none
GPMC Acces is denied. Auf einem server dürfen keine GPOs erstellt werden. RRS feed

  • Allgemeine Diskussion

  • Hallo nochmal,

    ich hatte ja erst kürzlich Probleme mit der GPO Replikation zwischen meinen beiden Servern (2012 und 2019), jetzt ist mir aufgefallen, dass ich auf dem 2019er keine Gruppenrichtlinien erstellen kann, gpmc bringt die Meldung Acces is denied. Ich kann sie jedoch deaktivieren und aktivieren. Auf dem 2012er kann ich jedoch neue erstellen. Es sind auch auf beiden Servern sysvol und netlogon freigegeben.

    Ich hatte vor den 2012er herabzustufen, da ich diesen sowieso neu aufsetzen werde, ich bin mir aber nicht sicher ob das mein Problem verschlimmert und ich danach gar keine GPOs mehr erstellen kann. Deswegen dieser Thread.

    Der neue Server hat bereits alle Rollen die er als einzelner DC braucht, dass sind ja nur die die bei netdom /query fsmo abgefragt werden oder?

    Vielen Dank im Voraus!

    Edit: Mir fällt außerdem auf, dass meine Drucker GPO nur geupdated wird wenn ich gpupdate /force verwende. Soll ich dafür einen weiteren Thread erstellen?


    Dienstag, 3. März 2020 17:40

Alle Antworten

  • Noch ein paar weitere Infos:

    Ich habe die Berechtigungen der jeweiligen Sysvol Ordner überprüft und beide stimmen überein.

    Weiter kann ich auf dem 2019er Server komischerweise Gruppenrichtlinien löschen, aber eben keine erstellen, egal mit welchem Benutzer der Administratorengruppe ich angemeldet bin. Will ich jedoch über den Explorer auf den Sysvol Ordner des 2012er Server zugreifen, geht das mit meinem Account nicht sondern nur mit dem richtigen Domänenadmin.

    Auch in der GPMC selber unter Group Policy Objects und dann Delegation sind auf beiden Servern die gleichen Einträge.

    Außerdem ist der NtFrs Service ausgeschaltet, aber das ist ja richtig so da ich DFSR verwende oder? Die Replikation funktioniert ja auch.

    Hat hierzu jemand Ideen, ich finde im Internet nichts hilfreiches.

    Freitag, 13. März 2020 08:23
  • Irgendwer?

    Falls niemand eine Antwort hat, hat jemand vielleicht eine Idee wo ich die Frage noch stellen könnte?

    Samstag, 4. April 2020 14:54
  • Moin,

    die Frage, die sich mir stellt, ist folgende: Funktioniert das von einem Client (oder Member-Server) mit RSAT, wenn Du die GPMC mit einen berechtigten Account (im Zweifel: Domain Admin) explizit gegen den 2019er DC verbindest? Falls ja, ist mit Deinem neuen Server alles in Ordnung.

    Und dann hast Du uns ja noch nicht verraten, was "ich kann nicht" in Deinem Fall bedeutet. Gibt es eine Fehlermeldung? Sind Einträge ausgegraut?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 5. April 2020 07:36
  • Am 13.03.2020 schrieb Leuchtekulli:

    Hat hierzu jemand Ideen, ich finde im Internet nichts hilfreiches.

    Du kannst WMI reparieren:
    https://techcommunity.microsoft.com/t5/ask-the-performance-team/wmi-rebuilding-the-wmi-repository/ba-p/373846

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 5. April 2020 09:23
  • Erstmal danke für die Antwort.

    Also es gibt zwei verschiedene Fehlerfenster, will ich ein bestehendes GPO bearbeiten kommt dieses Fenster:

    Will ich ein neues GPO erstellen kommt dieses:

    

    Jedoch kann ich GPOs ohne Probleme löschen.

    Dabei ist es egal welcher der Server als Baseline Domain Controller eingestellt ist, das Verhalten und die Fehler ändern sich nicht.

    Außerdem kommt dieser Fehler:

    Und zwar kommt er für den 2012er wenn der 2019er als Baseline DC eingestellt ist und für den 2019er wenn der 2012er als Baseline DC eingestellt ist.

    Die Berechtigungen sind aber eigentlich da (links der neue, rechts der alte Server):

    Hilft das weiter?

    Dienstag, 7. April 2020 10:59
  • Das Bearbeiten/Erstellen einer GPO läuft meist auf das Erstellen von Verzeichnissen und Dateien hinaus. Kannst Du unter Sysvol\Policies neue Ordner anlegen? Und in bestehenden (Name = GUID der GPO) in Machine bzw. User die registry.pol umbenennen, kopieren, bearbeiten?

    Die ACLs schau Dir besser mit icacls an. Das GUI unterschlägt möglicherweise Details.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 7. April 2020 14:08
    Beantworter
  • Hallo Martin, 

    ich kann auf beiden Servern bestehende Ordner unter Policies bearbeiten und neue erstellen.

    Ich kann aber nur auf dem 2012er Server auf den Ordner Staging Areas zugreifen auf dem 2019er kommt der Fehler:

    Die Registry.pol kann ich im Ordner Machine auch auf beiden Servern umbenennen. Der Ordner User ist aber leer.

    Auf dem 2012er Server gibt es auch noch eine registry.bak die aber zuletzt 2017 bearbeitet wurde.

    Grüße Elias

    Samstag, 11. April 2020 18:51
  • Kann mir hiermit noch jemand weiterhelfen?


    Hier noch die ACLs:


    Abgefragt auf Server 2019:

    C:\Users\>icacls C:\Windows\SYSVOL\sysvol
    C:\Windows\SYSVOL\sysvol NT-AUTORITÄT\Authentifizierte Benutzer:(RX)
                             NT-AUTORITÄT\Authentifizierte Benutzer:(OI)(CI)(IO)(GR,GE)
                             VORDEFINIERT\Server Operators:(RX)
                             VORDEFINIERT\Server Operators:(OI)(CI)(IO)(GR,GE)
                             VORDEFINIERT\Administrators:(RX,W,WDAC,WO)
                             VORDEFINIERT\Administrators:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
                             NT-AUTORITÄT\SYSTEM:(F)
                             NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)(F)
                             ERSTELLER-BESITZER:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)

    Successfully processed 1 files; Failed processing 0 files

    C:\Users\>icacls \\2019\sysvol
    \\2019\sysvol NT-AUTORITÄT\Authentifizierte Benutzer:(RX)
                   NT-AUTORITÄT\Authentifizierte Benutzer:(OI)(CI)(IO)(GR,GE)
                   VORDEFINIERT\Server Operators:(RX)
                   VORDEFINIERT\Server Operators:(OI)(CI)(IO)(GR,GE)
                   VORDEFINIERT\Administrators:(RX,W,WDAC,WO)
                   VORDEFINIERT\Administrators:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
                   NT-AUTORITÄT\SYSTEM:(F)
                   NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)(F)
                   ERSTELLER-BESITZER:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)

    Successfully processed 1 files; Failed processing 0 files

    C:\Users\>icacls \\2012\sysvol
    \\2012\sysvol NT-AUTORITÄT\Authentifizierte Benutzer:(RX)
                          NT-AUTORITÄT\Authentifizierte Benutzer:(OI)(CI)(IO)(GR,GE)
                          VORDEFINIERT\Server Operators:(RX)
                          VORDEFINIERT\Server Operators:(OI)(CI)(IO)(GR,GE)
                          VORDEFINIERT\Administrators:(RX,W,WDAC,WO)
                          VORDEFINIERT\Administrators:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
                          NT-AUTORITÄT\SYSTEM:(F)
                          NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)(F)
                          VORDEFINIERT\Administrators:(RX,W,WDAC,WO)
                          ERSTELLER-BESITZER:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)

    Successfully processed 1 files; Failed processing 0 files

    Das stimmt auch mit dem 2012er überein.


    Freitag, 18. September 2020 11:56