我正在使用两个 2016 DC 运行 Windows Active Directory 域。域和我的 GPO 策略的所有内容均正常运行。但是,当我打开组策略管理,然后选择 OU 中的链接 GPO,然后选择委派选项卡时,我得到了一个“访问被拒绝”模式对话框。如果我在“组策略对象”容器中选择 GPO,那么我会立即得到一个“访问被拒绝”模式对话框。
我属于哪个组(管理员、域管理员、企业管理员)似乎并不重要,我已经检查了 SYSVOL 中的策略权限,我觉得没什么问题。到目前为止,这只是一个麻烦,但我想知道原因是什么以及如何解决它。
我还注意到了其他一些细节:
- 策略详细信息的范围选项卡上缺少 WMI 过滤部分。
- 策略详细信息的范围选项卡的安全过滤部分中没有列出任何用户。
我登录到成员服务器或域控制器,然后 gpmc 正常运行(没有委派的访问被拒绝消息,显示 WMI 筛选,安全筛选已填充其用户)
我通过注册表项启用了组策略管理日志记录,并将好系统和坏系统的日志输出进行了比较。很明显,我的工作站被拒绝访问,但不清楚为什么会这样。
坏的:
[127c.2f4] 11/07/2023 09:32:33:087 [VERBOSE] CEffectivePermissionsTable::Load(): Loading from cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CSecurityUtility::GetDSSecurityDescriptorDacl(): GetNamedSecurityInfo for LDAP://MyDC1.myname.mydomain.com/cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CGPOPermissionsTable::GetSecurityDescriptors(): GetDSSecurityDescriptorDacl failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CEffectivePermissionsTable::Load(): GetSecurityDescriptors failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CGPMSecurityInfo::Load(): Load failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:107 [VERBOSE] CGPMGPO::GetSecurityInfo(): Loading for GPO cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com
[127c.2f4] 11/07/2023 09:32:33:107 [WARNING] CGPMGPO::GetSecurityInfo(): Load failed with 0x80070005.
好的:
[192c.528] 11/07/2023 03:57:42:427 [VERBOSE] CEffectivePermissionsTable::Load(): Loading from cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com.
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] CEffectivePermissionsTable::GetOrAddEntry: Entry already found for S-1-5-11
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] CGPMSecurityInfo::Load(): Dumping permissions table.
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] ==========BEGIN EFFECTIVE PERMISSIONS LIST DUMP==========
...dumps ACLS.....
在日志中看到访问被拒绝消息时,我使用 ldp.exe 绑定作为工作站上的用户,它也能够毫无问题地查询和检索 ACL。
此外,我的工作站的 Get-GPPermission 也返回访问被拒绝,但不在成员服务器或 DC 上。
答案1
此问题是由于在域控制器 (CIS L1) 上为 LDAP 启用了“需要签名”,而我们的工作区客户端上没有类似的设置。我认为这是一个相当不寻常的情况。
Require Signing在 DC 上设置需要
本地计算机策略-->计算机配置-->策略-->Windows 设置-->安全设置-->本地策略-->安全选项:域控制器:LDAP 服务器签名要求 =
Require signing
并且客户要求
本地计算机策略-->计算机配置-->策略-->Windows 设置-->安全设置-->本地策略-->安全选项:网络安全:LDAP 客户端签名要求属性 =
Require signing
我不确定为什么 GPMC 默认不尝试 LDAPS,但根据日志和这个问题判断,它没有。此外,我能够使用 ldp.exe 查询安全描述符,但我使用的是 LDAPS。我将属性更改Connection为使用端口 389 并取消选中 SSL,之后我无法查看策略的 DACL,并返回此错误
-----------
Error: Security: No Such Attribute. <16>
Server error: <empty>
-----------