Probleme mit GPO Benutzerkonfiguration und Sicherheitsfilter

german
group-policy
samba-ad-dc

#1

Mein Ziel war es, das Spiel Minecraft für eine Gruppe von Benutzern zu sperren. Ich habe also eine GPO angelegt und in Benutzerkonfiguration --> Richtlinien --> Administrative Vorlagen --> System --> Angegebene Windows Anwendungen nicht ausführen MinecraftLauncher.exe eingegeben und aktiviert. Soweit scheint das auch zu funktionieren. Wenn ich allerdings bei dem Objekt die Sicherheitsfilterung von Authentifizierte Benutzer auf meine Gruppe KidsWork ändere, dann liefert ein gpupdate /force:
gpupdate /force
Die Richtlinie wird aktualisiert…

Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, registrierungsbasierte Richtlinieneinstellungen für das Gruppenrichtlinienobjekt “LDAP://CN=User,cn={6E178895-72AE-43A5-83F1-C63AAB514F49},cn=policies,cn=system,DC=olc,DC=schnagl,DC=one” zu lesen. Die Gruppenrichtlinieneinstellungen dürfen nicht erzwungen werden, bis dieses Ereignis behoben ist. Weitere Informationen über den Dateinamen und -pfad, der den Fehler verursacht hat, können den Ereignisdetails entnommen werden.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl “GPRESULT /H GPReport.html” aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.

Das Gruppenrichtlinienergebnis liefert einen Scriptfehler: XML.Serializer ist undefiniert.
Interessant ist, dass die Systemdiagnose des Masters (es gibt nur einen) einen Fehler meldet:

samba-tool ntacl sysvolcheck meldet ein Problem mit den SYSVOL ACL Einträgen.

STDOUT:
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/olc.schnagl.one/Policies/{6E178895-72AE-43A5-83F1-C63AAB514F49} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;ED)(A;OICI;0x001200a9;;;S-1-5-21-1381445195-2335017848-3976218799-1190) does not match value O:LAG:DAD:PAR(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;ED)(A;OICI;0x001200a9;;;S-1-5-21-1381445195-2335017848-3976218799-1190) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/olc.schnagl.one/Policies/{6E178895-72AE-43A5-83F1-C63AAB514F49} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;ED)(A;OICI;0x001200a9;;;S-1-5-21-1381445195-2335017848-3976218799-1190) does not match value O:LAG:DAD:PAR(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;ED)(A;OICI;0x001200a9;;;S-1-5-21-1381445195-2335017848-3976218799-1190) expected from GPO object

Sie können samba-tool ntacl sysvolreset ausführen um die Probleme zu beheben.
Ein Ausführen des Buttons samba-tool ntacl sysvolreset scheint den Fehler zu beheben. Die Systemdiagnose findet ihn zumindest nicht mehr. Allerdings bleibt der Fehler bei gpupdate /force erhalten.

Wenn ich die Gruppe KidsWork durch die Gruppe Authentifizierte Nutzer ersetze, dann funktioniert alles wieder.

Was mache ich hier falsch?


#2

Moin,

auch wenn’s schon etwas her ist:

  1. Besteht das Problem weiterhin?
  2. Besteht das Problem an mehr als einem Rechner?
  3. Funktioniert das gewünschte Verhalten an irgend einem Rechner?
  4. Versuchen Sie bitte mal, die Dateien registry.pol in den Verzeichnissen C:\Windows\System32\GroupPolicy\Machine und …\User umzubenennen und den Rechner neu zu starten (damit die Dateien frisch aus dem AD aufgebaut werden). Ändert das etwas am Verhalten?

Gruß
mosu


#3

Hallo mosu,
ja, das Problem trat bei allen Windows Rechnern auf. Ich habe keinen Rechner, bei dem das Problem nicht aufgetreten ist. Ich habe es dadurch umgangen, dass ich eine GPO definiert habe, die für alle gilt (Domain Users) wobei ich dann die Spiele Zugänge einzeln ausgenommen habe. Das ist eine sehr unschöne Lösung.
Ich werde am Wochenende Ihren Vorschlag probieren.
Was mir noch aufgefallen ist: In Univention kann ich bei den Benutzern Anmeldezeiten konfigurieren. Die werden aber ignoriert. Wenn ich die Anmeldezeiten aber über das RSAT Tool konfiguriere, dann funktionieren sie. Hat das etwas mit meinem Problem zu tun?
Gruß
Hans


#4

Zu Ihrem ursprünglichen Problem habe ich momentan keine gute Idee. Googlen bringt weder zu »Fehler bei Verarbeitung…« noch zu »XML.Serializer ist undefiniert« gute Ergebenisse, bis halt auf die Möglichkeit, dass die lokale registry.pol defekt ist. Das wiederum passt aber nicht wirklich zu dem Fehlerbild, dass bei Ihnen alle Rechner betroffen sind. Der Versuch kann trotzdem nicht schaden.

Nein, das hat mit Sicherheit nichts mit Ihrem Problem zu tun. Das entsprechende Attribut (im OpenLDAP: sambaLogonHours, im Samba-4-LDAP: logonHours) wird schlicht vom S4-Connector nicht zwischen den beiden LDAPs synchronisiert. Die Mapping-Datei /etc/univention/connector/s4/mapping enthält zwar das Attribut, aber der entsprechende Block ist kommentarlos auskommentiert.

Ich konnte auch keine Hinweise finden, warum der auskommentiert ist; auch die existierenden Bugs sind nicht erhellend. Hat bestimmt einen guten Grund…

Gruß
mosu


#5

Hallo Mosu,

bei mir sind beim ersten Rechner beide Verzeichnisse leer. Ich lasse mir die ausgeblendeten Dateien anzeigen und auch die geschützten Systemdateien werden angezeigt.
Es ist ein Windows 10 Pro aktuell gepatcht.
Mein Problem besteht auch weiterhin.
Ich muss wohl nochmal einen neuen Master aufsetzen. Das mache ich aber erst nach der Steuererklärung :slight_smile:
Danke nochmal
Hans


#6

Huhu,

ja… hmm… Ich hab auch weiterhin nichts weiter anzubieten, was vielleicht helfen könnte :cry: Sorry.

Gruß
mosu


#7

Versuch mal bei der Filterung die “Authentifizierten Benutzer” drin zu lassen, “KidsWork” hinzuzufügen und dann unter dem “Security” Tab bei “Authenticated Users” den Haken für “Ausführen” entfernen aber den Haken für “Read” (Lesen) drin zu lassen. Bei KidsWork dann “Read” und “Apply” (Lesen und Ausführen).

Das Austauschen der Auth. Users mit einer Gruppe für die die GPO gelten soll funktioniert seit einer Weile nicht mehr wirklich gut - die müssen drin bleiben.

VG,
ThistleHope


#8

Hallo ThistleHope,

danke für den Hinweis. Das hat funktioniert. Wenn ich mir so im Nachhinein die Lösung anschaue, dann hätte ich eigentlich auch selbst draufkommen können. Na ja hinterher ist man immer schlauer.

Viele Grüße
Hans