Sistemazione permessi GPO
Sto effettuando la migrazione di un dominio da Windows Server 2008R2 a Windows Server 2019. Ho aggiunto quindi il nuovo domain controller 2019 ed effettuato le verifiche del caso.
Tutto funziona
correttamente tranne un problema che ho notato dalla console di gestione delle
policy. Infatti se la apro (GPMC.MSC), selezione il dominio, e nella destra,
tra i tab in alto scelgo STATUS e premo “DETECT NOW”, vengono trovati degli
errori si sync.
Solitamente
accade per i DC da Windows Server 2012 in poi.
Nel mio caso ha problemi la replica con Windows Server 2019.
Si tratta di un
problema di permessi. Non sono corrette le ACL di una o più policy (nel mio
caso quasi tutte).
Ogni ACL (lista
dei permessi e’ formata da un insieme di ACE
ACL = Access
control list. Elenco dei permessi. Un file dove administrator ed user hanno permessi
di lettura rappresenta una ACL
ACE = Access control entry. L’insieme delle ACE crea una ACL. L’utente pippo che può accedere ad un file/oggetto in sola lettura rappresenta un’ACE.
Ad ogni modo si tratta di un problema noto. Il problema nasce dal fatto che Windows Server 2008R2 e precedenti mettevano più ACE per uno stesso utente (parlando di GPO). Verificando i permessi sulle GPO si nota che DOMAIN ADMINS appare più volte. Questo si può verificare anche per altri utenti (Enterprise admins, SYSTEM ecc. ecc.)
La parte subdola del problema e’ che questa fatto si evidenzia solo usando ICACLS, tool a riga di comando per la gestione dei permessi. Da GUI sembra tutto normale.
Prima di fare
qualsiasi modifica vi consiglio di fare un backup delle GPO, tramite gpmc.msc.
Selezionare “Group policy objects” – tasto DX e scegliere “Backup ALL”
Per risolvere occorre togliere le ACE duplicate e forzare una replica. Dopodiché occorre gestire e creare le nuove policy solo da Windows Server 2012 e superiori.
Per sistemare occorre accedere al server 2008, aprire un command prompt ed andare nel percorso locale delle GPO (ES: C:\Windows\SYSVOL\domain\Policies).
Utilizzare i seguenti comandi:
icacls "{GPO UID}"
Fate attenzione e verificate i permessi degli utenti che andrete a toccare.
icacls "{GPO UID}"
/remove:g "<localdomain>\Domain Admins"
icacls "{GPO UID}" /grant
"<localdomain>\Domain Admins":(OI)(CI)(F)
repadmin /syncall
repadmin /syncall /AdePq
ESEMPIO
icacls {F8D0D4C5-EAFB-44C2-8AF5-9A93B1BFB639}
mostra i permessi della GPO
icacls
{F8D0D4C5-EAFB-44C2-8AF5-9A93B1BFB639} /remove:g
"<localdomain>\Domain Admins"
toglie tutte le
ACE relative a DOMAIN ADMINS
icacls
{01C13992-5EC3-4C95-8F85-1D73AEEB657D} /grant "<localdomain>\Domain
Admins":(OI)(CI)(F)
aggiunge la ACE relativa a DOMAIN ADMINS, una sola volta!
p.s. icacls * > c:\temp\GPO_ACL_2008r2.txt crea un file di report di tutti i permessi, utile soprattutto se ci sono molte policy
Dopodiché posso
verificare nuovamente la ACL per vedere che non ci siano entry duplicate per
altri utenti.
Come dicevo
sopra, mi sono trovato entry duplicate anche per ENTERPRISE ADMINS e SYSTEM.
Alla fine, dopo aver verificato le ACL posso forzare una sincronizzazione usando i seguenti comandi.
repadmin /syncall
repadmin /syncall /AdePq
Lasciare passare un pochino da uno all’altro e verificate da GPMC sul nuovo server se il problema si e’ risolto verificando con GPMC dal server dove si e’ verificato l’errore di allineamento.
Altri comandi
utili per verificare lo stato di replica sono:
repadmin /replsummary
repadmin /showrepl
Ma nel mio caso non hanno mai dato esito negativo nonostante questo problema sulle GPO.
NOTA
Aprire la console, selezionare il dominio, tasto dx e dal menu scegliere:
"CAMBIA CONTROLLER DI DOMINIO"
Da qui procedere alla scelta del controller di dominio da utilizzare.
REFERENCE
https://social.technet.microsoft.com/Forums/ie/en-US/f16b0af1-8772-4f96-a9ac-fac47943e8e9/sysvol-permissions-for-one-or-more-gpo-are-not-in-sync?forum=ws2016
https://social.technet.microsoft.com/Forums/ie/en-US/1a5db5cb-f194-40b5-8545-37ccbac300e1/windows-server-2012-gpos-wont-sync?forum=winserverGP
https://ss64.com/nt/icacls.html
Nessun commento:
Posta un commento