[adde] Re: AW: Re: [ohne) AW: Re: AW: Access denied beim Erstellen einer Gruppenrichtlinie.

Hallo Nils,

danke für den Tipp. Leider hab ich davon nicht gewusst. Ich probier's mit
dem in den Artikel beschribenen Tool.

Grüße,
Alexander



Am 16. August 2011 10:22 schrieb Nils Kaczenski <n.ka@xxxxxx>:

>  Moin,
>
> der BPA für GPOs ist nicht aktuell, nicht verlässlich, und Microsoft rät
> von seiner Verwendung ab. Warum es den immer noch gibt, ist unklar ...
>
> [Friday Mail Sack: Anchors Aweigh Edition - Ask the Directory Services Team
> - Site Home - TechNet Blogs]
>
> http://blogs.technet.com/b/askds/archive/2011/07/29/friday-mail-sack-anchors-aweigh-edition.aspx#gpbpa
>
> Gruß, Nils
>
>
> Am 16.08.2011 00:38, schrieb Alexander Tsoy:
>
> Hallo Florian, Andreas,
>
> danke für die Meldung. Ich habe heute Abend noch ein BPA Tool für GP
> benutzt, und festgestellt, dass es einige Fehler mitten drin stecken:
> - Incorrect permissions Default domain controller policy.
> - For GPO "default domain policy" file not found. Please troubleshoot the
> FRS.
> - For  GPO"network security settings" file not found. Please troubleshoot
> the FRS.
>
> Ich habe nach den Files angeguckt. Und die sind da.
> Mittels repadmin habe ich auch die Replica überprüft. Und fand keine Fehler
> drin. Die Verbindungen sind erfolgreich.
> Was aber auch betroffen wurde ist das Browser Service.
>
> *@Florian*: Ich guck noch mal die KB Artikeln und teile noch mit.
>
> *@Andreas*: Nein, mein Account ist nur Domain Admin und Schema Admin.
>
> Mit freundlichen Grüßen,
> Alexander
>
>
> Am 16. August 2011 00:08 schrieb Andreas Lauer IT Service <
> Andreas.Lauer@xxxxxxxx>:
>
>>  Hi Tom,
>>
>>
>>
>> ist Dein Account außer Domänen-Admin auch Richtlinien-Ersteller-Besitzer?
>>
>>
>>
>> Grüße
>>
>> Andreas
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Florian Frommherz
>> *Gesendet:* Montag, 15. August 2011 19:21
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Re: [ohne) AW: Re: AW: Access denied beim Erstellen
>> einer Gruppenrichtlinie.
>>
>>
>>
>> Howdie!
>>
>>
>>
>> Der Event, den du da gefunden hast, scheint erstmal irrelevant zum Problem
>> mit SYSVOL zu sein.
>>
>> Anhand welches Technet/KB-Artikels hast du denn die Rechte verifiziert?
>> Wenn ich bei mir in meinen Domänen nachsehe, habe ich zumindest
>> „DOMAIN\Administrators“ irgendwo mit drin (nicht nur den Builtin
>> Administrator).
>>
>>
>>
>> Zudem: Gruppenrichtlinien bestehen nicht nur aus dem SYSVOL, sondern auch
>> aus Objekten im AD, zu denen man Zugriff benötigt. Hast jemand bei euch AGPM
>> ausgerollt?
>>
>>
>>
>> Florian
>>
>>
>>
>> *From:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *On Behalf
>> Of *Alexander Tsoy
>> *Sent:* Montag, 15. August 2011 14:01
>> *To:* adde@xxxxxxxxxxxxx
>> *Subject:* [adde] Re: [ohne) AW: Re: AW: Access denied beim Erstellen
>> einer Gruppenrichtlinie.
>>
>>
>>
>> Hi Tom,
>>
>> habe es nochmal ur Sicherheit übrprüft. Die Rechte sind ok.
>>
>> Was mir noch eingefallen ist, auf einem der beiden 2k3 DCs ist folgender
>> Event zu sehen (unter Applications):
>> *Event ID:* 4098 *Source*: Group Policy Services
>> User: NT AUTHORITY\SYSTEM
>>
>> The computer 'WinRM' preference item in the 'Remote Administration
>> {673D4E01-63F3-4091-A5E1-BEE21DB5AC3A}' Group Policy object did not apply
>> because it failed with error code '0x80070424 The specified service does not
>> exist as an installed service.' This error was suppressed.
>>
>> Dieser Event tritt nicht auf dem 2. Win2k3 DC auf.
>>
>> G. Alex
>>
>> Am 15. August 2011 13:37 schrieb Stemick, Thomas <
>> Thomas.Stemick@xxxxxxxxxxxxxx>:
>>
>> Hm, so auf den ersten Blick vermisse ich da ein paar Gruppen (z.b die
>> Domain Admins). Wenn Du die GPO öffnen aber nicht speichern kannst, so fehlt
>> Dir wohl eine Write-Berechtigung. Ich würde das noch einmal prüfen…..
>>
>>
>>
>> Gruß
>>
>> Tom
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Alexander Tsoy
>> *Gesendet:* Montag, 15. August 2011 13:25
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Re: AW: Access denied beim Erstellen einer
>> Gruppenrichtlinie.
>>
>>
>>
>> Hallo Thomas,
>>
>> mit meinem Account, der auch gleich Domain Admin ist. Auch unter Standart
>> Administrator der Domäne ging nicht.
>>
>> G. Alex
>>
>> Am 15. August 2011 13:19 schrieb Stemick, Thomas <
>> Thomas.Stemick@xxxxxxxxxxxxxx>:
>>
>> Hallo Alexander,
>>
>>
>>
>> mit welchem Account versuchst Du das denn?
>>
>>
>>
>> Gruß
>>
>> Tom
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Alexander Tsoy
>> *Gesendet:* Montag, 15. August 2011 12:53
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Access denied beim Erstellen einer Gruppenrichtlinie.
>>
>>
>>
>> Guten Tag Damen und Herren,
>>
>> vor 1 Woche wollte ich ein neues GPO erstellen und das hat leider nicht
>> funktioniert. Access denied habe ich als Antwort von meinem DC bekommen.
>> Auch wenn ich editiere, öffnet sich GPO Fenster und beim Verlassen gibt
>> ein Felher zurück.
>> Ich habe natürlich sofort die Rechte auf SYSVOL überprüft und sie sind
>> laut Microsoft richtig eingetragen:
>> *CREATOR OWNER*: Special
>> *Administrator and SYSTEM*: Full Control
>> *Authenticated Users & Server Operators*: Read, Read & Execute, and List
>> folder contents.
>>
>> Die Replika läuft auch fehlerfrei. (2 DC: Win2k und 2 DC: Win2k3).
>>
>> Habe ich etwas übersehen? Für jede Antwort würde ich dankbar.
>>
>> Mit freundlichen Grüßen,
>> Alexander
>>
>>
>>
>>
>>
>> Thomas Stemick
>> Managing Consultant, NMG-CB
>> ----------------------------------------------------------
>> arvato systems GmbH Infrastructure Consulting
>> Rheinlanddamm 185
>> 44139 Dortmund
>>
>> Phone: +49 231 94340 330
>> Fax: +49 231 94340 331
>> E-Mail: Thomas.Stemick@xxxxxxxxxxxxxx
>> http://www.arvato-systems.de/ic
>>
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> arvato systems GmbH Infrastructure Consulting: Sitz Dortmund | Amtsgericht
>> Dortmund HRB 18841
>> Geschäftsführer: Dr. Carsten Bittner | Beate Bruelheide
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> Diese E-Mail und eventuelle Anlagen können vertrauliche und/oder rechtlich
>> geschützte Informationen enthalten. Wenn Sie
>> nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten
>> haben, informieren Sie bitte sofort den Absender und
>> vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte
>> Weitergabe dieser E-Mail sind nicht gestattet.
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> This e-mail and any attachments may contain confidential and/or privileged
>> information. If you are not the intended recipient
>> (or have received this e-mail in error) please notify the sender
>> immediately and destroy this e-mail. Any unauthorized copying,
>> disclosure or distribution of the material in this e-mail is forbidden.
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> Bitte denken Sie über Ihre Verantwortung gegenüber der Umwelt nach, bevor
>> Sie diese E-Mail ausdrucken!
>>
>>
>>
>>
>>
>>
>
>
> --
>
> MVP Windows Server: Directory Services
> www.kaczenski.de
> Twitter: @Kaczenskiwww.faq-o-matic.net
> MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski
>
>

Other related posts: