Wie lässt sich verfolgen, wann die Funktion "GPO-Vererbung blockieren" für eine bestimmte OU aktiviert ist?

Verfolgung der Blockvererbung GPO aktiviert für eine OU

Schritt 1: Aktivieren der OU-Überprüfung

Starten Sie den Server Manager auf Ihrem Windows Server.

Navigieren Sie unter Tools zur Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console; GPMC).

Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die Option “Domänencontroller”. Sie können die Option "Erstellen Sie ein neues GPO und verknüpfen Sie es hier" oder "Verknüpfen Sie ein bestehendes GPO" wählen.

Klicken Sie mit der rechten Maustaste auf das gewünschte GPO und wählen Sie "Bearbeiten". Daraufhin wird der Gruppenrichtlinien-Verwaltungseditor geöffnet. Erweitern Sie den Ordner und wählen Sie "Computerkonfiguration".

Wählen Sie dann "Richtlinien" und navigieren Sie zu "Windows-Einstellungen". Wählen Sie unter Windows-Einstellungen die Option "Sicherheitseinstellungen" und navigieren Sie dann zu "Erweiterte Überwachungsrichtlinienkonfiguration".

Wählen Sie in der Option Erweiterte Überwachungsrichtlinienkonfiguration die Option "Überwachungsrichtlinien" und erweitern Sie den Knoten. Wählen Sie dann "DS Access" und doppelklicken Sie auf die Option "Directory Service Access überwachen".

Konfigurieren Sie außerdem die Ereignisse "Erfolg" und "Misserfolg" für "Verzeichnisdienständerungen überprüfen".

Verlassen Sie den Gruppenrichtlinien-Verwaltungseditor und kehren Sie zur GPMC zurück.

Gehen Sie zum Punkt Domänencontrollers und wählen Sie das neu geänderte GPO aus. Unter der Kartei Scope auf der rechten Seite finden Sie den Abschnitt Sicherheitsfilterung. Wählen Sie "Hinzufügen".

Daraufhin wird das Fenster Benutzer, Computer oder Gruppe auswählen geöffnet. Geben Sie in diesem Fenster "Jeder" ein, um dieses GPO auf alle Objekte anzuwenden.

Sie können nun zur GPMC zurückkehren. Die Gruppenrichtlinie muss auch auf die gesamte Gesamtstruktur angewendet werden. Öffnen Sie dazu "Ausführen" auf Ihrem Server und führen Sie “gpupdate /force” aus. Sie sollten eine Benachrichtigung erhalten, dass die Aktualisierung der Richtlinie erfolgreich war.

Schritt 2: Aktivieren Sie AD Auditing in ADSI Edit.

Gehen Sie in Ihrem Server Manager auf Tools und wählen Sie "ADSI Edit".

Klicken Sie mit der rechten Maustaste auf den Punkt "ADSI Edit" im linken Fensterbereich und wählen Sie die Option "Verbinden mit". Daraufhin wird das Fenster Verbindungseinstellungen angezeigt.

Wählen Sie die Option "Standard-Namenskontext" aus der Dropdown-Liste Wählen Sie einen bekannten Namenskontext.

Klicken Sie auf "OK" und kehren Sie zum ADSI-Bearbeitungsfenster zurück. Erweitern Sie Standard-Namenskontext und wählen Sie den zugehörigen Unterknoten "DC". Klicken Sie mit der rechten Maustaste auf diesen Unterknoten und dann auf "Eigenschaften".

Gehen Sie im Fenster Eigenschaften auf die Kartei Sicherheit und wählen Sie "Erweitert". Wählen Sie anschließend die Kartei Überwachung und klicken Sie auf "Hinzufügen".

Klicken Sie auf "Prinzipal auswählen". Daraufhin wird ein Fenster Benutzer, Computer oder Gruppe auswählen angezeigt. Geben Sie "Jeder" in das Textfeld ein und überprüfen Sie es mit "Namen prüfen".

Prinzipal im Fenster Überwachungseintrag zeigt nun "Jeder" an. Wählen Sie in der Dropdown-Liste Typ die Option "Alle", um sowohl "erfolgreiche" als auch "fehlgeschlagene" Ereignisse zu überprüfen.

-Wählen Sie in der Dropdown-Liste Auswahl die Option "Dieses Objekt und alle abhängigen Objekte". Dies ermöglicht die Prüfung der von der OU abhängigen Objekte. Wählen Sie im Abschnitt Berechtigungen die Option "Volle Kontrolle".

Klicken Sie auf "Übernehmen" und "OK" und schließen Sie das Fenster.

Schritt 3: Verwenden Sie den Event Viewer, um Ereignisse zu verfolgen

-Im Event Viewer können Sie unter "Sicherheitsprotokolle" nach den folgenden Ereignis-IDs suchen.

-Ereignis-ID: 4670 beschreibt, dass die Berechtigungen für ein Objekt geändert wurden.