[adde] Re: AW: Re: [ohne) AW: Re: AW: Access denied beim Erstellen einer Gruppenrichtlinie.
- From: Alexander Tsoy <diamant.uz@xxxxxxxxxxxxxx>
- To: adde@xxxxxxxxxxxxx
- Date: Tue, 16 Aug 2011 12:58:25 +0200
Hallo Nils,
danke für den Tipp. Leider hab ich davon nicht gewusst. Ich probier's mit
dem in den Artikel beschribenen Tool.
Grüße,
Alexander
Am 16. August 2011 10:22 schrieb Nils Kaczenski <n.ka@xxxxxx>:
> Moin,
>
> der BPA für GPOs ist nicht aktuell, nicht verlässlich, und Microsoft rät
> von seiner Verwendung ab. Warum es den immer noch gibt, ist unklar ...
>
> [Friday Mail Sack: Anchors Aweigh Edition - Ask the Directory Services Team
> - Site Home - TechNet Blogs]
>
> http://blogs.technet.com/b/askds/archive/2011/07/29/friday-mail-sack-anchors-aweigh-edition.aspx#gpbpa
>
> Gruß, Nils
>
>
> Am 16.08.2011 00:38, schrieb Alexander Tsoy:
>
> Hallo Florian, Andreas,
>
> danke für die Meldung. Ich habe heute Abend noch ein BPA Tool für GP
> benutzt, und festgestellt, dass es einige Fehler mitten drin stecken:
> - Incorrect permissions Default domain controller policy.
> - For GPO "default domain policy" file not found. Please troubleshoot the
> FRS.
> - For GPO"network security settings" file not found. Please troubleshoot
> the FRS.
>
> Ich habe nach den Files angeguckt. Und die sind da.
> Mittels repadmin habe ich auch die Replica überprüft. Und fand keine Fehler
> drin. Die Verbindungen sind erfolgreich.
> Was aber auch betroffen wurde ist das Browser Service.
>
> *@Florian*: Ich guck noch mal die KB Artikeln und teile noch mit.
>
> *@Andreas*: Nein, mein Account ist nur Domain Admin und Schema Admin.
>
> Mit freundlichen Grüßen,
> Alexander
>
>
> Am 16. August 2011 00:08 schrieb Andreas Lauer IT Service <
> Andreas.Lauer@xxxxxxxx>:
>
>> Hi Tom,
>>
>>
>>
>> ist Dein Account außer Domänen-Admin auch Richtlinien-Ersteller-Besitzer?
>>
>>
>>
>> Grüße
>>
>> Andreas
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Florian Frommherz
>> *Gesendet:* Montag, 15. August 2011 19:21
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Re: [ohne) AW: Re: AW: Access denied beim Erstellen
>> einer Gruppenrichtlinie.
>>
>>
>>
>> Howdie!
>>
>>
>>
>> Der Event, den du da gefunden hast, scheint erstmal irrelevant zum Problem
>> mit SYSVOL zu sein.
>>
>> Anhand welches Technet/KB-Artikels hast du denn die Rechte verifiziert?
>> Wenn ich bei mir in meinen Domänen nachsehe, habe ich zumindest
>> „DOMAIN\Administrators“ irgendwo mit drin (nicht nur den Builtin
>> Administrator).
>>
>>
>>
>> Zudem: Gruppenrichtlinien bestehen nicht nur aus dem SYSVOL, sondern auch
>> aus Objekten im AD, zu denen man Zugriff benötigt. Hast jemand bei euch AGPM
>> ausgerollt?
>>
>>
>>
>> Florian
>>
>>
>>
>> *From:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *On Behalf
>> Of *Alexander Tsoy
>> *Sent:* Montag, 15. August 2011 14:01
>> *To:* adde@xxxxxxxxxxxxx
>> *Subject:* [adde] Re: [ohne) AW: Re: AW: Access denied beim Erstellen
>> einer Gruppenrichtlinie.
>>
>>
>>
>> Hi Tom,
>>
>> habe es nochmal ur Sicherheit übrprüft. Die Rechte sind ok.
>>
>> Was mir noch eingefallen ist, auf einem der beiden 2k3 DCs ist folgender
>> Event zu sehen (unter Applications):
>> *Event ID:* 4098 *Source*: Group Policy Services
>> User: NT AUTHORITY\SYSTEM
>>
>> The computer 'WinRM' preference item in the 'Remote Administration
>> {673D4E01-63F3-4091-A5E1-BEE21DB5AC3A}' Group Policy object did not apply
>> because it failed with error code '0x80070424 The specified service does not
>> exist as an installed service.' This error was suppressed.
>>
>> Dieser Event tritt nicht auf dem 2. Win2k3 DC auf.
>>
>> G. Alex
>>
>> Am 15. August 2011 13:37 schrieb Stemick, Thomas <
>> Thomas.Stemick@xxxxxxxxxxxxxx>:
>>
>> Hm, so auf den ersten Blick vermisse ich da ein paar Gruppen (z.b die
>> Domain Admins). Wenn Du die GPO öffnen aber nicht speichern kannst, so fehlt
>> Dir wohl eine Write-Berechtigung. Ich würde das noch einmal prüfen…..
>>
>>
>>
>> Gruß
>>
>> Tom
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Alexander Tsoy
>> *Gesendet:* Montag, 15. August 2011 13:25
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Re: AW: Access denied beim Erstellen einer
>> Gruppenrichtlinie.
>>
>>
>>
>> Hallo Thomas,
>>
>> mit meinem Account, der auch gleich Domain Admin ist. Auch unter Standart
>> Administrator der Domäne ging nicht.
>>
>> G. Alex
>>
>> Am 15. August 2011 13:19 schrieb Stemick, Thomas <
>> Thomas.Stemick@xxxxxxxxxxxxxx>:
>>
>> Hallo Alexander,
>>
>>
>>
>> mit welchem Account versuchst Du das denn?
>>
>>
>>
>> Gruß
>>
>> Tom
>>
>>
>>
>> *Von:* adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] *Im Auftrag
>> von *Alexander Tsoy
>> *Gesendet:* Montag, 15. August 2011 12:53
>> *An:* adde@xxxxxxxxxxxxx
>> *Betreff:* [adde] Access denied beim Erstellen einer Gruppenrichtlinie.
>>
>>
>>
>> Guten Tag Damen und Herren,
>>
>> vor 1 Woche wollte ich ein neues GPO erstellen und das hat leider nicht
>> funktioniert. Access denied habe ich als Antwort von meinem DC bekommen.
>> Auch wenn ich editiere, öffnet sich GPO Fenster und beim Verlassen gibt
>> ein Felher zurück.
>> Ich habe natürlich sofort die Rechte auf SYSVOL überprüft und sie sind
>> laut Microsoft richtig eingetragen:
>> *CREATOR OWNER*: Special
>> *Administrator and SYSTEM*: Full Control
>> *Authenticated Users & Server Operators*: Read, Read & Execute, and List
>> folder contents.
>>
>> Die Replika läuft auch fehlerfrei. (2 DC: Win2k und 2 DC: Win2k3).
>>
>> Habe ich etwas übersehen? Für jede Antwort würde ich dankbar.
>>
>> Mit freundlichen Grüßen,
>> Alexander
>>
>>
>>
>>
>>
>> Thomas Stemick
>> Managing Consultant, NMG-CB
>> ----------------------------------------------------------
>> arvato systems GmbH Infrastructure Consulting
>> Rheinlanddamm 185
>> 44139 Dortmund
>>
>> Phone: +49 231 94340 330
>> Fax: +49 231 94340 331
>> E-Mail: Thomas.Stemick@xxxxxxxxxxxxxx
>> http://www.arvato-systems.de/ic
>>
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> arvato systems GmbH Infrastructure Consulting: Sitz Dortmund | Amtsgericht
>> Dortmund HRB 18841
>> Geschäftsführer: Dr. Carsten Bittner | Beate Bruelheide
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> Diese E-Mail und eventuelle Anlagen können vertrauliche und/oder rechtlich
>> geschützte Informationen enthalten. Wenn Sie
>> nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten
>> haben, informieren Sie bitte sofort den Absender und
>> vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte
>> Weitergabe dieser E-Mail sind nicht gestattet.
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> This e-mail and any attachments may contain confidential and/or privileged
>> information. If you are not the intended recipient
>> (or have received this e-mail in error) please notify the sender
>> immediately and destroy this e-mail. Any unauthorized copying,
>> disclosure or distribution of the material in this e-mail is forbidden.
>>
>> -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>> Bitte denken Sie über Ihre Verantwortung gegenüber der Umwelt nach, bevor
>> Sie diese E-Mail ausdrucken!
>>
>>
>>
>>
>>
>>
>
>
> --
>
> MVP Windows Server: Directory Services
> www.kaczenski.de
> Twitter: @Kaczenskiwww.faq-o-matic.net
> MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski
>
>
Other related posts:
