10
Gruppenrichtlinien - hab ich alles richtig gemacht ?
Konfiguration :
Standort A - Server Win 2003 Termin - VPN via Fritzox - verbunden mit allen Standorten (Ping funkt.)
Standort B - Win 2000 - VPN via Fritzox - Verbindung via RDP als "Admin" funkt.
Standort C - Win 2000 - VPN via Fritzbox - Verbindung via RDP als "Admin" funkt.
Hallo,
also angenommen ich hab einen Objekteinheit "Test" , in dieser befindet sich der User "Testuser" .
Nun erstelle ich mittels "gpmc.msc" eine "Testrichtlinie" welche den Ausführen Eintrag aus dem Startmenü entfernen soll - diese Richtlinien befindet sich bzw. ist mit meiner Objekteinheit "Test" verknüpft.
Wenn ich mich jetzt bei der Sitzung als Admin abmelde und beim Server als "Testuser" anmelde habe ich immernoch den "Ausführen" Eintrag im Startmenü.
Nun hab ich was von DNS Server gelesen - die IPCONFIG vom Server ist :
IP automatisch beziehen
IP : 192.168.179.22
bevozugter DNS : 192.168.179.22
Der Rechner mit dem ich alles test befindet sich im selben LAN und hat folgenden IP Einstellungen :
IP automatisch beziehen :
192.168.179.25
bevozugter DNS : 192.168.179.22
Nun habe ich die DNS funktion beim Server deinstalliert da sich mir der Sinn in meinem Fall für einen DNS Server nicht erschließt.
Die Standorte werden mittel DynDNS verbunden und haben auch Verbindung.
Wozu brauche ich den DNS Server?
!!!!!!!!!!!!!!!!!!NACHTRAG!!!!!!!!!!!!!!!!!!!!!!!
Wenn ich mich mit meinem Testuser lokal also direkt am Server (d.h. Monitor anschließen etc.) anmelde dann wird der "Ausführen" Befehl ausgeblendet.
Wo liegt nun das Problem?
also angenommen ich hab einen Objekteinheit "Test" , in dieser befindet sich der User "Testuser" .
Nun erstelle ich mittels "gpmc.msc" eine "Testrichtlinie" welche den Ausführen Eintrag aus dem Startmenü entfernen soll - diese Richtlinien befindet sich bzw. ist mit meiner Objekteinheit "Test" verknüpft.
Wenn ich mich jetzt bei der Sitzung als Admin abmelde und beim Server als "Testuser" anmelde habe ich immernoch den "Ausführen" Eintrag im Startmenü.
Nun hab ich was von DNS Server gelesen - die IPCONFIG vom Server ist :
IP automatisch beziehen
IP : 192.168.179.22
bevozugter DNS : 192.168.179.22
Der Rechner mit dem ich alles test befindet sich im selben LAN und hat folgenden IP Einstellungen :
IP automatisch beziehen :
192.168.179.25
bevozugter DNS : 192.168.179.22
Nun habe ich die DNS funktion beim Server deinstalliert da sich mir der Sinn in meinem Fall für einen DNS Server nicht erschließt.
Die Standorte werden mittel DynDNS verbunden und haben auch Verbindung.
Wozu brauche ich den DNS Server?
!!!!!!!!!!!!!!!!!!NACHTRAG!!!!!!!!!!!!!!!!!!!!!!!
Wenn ich mich mit meinem Testuser lokal also direkt am Server (d.h. Monitor anschließen etc.) anmelde dann wird der "Ausführen" Befehl ausgeblendet.
Wo liegt nun das Problem?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102715
Url: https://administrator.de/contentid/102715
Printed on: April 16, 2024 at 14:04 o'clock
10 Comments
Latest comment
Nun habe ich die DNS funktion beim Server deinstalliert
Ist der Server ein Active Directory Domänencontroller?
Dann war das eine ganz ganz schlechte Idee
*autsch*
Ja also wenn du meinst das ich meine Domäne xysGmbh hab mit einem AD - ja hab ich und darin verwalte ich halt meine Benutzer und OU etc.
Hast du meinen Nachtrag gelesen ?
!!!!!!!!!!!!!!!!!!NACHTRAG!!!!!!!!!!!!!!!!!!!!!!!
Wenn ich mich mit meinem Testuser lokal also direkt am Server (d.h. Monitor anschließen etc.) anmelde dann wird der "Ausführen" Befehl ausgeblendet.
Wo liegt nun das Problem?
Inwiefern ist das fatal das ich den DNS Server deinstalliert hab?
Ja also wenn du meinst das ich meine Domäne xysGmbh hab mit einem AD - ja hab ich und darin verwalte ich halt meine Benutzer und OU etc.
Hast du meinen Nachtrag gelesen ?
!!!!!!!!!!!!!!!!!!NACHTRAG!!!!!!!!!!!!!!!!!!!!!!!
Wenn ich mich mit meinem Testuser lokal also direkt am Server (d.h. Monitor anschließen etc.) anmelde dann wird der "Ausführen" Befehl ausgeblendet.
Wo liegt nun das Problem?
Inwiefern ist das fatal das ich den DNS Server deinstalliert hab?
!!!!!!!!!!!!!!!!!!!!NACHTRAG NUMMER 2!!!!!!!!!!!!!!!!!!!!!!!!!!
hier hat jmd. ein ähnlicher Problem wie ich - https://www.mcseboard.de/windows-forum-allgemein-28/richtlinien-greifen- ...
hier hat jmd. ein ähnlicher Problem wie ich - https://www.mcseboard.de/windows-forum-allgemein-28/richtlinien-greifen- ...
Active Directory besteht aus 3 essentiellen Komponenten: LDAP,Kerberos und DNS.
LDAP ist die Datenbank in der alle Daten von AD abgelegt sind.
Kerberos sorgt für den Login und solche Dinge wie Single-Sign-In.
DNS sorgt dafür, dass die Clients im Intranet die entsprechenden Server überhaupt finden.
Eine Active Directory-Domäne ist also ohne einen eigenen DNS-Server praktisch nicht lauffähig, da der bei den Clients als primärer DNS-Server eingetragen werden muss, so dass sie die entsprechenden Domänenserver überhaupt finden.
Gehen wir also davon aus:
1. Du hast einen Active-Directory-integrierten DNS-Server
2. Der ist bei den Clients der primäre DNS-Server
3. (optional) Weiterleitungen sind auf dem DNS-Server konfiguriert
Dann kannst du die Übernahme von Gruppenrichtlinien etwas beschleunigen, wenn du auf dem Server gpupdate ausführst und dann evtl. die Clients mal neustartest.
Grüße
Max
LDAP ist die Datenbank in der alle Daten von AD abgelegt sind.
Kerberos sorgt für den Login und solche Dinge wie Single-Sign-In.
DNS sorgt dafür, dass die Clients im Intranet die entsprechenden Server überhaupt finden.
Eine Active Directory-Domäne ist also ohne einen eigenen DNS-Server praktisch nicht lauffähig, da der bei den Clients als primärer DNS-Server eingetragen werden muss, so dass sie die entsprechenden Domänenserver überhaupt finden.
Gehen wir also davon aus:
1. Du hast einen Active-Directory-integrierten DNS-Server
2. Der ist bei den Clients der primäre DNS-Server
3. (optional) Weiterleitungen sind auf dem DNS-Server konfiguriert
Dann kannst du die Übernahme von Gruppenrichtlinien etwas beschleunigen, wenn du auf dem Server gpupdate ausführst und dann evtl. die Clients mal neustartest.
Grüße
Max
Ok , alles klar - danke für die Info.
Da ich schon gegoogelt hab bin ich auf den Hinweis gestoßen das man die IP Adresse von dem Server nie automatisch beziehen sollte.
Also stelle ich die auf manuell um , so ?
IP : 192.168.179.22
Subnetz : 255.255.255.0
Gateway : die FritzBox als 192.168.179.1
DNS : seine eigene IP Adresse oder ? also (192.168.179.22)
- kann ich einfach den DNS Server wieder installieren ? Kann er auf Default bleiben ? Warum wurden die Gruppenrichtlinien nicht übernommen ?
Da ich schon gegoogelt hab bin ich auf den Hinweis gestoßen das man die IP Adresse von dem Server nie automatisch beziehen sollte.
Also stelle ich die auf manuell um , so ?
IP : 192.168.179.22
Subnetz : 255.255.255.0
Gateway : die FritzBox als 192.168.179.1
DNS : seine eigene IP Adresse oder ? also (192.168.179.22)
- kann ich einfach den DNS Server wieder installieren ? Kann er auf Default bleiben ? Warum wurden die Gruppenrichtlinien nicht übernommen ?
So ich hab auf dem Client die primären DNS eingetrag (192.168.179.22) ... aber der nimmer immernoch nich die Gruppenrichtlinie an (auch nach gpupdate und Client Neustart)...
In der Ereigniss Anzeig steht auch nichts interssantes ... kann man irgndwie die Gruppenrichtlinien mitloggen bzw. Fehler ausgeben lassen ... ?
In der Ereigniss Anzeig steht auch nichts interssantes ... kann man irgndwie die Gruppenrichtlinien mitloggen bzw. Fehler ausgeben lassen ... ?
Also stelle ich die auf manuell um , so ?
Ja
IP : 192.168.179.22
Prinzipiell OK, allerding sollte die Server IP nicht in dem Bereich liegen, der auch von der Fritzbox dynamisch vergeben wird
DNS : seine eigene IP Adresse oder ?
Ja, wenn er den DNS-Server installiert hat
kann man irgndwie die Gruppenrichtlinien mitloggen bzw. Fehler ausgeben lassen ... ?
Ja, mit Hilfe der Gruppenrichtlinienergebnisse in der gpmc - hier kannst du die Anwendung der Richtlinien auf einen PC und Benutzer simulieren unter dem Einstellungen-Reiter siehst du dann die aktive Konfiguration unter Angewendete Gruppenrichtlinienobjekte in Zusammenfassung siehst du die angewendeten Richtlinien.
Grüße
Max
Moin Moin
Am Server mit dem Richtlinienergebnis in de rgpmc.
Gruß L.
Zitat von @dual:
... aber der nimmer immernoch nich die
Gruppenrichtlinie an (auch nach gpupdate und Client Neustart)...
In der Ereigniss Anzeig steht auch nichts interssantes ... kann man
irgndwie die Gruppenrichtlinien mitloggen bzw. Fehler ausgeben lassen
... ?
Am Client mit gpresult uber cmd ausführen.... aber der nimmer immernoch nich die
Gruppenrichtlinie an (auch nach gpupdate und Client Neustart)...
In der Ereigniss Anzeig steht auch nichts interssantes ... kann man
irgndwie die Gruppenrichtlinien mitloggen bzw. Fehler ausgeben lassen
... ?
Am Server mit dem Richtlinienergebnis in de rgpmc.
Gruß L.
Hier mein Auswertung bei dem User der die Testrichtlinie :
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 26.11.2008, um 13:19:35 erstellt
RSOP-Daten fr CWROSSOW\Eike auf DELL_SERVER: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Prim„rer Dom„nencontroller
Betriebssystemversion: 5.2.3790
Terminalservermodus: Anwendungsserver
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:E:\Profile$
Lokales Profil: C:\Dokumente und Einstellungen\Eike
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
CN=Eike Rossow,OU=MeineBenutzer,DC=CWRossow,DC=local
Letzte Gruppenrichtlinienanwendung: Nicht zutreffend
Gruppenrichtlinieanwendung von: Nicht zutreffend
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: CWROSSOW
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Testrichtlinie
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Dom„nen-Benutzer
Jeder
Benutzer
Pr„-Windows 2000 kompatibler Zugriff
INTERAKTIVE REMOTEANMELDUNG
INTERAKTIV
Authentifizierte Benutzer
Diese Organisation
LOKAL
Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Am 26.11.2008, um 13:19:35 erstellt
RSOP-Daten fr CWROSSOW\Eike auf DELL_SERVER: Protokollmodus
Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition
Betriebssystemkonfiguration: Prim„rer Dom„nencontroller
Betriebssystemversion: 5.2.3790
Terminalservermodus: Anwendungsserver
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:E:\Profile$
Lokales Profil: C:\Dokumente und Einstellungen\Eike
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
CN=Eike Rossow,OU=MeineBenutzer,DC=CWRossow,DC=local
Letzte Gruppenrichtlinienanwendung: Nicht zutreffend
Gruppenrichtlinieanwendung von: Nicht zutreffend
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: CWROSSOW
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Testrichtlinie
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Dom„nen-Benutzer
Jeder
Benutzer
Pr„-Windows 2000 kompatibler Zugriff
INTERAKTIVE REMOTEANMELDUNG
INTERAKTIV
Authentifizierte Benutzer
Diese Organisation
LOKAL
SO jetzt bin ich schon etwas weiter ...
Also wenn ich den Eintrag in der "Testrichtlinie" "Ausführen aus Startmenü entfernen" mache dann nimmt das auch der zugeteilte User "Test" an bzw. setzt es um.
Wenn ich jedoch noch einen weiteren Eintrach DANACH mache wie z.B. "Hilfe" aus Startmenü entfernen setzt das der User "Test" nicht um wenn ich jedoch einen neuen User "Test2" mache setzt er sowohl den alten Eintrag wie auch den neuen um...
Lösungsvorschläge ?
gpudate habe ich auch schon gemacht
Also wenn ich den Eintrag in der "Testrichtlinie" "Ausführen aus Startmenü entfernen" mache dann nimmt das auch der zugeteilte User "Test" an bzw. setzt es um.
Wenn ich jedoch noch einen weiteren Eintrach DANACH mache wie z.B. "Hilfe" aus Startmenü entfernen setzt das der User "Test" nicht um wenn ich jedoch einen neuen User "Test2" mache setzt er sowohl den alten Eintrag wie auch den neuen um...
Lösungsvorschläge ?
gpudate habe ich auch schon gemacht