Windows Group Policies en Builtin group names?

Windows server 2016 (Engels). Windows 10 client Nederlands.

Ik was / ben een GPO aan het testen met instellingen volgens de Microsoft Security Compliance Toolkit. Een van de instellingen Access this computer from the network onder Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies/User Rights Assignment geeft als waarde BUILTIN\Remote Desktop Users, BUILTIN\Administrators. Maar deze instelling wordt niet goed toegepast - alleen 'BUILTIN\Administrators' wordt opgepikt. Voor 'BUILTIN\Remote Desktop Users' wordt aangegeven No mapping between account names and security IDs.

Lang verhaal kort - het lijkt erop dat de namen van ingebouwde groepen letterlijk worden genomen. Want als ik Extern Bureaublad Gebruikers opgeef, dan wordt de policy probleemloos toegepast.
Dat is raar. Zou betekenen dat je in een gemixte omgeving van Nederlands en Engels zowel de Nederlandse als Engelse groepnamen moet opgeven? Ik heb altijd begrepen dat Windows zo slim is om zelf de naam te herleiden naar de SID, ongeacht de geïnstalleerde taal. Kennelijk niet? Of kan hier wat anders aan de hand zijn?

babbelbox schreef op donderdag 4 april 2024 @ 15:40:
Hoe vul je de groep in?

Op meerdere manieren. Opzoeken via AD - als ik zoek op 'extern' dan wordt niets gevonden - er is geen groep met 'extern' in de naam. Zoek ik op 'remote' dan komt de groep 'Remote Desktop Users' bovendrijven. Maar die tekst wordt dus blijkbaar letterlijk overgenomen - niet de onderliggende SID.
De twee manier is domweg de naam van de groep intikken - dan wordt geen validatie uitgevoerd. De ingetikte naam wordt domweg overgenomen en op de client aan de bijbehorende SID gekoppeld.

Op zich nog geen probleem - totdat je een mix van Engelstalige en Nederlandstalige Windows hebt draaien. Dan moet je dus zowel de Nederlandse als Engelse groepnamen in gaan vullen. En dat genereert op de client dan altijd een waarschuwing in de Eventlog.

Hero of Time schreef op donderdag 4 april 2024 @ 19:54:
Bij de groep, pak je dan die in de container buildin staat in AD, of van het lokale systeem?

Die uit de AD container Builtin. Het lokale systeem waarop ik de GPO aanpas is ook Engels. Als ik GPResult draai op de client, dan geeft die de waardes aan die in de GPO staan. Maar als ik Secpol uitvoer op de client, dan zie ik alleen groep Administrators - zoals je zegt is de naam van die groep voor beide talen gelijk.

Hero of Time schreef op donderdag 4 april 2024 @ 21:49:
Installeer eens RSAT op je lokale NL systeem en kijk dan in de Group Policy Editor naar het rapport en als je die bewerkt wat er staat bij de groepen.

Gedaan - resultaat is hetzelfde. Als je in de Group Policy Editor gaat bladeren in AD, dan zijn de groepsnamen nog steeds in Engels. En op de client worden die niet tot de juiste groep-SID herleid. Ik heb debugging even ingeschakeld en dan kan je het mooi zien in winlogon.log:

Van een aantal groepen wordt de SID gebruikt en voor andere, Engelstalige, groepen wordt een fout 1332 gegenereerd. Zoals te zien geeft Users, Remote Desktop Users en Blablablabla een foutmelding. In het lijstje staat in de GPO ook Extern Bureaubladgebruikers en die wordt netjes herleid naar S-1-5-32-555.
Wat ik me ook afvraag is of de groepsnamen in de GPO al worden herleid naar de bijbehorende SID of dat dat pas op de client gebeurt als de policy wordt toegepast...