none
kein Zugriff auf SYSVOL RRS feed

  • Frage

  • Hallo zusammen,

    ich habe an einem W2k3R2 aus Versehen die Gruppe der Administratoren in der Default Domain Policy und der Default Domain Controller Policys ausgesperrt. Ich habe ihnen ungewollte irgend etwas verweigert.

    Dadurch kann ich auch die GPO´s nicht mehr bearbeiten. Eine Replikation findet auch nicht mehr statt. Der Zugriff auf SYSVOL funktioniert auch nicht mehr. Im Eventlog stehen auch die EventID 1058 und 1030.

    Ich habe per Hand die gpttmpl.inf wieder so abgeändert, dass die GPO´s wie im Urzustand waren.

    Warum kann ich aber immernoch nicht die GPO´s bearbeiten und warum funktioniert der Zugriff auf SYSVOL auch nicht?

     

    Mittwoch, 19. Oktober 2011 13:08

Antworten

  • Hallo zusammen,

    ich habe das Problem gelöst.
    In den Sicherheitsrichtlinien für Domaincontroller war das benutzerrrecht für den "Zugriff vom Netzwerk auf diesem Computer verweigern" für die Administratoren aktiviert. :(
    Die Einstellung geändert und schon hat alles wieder funktioniert :)

    • Als Antwort markiert Torsten D Dienstag, 25. Oktober 2011 08:12
    Dienstag, 25. Oktober 2011 08:12

Alle Antworten

  • Hast Du auch schon dafuer gesorgt, dass die Gruppenrichtlinien nach der Aenderung aktualisiert worden sind.

    Der sicherste Weg dies sicherzustellen ist ein Reboot. Im Einzelfall mag aber auch gpupdte /force zum Ziel fuehren.

     


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com
    Mittwoch, 19. Oktober 2011 16:47
  • Hallo,

    versuche bitte zunächst per adsiedit.msc dir wieder Zugriff zu den Beiden Richtlinien zu beschaffen.

    siehe auch hier:

    http://support.microsoft.com/kb/294257/en-us


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 19. Oktober 2011 17:09
  • Hallo,

    leider funktionier es, wie im Link beschreiben, nicht. Ich erhalte folgende Fehlermeldung:

    ----
    No Sid Found for verwaltung\Domain Admins
    Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.


    The command failed to complete successfully.
    ----

    Ein Zugriff auf die Ordner/Dateien mit C\WINDOWS\SYSVOL ist auch möglich.
    Aber ein Zugriff über \\domain\SYSVOL ist nicht möglich.

    Nachtrag:
    Der Zugriff auf \\192.168.0.eigeneIP\SYSVOL\ ist möglich, aber auf \\192.168.0.IP-vom-anderen-DC\SYSVOL\ ist nicht möglich?!?!



    • Bearbeitet Torsten D Donnerstag, 20. Oktober 2011 06:27
    Donnerstag, 20. Oktober 2011 05:13
  • Hast du wirklich nur die Benutzer verweigern oder auch die Computer?
    (wenn du z.B. die "Gruppe" Authentifizierte Benutzer verweigerst, haben auch die DCs keinen Zugriff auf die Policies mehr)

    Was spricht der dcdiag am DC?

    Am Ende wären wir natürlich noch bei der Hardcore-Variante:

    http://www.windowsitpro.com/article/group-policy/how-can-i-restore-the-contents-of-the-default-domain-and-default-domain-controller-dc-group-policy-objects-gpos-

     

     

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 20. Oktober 2011 07:23
  • Hallo,

    ich glaube die "Authentifizierten Benutzer" wurden auch verweigert.

    Ergebnis von dcdiag:


    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Ronneburg\SERVERINTERFLEX
          Starting test: Connectivity
             ......................... SERVERINTERFLEX passed test Connectivity

    Doing primary tests
      
       Testing server: Ronneburg\SERVERINTERFLEX
          Starting test: Replications
             [GATEWAY-BANK] DsBindWithSpnEx() failed with error 5,
             Zugriff verweigert.
             ......................... SERVERINTERFLEX passed test Replications
          Starting test: NCSecDesc
             [SERVERINTERFLEX] LDAP bind failed with error 1323,
             Das Kennwort kann nicht aktualisiert werden. Der Wert, der fr das aktuelle Kennwort angegeben wurde, ist falsch..
             ......................... SERVERINTERFLEX failed test NCSecDesc
          Starting test: NetLogons
             ......................... SERVERINTERFLEX passed test NetLogons
          Starting test: Advertising
             ......................... SERVERINTERFLEX passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SERVERINTERFLEX passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... SERVERINTERFLEX passed test RidManager
          Starting test: MachineAccount
             ......................... SERVERINTERFLEX passed test MachineAccount
          Starting test: Services
             ......................... SERVERINTERFLEX passed test Services
          Starting test: ObjectsReplicated
             ......................... SERVERINTERFLEX passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SERVERINTERFLEX passed test frssysvol
          Starting test: frsevent
             ......................... SERVERINTERFLEX passed test frsevent
          Starting test: kccevent
             ......................... SERVERINTERFLEX passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 10/20/2011   10:32:37
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 10/20/2011   10:32:37
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 10/20/2011   10:32:38
                (Event String could not be retrieved)
             ......................... SERVERINTERFLEX failed test systemlog
          Starting test: VerifyReferences
             ......................... SERVERINTERFLEX passed test VerifyReferences
      
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
      
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : verwaltung
          Starting test: CrossRefValidation
             ......................... verwaltung passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... verwaltung passed test CheckSDRefDom
      
       Running enterprise tests on : verwaltung.kr.local
          Starting test: Intersite
             ......................... verwaltung.kr.local passed test Intersite
          Starting test: FsmoCheck
             ......................... verwaltung.kr.local passed test FsmoCheck


    • Bearbeitet Torsten D Donnerstag, 20. Oktober 2011 08:50
    Donnerstag, 20. Oktober 2011 08:49
  • >ich glaube die "Authentifizierten Benutzer" wurden auch verweigert

    Der dcdiag deutet auch darauf hin.

    >Starting test: NCSecDesc
    >[SERVERINTERFLEX] LDAP bind failed with error 1323,
    >Das Kennwort kann nicht aktualisiert werden. Der Wert, der fr das aktuelle Kennwort angegeben wurde, ist falsch..
    >......................... SERVERINTERFLEX failed test NCSecDesc

    Wie gesagt, was ich mir noch vorstellen kann, Reset der Default Domain Policy (+ DDCP).

    Andernfalls würde ich einen Call bei MS eröffnen.

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 20. Oktober 2011 09:53
  • Hallo,

    Der Link im oberen Beitrag funktioniert leider nicht.
    Wie funktioniert ein "Reset" der DDP und DDCP? Austausch der gpttmpl.inf und ändern der Versionsnummer in der gpt.ini und danach gpupdate?
    Ein Backup gibt es leider nicht.

    Donnerstag, 20. Oktober 2011 10:43
  • >Der Link im oberen Beitrag funktioniert leider nicht.

    Doch das tut er ;)

    Allerdings musst du ihn komplett kopieren, wenn du daraufklickst wird das "-" abgeschnitten...

    Hier nochmal als tiny:

    http://tinyurl.com/5toyglf


    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Donnerstag, 20. Oktober 2011 12:14
  • Hallo,

    die beiden Dateien (DDP und DDCP) gpttmpl.inf sind jetzt auf dem Urzustand zurückgesetzt.
    Jedoch nach einem gpupdate und Neustart des Servers ist es immernoch nicht möglich, die GPO´s zu bearbeiten und der Zugriff auf  \\domain\SYSVOL ist auch nicht möglich (und dadurch die Replikationsfehler).

    Ist es möglich, das noch aktive Einstellungen das Anwenden der neuen GPO´s verhindern?

    Montag, 24. Oktober 2011 08:20
  • Hallo,

    ich befürchte das Problem wird zu komplex um das hier im Forum zu behandeln.
    Ich würde an deiner Stelle zu einen Call bei MS tendieren.

    Was du noch vorher probieren kannst, GPOTool.

    /checkacl

    Beim Wiederherstellen bist du wie folgt vorgegangen?

    http://support.microsoft.com/kb/324800/en-us

     

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 24. Oktober 2011 10:39
  • Hallo Matthias,

    das Wiederherstellen der GPO hab ich wie im Link beschrieben durchgeführt.

    GPOTool sagt folgendes:

    Validating DCs...
    ADsGetObject(LDAP://serverdc2.verwaltung.kr.local) returned 0x8007052e, retry...
    ADsGetObject(LDAP://serverdc2.verwaltung.kr.local) returned 0x8007052e, retry...
    ADsGetObject(LDAP://serverdc2.verwaltung.kr.local) returned 0x8007052e, retry...
    ADsGetObject(LDAP://serverdc2.verwaltung.kr.local) returned 0x8007052e, retry...
    ADsGetObject(LDAP://serverdc2.verwaltung.kr.local) returned 0x8007052e, retry...
    Available DCs:
    ServerInterflex.verwaltung.kr.local
    Searching for policies...
    Found 12 policies
    ============================================================
    Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
    Friendly name: Default Domain Policy
    Policy OK

    ...

    ============================================================

    Policies OK

     

    Ich kann´s mir nicht erklären :(

     

    Montag, 24. Oktober 2011 13:21
  • Hallo zusammen,

    ich habe das Problem gelöst.
    In den Sicherheitsrichtlinien für Domaincontroller war das benutzerrrecht für den "Zugriff vom Netzwerk auf diesem Computer verweigern" für die Administratoren aktiviert. :(
    Die Einstellung geändert und schon hat alles wieder funktioniert :)

    • Als Antwort markiert Torsten D Dienstag, 25. Oktober 2011 08:12
    Dienstag, 25. Oktober 2011 08:12