Gruppenrichtlinie – Problem mit der Sicherheitsfilterung
Veröffentlicht: 13. November 2023 - 11:27 Uhr
Hallo zusammen,
seit einiger Zeit können wir aus unbekannten Gründen mit RSAT keine Benutzer oder Gruppen mehr zur Sicherheitsfilterung eines Gruppenrichtlinienobjekts (GPO) hinzufügen, außer dem aktuellen Benutzer, sofern dieser Domänenadministrator ist. Das Fenster öffnet sich korrekt, die Schaltfläche „Namen prüfen“ sucht den Benutzer oder die Gruppe, aber nach dem Klicken auf „OK“ passiert nichts.
Wir vermuteten ein Berechtigungsproblem mit dem sysvol-Ordner und dessen Inhalt. Der Befehl „samba-tool ntacl sysvolcheck“ lieferte Fehler, unter anderem einen bezüglich des Besitzers der Ordner mit den GPOs.
Um ACL-Fehler bei den GPOs zu vermeiden, muss die Gruppe „Domänenadministrator“ anscheinend der Besitzer der Ordner sein. Beim Synchronisieren unserer beiden Active Directory-Instanzen ändert das Skript „tis-sysvlosync“ jedoch den Administrator zum Besitzer der zweiten Active Directory-Instanz. Könnte dies die Ursache des Problems sein? Ich denke nicht, da dieses Skript bisher immer problemlos mit der Sicherheitsfilterung funktioniert hat.
Unsere Infrastruktur besteht aus zwei Active Directory-Domänen mit Samba 4.9.5 unter Debian 10. Das Problem tritt sowohl bei alten als auch bei neuen Gruppenrichtlinienobjekten (GPOs) auf.
Ist Ihnen dieses Problem schon einmal begegnet? Welche Lösung haben Sie gefunden?
Vielen Dank für Ihre Hilfe.
seit einiger Zeit können wir aus unbekannten Gründen mit RSAT keine Benutzer oder Gruppen mehr zur Sicherheitsfilterung eines Gruppenrichtlinienobjekts (GPO) hinzufügen, außer dem aktuellen Benutzer, sofern dieser Domänenadministrator ist. Das Fenster öffnet sich korrekt, die Schaltfläche „Namen prüfen“ sucht den Benutzer oder die Gruppe, aber nach dem Klicken auf „OK“ passiert nichts.
Wir vermuteten ein Berechtigungsproblem mit dem sysvol-Ordner und dessen Inhalt. Der Befehl „samba-tool ntacl sysvolcheck“ lieferte Fehler, unter anderem einen bezüglich des Besitzers der Ordner mit den GPOs.
Um ACL-Fehler bei den GPOs zu vermeiden, muss die Gruppe „Domänenadministrator“ anscheinend der Besitzer der Ordner sein. Beim Synchronisieren unserer beiden Active Directory-Instanzen ändert das Skript „tis-sysvlosync“ jedoch den Administrator zum Besitzer der zweiten Active Directory-Instanz. Könnte dies die Ursache des Problems sein? Ich denke nicht, da dieses Skript bisher immer problemlos mit der Sicherheitsfilterung funktioniert hat.
Unsere Infrastruktur besteht aus zwei Active Directory-Domänen mit Samba 4.9.5 unter Debian 10. Das Problem tritt sowohl bei alten als auch bei neuen Gruppenrichtlinienobjekten (GPOs) auf.
Ist Ihnen dieses Problem schon einmal begegnet? Welche Lösung haben Sie gefunden?
Vielen Dank für Ihre Hilfe.