Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

GPO wurde entfernt, Zugriff auf Wechselmedien immer noch nicht möglich

Frage Microsoft Windows Server

Mitglied: redcell01

redcell01 (Level 1) - Jetzt verbinden

16.08.2011 um 14:38 Uhr, 6768 Aufrufe, 15 Kommentare

Hallo zusammen,

folgendes Szenario:

Wir haben einen Windows Server 2008 Standard, der DC ist.
Ich hatte probeweise eine GPO erstellt, bei der in der Benutzerkonfiguration der Zugriff auf Wechselmedien verboten war.
Hat auch prima geklappt.

Problem: Obwohl ich die GPO restlos entfernt habe (Verknüpfung und auch die GPO selber), auf Server und Client gpupdate / Force durchliefen ließ können die damals gesperrten Benutzer nicht mehr auf USB-Laufwerke (Digicam) zugreifen.

Muss ist jetzt erst wieder eine GPO einrichten, in der die Einstellung "Zugriff auf Wechselmedien sperren" deaktiviert wird?

Danke im Voraus
Mitglied: DerWoWusste
16.08.2011 um 14:52 Uhr
Moin.
Zunächst mal mit rsop.msc am Client prüfen, ob noch Policies zu dem Thema greifen. Wenn ja: welche?
Bitte warten ..
Mitglied: LittleFlame
16.08.2011 um 14:53 Uhr
Hallo redcell01,

das klingt für mich, als wäre diese Einstellung vor Übernahme der GPO standardmäßig nicht definiert gewesen. Durch Entfernen der GPO wird diese Einstellung normalerweise wieder auf den vorigen Stand zurückgesetzt. Wenn dieser jedoch "nicht gesetzt" war, bleibt die per GPO gesetzte Einstellung wohl erhalten.

Ist nur ne Vermutung

Grüße,
LF
Bitte warten ..
Mitglied: redcell01
16.08.2011 um 15:01 Uhr
rsop.msc liefert nur die Default Domain Policy und ein Anmeldeskript.
Habe es mittlerweile mit der umgekehrten Richtlinie " Deaktivierte Einstellung " probiert.
Klappt aber immer noch nicht.
Bitte warten ..
Mitglied: DerWoWusste
16.08.2011 um 15:09 Uhr
Warte mal, war es nicht so, dass dazu in jedem Fall ein Rechnerneustart erforderlich ist? Ich meine, das galt bei den USB-Sperren sogar bei Userpolicies. Teste mal.
Bitte warten ..
Mitglied: redcell01
16.08.2011 um 15:26 Uhr
Muss ich bis abends warten. Melde mich wieder. Kollege braucht das Ding gerade
Bitte warten ..
Mitglied: fisi-pjm
16.08.2011 um 15:57 Uhr
hi redcell01,

ich weis ich werde dafür jetzt wieder mit erbsen gesteinigt, aber da ich es in der praxis schon öfter mit gemacht habe und bis jetzt auch noch keine gegenteiligen Erfahrungen bekommen habe, vergleich doch die GPO mit einerschablone die verschiedene Löscher bzw, hubel hat. Lägst du die schablone auf den Sand (dein Windowsrechner) dann bleiben die löscher im Sand obwohl du die Schablone wieder entfernt hast, Solange da keine anderen einstellungen kommen wird sich da auch nichts ändern, deshlab negiere doch einfach die jeweiliegn GPO Einstellungen, wende sie nochmal an und es sollte gehen.

Gruß
PJM
Bitte warten ..
Mitglied: DerWoWusste
16.08.2011 um 16:37 Uhr
Moin. So schön die Sandkistentheorie klingt, sie ist in der Regel verkehrt. Siehe http://www.security-forums.com/viewtopic.php?t=37229 ->Registry Tattooing.
Bitte warten ..
Mitglied: LittleFlame
16.08.2011 um 16:56 Uhr
Also hatte ich mit der Vermutung recht, dass alle durch GPO gesetzten Einstellungen/Keys so gesetzt bleiben, bis ein anderer Vorgang diesen wieder ändert.
Das Entfernen einer GPO ändert nur dann etwas, wenn die Einstellung an einer anderen Stelle explizit wieder auf den vorherigen Stand gesetzt wird?!

Danke für die Info DerWoWusste

Grüße,
LF
Bitte warten ..
Mitglied: Niklas434
16.08.2011 um 20:43 Uhr
probier es mal mit gpupdate /forece oder nimm den Client aus der Domäne und binde Ihn wieder ein.
Bitte warten ..
Mitglied: fisi-pjm
17.08.2011 um 09:16 Uhr
Zitat von DerWoWusste:
Moin. So schön die Sandkistentheorie klingt, sie ist in der Regel verkehrt. Siehe
http://www.security-forums.com/viewtopic.php?t=37229 ->Registry Tattooing.

Hi,
dann hast du meine Aussage nicht verstanden.

" If the group policy makes a new key in the registry, when you remove the policy, it does not remove the new key. Also, if you change a setting via group policy, removing the setting does not revert the setting to what it once was. This process is called tattooing, and can cause unforeseen problems.

Dieser satz beschreibt ziemlich genau meine Aussage.
Gruß PJM
Bitte warten ..
Mitglied: LittleFlame
17.08.2011 um 09:36 Uhr
@DerWoWusste & fisi-pjm
Also, so wie ich das verstehe, meint ihr das gleiche.

Der einzige Unterschied ist, dass ein "entfernen" einer GPO nur dann den ursprünglichen Registry-Wert wieder herstellt, wenn dieser explizit an anderer Stelle wieder gesetzt wird. In der Sandkistentheorie klingt es jedoch so, als würde, wenn ein Loch verschwindet, der dazugehörige Hubbel wieder verschwinden und genau das scheint mir nicht der Fall. Außer es gibt eine andere Schablone, die besagt, dass der Hubbel dort nicht "undefiniert" ist, sondern explizit diesen wieder entfernt.

Grüße,
LF
Bitte warten ..
Mitglied: DerWoWusste
17.08.2011 um 10:02 Uhr
Fisi, lies den Text ruhig zu Ende. GPOs machen eben in der Regel nicht Tattooing.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2011 um 10:18 Uhr
Kannst Du auch hier noch schöner lesen: http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView ... ->How It Works Under the Covers. Ein Policy Refresh löscht die Einstellungen auch ohne negieren.
Bitte warten ..
Mitglied: redcell01
17.08.2011 um 17:54 Uhr
Hi DerWoWusste,

also Neustart bringt auch nichts. Ich hab versucht eine umgekehrte Richtlinie ("Deaktiviert") zu machen - kein Erfolg. Auch ohne Definitionen erscheint unter rsop.msc keinerlei Einstellung am Client.
Es greift angeblich keine GPO - der Zugriff ist aber trotzdem gesperrt.
Hast Du noch ne Idee?

Danke
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO Problem - Zugriff nicht möglich
gelöst Frage von WeigmannWindows Server4 Kommentare

Hallo, ich habe eine Frage bezüglich GPO's bei der ich schon seit 2 Tagen auf dem Schlauch stehe. Problem: ...

Windows 7
Zugriff auf net.exe nicht möglich - Welche lokale GPO?
Frage von praxxzzWindows 74 Kommentare

Hallo zusammen, ich bin gerade dabei einen Windows 7 PC für unsere Produktion zu konfigurieren. Dabei habe ich schon ...

Windows 7
Fehler: der Zugriff auf den Registrierungspfad wurde verweigert
gelöst Frage von Viper-BerlinWindows 76 Kommentare

Hallo Leute wer kann mir Helfen, folgendes Problem tritt auf ich habe 2 Clients mit win7 auf denen ich ...

SAN, NAS, DAS
Softwarepaketverteilung (GPO) von NAS nicht möglich
gelöst Frage von speedo81SAN, NAS, DAS10 Kommentare

Hallo zusammen, ich hab da ein kleines Problem mit der Softwareverteilung. Wir nutzen eine NAS (Synology) zur Softwareverteilung via ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 5 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 5 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 8 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 13 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...