GPMC Search Item – with “User Configuration” it does not work

 

Today I  opened GPMC on the Windows Server 2019 Preview and really after long time I tried to use Search Item in GPMC console. I was surprised that Search Item with User Configuration did not allow me to add any condition. Please check in the picture below. It is suprise that same behavior I can see on S2K12R2, Windows 10 and etc….so it is nothing new :(. I spent some time with searching on  internet than I found TechNet article about it.  – https://social.technet.microsoft.com/wiki/contents/articles/23169.the-value-drop-down-list-is-grayed-out-when-you-perform-search-for-group-policy-objects-in-gpmc.aspx

Because I did not find any advice except article above I believe that more articles about this bug (or what it is) could be useful.

All what is necessary to do is open REGEDIT , go to this path (go to the part of registry, where OS has Client Side Extension for GPO) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4D2F9B6F-1E52-4711-A382-6A8B1A003DE6}]

click on GPextension with number above and choose export ! Yes, we should backup this key, because it should be our first step before we do any change in registry.

 

When we have backup, right click on GPExtension {4D2F9B6F-1E52-4711-A382-6A8B1A003DE6} again and choose “Permissions….”  perform 3 steps describes in the pictures. Change owner to your account used for logon. After we change owner, full control “Access” should be visible for our new owner.

 

Now we have to change Default value of REG_SZ which is empty. We have to put there this string RemoteApp and Desktop Connections , lets check picture below

 

Now is necessary close GPMC and open this console again. Try to use Search Item and choose User Configuration, now it should be ok 🙂 . Tested and for me it is working 🙂 . Thanks

 

 

Active Directory on Windows Server version(DFL, FFL) – new features

 

 List of changes with Domain and Forest functional levels

 

2008 Domain functional level:

  • Multiple password policies per domain
  • User-viewable last logon information
  • Increased Kerberos encryption
  • DFS replication for SYSVOL shares

 

2008 R2 Domain functional level:

  • Better and more automated service account management
  • Security logs and access lists based on authentication type

 

2008 R2 Forest functional level:

  •  AD “recycle bin”

 

2012 R2 Domain functional level:

  • Restricted admin mode – Mstsc /restrictedadmin (it is not store admin passwordon remote desktop to LSA)
  • LSA Protection
  • Protected user groups
  • Authentication Polices
  • Silos (management for authentication polices)
  • COMPOUND ID
  • Kerberos Armoring

 

2012 R2 Forest functional level:

  • nothing

 

2016 domain functional level:

All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:

  • DCs can support rolling a public key only user’s NTLM secrets.
  • DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.
  • Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID. – > https://datatracker.ietf.org/doc/rfc8070/?include_text=1
  • Temporary Group Membership : It requires to enable the Privileged Access Management Feature in Windows Server 2016 forest

For more information see What’s New in Kerberos Authentication and What’s new in Credential Protection

 

2016 forest functional level:

All of the features that are available at the Windows Server 2012R2 forest functional level, and the following features, are available:

  • Privileged access management (PAM) using Microsoft Identity Manager (MIM) (Groups memebrship expiration – JIT, JEA)

 

AdminSDHolder – Co to je a k čemu ?

Toto je opravdu stručný článek o tom co je a k čemu slouží objekt v ActiveDirectory “AdminSDHolder (objekt v security/Advanced   nemá povolené dědění by default !)

AdminSDHolder je objekt, který najdete v Active Directory Users and Computers (ADUC) konzoli po povolení “Advanced Features” ve view “zobrazit”, ale předpokládám, že moc z vás českou lokalizaci serveru nemá ….

AdminSDHolder má na starost chránit tzv. “protected groups” před změnou v ACL. Na starost ho má FSMO PDC. Jestliže někdo změní na jmenované skupině oprávnění, přidá třeba domain user-ovi právo modify na Domain Admins skupinu, během následující hodiny se toto oprávnění odstraní. Každou hodinu se totiž by default kontoluje stav ACL a jestliže nesedí dle výchozího stavu, systém (PDC) ACL vrátí do původního stavu. Všechny objekty (user, groups), které jsou a nebo byly členy těchto skupin, mají hodnotu atributu AdminCount=1 (odstraňuje dědění na těchto objektech), tato hodnota s už sama od sebe nikdy nevrátí zpět. Toto má však za následek, že se při zapnutí dědění na objektu s hodnotou atributu AdminCount=1, nebudou správně dědit práva z nadřazených objektů. AdminCount můžete nastavit na <not set> přes ADSIEDIT nástroj, nebo  nástroj ADUC  přes tab Attribute Editor.

Windows 2000 Server RTM  Windows 2000 Server with SP4  Windows Server 2003 with SP1 ,SP2 Windows Server 2008,R2, Windows Server 2012, R2
Administrators Account Operators Account Operators Account Operators
Domain Admins Administrator Administrator Administrator
Enterprise Admins Administrators Administrators Administrators
Schema Admins Backup Operators Backup Operators Backup Operators
  Cert Publishers Domain Admins Domain Admins
  Domain Admins Domain Controllers Domain Controllers
  Domain Controllers Enterprise Admins Enterprise Admins
  Enterprise Admins Krbtgt Krbtgt
  Krbtgt Print Operators Print Operators
  Print Operators Replicator Read-only Domain Controllers
  Replicator Schema Admins Replicator
  Schema Admins Server Operators Schema Admins
  Server Operators   Server Operators

 

Malá ukázka: (opravdu jsem oprávnění send as, neodstranil ručně :)) – Ukázka, jak může nastat problém, jestliže používáte domain admin účet s mailboxem v MS Exchange a budete chtít někomu dovolit posílat za admina email (oprávnění send as)

adminSDholders_demo1

Toto je mimochodem způsob, jak kontrolu ACL, která je default jednou za hodinu, urychlit (v mém případě se ale stejně kontrola ACL projevila o něco později, než po akci viz.níže )

Použit nástroj ldp.exe

adminSDholders_demo2

Tady už vidíme, že uživatel user1 není v seznamu uveden.

adminSDholders_demo3latter

Více informací najdete zde: https://technet.microsoft.com/cs-cz/magazine/2009.09.sdadminholder(en-us).aspx