Domänenrichtilinie nicht administrierbar!

[Tronde]

Hallo!

Ich habe folgendes Problem.

Auf einem Windows 2003 Server hat der Administrator keine Rechte mehr, um die Domänenrichtilinie zu ändern. Der Administrator ist Mitglied der Gruppe der lokalen Administratoren und der Domänenadministratoren.

Auch das anlegen eines neuen Benutzers mit administrativen Rechten brachte keine Abhilfe, da auch dieser die Domänenrichtlinie nicht verändern darf.

Betriebssystem ist ein Windowsserver 2003.

Ich habe über die Forensuche nichts gefunden was meinem Problem entspricht.

Hat von euch jemand eine Idee woher der Fehler kommen könnte?

Folgende Infos kann ich noch geben bevor der Fehler auftrat.

Ich habe das Promise Array Management für den Raidcontroller installiert. Anschließend ließ sich der Server jedoch nicht mehr starten. Weder normal noch im Abgesicherten Modus. Es half nur der Punkt "Letzte als funktionierend bekannte Konfiguration wiederherstellen". Danach startete der Server wieder normal jedoch bestand plötzlich oben genanntes Problem. Das Ereignisprotokoll liefert auch keine brauchbaren Ergebnisse.

Da ich mit "googlen" bisher noch keinen Erfolgt hatte, hoffe ich, dass jemand von euch schon mal dieses Problem hatte und mir evtl. weiterhelfen kann.

MfG

Tronde

[janlutmeh]

Wie versuchst Du auf die GPO´s zuzugreifen? GPMC oder ohne?

Wie genau lautet die Fehlermeldung? Gibt es überhaupt eine?

Was verstehst Du unter keine brauchbaren Ergebnisse im Ereignisprotokoll?

[Tronde]

Also um es ganz einfach zu erkklären. Start->Verwaltung->Domänenrichtlinien

Fehlermeldungen gibt es keine. Ich sehe die ganzen Richtlinien und kann mir auch ihre Eigenschaften anzeigen lassen. Aber ich darf diese nicht mehr verändern.

Btw. in welcher Datei werden denn die GPOs gespeichert und wo kann ich diese auf der Festplatte finden?

[hades]

Die Dateien der GPOs darfst Du nicht per Hand aendern.

Nutz dafuer die vorgesehenen Wege:

- AD Benutzer und Computer

bzw. wenn installiert

- die bereits von janlutmeh genannte Gruppenrichtlinienverwaltungskonsole (GPMC)

[Tronde]

Ich möchte die Dateien nicht per Hand veränderen. Ich möchte mal prüfen, ob diese überhaupt noch da sind bzw. ob sie noch im richtigen Pfad liegen.

Ich konnte noch herausfinden, dass die Änderungen, welche ich bereits vorgenommen hatte bevor der Fehler auftrat auch noch da sein. Z.B. "nur sichere Passwörter zulassen" wurde auf deaktiviert gesetzt.

Vor allem interessiert mich aber warum ich plötzlich als Administrator die Richtlinie für Domänenmitglieder nicht mehr ändern darf und wie sich dieser Fehler beheben lässt.

Denn wenn ein Admin keinen Zugriff darauf hat wer dann?

[janlutmeh]

Problematik ist ganz einfach das Du in den Sicherheitseinstellungen für die Richtlinien auch den Zugriff für den Domänenadmin ausschliessen kannst.

Erstmal wäre zu klären welche Richtlinien du genau bearbeitet hast.

Die Gruppenrichtlinien, die Sicherheitsrichtlinie für Domänen oder die Sicherheitsrichtlinie für Domänencontroller?

Arbeitest Du zur Bearbeitung lokal oder von einem Client aus mit dem adminpak?

Versuch mal folgendes.

Installiere GPMC. Dadurch wird unter Verwaltung das Snap-In Gruppenrichtlinienverwaltung hinzugefügt.

Dort sind dann alle Gruppenrichtlinien unter Gruppenrichtlinienobjekte zu finden. Im Kontextmenü auswählen bearbeiten. Wenn sich die Richtlinie dann öffnet findest Du auf der obersten Ebene die Richtlinienbezeichnung in der Art Richtlinie[domänencontroller.domäne.local]Richtline. Hier übers Kontextmenü die Eigenschaften aufrufen. Dort findest Du dann die Sicherheitseinstellungen, wer darf die Richtlinie bearbeiten, übernehmen, anwenden etc.

Diese Einträge überprüfen.

Wenn dies nicht geht bitte die genaue Fehlermeldung posten. Falls es im Eventlog Ereignisse gibt, diese ebenfalls posten.

Nur als Info!Die Richtlinien liegen im Sysvol auf den Domänencontrollern \\DC\Sysvol\domäne.local\policies\SIDderRichtlinie

Das bearbeiten ist in keiner Weise zu empfehlen solange Du nicht zu 100% sicher bist was Du dort tust. Für den Notfall gibt es noch Quick and dirty Methoden die aber nicht als normaler Weg und nur als Notfalllösung anzusehen sind. Aber darüber können wir reden wenn der normale Weg versagt.

[Tronde]

Ich werde erstmal das Adminpack installieren. Und nachschauen, ob die Policies noch vorhanden sind.

Geändert wurde bisher nur die Kennwortrichtlinie. Komplexe Kennwörter aus, Minimale Kennwortlänge 0.

Ich habe mir für den Notfall von einem frisch installierten Win2k3 Server die Policies mit dem Adminpack gesichert. Diese werde ich notfalls einfach mal auf dem Problemserver zurücksichern.

[Tronde]

So. Der Fehler war, dass die default domain policy gar nicht mehr im Ordner Sysvol vorhanden war.

Der Kunde hat sich für eine Neuinstallation des Systems entschieden, um noch nicht aufgetretene Fehler mit auszumerzen.

Jetzt haben sie einen frischen Domänencontroller und die GPOs sind erstmal alle von mir gesichert worden.

Damit kann dieser Thread denke ich zu.

Vielen Dank für eure Mühe

Tronde