Gruppenrichtlinien-Problem DE/EN bei Active Directory Domain-Server

Ein Blog-Leser hat mich auf eine Merkwürdigkeit bei Gruppenrichtlinien für Active Directory-Server hingewiesen. Die Richtlinien für deutsche und englische Windows Server-Installationen haben nicht die gleichen Optionen.


Anzeige

GPOs sind nicht so meine Baustelle, aber ich habe bereits öfters vernommen, dass Microsoft bei der Lokalisierung von Gruppenrichtlinien Fehler macht. Eine deutsche .admx-Datei weist dann ggf. nicht alle Optionen des englischsprachigen Pendants auf. Das wird immer dann zum Problem, wenn Leute nicht die englischen Vorlagedateien, sondern lokalisierte .admx-Dateien verwenden müssen. Besonders doof wird es, wenn eine wichtige Gruppenrichtlinie, wie in nachfolgendem Fall, gänzlich fehlt.

GPO fehlt beim AD-Server

Blog-Leser Black Smith meldete sich die Tage per direkter Nachricht auf MeWe mit einer kurzen Information, die ihm aufgefallen ist (danke dafür). Er schrieb:

Guten Morgen der Herr….noch eine “Merkwürdigkeit”…: In der Firma nutzen wir englische AD-Server, weil Splunk nur mit englischen Servern klar kommt. Verbinde ich mich nun auf einen der AD-Server in der Firma, rufe den GPO-Editor auf, sehe ich das, was im nachfolgenden Bild zu sehen ist.

Gruppenrichtlinien für Domain Controller Deutsch
(Zum Vergrößern klicken)

Rufe ich per Notebook die MMC auf meinem W10-PC der Firma auf, sehe ich das, was im nachfolgenden Bild zu sehen ist.

Gruppenrichtlinien für Domain Controller Englisch
(Zum Vergrößern klicken)

Der Benutzer hat festgestellt, dass ihm eine Gruppenrichtlinie komplett fehlt und schreibt dazu:

Die Aufgabe lautet: Man möge doch einmal das Wort DOMÄNENCONTROLLER / DOMAINCONTROLLER suchen und zählen. Der neue Punkt “DOMÄNENCONTROLLER: SICHERE VERBINDUNG MIT VERWUNDBAREN KANÄLEN ÜBER DEN ANMELDEDIENST (NETLOGON) ZULASSEN” fehlt komplett auf dem Server im Gruppenrichtlinieneditor…?!?

Genau dieser Punkt beschäftigt momentan aber Administratoren wegen der Zerologon-Sicherheitslücke (CVE-2020-1472) (siehe meinen Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme). Kann das jemand bestätigen?


Anzeige

Dieser Beitrag wurde unter Windows Server abgelegt und mit AD, GPO, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Gruppenrichtlinien-Problem DE/EN bei Active Directory Domain-Server


  1. Anzeige
  2. Mark Heitbrink sagt:

    Servus. Das ist keine Einstellung aus den admx Dateien, sondern aus der scregvl.inf die, wenn sie editiert wird, per regsvr32 scecli.dll PRO Maschine Importiert werden muss, um sowohl im Editor, als auch in gpresult gesehen zu werden.

    Microsoft hat das Update AFAIK nicht für Windows 10 integriert. Das müsste ich aber noch einmal nachschauen.

    Siehe:
    https://techcommunity.microsoft.com/t5/microsoft-security-baselines/security-baseline-final-windows-10-and-windows-server-version/ba-p/1543631

    This setting is now provided as part of Windows and no longer requires a custom ADMx … The new setting location is: Security Settings\Local Policies\Security Options\Domain controller: LDAP server channel binding token requirements …
    this new policy requires the March 10, 2020 security update.

    • Günter Born sagt:

      Nachtrag von Marc auf FB:

      Deine Quelle verwendet eine gpmc, die nicht aktuell ist, oder evtl fehlt der Eintrag auf einer Windows 10 Maschine in der Inf.

      Lösung: GPMC auf Servern nutzen oder inf vom Server Manuel auf der Workstation registrieren

      Danke an Marc Heitbrink für die Hinweise.

    • Chris sagt:

      Ich finde die Einstellung sowohl global am Firmen DC (Server 2012 R2) als auch lokal auf meinen private Win 10 Pro (1909) PC, und am privaten PC wurde nichts per Hand importiert.

      Sieht also so aus als hätte MS das Update für die PCs verteilt.

      Gruß

  3. MOM20xx sagt:

    kann das sein, dass am laptop das nicht angezeigt wird, weils schlichtweg ein server patch ist?

    bei der einführung von ie 11 ging microsoft ja auch soweit, dass mind. ein win 8.1 client mit rsat tools oder ein windows server 2012 r2 zum editieren der gpos verwendet werden musste, weil win7 oder windows server 2008 r2 schlichtweg die templates nicht anzeigen konnte.

    für CVE-2020-1472 gibts keine templates in der form für den policy store. das ist ein lokaler server patch. vermutlich kann ein client os den dann auch nicht anzeigen, egal in welcher sprache

  4. Anzeige

  5. Chris sagt:

    Es ist kein EN/DE Problem, der DC Server ist schlicht einfach nicht auf dem aktuellen Updatestand.

    Also Updates einspielen, Neustart durchführen damit die Updates auch final verarbeitet werden, danach ist die Option verfügbar.

    Gruß

  6. WST sagt:

    DE/EN hat nichts mit *.ADMX zu tun, Übersetzungen in die einzelnen Sprachen findet man in den *.ADML Dateien. Es gibt IMO nur *.ADMX Dateien in englischer Sprache.

    Weitere Begrifflichtkeiten: Jeder Server der Mitglied einer AD-Domain ist, ist ein AD-Server. Hier wird von Active Directory Domain Controllern gesprochen!

    Und was man auch nicht sieht, ob es einen Central Store für GPOs gibt, der ob der lokale ADMX/ADML Store der jeweiligen Maschine benutzt wird. Und, falls es einen Central Store gibt, ist der auch aktuell? Und falls es einen Central Store gibt, wurde GPEDIT.MSC aufgerufen oder die GPMC.MSC? Wird GPEDIT.MSC aufgerufen, werden die lokal gespeicherten ADMX-Templates angezeigt, wird die GPMC.MSC aufgerufen, kann der Central Store verwendet werden, wenn es ihn gibt. Und dann sind wir wieder beim Thema Updates.

    Artikel zum Thema Central Store: https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen
    https://www.mdmandgpanswers.com/blogs/view-blog/how-to-make-the-ultimate-admx-central-store

  7. Blacksmith sagt:

    Keine Ahnung, wieso hier W10 ins Spiel gebracht wird. Es handelt sich um zwei 2016 AD-Server. Einer in engl., einer in deutsch.

    Natürlich Central Store für die GPOs. Aufgerufen mittels Gruppenrichtlinienverwaltung aus dem Servermanager, welcher an die Taskleiste gepint ist.

    Genauer Aufruf:
    “%SystemRoot%\system32\mmc.exe %SystemRoot%\system32\gpmc.msc”

    Die Dateien sind so aktuell, wie Updates das zulassen. Auf beiden Systemen. Hier wurde nichts importiert, umgestellt, dazugedichtet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.