GPO-Sicherheitsfilterung funktioniert nicht

4

Ich habe ein Problem mit meiner Domain, da die Gruppenrichtlinien nicht angewendet werden.

Ich habe derzeit zwei Sicherheitsgruppen; 1) 32-Bit-Clients 2) 64-Bit-Clients In diesen beiden Gruppen befinden sich unsere verschiedenen Computer, auf denen 32-Bit- und 64-Bit-Windows 7 ausgeführt wird.

In der Gruppenrichtlinien-Verwaltungskonsole habe ich zwei Richtlinien festgelegt, die sich sowohl auf die Desktop- als auch auf die Computereinstellungen des Benutzers auswirken. Jetzt möchte ich es nur so einstellen, dass die 32-Bit-Gruppe die 32-Bit-Richtlinie und die 64-Bit-Computer die 64-Bit-Richtlinie erhält, aber es funktioniert nicht.

Nach verschiedenen Online-Anleitungen zum Einrichten der Sicherheitsfilterung habe ich das Gruppenrichtlinienobjekt mit der Domäne verknüpft, die Registerkarte Delegierung aufgerufen, die ACL geöffnet, die Option Authentifizierte Benutzer anwenden deaktiviert, die Gruppe 32 oder 64 hinzugefügt und dann auf Lesen und Anwenden geklickt. Ich kehrte dann zum Client zurück (in diesem Fall zu einem 64-Bit-PC) und führte nach Abschluss von gpupdate / force ein gpresult aus. Es heißt, dass das Gruppenrichtlinienobjekt aufgrund von "Zugriff verweigert (Sicherheitsfilterung)" nicht angewendet wurde. .

Dies hat mich verwirrt, da ich überprüft habe, dass der PC in der 64bit Gruppe ist, die Einstellungen gelesen und angewendet hat, aber kein Glück. Ich habe versucht, authentifizierte Benutzer auf der Registerkarte "Sicherheitsfilter" hinzuzufügen und zu entfernen, aber ohne Erfolg.

Es nervt mich, weil das so einfach sein sollte!

Jede Hilfe wäre sehr dankbar.

Jake

Setup: Windows Server 2008

windows-server-2008  group-policy 
Jake Andrew
quelle
Werden beide Richtlinien abgelehnt? Computer & Benutzer?
MichelZ
Haben Sie die Benutzer in die richtige Organisationseinheit platziert?

Antworten:

2

Die Meldung "Zugriff verweigert (Sicherheitsfilterung)" bedeutet normalerweise, dass die Computereinstellungen nicht angewendet wurden, weil sie gpupdatenicht an einer Eingabeaufforderung mit erhöhten Rechten ausgeführt wurden.

Außerdem würde ich einen WMI-Filter verwenden, sodass Sie keine Gruppen verwalten müssen. Eine weitere Einschränkung bei Gruppen ist, dass die Gruppenmitgliedschaft erst nach einem Neustart des Computers wirksam wird.

Windows 7 x64:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%" AND ProductType = "1" AND OSArchitecture = "64-bit"

Windows 7 x86:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%" AND ProductType = "1" AND NOT OSArchitecture = "64-bit"

Mehr Informationen:

Erstellen Sie WMI-Filter für das Gruppenrichtlinienobjekt
http://technet.microsoft.com/en-us/library/cc947846%28WS.10%29.aspx

Greg Askew
quelle
2

Wenn die Computer kürzlich zu diesen Sicherheitsgruppen hinzugefügt wurden, müssen sie neu gestartet werden.

Sie werden ihre neuen Gruppenmitgliedschaften nicht in ihrem Token haben, bis sie eine neue erhalten, was standardmäßig ungefähr eine Woche ist (oder bis ein Neustart erfolgt).

Shane Madden
quelle
1

Ich bin auf dasselbe Problem gestoßen und habe festgestellt, dass ich, da ich das Gruppenrichtlinienobjekt verknüpft hatte, die Verknüpfung des Gruppenrichtlinienobjekts und die Auswahldelegation im rechten Bereich auswählen musste. Wählen Sie "Erweitert", "Authentifizierte Benutzer" und aktivieren Sie "Gruppenrichtlinie anwenden", wie es bereits gelesen wurde.

Ich ging dann zurück zum Server und lief (von erhöhten Eingabeaufforderung) gpudate /force.

Derek K
quelle
0

Die Antwort von Derek K führte mich auf die Lösung für mich zu. Ich habe die Richtlinie auf den Computer angewendet, aber nur Benutzer hatten die Berechtigung zum Anwenden. Computer wurden zu den Berechtigungen hinzugefügt, und alles war in Ordnung.

Wmassingham
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.