[adde] Re: AW: Re: [ohne) AW: Re: AW: Access denied beim Erstellen einer Gruppenrichtlinie.

Moin,

der BPA für GPOs ist nicht aktuell, nicht verlässlich, und Microsoft rät von seiner Verwendung ab. Warum es den immer noch gibt, ist unklar ...

[Friday Mail Sack: Anchors Aweigh Edition - Ask the Directory Services Team - Site Home - TechNet Blogs]
http://blogs.technet.com/b/askds/archive/2011/07/29/friday-mail-sack-anchors-aweigh-edition.aspx#gpbpa

Gruß, Nils


Am 16.08.2011 00:38, schrieb Alexander Tsoy:
Hallo Florian, Andreas,

danke für die Meldung. Ich habe heute Abend noch ein BPA Tool für GP benutzt, und festgestellt, dass es einige Fehler mitten drin stecken:
- Incorrect permissions Default domain controller policy.
- For GPO "default domain policy" file not found. Please troubleshoot the FRS. - For GPO"network security settings" file not found. Please troubleshoot the FRS.

Ich habe nach den Files angeguckt. Und die sind da.
Mittels repadmin habe ich auch die Replica überprüft. Und fand keine Fehler drin. Die Verbindungen sind erfolgreich.
Was aber auch betroffen wurde ist das Browser Service.

*@Florian*: Ich guck noch mal die KB Artikeln und teile noch mit.

*@Andreas*: Nein, mein Account ist nur Domain Admin und Schema Admin.

Mit freundlichen Grüßen,
Alexander


Am 16. August 2011 00:08 schrieb Andreas Lauer IT Service <Andreas.Lauer@xxxxxxxx <mailto:Andreas.Lauer@xxxxxxxx>>:

    Hi Tom,

    ist Dein Account außer Domänen-Admin auch
    Richtlinien-Ersteller-Besitzer?

    Grüße

    Andreas

    *Von:*adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>
    [mailto:adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>] *Im
    Auftrag von *Florian Frommherz
    *Gesendet:* Montag, 15. August 2011 19:21
    *An:* adde@xxxxxxxxxxxxx <mailto:adde@xxxxxxxxxxxxx>
    *Betreff:* [adde] Re: [ohne) AW: Re: AW: Access denied beim
    Erstellen einer Gruppenrichtlinie.

    Howdie!

    Der Event, den du da gefunden hast, scheint erstmal irrelevant zum
    Problem mit SYSVOL zu sein.

    Anhand welches Technet/KB-Artikels hast du denn die Rechte
    verifiziert? Wenn ich bei mir in meinen Domänen nachsehe, habe ich
    zumindest „DOMAIN\Administrators“ irgendwo mit drin (nicht nur den
    Builtin Administrator).

    Zudem: Gruppenrichtlinien bestehen nicht nur aus dem SYSVOL,
    sondern auch aus Objekten im AD, zu denen man Zugriff benötigt.
    Hast jemand bei euch AGPM ausgerollt?

    Florian

    *From:*adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>
    [mailto:adde-ml@xxxxxxxxxxxxx]
    <mailto:[mailto:adde-ml@xxxxxxxxxxxxx]> *On Behalf Of *Alexander Tsoy
    *Sent:* Montag, 15. August 2011 14:01
    *To:* adde@xxxxxxxxxxxxx <mailto:adde@xxxxxxxxxxxxx>
    *Subject:* [adde] Re: [ohne) AW: Re: AW: Access denied beim
    Erstellen einer Gruppenrichtlinie.

    Hi Tom,

    habe es nochmal ur Sicherheit übrprüft. Die Rechte sind ok.

    Was mir noch eingefallen ist, auf einem der beiden 2k3 DCs ist
    folgender Event zu sehen (unter Applications):
    *Event ID:* 4098 *Source*: Group Policy Services
    User: NT AUTHORITY\SYSTEM

    The computer 'WinRM' preference item in the 'Remote Administration
    {673D4E01-63F3-4091-A5E1-BEE21DB5AC3A}' Group Policy object did
    not apply because it failed with error code '0x80070424 The
    specified service does not exist as an installed service.' This
    error was suppressed.

    Dieser Event tritt nicht auf dem 2. Win2k3 DC auf.

    G. Alex

    Am 15. August 2011 13:37 schrieb Stemick, Thomas
    <Thomas.Stemick@xxxxxxxxxxxxxx
    <mailto:Thomas.Stemick@xxxxxxxxxxxxxx>>:

    Hm, so auf den ersten Blick vermisse ich da ein paar Gruppen (z.b
    die Domain Admins). Wenn Du die GPO öffnen aber nicht speichern
    kannst, so fehlt Dir wohl eine Write-Berechtigung. Ich würde das
    noch einmal prüfen…..

    Gruß

    Tom

    *Von:*adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>
    [mailto:adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>] *Im
    Auftrag von *Alexander Tsoy
    *Gesendet:* Montag, 15. August 2011 13:25
    *An:* adde@xxxxxxxxxxxxx <mailto:adde@xxxxxxxxxxxxx>
    *Betreff:* [adde] Re: AW: Access denied beim Erstellen einer
    Gruppenrichtlinie.

    Hallo Thomas,

    mit meinem Account, der auch gleich Domain Admin ist. Auch unter
    Standart Administrator der Domäne ging nicht.

    G. Alex

    Am 15. August 2011 13:19 schrieb Stemick, Thomas
    <Thomas.Stemick@xxxxxxxxxxxxxx
    <mailto:Thomas.Stemick@xxxxxxxxxxxxxx>>:

    Hallo Alexander,

    mit welchem Account versuchst Du das denn?

    Gruß

    Tom

    *Von:*adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>
    [mailto:adde-ml@xxxxxxxxxxxxx <mailto:adde-ml@xxxxxxxxxxxxx>] *Im
    Auftrag von *Alexander Tsoy
    *Gesendet:* Montag, 15. August 2011 12:53
    *An:* adde@xxxxxxxxxxxxx <mailto:adde@xxxxxxxxxxxxx>
    *Betreff:* [adde] Access denied beim Erstellen einer
    Gruppenrichtlinie.

    Guten Tag Damen und Herren,

    vor 1 Woche wollte ich ein neues GPO erstellen und das hat leider
    nicht funktioniert. Access denied habe ich als Antwort von meinem
    DC bekommen.
    Auch wenn ich editiere, öffnet sich GPO Fenster und beim Verlassen
    gibt ein Felher zurück.
    Ich habe natürlich sofort die Rechte auf SYSVOL überprüft und sie
    sind laut Microsoft richtig eingetragen:
    *CREATOR OWNER*: Special
    *Administrator and SYSTEM*: Full Control
    *Authenticated Users & Server Operators*: Read, Read & Execute,
    and List folder contents.

    Die Replika läuft auch fehlerfrei. (2 DC: Win2k und 2 DC: Win2k3).

    Habe ich etwas übersehen? Für jede Antwort würde ich dankbar.

    Mit freundlichen Grüßen,
    Alexander

    Thomas Stemick
    Managing Consultant, NMG-CB
    ----------------------------------------------------------
    arvato systems GmbH Infrastructure Consulting
    Rheinlanddamm 185
    44139 Dortmund

    Phone: +49 231 94340 330 <tel:%2B49%20231%2094340%20330>
    Fax: +49 231 94340 331 <tel:%2B49%20231%2094340%20331>
    E-Mail: Thomas.Stemick@xxxxxxxxxxxxxx
    <mailto:Thomas.Stemick@xxxxxxxxxxxxxx>
    http://www.arvato-systems.de/ic

    
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    arvato systems GmbH Infrastructure Consulting: Sitz Dortmund |
    Amtsgericht Dortmund HRB 18841
    Geschäftsführer: Dr. Carsten Bittner | Beate Bruelheide
    
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    Diese E-Mail und eventuelle Anlagen können vertrauliche und/oder
    rechtlich geschützte Informationen enthalten. Wenn Sie
    nicht der richtige Adressat sind oder diese E-Mail irrtümlich
    erhalten haben, informieren Sie bitte sofort den Absender und
    vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die
    unbefugte Weitergabe dieser E-Mail sind nicht gestattet.
    
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    This e-mail and any attachments may contain confidential and/or
    privileged information. If you are not the intended recipient
    (or have received this e-mail in error) please notify the sender
    immediately and destroy this e-mail. Any unauthorized copying,
    disclosure or distribution of the material in this e-mail is
    forbidden.
    
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    Bitte denken Sie über Ihre Verantwortung gegenüber der Umwelt
    nach, bevor Sie diese E-Mail ausdrucken!




--

MVP Windows Server: Directory Services

www.kaczenski.de
Twitter: @Kaczenski
www.faq-o-matic.net
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

Other related posts: