Berechtigung entzogen auf GPO

Hallo,

ich habe bei einer von mir erstellten Gruppenrichtlinie auf erweitert die gruppen administratoren sowie domänenadmins auf verweigern gesetzt. ich wollte das ein gpo für admins nicht zieht. ich habe jetzt das problem das eine OU im AD worunter sich alle meine objekte (benutzer computer) befinden nicht mehr sichtbar ist. es erscheint zwar rechts im anzeigefenster der name aber das symbol der ou ist schon nicht korrekt (wie leeres dokument) die user können sich alle anmelden und die objekte sind wohl noch da, aber leider nicht mehr sichtbar und somit verwaltbar. ich habe wol die admins selbst beschnitten, vielleicht versehentlich auf der ou verweigern eingestellt. gibt es eine möglichkeit (Besitzübernahme oder sonstwas womit ich die berechtigungen wieder zurückführen kann) mein kollege kommt auch nicht mehr dran. es brennt wirklich - danke für die hilfe.

Hallo,

- Basic's auf www.gruppenrichtlinien.de lernen
- Den Domainkontroller im Wiederherstelleungsmodues hochfahren und die Rechte mittels des LOKALEN Administrators berichtigen (funktioniert leider nicht immer)

Ansonsten hast Du verloren. Administratoren oder Domainadmins den Zugriff auf GPO's zu verweigern ist grob fahrlässig. Wenn Du nicht willst, das eine GPO für verschiendene Usergruppen angewendet wird, erstellst Du eine Deny-Gruppe und machst lediglich den Haken bei Gruppenrichtlinie anwenden auf verweigern.

Gruß
Sven

okay, werde es mal versuchen - danke für den Tip. Ich kenn Gruppenrichtlinien und www.gruppenrichtlinien.de. grob fahrlässig hört sich ja nach knast ohne bewährung an. wer ohne fehler ist schmeisse den ersten stein.

d.weiler schrieb:

grob fahrlässig hört sich ja nach knast ohne bewährung an. wer ohne fehler ist schmeisse den ersten stein.

Zum Vergrößern anklicken....

*gg*
Das war ja keine Moralpredikt Das Problem ist nur, das es hier keine Hintertüre ala Besitz übernehmen gibt. Daher sollte man den von mir beschriebenen Weg gehen und das übernehmen (und NUR das übernehmen) der Richtlinie durch eine Deny-Gruppe ausschliessen.

Gruß
Sven

ok, also eine deny-gruppe heisst ich lege eine gruppe an wo die admins drin sind, und die setz ich auf verweigern. und nie never ever domänenadmins und administratoren-gruppe. ich hoffe ich bekomms wieder hin, sonst hat der konzern und mein cheffe mit mir wohl ein problem - danke aber für deine hilfe. ich habe auch schon sowas wie besitz übernehmen gesucht, aber nicht gefunden. ich versuch das heute abend was du geschrieben hast, wenn das nicht geht muss ich versuchen den zweig aus dem ad von der freitagssicherung aus dem systemstate wiederherzustellen. wenn du ne kerze hast zünde sie für mich an

gruß dirk

und nochn gedicht

komme ich denn überhaupt an das ad ran wenn ich mich über die wiederherstellungskonsole starte ? habe ich dann überhaupt die möglichkeit ins ad zu gelangen und dann dort rechte zu vergeben ?

d.weiler schrieb:

komme ich denn überhaupt an das ad ran wenn ich mich über die wiederherstellungskonsole starte ? habe ich dann überhaupt die möglichkeit ins ad zu gelangen und dann dort rechte zu vergeben ?

Zum Vergrößern anklicken....

Ja kommst Du - selbiges ist aber Offline geschalten. Aber nur so ist es möglich sich als LOKALER Administrator anzumelden.

Gruß
Sven

läuft wieder - mit einem konto das lediglich in der gruppe organisationsadmins steht ging noch das bearbeiten der ou.
grunsätzlich nochmal zum verständniss. ich sollte also eine deny-gruppe mit z.b. den admins erstellen und die dann für verweigern nehmen wenn notwendig. ?

gruß dirk

d.weiler schrieb:

läuft wieder - mit einem konto das lediglich in der gruppe organisationsadmins steht ging noch das bearbeiten der ou.
grunsätzlich nochmal zum verständniss. ich sollte also eine deny-gruppe mit z.b. den admins erstellen und die dann für verweigern nehmen wenn notwendig. ?

gruß dirk

Zum Vergrößern anklicken....

Also....

Die Deny-Gruppe hat ein einziges Ziel: Bestimmten Gruppen das Übernehmen der Einstellungen zu verweigern. Nichts weiter - das ist sehr wichtig, denn wie du ja nun weisst: Aussperren geht sehr leicht

Gruß
Sven