Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzer bekommen Gruppenrecht nicht - W2K3

Frage Microsoft

Mitglied: StefanBo21

StefanBo21 (Level 1) - Jetzt verbinden

22.05.2012 um 14:03 Uhr, 2086 Aufrufe, 10 Kommentare

Hallo zusammen,

In den nächsten Tagen werden wir ein RollOut von neuen Druckern in der gesamten Firma machen.
Dazu haben wir ein Script geschrieben, welches den Benutzern anhand von Gruppenzugehörigkeiten die passenden Drucker zuweisst.

Um einem User einen neuen Drucker zuweisen zu können, muss er eigentlich nur in die passende Gruppe geschoben werden, das ganze über die verschiedenen DC repliziert werden und er sich ab und anmelden. Und schon sollte der Drucker da sein.
Soweit die Theorie...

Sehe ich das soweit richtig?

Was soweit alles klappt ist das zuweisen in die Gruppe, das replizieren auf alle DCs aber dann fängt es an.
Der Benutzer bekommt die neue Gruppenzugehörigkeit nach der Neuanmeldung nicht.

Hat jemand eine Idee woran das liegen kann?
Habe ich einen Schritt vergessen?

Alle DCs W2K3-Server.
Verschiedene Clientsysteme: WinXP und Win7...!

Gruss Stefan
Mitglied: DerWoWusste
22.05.2012 um 14:19 Uhr
Moin.

Ohne Adminrechte (xp: Hauptbenutzer- oder Adminrechte) funktioniert weder auf 7, noch auf xp eine nutzeregebundene Zuweisung mit den Defaulteinstellungen. Ergo: weise die Drucker Rechnergruppen zu, dann läuft es.

Willst Du unbedingt Nutzergruppen, dann teile mit, wie Du feststellst, dass der Nutzer nicht die Gruppenzugehörigkeit übernimmt.
Bitte warten ..
Mitglied: StefanBo21
22.05.2012 um 14:27 Uhr
Also das ganze läuft über ein LoginScript was mehrstufig abläuft.
An einer Stelle kommt die Abfrage ob der/die Anmeldende in der Gruppe "Druckerzuweisung" zuweisung ist.

%logonserver%\netlogon\ifmember Druckerzuweisung
if errorlevel 1 goto Printer

:Printer
%logonserver%\netlogon\printer.kix

Ist die Abfrage zur Ersten Gruppenmitgliedschaft.
Das läuft soweit auch problemlos...Wenn ich nen Tag warte.
in der printer.kix sind weitere Abfragen...Das ganze klappt soweit auch.
Was einfach nicht läuft ist die Umsetzung "In neue Gruppe, neu anmelden und es geht" und das asap...
Bitte warten ..
Mitglied: StefanBo21
22.05.2012 um 14:37 Uhr
Achja... und die Zuweisung über Rechner funktioniert nicht.
Die meisten Nutzer arbeiten über Metaframe und haben daher nur die MetaFrameserver als Computernamen.
Die Zuweisung klappt auch ohne Adminrechte...nur wenn der Nutzer mal eben schnell nen anderen Drucker brauch und in die dementsprechende Gruppe kommt, wird nicht erkannt das er in der Gruppe ist
ifmember /list habe ich zwischendrin eingebaut um zu sehen ob die neue Gruppe zugewiesen wird...Und da hakt es... nicht an der eigentlichen Druckerzuweisung
Bitte warten ..
Mitglied: DerWoWusste
22.05.2012 um 14:43 Uhr
Du gehst auf den Vorschlag nicht ein. Aber gut: es sollte gehen. Sobald man einen Nutzer anmeldet, werden dessen Gruppenmitgliedschaften eingelesen. Einen Tag zu warten brauchst Du bestimmt nicht. Lass Dir testhalber mal die Gruupenmitgliedschaften ausgeben über gpresult /r in einem Anmeldeskript, welches auf den Userdesktop in eine Textdatei schreibt und dann teste genauer, wann die Mitgliedschaft nun übernommen wird. Du kannst natürlich mit
gpresult /r |findstr Gruppenname
die Übersicht verbessern.
Bitte warten ..
Mitglied: StefanBo21
22.05.2012 um 14:46 Uhr
Auf welchen Vorschlag soll ich denn eingehen?
Das mit den Rechnergruppen? Geht nicht siehe zweites Posting von mir.
Und die Ausgabe mit gpresult /r ist ähnlich der Ausgabe im scirpt ifmember /list...zeigen beide das gleiche Resultat.
Bitte warten ..
Mitglied: DerWoWusste
22.05.2012, aktualisiert um 14:53 Uhr
Dein zweites Posting war noch nicht sichtbar, sorry.
Wenn ifmember /list nicht angibt, dass er in der Gruppe ist, dann wurde eben noch nicht repliziert. Prüfe also erneut auf %logonserver%, ob dort repliziert wurde, in welcher Gruppe der Nutzer ist.

Zur Rechnerzuweisung: sind die Drucker nicht Rechnern zuzuordnen? Ein Rechner soll also abhängig vom Nutzer verschiedene Drucker haben?

Zu den Rechten: Doch, glaub mir ruhig, Adminrechte/Hauptbenutzerrechte sind erforderlich. Nur wenn der Treiber schon auf dem Rechner ist (vorinstalliert, also recycelt wird), dann nicht.
Bitte warten ..
Mitglied: StefanBo21
22.05.2012 um 15:08 Uhr
Also wir arbeiten bis auf wenige Bereiche mit ThinClients. Die melden sich an ner MetaFrame-Farm an...
Und wir haben auch an einander vorbei geredet. Zum eigentlichen installieren der Treiber brauch der Benutzer natürlich Admin-Rechte. Dies wird aber umgangen indem vorweg ein Script läuft das alle Druckertypen einmal auf den Metaframeserver installiert... mit Adminrechten.

Und bei jeder Anmeldung wird abgefragt welchen Gruppen der benutzer hinzugehört... Und darauf hin bekommt er seine Drucker....bzw sind teilweise ein und der Selbe Drucker aber zum Beispiel einmal Schwarz Weiss oder Farbe oder Papierfach 3 statt 2... also muss schon wirklich auf den Benutzer hin zugeschnitten sein.


Auf den %logonserver% sind alle neuigkeiten repliziert.... das ist ja das was mich erstaunt.
Die Replikate und dementsprechend die Gruppen sind auf den DCs so wie sie sein sollen.
Nach nem Neustart sollte die Workstation/ThinClient ja eigentlich auch die neuen Gruppenrechte kennen... aber nix da
Bitte warten ..
Mitglied: DerWoWusste
22.05.2012, aktualisiert um 15:27 Uhr
Nach nem Neustart sollte die Workstation/ThinClient ja eigentlich auch die neuen Gruppenrechte kennen
Gruppenmitgliedschaftsveränderungen werden nach Anmeldung des Nutzers eingelesen, Neustart nicht erforderlich.
Verstehe nicht, was bei Dir passiert. ifmember /list muss das ausgeben, was der jeweilige Logonserver auch sagt. Komisch.

Sollte es das nicht tun, stimmt etwas mit der Netzwerkkonnektivität zum DC nicht, schätze ich mal stark. gpresult /r zeigt zum Beispiel AUCH OFFLINE ANGEMELDET die Gruppenmitgliedschaften an - welche gecacht wurden. Somit können die Ergebnisse (sicher auch bei ifmember /list) nicht stimmen.
Bitte warten ..
Mitglied: StefanBo21
22.05.2012 um 15:33 Uhr
Eben das verstehe ich halt auch nicht... Da is ja mein Problem und ich finde einfach die Lösung nicht.
Wenn ich mich morgen anmelde, habe ich auch die Gruppen plötzlich da...also irgendwann kommen sie ja an.
Und normal würde ich sagen das ist ein Problem der Replikation. Aber wenn ich die verschiedenen DCs durchschaue, sehe ich das dort überall die Gruppen hinterlegt sind.
Komischer Weise....!
Bitte warten ..
Mitglied: DerWoWusste
22.05.2012 um 16:07 Uhr
Setz mal am Client die Policy Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon auf aktiviert und starte neu und teste wieder.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...