[Çözüldü] Gpo Düzenleme Hatası

Bu hatayı aldığınızda Eventlog'ları inceleyin sizi sorun kaynağı hakkında yönlendirecektir. Muhtemelen SYSVOL klasörünün yetkileri ile ilgili problem mevcuttur.

Merhaba,

%SYSTEMROOT%\SYSVOL\sysvol 

yukarıdaki yolda GPO şablonlarının klasörlerini görebiliyor musunuz?

@hakanuzuner

evet hocam görebiliyorum . içerilerinde de registry dosyaları mevcut ama dediğim gibi düzenlemek istediğim de ne yazıkki yapamıyorum .

Aşağıdaki komutun çıktısında PDC makinesi hangisi ise o makinede dener misiniz?

netdom query fsmo

Ayrıca Sysvol klasör izinleri aşağıdaki gibi mi kontrol eder misiniz?

Klasör izinleri

Name - Authenticated Users
Permission - Read & execute
Apply To - This folder, subfolder and files

Name - Server Operators
Permission - Read & execute
Apply To - This folder, subfolder and files

Name - Administrators
Permission - Special
Apply To - This folder only
(Permission - Special - Permissions: all selected except Full control, Delete subfolders and files)

Name - CREATOR OWNER
Permission - Special (Full control in Detail view)
Apply To - Subfolders and files only

Name - Administrators
Permission - Special (Full control in Detail view)
Apply To - Subfolders and files only

Name - SYSTEM
Permission - Full control
Apply To - This folder, subfolders and files

Yada aşağıdaki komutun çıktısını paylaşabilirsiniz

icacls c:\Windows\SYSVOL

Çıktı bunun gibi olmalıdır

NT AUTHORITY\Authenticated Users:(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(GR,GE)
BUILTIN\Server Operators:(RX)
BUILTIN\Server Operators:(OI)(CI)(IO)(GR,GE)
BUILTIN\Administrators:(M,WDAC,WO)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(M,WDAC,WO)
CREATOR OWNER:(OI)(CI)(IO)(F)

https://www.hakanuzuner.com/failed-to-open-the-group-policy-object-you-may-not-have-appropriate-rights/

Gönderen: @hakanuzuner

https://www.hakanuzuner.com/failed-to-open-the-group-policy-object-you-may-not-have-appropriate-rights/

Valla bravo hocam

Yaş 40 ama hala iş var sanki 🙂

@hakanuzuner

Hocam bahsettiğiniz çıktılar aşağıda ve sizin paylaştıklarınızla aynı PDC olarak gözüken makinede direk deniyorum ... Ama hala daha düzenle dediğimde aynı şeyleri yaşıyorum ...

Var mı bir fikriniz.

C:\Users\Administrator.ALIACTV>netdom query fsmo
Schema master ALIACTV.alictv.com
Domain naming master ALIACTV.alictv.com
PDC ALIACTV.alictv.com
RID pool manager ALIACTV.alictv.com
Infrastructure master ALIACTV.alictv.com
The command completed successfully.

C:\Users\Administrator.ALIACTV>icacls c:\Windows\SYSVOL
c:\Windows\SYSVOL NT AUTHORITY\Authenticated Users:(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(GR,GE)
BUILTIN\Server Operators:(RX)
BUILTIN\Server Operators:(OI)(CI)(IO)(GR,GE)
BUILTIN\Administrators:(M,WDAC,WO)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(M,WDAC,WO)
CREATOR OWNER:(OI)(CI)(IO)(F)

Makalemdeki diğer adımları kontrol ettin mi? DNS? \\domain ismi üzerinden Sysvol klasörüne ulaşabiliyor musun?

@hakanuzuner

\\domain şeklinde eriştiğimde sysvol ve netlogon klasörlerini göre biliyorum ve erişebiliyorum hocam .

DNS tarafında da bir sorun gözükmüyor hocam .

Ne yapayım bir gün mesai yapıp komple yeniden mi kursam AD yi ...

Ama bunuda yapmak istemiyorum ... 🙁

Bu mantıklı değil, logları inceler misin orada gözüne çarpan bir şey var mı?

@hakanuzuner

Güvenlik ilkeleri yayılamıyor. Şablona erişilemiyor. Hata kodu 3.
\\alictv.com\sysvol\alictv.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Loglarda bu şekilde bir hata gördüm hocam .

Yeni bir GPO objesi oluşturmayı dener misin? Sanırım mevcut şablonlar bozulmuş.

Misal bu yola sen erişir misini, not defteri ile açılan bir dosya bu inf dosyası.

@hakanuzuner

yeni bir GPO policy oluşturabiliyorum ve bunun içerisinde istediğim bütün değişiklikleri yapıyorum ve force edebiliyorum hocam.bu benim sorunumu çözmüş oluyor ama diğer default policylerin bozuk olması benim için daha sonra bir soruna neden olurmu ?

Client da gpresult /R ve H ile vs raporladığınızda işlediğini görüyorsanız policy'ler yürüyorsa problem olmaz peyderpey policy'leri yeniden oluşturup eskileri temizlersiniz. Yeni oluşturduklarınız da hata almıyorsunuz gibi anladım o zaman sorunu büyütmeye gerek yok gibidir.:)
icacls çıktıları da normal aklıma bir tek o gruplardan birinde uçurulmuş bir user'ın sid kalıntıları kaynaklı veya o sunucunun reg artığı kaynaklı bir şey olabileceği geliyor. Bunlar da başka eventlog'lar oluşmuyorsa önemli problemler değil zaman içerisinde yapıyı temiz hale getirirsiniz.

SYSVOL klasörünün OWNER ını Administrator olacak şekilde değiştirmeyi deneyebilir misiniz acaba ? Sahipliği aldıktan sonra izinleri de değiştirebilirsiniz diye düşünüyorum.

Gönderen: @ogozacan

@hakanuzuner

yeni bir GPO policy oluşturabiliyorum ve bunun içerisinde istediğim bütün değişiklikleri yapıyorum ve force edebiliyorum hocam.bu benim sorunumu çözmüş oluyor ama diğer default policylerin bozuk olması benim için daha sonra bir soruna neden olurmu ?

Tabiki varsayılan GPO objelerinde mutlaka değişiklik ihtiyacı olabilir.

Söylediklerinizden sorunun bir izin sorunu olduğunu anlıyorum. Bir uzmana gösterin bence 30dk da çözecektir.