server 2008 Standard, der DC ist.
Ich hatte probeweise eine GPO erstellt, bei der in der Benutzerkonfiguration der Zugriff auf Wechselmedien verboten war.
Hat auch prima geklappt.
Problem: Obwohl ich die GPO restlos entfernt habe (Verknüpfung und auch die GPO selber), auf Server und Client gpupdate / Force durchliefen ließ können die damals gesperrten Benutzer nicht mehr auf USB-Laufwerke (Digicam) zugreifen.
Muss ist jetzt erst wieder eine GPO einrichten, in der die Einstellung "Zugriff auf Wechselmedien sperren" deaktiviert wird?
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171574
Url: https://administrator.de/contentid/171574
Printed on: April 19, 2024 at 20:04 o'clock
15 Comments
Latest comment
Moin.
Zunächst mal mit rsop.msc am Client prüfen, ob noch Policies zu dem Thema greifen. Wenn ja: welche?
Zunächst mal mit rsop.msc am Client prüfen, ob noch Policies zu dem Thema greifen. Wenn ja: welche?
Hallo redcell01,
das klingt für mich, als wäre diese Einstellung vor Übernahme der GPO standardmäßig nicht definiert gewesen. Durch Entfernen der GPO wird diese Einstellung normalerweise wieder auf den vorigen Stand zurückgesetzt. Wenn dieser jedoch "nicht gesetzt" war, bleibt die per GPO gesetzte Einstellung wohl erhalten.
Ist nur ne Vermutung
Grüße,
LF
das klingt für mich, als wäre diese Einstellung vor Übernahme der GPO standardmäßig nicht definiert gewesen. Durch Entfernen der GPO wird diese Einstellung normalerweise wieder auf den vorigen Stand zurückgesetzt. Wenn dieser jedoch "nicht gesetzt" war, bleibt die per GPO gesetzte Einstellung wohl erhalten.
Ist nur ne Vermutung
Grüße,
LF
rsop.msc liefert nur die Default Domain Policy und ein Anmeldeskript.
Habe es mittlerweile mit der umgekehrten Richtlinie " Deaktivierte Einstellung " probiert.
Klappt aber immer noch nicht.
Habe es mittlerweile mit der umgekehrten Richtlinie " Deaktivierte Einstellung " probiert.
Klappt aber immer noch nicht.
Warte mal, war es nicht so, dass dazu in jedem Fall ein Rechnerneustart erforderlich ist? Ich meine, das galt bei den USB-Sperren sogar bei Userpolicies. Teste mal.
Muss ich bis abends warten. Melde mich wieder. Kollege braucht das Ding gerade
hi redcell01,
ich weis ich werde dafür jetzt wieder mit erbsen gesteinigt, aber da ich es in der praxis schon öfter mit gemacht habe und bis jetzt auch noch keine gegenteiligen Erfahrungen bekommen habe, vergleich doch die GPO mit einerschablone die verschiedene Löscher bzw, hubel hat. Lägst du die schablone auf den Sand (dein Windowsrechner) dann bleiben die löscher im Sand obwohl du die Schablone wieder entfernt hast, Solange da keine anderen einstellungen kommen wird sich da auch nichts ändern, deshlab negiere doch einfach die jeweiliegn GPO Einstellungen, wende sie nochmal an und es sollte gehen.
Gruß
PJM
ich weis ich werde dafür jetzt wieder mit erbsen gesteinigt, aber da ich es in der praxis schon öfter mit gemacht habe und bis jetzt auch noch keine gegenteiligen Erfahrungen bekommen habe, vergleich doch die GPO mit einerschablone die verschiedene Löscher bzw, hubel hat. Lägst du die schablone auf den Sand (dein Windowsrechner) dann bleiben die löscher im Sand obwohl du die Schablone wieder entfernt hast, Solange da keine anderen einstellungen kommen wird sich da auch nichts ändern, deshlab negiere doch einfach die jeweiliegn GPO Einstellungen, wende sie nochmal an und es sollte gehen.
Gruß
PJM
Moin. So schön die Sandkistentheorie klingt, sie ist in der Regel verkehrt. Siehe http://www.security-forums.com/viewtopic.php?t=37229 ->Registry Tattooing.
Also hatte ich mit der Vermutung recht, dass alle durch GPO gesetzten Einstellungen/Keys so gesetzt bleiben, bis ein anderer Vorgang diesen wieder ändert.
Das Entfernen einer GPO ändert nur dann etwas, wenn die Einstellung an einer anderen Stelle explizit wieder auf den vorherigen Stand gesetzt wird?!
Danke für die Info DerWoWusste
Grüße,
LF
Das Entfernen einer GPO ändert nur dann etwas, wenn die Einstellung an einer anderen Stelle explizit wieder auf den vorherigen Stand gesetzt wird?!
Danke für die Info DerWoWusste
Grüße,
LF
probier es mal mit gpupdate /forece oder nimm den Client aus der Domäne und binde Ihn wieder ein.
Zitat von @DerWoWusste:
Moin. So schön die Sandkistentheorie klingt, sie ist in der Regel verkehrt. Siehe
http://www.security-forums.com/viewtopic.php?t=37229 ->Registry Tattooing.
Moin. So schön die Sandkistentheorie klingt, sie ist in der Regel verkehrt. Siehe
http://www.security-forums.com/viewtopic.php?t=37229 ->Registry Tattooing.
Hi,
dann hast du meine Aussage nicht verstanden.
"If the group policy makes a new key in the registry, when you remove the policy, it does not remove the new key. Also, if you change a setting via group policy, removing the setting does not revert the setting to what it once was. This process is called tattooing, and can cause unforeseen problems.
Dieser satz beschreibt ziemlich genau meine Aussage.
Gruß PJM
@DerWoWusste & fisi-pjm
Also, so wie ich das verstehe, meint ihr das gleiche.
Der einzige Unterschied ist, dass ein "entfernen" einer GPO nur dann den ursprünglichen Registry-Wert wieder herstellt, wenn dieser explizit an anderer Stelle wieder gesetzt wird. In der Sandkistentheorie klingt es jedoch so, als würde, wenn ein Loch verschwindet, der dazugehörige Hubbel wieder verschwinden und genau das scheint mir nicht der Fall. Außer es gibt eine andere Schablone, die besagt, dass der Hubbel dort nicht "undefiniert" ist, sondern explizit diesen wieder entfernt.
Grüße,
LF
Also, so wie ich das verstehe, meint ihr das gleiche.
Der einzige Unterschied ist, dass ein "entfernen" einer GPO nur dann den ursprünglichen Registry-Wert wieder herstellt, wenn dieser explizit an anderer Stelle wieder gesetzt wird. In der Sandkistentheorie klingt es jedoch so, als würde, wenn ein Loch verschwindet, der dazugehörige Hubbel wieder verschwinden und genau das scheint mir nicht der Fall. Außer es gibt eine andere Schablone, die besagt, dass der Hubbel dort nicht "undefiniert" ist, sondern explizit diesen wieder entfernt.
Grüße,
LF
Fisi, lies den Text ruhig zu Ende. GPOs machen eben in der Regel nicht Tattooing.
Kannst Du auch hier noch schöner lesen: http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ... ->How It Works Under the Covers. Ein Policy Refresh löscht die Einstellungen auch ohne negieren.
Hi DerWoWusste,
also Neustart bringt auch nichts. Ich hab versucht eine umgekehrte Richtlinie ("Deaktiviert") zu machen - kein Erfolg. Auch ohne Definitionen erscheint unter rsop.msc keinerlei Einstellung am Client.
Es greift angeblich keine GPO - der Zugriff ist aber trotzdem gesperrt.
Hast Du noch ne Idee?
Danke
also Neustart bringt auch nichts. Ich hab versucht eine umgekehrte Richtlinie ("Deaktiviert") zu machen - kein Erfolg. Auch ohne Definitionen erscheint unter rsop.msc keinerlei Einstellung am Client.
Es greift angeblich keine GPO - der Zugriff ist aber trotzdem gesperrt.
Hast Du noch ne Idee?
Danke
