0

Wenn es vorkommen sollte, dass man den Zugriff auf die GPOs verweigert bekommt, hängt das in den meisten Fällen am SMB – Signing.


Das SMB – Signing dient kurzerhand der Sicherheit. Einzelheiten können in den folgenden Artikeln nachgelesen werden:


 


http://support.microsoft.com/kb/887429/de


http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm


 


 


Um den Zugriff auf die GPOs zu erhalten, kann man die SMB – Einstellungen auch direkt in der Registry vornehmen.
Dazu gilt es die Registry unter „Start – Ausführen – Regedit“ aufzurufen und folgende Keys zu setzen:


 


 


Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert


HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature 0


 


Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert


HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature 1


 


Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert


HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature 0


 


Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert


HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature 1


 


 


http://support.microsoft.com/kb/839499/EN-US/


 


 


Danach sollten mindestens die beiden Dienste “Serverdienst” und “Arbeitsstationsdienst” neu gestartet werden (oder man startet den Server neu).


 



Nun hat man ca. 5 Minuten Zeit, um die in der Registry vorgenommene Einstellung, in die beiden Standard-Richtlinien zu konfigurieren.
Denn danach werden die Einstellungen die man in der Registry getätigt hat, erneut von der GPO überschrieben.


 


Als nächsten Schritt, sollten folgende Einstellungen in der „Default Domain Policy“ sowie „Default Domain Controllers Policy“ vorgenommen werden:


 


Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert


Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert


Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert


Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert


 




 


 


Wenn das nichts brachte, kann man noch versuchen, auf folgenden Reg-Key:


“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winre­g”
das Konto “LOKALER DIENST” als Leseberechtigten einzutragen und anschließend muss der Server neu gestartet werden.


 

Comments are closed, but trackbacks and pingbacks are open.