Wenn es vorkommen sollte, dass man den Zugriff auf die GPOs verweigert bekommt, hängt das in den meisten Fällen am SMB – Signing.
Das SMB – Signing dient kurzerhand der Sicherheit. Einzelheiten können in den folgenden Artikeln nachgelesen werden:
http://support.microsoft.com/kb/887429/de
http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm
Um den Zugriff auf die GPOs zu erhalten, kann man die SMB – Einstellungen auch direkt in der Registry vornehmen.
Dazu gilt es die Registry unter „Start – Ausführen – Regedit“ aufzurufen und folgende Keys zu setzen:
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature 0
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Aktiviert
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature 1
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature 0
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Aktiviert
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature 1
http://support.microsoft.com/kb/839499/EN-US/
Danach sollten mindestens die beiden Dienste “Serverdienst” und “Arbeitsstationsdienst” neu gestartet werden (oder man startet den Server neu).
Denn danach werden die Einstellungen die man in der Registry getätigt hat, erneut von der GPO überschrieben.
Als nächsten Schritt, sollten folgende Einstellungen in der „Default Domain Policy“ sowie „Default Domain Controllers Policy“ vorgenommen werden:
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Aktiviert
Wenn das nichts brachte, kann man noch versuchen, auf folgenden Reg-Key:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg”
das Konto “LOKALER DIENST” als Leseberechtigten einzutragen und anschließend muss der Server neu gestartet werden.
Comments are closed, but trackbacks and pingbacks are open.