Blog Home  Home Feed your aggregator (RSS 2.0)  
LDAP://Yusufs.Directory.Blog/ - Zugriff auf die GPOs verweigert
Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!
 
About

Archive
<February 2012>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
26272829123
45678910
Navigation
Search Filter Syntax
How the Active Directory Replication Model Works
How Active Directory Replication Topology Works
How the Data Store Works
How Core Group Policy Works
How the Kerberos v5 Authentication Protocol Works
SRV Resource Records
Windows Server 2008 R2 or Windows Server 2008 domain controller returns only 5000 attributes in a LDAP response
Active Directory and Network Address Translation
Description of support boundaries for Active Directory over NAT
When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list
Authentication fails when an external client tries to log on to a Windows Server 2008 server by using a read-only domain controller in a perimeter network
Active Directory Domain Services in the Perimeter Network
How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers
Active Directory Administration with Windows PowerShell
Active Directory Domain Services for Windows Server 2008 R2
Read-Only Domain Controller (RODC) Branch Office Guide
Active Directory Domain Services
Windows Server 2008 R2: Active Directory
Categories
 
 
 
 
 
 
 
MVP

Blogroll
 ActiveDir
 AD Documentation Team
 AD-Powershell Blog
 Aktives Verzeichnis
 DS-Team Blog
 Eric Fleischman
 Server Core
 Tim Springston
 Windows Server Division
 Wolfgang Sauer
Contact
Send mail to the author(s) Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Sign In
 Tuesday, September 26, 2006
Zugriff auf die GPOs verweigert

Wenn es vorkommen sollte, dass man den Zugriff auf die GPOs verweigert bekommt, hängt das in den meisten Fällen am SMB - Signing.

Das SMB - Signing dient kurzerhand der Sicherheit. Einzelheiten können in den folgenden Artikeln nachgelesen werden:

 

http://support.microsoft.com/kb/887429/de

http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm

 

 

Um den Zugriff auf die GPOs zu erhalten, kann man die SMB - Einstellungen auch direkt in der Registry vornehmen.
Dazu gilt es die Registry unter „Start - Ausführen - Regedit“ aufzurufen und folgende Keys zu setzen:

 

 

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature 0

 

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature 1

 

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature 0

 

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature 1

 

 

http://support.microsoft.com/kb/839499/EN-US/

 

 

Danach sollten mindestens die beiden Dienste "Serverdienst" und "Arbeitsstationsdienst" neu gestartet werden (oder man startet den Server neu).

 

Nun hat man ca. 5 Minuten Zeit, um die in der Registry vorgenommene Einstellung, in die beiden Standard-Richtlinien zu konfigurieren.
Denn danach werden die Einstellungen die man in der Registry getätigt hat, erneut von der GPO überschrieben.

 

Als nächsten Schritt, sollten folgende Einstellungen in der „Default Domain Policy“ sowie „Default Domain Controllers Policy“ vorgenommen werden:

 

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)  Deaktiviert

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)  Aktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)  Deaktiviert

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)  Aktiviert

 

 

 

Wenn das nichts brachte, kann man noch versuchen, auf folgenden Reg-Key:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winre­g"
das Konto "LOKALER DIENST" als Leseberechtigten einzutragen und anschließend muss der Server neu gestartet werden.

 

Tuesday, September 26, 2006 9:07:39 PM (W. Europe Standard Time, UTC+01:00)  #      Gruppenrichtlinien  | 
Copyright © 2012 Yusuf Dikmenoglu. All rights reserved.
DasBlog 'Portal' theme by Johnny Hughes.
Pick a theme: