none
Gruppenrichtlinie wird nicht übernommen: "Zugriff nicht möglich" RRS feed

  • Frage

  • Hallo!

    Ich habe ein Problem mit der Anwendung einer Gruppenrichtlinie und
    hoffe ihr könnt mir weiterhelfen.

    Die AD-Struktur ist folgende:

    OU computer: hierin befinden sich alle Computer der Firma

    Auf einen Teil dieser Computer will ich eine Richtlinie anwenden.
    Diese Computer habe ich in die Sicherheitsgruppe "computer_fuer_druckerverteilung"
    aufgenommen.

    Die anzuwendende Richtlinie heißt "drucker_installieren". Da sie nur auf einen
    Teil der Computer in der OU Computer angewendet werden soll, habe ich in der
    Richtlinie unter Delegierung die Gruppe "computer_fuer_druckerverteilung"
    eingetragen und ihr unter Delegierung - Erweitert - die Rechte "Lesen" und
    "Gruppenrichtlinie übernehmen" gesetzt.

    Zusätzlich habe ich noch in der Delegierung die Authentifizierten Benutzer
    entfernt.

    Seither sind Stunden vergangen... :)

    Die Gruppenrichtlinie wird nicht übernommen.
    Wenn ich jetzt die übernommenen Computer-Richtlinien abfrage
    (gpresult /h:gpresult.html /scope computer)
    dann sehe ich unter "Abgelehnte Gruppenrichtlinienobjekte"

    --
    Name
    drucker_installieren

    Verknüpfungstandort
    domain/Computer

    Grund: abgelehnt
    Zugriff nicht möglich
    --

    An der Stelle von Zugriff nicht möglich steht ja normalerweise
    wenn keine Rechte vorhanden sind "Zugriff verweigert (Sicherheitsfilterung)"
    aber dies ist nicht der Fall...

    Hängt es vielleicht damit zusammen, dass ich zusätzlich
    die Authentifizierten Benutzer entfernt habe?
    Oder habt ihr eine andere Idee was ich übersehen haben könnte?

    Viele Grüße,

    Walter

     

     

    Donnerstag, 30. Juni 2011 14:35

Antworten

  • Hallo,

    es liegt daran, dass der User unter dem du das RSoP ausführst, die Policy nicht lesen kann.
    Durch Entfernen der "authentifizierte Benutzer" kann RsOP die Ergebnisse nicht korrekt auswerten.

    Nimm die Gruppe "authentifizierte Benutzer" wieder auf, und lass diese zumindest die Richtlinie lesen.

    Danach klappt es auch wieder mit dem RsOP :)


    PS:
    Policy nicht lesen bedeut eben auch, dass keine "Sicherheitsfilterung" in diesem Sinne stattfindet, deshalb auch eine andere Meldung im gpresult


    • Als Antwort markiert Walter34 Freitag, 1. Juli 2011 08:50
    Donnerstag, 30. Juni 2011 15:33
    Beantworter
  • > Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie
    > VORDEFINIERT\Administratoren
    > Jeder
    > VORDEFINIERT\Benutzer
    > NT-AUTORITÄT\NETZWERK
    > NT-AUTORITÄT\Authentifizierte Benutzer
    > NT-AUTORITÄT\Diese Organisation
    > SBP\NOTE97$
    > SBP\Domänencomputer
    > Verbindliche Beschriftung\Systemverbindlichkeitsstufe
     
    Zitat: "Diese Computer habe ich in die Sicherheitsgruppe
    "computer_fuer_druckerverteilung"
    aufgenommen."
     
    Warum fehlt die denn dann hier? Reboot vergessen?
     
    > Das würde bedeuten, dass das eigentliche Problem die nicht übernommene
    > Mitgliedschaft
    > in der Gruppe "computer_fuer_druckerverteilung" ist. Die Meldung
     
    Jepp.
     
    > Und wenn ich den authentifizierten Benutzer jetzt auch Rechte geben um die
    > Gruppenrichtlinien anzuwenden, heißt dass dann, dass alle Computer in
    > der OU die
    > Richtlinien übernehmen dürfen?
     
    Jepp.
     
    Finde raus, warum die Gruppenzuordnung nicht stimmt... Step 1:
     
    dsquery computer -samid note97$ | dsget computer -memberof -expand -s
    Server.Domain.de
     
    Wobei Du Server.Domain.de durch die Namen aller Deiner DCs ersetzt.
    Damit kannst Replikationsprobleme evtl. schon ausschließen.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Walter34 Freitag, 1. Juli 2011 08:50
    Freitag, 1. Juli 2011 06:50
    Beantworter

Alle Antworten

  • Blöde Frage, aber: Was steht im RSOP bei den Gruppenmitgliedschaften des
    Computers?
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Donnerstag, 30. Juni 2011 14:49
    Beantworter
  • Hallo,

    es liegt daran, dass der User unter dem du das RSoP ausführst, die Policy nicht lesen kann.
    Durch Entfernen der "authentifizierte Benutzer" kann RsOP die Ergebnisse nicht korrekt auswerten.

    Nimm die Gruppe "authentifizierte Benutzer" wieder auf, und lass diese zumindest die Richtlinie lesen.

    Danach klappt es auch wieder mit dem RsOP :)


    PS:
    Policy nicht lesen bedeut eben auch, dass keine "Sicherheitsfilterung" in diesem Sinne stattfindet, deshalb auch eine andere Meldung im gpresult


    • Als Antwort markiert Walter34 Freitag, 1. Juli 2011 08:50
    Donnerstag, 30. Juni 2011 15:33
    Beantworter
  • Hallo,

    Danke für die schnellen Antworten!

    @Martin:

    Im RSoP steht:

    ---
    Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie
    VORDEFINIERT\Administratoren
    Jeder
    VORDEFINIERT\Benutzer
    NT-AUTORITÄT\NETZWERK
    NT-AUTORITÄT\Authentifizierte Benutzer
    NT-AUTORITÄT\Diese Organisation
    SBP\NOTE97$
    SBP\Domänencomputer
    Verbindliche Beschriftung\Systemverbindlichkeitsstufe
    ---
    Wobei NOTE97 der Laptop ist, den ich zum Testen benutze. Hier wird also keine
    Mitgliedschaft in der Gruppe "computer_fuer_druckerverteilung" angezeigt,
    obwohl der Rechner da auf jeden Fall drin ist...
    Aber was könnte das Problem sein??
    @Matthias:
    Ok, ich habe die Authentifizierten Benutzer mit Leseberechtigung wieder
    hinzugefügt. Jetzt muss ich nur noch warten bis es übernommen wird...
    Sehe ich das richtig?
    Das würde bedeuten, dass das eigentliche Problem die nicht übernommene Mitgliedschaft
    in der Gruppe "computer_fuer_druckerverteilung" ist.  Die Meldung "Zugriff nicht möglich"
    ist auf die fehlende Leseberechtigung zurückzuführen, wobei dies nur ein Anzeigeproblem
    ist und die GPO auch ohne Leserechte der auth. Benutzer übernommen wird wenn
    die Mitgliedschaft in der Gruppe "computer_fuer_druckerverteilung" richtig funktioniert?
    Und wenn ich den authentifizierten Benutzer jetzt auch Rechte geben um die
    Gruppenrichtlinien anzuwenden, heißt dass dann, dass alle Computer in der OU die
    Richtlinien übernehmen dürfen?
    Vielen Dank,
    Walter
    Donnerstag, 30. Juni 2011 17:42
  • Kleines Update: nach dem Hinzufügen der Authentifizierten Benutzer steht jetzt an der entsprechenden Stelle:

    Zugriff verweigert (Sicherheitsfilterung)

    So, das wäre der eine Teil, jetzt muss ich nur noch rausfinden, warum die Mitgliedschaft in der Gruppe nicht übernommen wird.

    Donnerstag, 30. Juni 2011 18:36
  • >Und wenn ich den authentifizierten Benutzer jetzt auch Rechte geben um die
    >Gruppenrichtlinien anzuwenden, heißt dass dann, dass alle Computer in der OU die
    >Richtlinien übernehmen dürfen?
    Ja.
    Ich nehme an, du Drucker werden in der "Computerkonfiguration" der Richtlinie definiert?
    Wenn in der Gruppe "computer_fuer_druckerverteilung" die betreffenden Computeraccounts sind,
    reicht es aus, wenn du diese der Richtlinie hinzufügst und als Berechtigung Lesen + Richtlinie übernehmen einstellst.
    Die Gruppe Authentifizierte Benutzer bleibt drin, allerdings nur Lesen.

    >Ok, ich habe die Authentifizierten Benutzer mit Leseberechtigung wieder
    >hinzugefügt. Jetzt muss ich nur noch warten bis es übernommen wird...
    >Sehe ich das richtig?
    Oder gpupdate ;)

    >Hier wird also keine Mitgliedschaft in der Gruppe "computer_fuer_druckerverteilung" angezeigt,
    >obwohl der Rechner da auf jeden Fall drin ist

    Auf allen DCs?
    Donnerstag, 30. Juni 2011 20:52
    Beantworter
  • > Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie
    > VORDEFINIERT\Administratoren
    > Jeder
    > VORDEFINIERT\Benutzer
    > NT-AUTORITÄT\NETZWERK
    > NT-AUTORITÄT\Authentifizierte Benutzer
    > NT-AUTORITÄT\Diese Organisation
    > SBP\NOTE97$
    > SBP\Domänencomputer
    > Verbindliche Beschriftung\Systemverbindlichkeitsstufe
     
    Zitat: "Diese Computer habe ich in die Sicherheitsgruppe
    "computer_fuer_druckerverteilung"
    aufgenommen."
     
    Warum fehlt die denn dann hier? Reboot vergessen?
     
    > Das würde bedeuten, dass das eigentliche Problem die nicht übernommene
    > Mitgliedschaft
    > in der Gruppe "computer_fuer_druckerverteilung" ist. Die Meldung
     
    Jepp.
     
    > Und wenn ich den authentifizierten Benutzer jetzt auch Rechte geben um die
    > Gruppenrichtlinien anzuwenden, heißt dass dann, dass alle Computer in
    > der OU die
    > Richtlinien übernehmen dürfen?
     
    Jepp.
     
    Finde raus, warum die Gruppenzuordnung nicht stimmt... Step 1:
     
    dsquery computer -samid note97$ | dsget computer -memberof -expand -s
    Server.Domain.de
     
    Wobei Du Server.Domain.de durch die Namen aller Deiner DCs ersetzt.
    Damit kannst Replikationsprobleme evtl. schon ausschließen.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert Walter34 Freitag, 1. Juli 2011 08:50
    Freitag, 1. Juli 2011 06:50
    Beantworter
  • Guten Morgen :)

    Danke für eurere Antworten!

    @Matthias:

    >Ich nehme an, du Drucker werden in der "Computerkonfiguration" der Richtlinie definiert?

    Das ist halb richtig, das aktuelle Problem bezieht sich auf die Windows 7 Rechner, hierfür müssen bestimmte Rechte zugeteilt werden, die sogenannten Point-and-Print-Einschränkungen. Diese setzt man für Windows XP in der Benutzerkonfiguration, das funktioniert alles soweit wie es soll. Ab Windows 7 sind diese Point-and-Print-Einschränkungen in der Computerkonfiguration.

    > Wenn in der Gruppe "computer_fuer_druckerverteilung" die betreffenden Computeraccounts sind,
    > reicht es aus, wenn du diese der Richtlinie hinzufügst und als Berechtigung Lesen + Richtlinie übernehmen einstellst.
    > Die Gruppe Authentifizierte Benutzer bleibt drin, allerdings nur Lesen.

    Bedeutet dies im Umkehrschluss, dass ein Computer immer auch ein authentifizierter Benutzer ist??

    @Martin:

    > Warum fehlt die denn dann hier? Reboot vergessen?

    Bingo! Habe gerade neugestartet und dann tauchte die Gruppe in der RSoP auf! Argh! Ich dachte das wird automatisch zusammen mit gpupdate/force aktualisiert...

    Unsere Rechner sind eigentlich alle im Dauerbetrieb, kann man die Aktualisierung der Sicherheitsgruppen auch irgendwie manuell im laufenden Betrieb erzwingen?

    Und wann genau wird Computerkonfiguration denn geholt? Nicht beim Anmelden des Benutzers an der Domäne?

    So, jetzt mal testen ob alles funktioniert :)

    Bis später,

    Walter

     

     

     

     

    Freitag, 1. Juli 2011 07:58
  • > Bingo! Habe gerade neugestartet und dann tauchte die Gruppe in der RSoP
    > auf!
     
    Aaaaaah! Wenn Mark das liest...
     
    > Unsere Rechner sind eigentlich alle im Dauerbetrieb, kann man die
    > Aktualisierung der Sicherheitsgruppen auch irgendwie manuell im
    > laufenden Betrieb erzwingen?
     
    Nein.
     
    > Und wann genau wird Computerkonfiguration denn geholt? Nicht beim
    > Anmelden des Benutzers an der Domäne?
     
    Computer-Gruppenmitgliedschaften: Boot
    User-Gruppenmitgliedschafte: Anmeldung
    Anzuwendende GPOs: Boot oder Anmeldung oder zyklisch im Hintergrund.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 1. Juli 2011 08:02
    Beantworter
  • Am 01.07.2011 10:02, schrieb Martin Binder:

    Bingo! Habe gerade neugestartet und dann tauchte die Gruppe in der RSoP
    auf!

    Aaaaaah! Wenn Mark das liest...

    habe ich, aber ich befolge die wichtigste Regel des 1st Level Supports:
    Kein Support für Systeme, die nicht neugestartet wurden.
    :-)

    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 1. Juli 2011 08:13
  • Schön dass es nun doch einen so trivialen Grund als Fehlerquelle hatte.
    Manchmal denkt man einfach zu kompliziert!

    >Kein Support für Systeme, die nicht neugestartet wurden.

    Mir wäre lieber:
    Kein Support für Systeme, die nicht neuinstalliert wurden.

    ;)


    Freitag, 1. Juli 2011 08:41
    Beantworter
  • > Kein Support für Systeme, die nicht *neuinstalliert *wurden.
     
    Das unterschreib ich - "Was hast Du gemacht?" - "...nix..."
     
    <eg>
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Freitag, 1. Juli 2011 08:49
    Beantworter
  • Yipee, jetzt funktioniert soweit alles. Wieder was gelernt :)

    Vielen Dank für eure Hilfe!

    Freitag, 1. Juli 2011 08:51