Registry keys pushen via GPO - Serversoftware en clouddiensten

donderdag 29 november 2012 23:52

Acties:

0 Henk 'm!

Topicstarter

Probeer hier een bepaalde registry key the pushen via een GPO Preference.

Ter illustratie, dit is de GPO:
Afbeeldingslocatie: http://img820.imageshack.us/img820/9690/gporpcdynamicports.png

Afbeeldingslocatie: http://img820.imageshack.us/img820/9690/gporpcdynamicports.png

De bedoeling is het aanmaken van de key HKLM\SOFTWARE\Microsoft\RPC\Internet en daarin 3 strings. De key Internet wordt aangemaakt, maar de 3 strings niet.

- GPRESULT toont dat de GPO werd toegepast (logisch, anders zou de key Internet niet zijn aangemaakt)
- Geen errors in de eventlog met betrekking tot deze GPO

Iemand een idee hoe dit te troubleshooten? Of ervaring met het pushen van registry settings via GPO preference?

vrijdag 30 november 2012 08:54

Acties:

0 Henk 'm!

mindcre8r

Tradepedia

is je client XP.Vista of 7?
XP zal je met een adm template moeten prutsen
Vista,7,2008/2012 kan je met een GPO setting doen, moet je Domein/DC echter wel 2008+ zijn.

verder, bestaat de key al en zijn het enkel subkeys die je wilt plaatsen zet hem dan op replace ipv add.
replace haalt de oude weg en schrijft de nieuwe keys.

Bears and Bulls

vrijdag 30 november 2012 09:38

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

mindcre8r schreef op vrijdag 30 november 2012 @ 08:54:
XP zal je met een adm template moeten prutsen

Tenzij de group policy preferences update voor XP geinstalleerd is.

Group Policy Preference Client Side Extensions for Windows XP

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 30 november 2012 10:35

Acties:

0 Henk 'm!

KerberosX

Topicstarter

OK, nog even een aanvulling dus:

- Zowel de Domain Controller als de clients zijn allen Win2008R2 (is dus een setting die naar alle servers dient gepushed te worden). Dus ik denk niet dat het ligt aan de templates.

- Zoals al aangegeven in de beginpost, bestaat de key HKLM\SOFTWARE\Microsoft\RPC\Internet standaard niet. Deze moet dus aangemaakt worden en daarin 3 strings. De key "Internet" wordt aangemaakt, maar de 3 strings die erin moeten komen worden niet aangemaakt.

vrijdag 30 november 2012 10:48

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat gebeurd er als je de settings probeert aan te maken met behulp van een "multiple Registry preference items"? (via de registry wizard).

Klopt verder de volgorde van toepassen wel? Volgens mij is "order 1" de meest belangrijke en wordt dus als laatste uitgevoerd (zodat deze settings als laatste applied worden, en dus leading zijn). Je probeert nu al strings te plaatsen, terwijl de key waarin deze geplaatst moeten worden nog niet bestaan. Plaats het aanmaken van de key eens als laatste? (order 4).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 30 november 2012 19:16

Acties:

0 Henk 'm!

KerberosX

Topicstarter

Question Mark schreef op vrijdag 30 november 2012 @ 10:48:
Wat gebeurd er als je de settings probeert aan te maken met behulp van een "multiple Registry preference items"? (via de registry wizard).

Heb ik ook geprobeerd, maar maakt geen verschil

Klopt verder de volgorde van toepassen wel? Volgens mij is "order 1" de meest belangrijke en wordt dus als laatste uitgevoerd (zodat deze settings als laatste applied worden, en dus leading zijn). Je probeert nu al strings te plaatsen, terwijl de key waarin deze geplaatst moeten worden nog niet bestaan. Plaats het aanmaken van de key eens als laatste? (order 4).

Heb inderdaad nu even met de volgorde gespeeld (dus volledig omgekeerd) en dan wordt de key Internet aangemaakt en 2 van de 3 strings. Ontzettend vaag, want de 3 strings hebben enkel een dependency op de key Internet en niet op elkaar omdat ze op hetzelfde niveau hangen.

Iemand die dit in de praktijk ooit echt gebruikt heeft?

vrijdag 30 november 2012 19:21

Acties:

0 Henk 'm!

KnoxNL

Nee, om dit soort redenen niet. Of we virtualiseren ze bij een applicatie die het nodig heeft, of we pushen de key met Powerfuse indien gewenst.

Maar ik kan de situatie en je middelen niet goed inschatten dus wellicht dat dat hier overkill is.

vrijdag 30 november 2012 20:14

Acties:

0 Henk 'm!

alt-92

ye olde farte

Flauwekul, werkt prima.

GPP registry items zijn easy-peasy als je met een paar dingen rekening houdt (Update vs. Create en de Registry Wizard 'bug' - zie link onderaan).
Wat jij probeert te doen is een Key (folder) Internet aan te maken, en die kan nooit een REG_SZ zijn.
Hence, fail.

Als je de lege root Internet weglaat en alleen de drie te zetten Value Name & data pairs zet werkt het wel.
Keypath wordt vanzelf aangemaakt, zie hier.

Afbeeldingslocatie: http://tweakers.net/ext/f/q5sSI0WbHARG5mEiOZAFlS4S/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/q5sSI0WbHARG5mEiOZAFlS4S/full.jpg

Lees ook dit:
GPMC reporting error “The given Key was not present in the dictionary”

[ Voor 75% gewijzigd door alt-92 op 30-11-2012 20:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 30 november 2012 20:54

Acties:

0 Henk 'm!

KnoxNL

Iets aan je post patroon vertelt me dat je er moeite in hebt gestoken, if you know what i mean

Chapeau.

Maar zoals gezegd kan ik de situatie van TS niet inschatten, dus weet ik niet welke middelen gekwalificeerd zijn.

vrijdag 30 november 2012 21:16

Acties:

0 Henk 'm!

KerberosX

Topicstarter

alt-92 schreef op vrijdag 30 november 2012 @ 20:14:
Flauwekul, werkt prima.

GPP registry items zijn easy-peasy als je met een paar dingen rekening houdt (Update vs. Create en de Registry Wizard 'bug' - zie link onderaan).
Wat jij probeert te doen is een Key (folder) Internet aan te maken, en die kan nooit een REG_SZ zijn.
Hence, fail.

Als je de lege root Internet weglaat en alleen de drie te zetten Value Name & data pairs zet werkt het wel.
Keypath wordt vanzelf aangemaakt, zie hier.

[afbeelding]

Lees ook dit:
GPMC reporting error “The given Key was not present in the dictionary”

Ben nog eens van scratch begonnen. Ditmaal jouw raad opgevolgd en de Internet key niet specifiek gedefinieerd (enkel de 3 strings). En inderdaad wat je zegt klopt, de Internet key wordt automatisch gegenereerd.

Maar het gedrag blijft hetzelfde, 1 string wordt gecreëerd (+ nog de lege default), nog eens een beetje gespeeld met Create versus Update en de volgorde van de keys. Telkens wordt de key die eerst staat in de GPO aangemaakt, de rest wordt genegeerd.

Dan nog eens de Registry Wizard geprobeerd (jouw link indachtig, dus de Internet root folder niet aangetikt). En opnieuw hetzelfde gedrag. De Internet key wordt aangemaakt + de eerste string. De rest wordt genegeerd. Het spelen met de volgorde geeft hetzelfde effect (degene die eerst staat wordt aangemaakt, de rest niet).

Dus op zich is het gedrag wel consistent. Enkel de eerste string wordt aangemaakt, de rest genegeerd. Noem ik niet easy-peasy

vrijdag 30 november 2012 21:23

Acties:

0 Henk 'm!

alt-92

ye olde farte

Maak eens een Collection aan en stop daar die value name& data pairs in?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 30 november 2012 21:49

Acties:

0 Henk 'm!

KerberosX

Topicstarter

Hmm, zat op het verkeerde pad, heeft dus niets te maken met de opmaak van de GPO

Het heeft allemaal te maken met permissions. De registry key wordt aangemaakt door de SYSTEM user en wanneer je daarna de permissions nakijkt, heeft geen enkele gebruiker schrijfrechten. Als ik met mijn gebruiker ownership neem van de key en daarna mezelf schrijfrechten geef en nog eens een gpupdate doe dan worden alle keys netjes aangemaakt.

Volgende uitdaging: hoe manipuleer ik de security van de key die ik aanmaak? Zover ik kan zien, zijn er hiervoor geen instellingen.

Spelen met de security van de GPO zelf heeft volgens mij geen zin, aangezien die zich niets aantrekt van wat er in de GPO zelf staat. Of vergis ik mij?

vrijdag 30 november 2012 22:10

Acties:

0 Henk 'm!

alt-92

ye olde farte

Klopt.
Maar dat is de Default ACL op HLKM\Software, dus dat wijkt niet af van handmatig keys aanmaken.
Of je moet al het nodige customized hebben?

Als je niet In-Box ACLs op registry hives of keys wil zetten moet je weer uitwijken naar de standaard Group Policy items in Windows Settings > Security Settings > Registry
Daar kun je wel de net aangemaakte Keys voorzien van jouw gewenste security settings.

Overigens loont het de moeite om eens te gaan spitten naar de volgorde waarin GPE's worden toegepast.
Die staan in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions

Die worden altijd op dezelfde volgorde toegepast, dus daar kun je dan weer je voordeel mee doen door die binnen een Group Policy op de juiste manier aan elkaar te verbinden zodat je wel je gewenste resultaat krijgt.
Of door de ordering van je GP Objects aan te passen zodat je aangemaakte keys reACLed worden door de volgende mét Security settings.

[ Voor 16% gewijzigd door alt-92 op 30-11-2012 22:26 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device