none
Kann GPO nicht löschen, weil Lese-Berechtigung auf "Verweigern" geändert wurde RRS feed

  • Frage

  • Hallo,

    ich habe mich selbst ausgetrickst.

    Ich habe in einer GPO zur Softwareinstallation dem SoftwarePaket (also nicht der GPO selber) unter Sicherheit  die Berechtigung für "Authentifizierte Benutzer" für "Lesen" von "Zulassen" auf "Verweigern" geändert. Durch "Verweigern" habe ich damit auch den Domänen-Admins den Zugriff auf das Paket entzogen. Beim Versuch die komplette GPO zu löschen, kommt folgende Fehlermeldung: "Der Verzeichnisdienst kann den angeforderten Vorgang nur an einem Endknotenobjekt durchführen."

    Auf den Ordner der GPO unter ...\SYSVOL\...\Policies habe ich noch Zugriff. Die Berechtigungen für die Softwarepakete sind offensichtlich woanders gespeichert.

    Wie kann ich die Berechtigungen zurücksetzen, um die GPO zu löschen.

    Vielen Dank im voraus.

    Matthias

    Mittwoch, 3. August 2011 11:22

Antworten

  • Klappt leider nicht so einfach.

    Bitte wie folgt vorgehen:


    1. GUID der Policy in der gpmc nachsehen
    2. adsiedit.msc (z.B. am DC)
    3. zu CN=Packages,CN=Class Store,CN=Machine,CN={GUID},CN=Policies,CN=System,DC=dom,DC=local navigieren und löschen
    (bzw. CN=Packages,CN=Class Store,CN=User,CN={GUID},CN=Policies,CN=System,DC=dom,DC=local)
    4. Danach Policy per gpmc löschen

    • Als Antwort markiert MatthiasF60 Mittwoch, 3. August 2011 13:56
    Mittwoch, 3. August 2011 13:35
    Beantworter

Alle Antworten

  • Delegierung - Erweitert - Erweitert - Besitzer - Besitz übernehmen...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    • Als Antwort markiert MatthiasF60 Mittwoch, 3. August 2011 13:56
    • Tag als Antwort aufgehoben MatthiasF60 Mittwoch, 3. August 2011 13:56
    Mittwoch, 3. August 2011 11:36
    Beantworter
  • Klappt leider nicht so einfach.

    Bitte wie folgt vorgehen:


    1. GUID der Policy in der gpmc nachsehen
    2. adsiedit.msc (z.B. am DC)
    3. zu CN=Packages,CN=Class Store,CN=Machine,CN={GUID},CN=Policies,CN=System,DC=dom,DC=local navigieren und löschen
    (bzw. CN=Packages,CN=Class Store,CN=User,CN={GUID},CN=Policies,CN=System,DC=dom,DC=local)
    4. Danach Policy per gpmc löschen

    • Als Antwort markiert MatthiasF60 Mittwoch, 3. August 2011 13:56
    Mittwoch, 3. August 2011 13:35
    Beantworter
  • Hallo Matthias,

    Danke, hat funktioniert.

    Grüße

    Matthias Fischer

    Mittwoch, 3. August 2011 13:56
  • Am 03.08.2011 15:35, schrieb Matthias Wolf:

    CN={GUID},CN=Policies,CN=System,DC=dom,DC=local navigieren

    Der Vollständigkeit halber:
    An der Stelle die Berechtigungen setzen hätte auch geklappt.
    http://support.microsoft.com/kb/294257/en-us

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 3. August 2011 14:00
  • > Ich habe in einer GPO zur Softwareinstallation dem SoftwarePaket (also
    > nicht der GPO selber) unter Sicherheit die Berechtigung für
     
    @Matthias/Mark: Den Satz hab ich überlesen - sorry dafür. War irgendwie
    fälschlicherweise bei "GPO selber"...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 14:28
    Beantworter
  • Nochmal Nein ;-)

    Reicht in diesem speziellen Falle nicht!
    Rechte auf das Attribut hat er doch ohnehin (sonst hätte er es auch nicht per adsiedit löschen können).

    Die Berechtigungen für die jeweiligen Softwarepakete werden noch einmal irgendwo in einem Attribut festgehalten.

    Erst nach dem Löschen dieses "Containers" lässt sich auch die GPO löschen.

    Mittwoch, 3. August 2011 14:45
    Beantworter
  • > Die Berechtigungen für die jeweiligen Softwarepakete werden noch einmal
    > irgendwo in einem Attribut festgehalten.
     
    Unterhalb von Packages hat jedes Paket ein eigenes Objekt. Und die
    Rechte auf dieses Objekt sind die fraglichen. (Die landen natürlich auch
    im nTSecurityDescriptor).
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 15:03
    Beantworter
  • Am 03.08.2011 16:28, schrieb Martin Binder:

    @Matthias/Mark: Den Satz hab ich überlesen

    Na toll, da lese ich nur die Hälfte mit, weil ich denke, das reicht ja
    aus und falle dann auf dich rein ... ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 3. August 2011 17:41
  • aus und falle dann auf dich rein ... ;-)


    Ätsch :))
    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 18:56
    Beantworter