Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Probleme mit Anwendung der GPO bei Domänen-Benutzer

Frage Microsoft Windows Server

Mitglied: -ahog-

-ahog- (Level 1) - Jetzt verbinden

09.07.2012, aktualisiert 10.07.2012, 5914 Aufrufe, 21 Kommentare

Hallo,

irgendwie werden die Einstellungen, welche ich über die GPO gesetzt habe, nicht von den Domänen-Benutzer übernommen sondern nur von den Domänen-Admins.

Ich habe ein neues Gruppenrichtlinienobjekt angelegt, die Domäne zugewiesen, die Option "erzwingen" gesetzt. Unter Sicherheitsfilterung habe ich alle Benutzer hinzugefügt.

Im Gruppenrichtlinienobjekt sind bereitsgestellte Drucker, die Windows-Firewall und die Sicherheitsoption "Anmelden als Stapelverarbeitungsauftrag" gesetzt.

Wenn ich den Client starte und unter rsop.msc schaue, werden die voreingestellten Richtlinien nicht übernommen, manche erst gar nicht angezeigt.

Wo liegt der Fehler?

Grüße

UPDATE:

Hier noch ein Bild.
Firewall und Anmelden als Stapelverarbeitungsauftrag werden korrekt übernommen. Drucker nicht.

694b9219672e55bf54888ccf0ab0fe53 - Klicke auf das Bild, um es zu vergrößern
Mitglied: d4shoerncheN
09.07.2012 um 09:38 Uhr
Hallo,

am Client einmal "gpupdate /force" ausgeführt? Auf welchem OS liegt die AD?

Gruß
Bitte warten ..
Mitglied: Onitnarat
09.07.2012 um 09:43 Uhr
Wo hast Du denn die Einstellungen definiert? Unter Benutzer- oder unter Computerkonfiguration?
Bitte warten ..
Mitglied: -ahog-
09.07.2012, aktualisiert um 09:47 Uhr
Hallo,

der DC/AD ist auf einem ESXI (VMWare) mit dem OS Windows Server 2008 Enterprise R2 installiert.

gpupdate /force gibt an, dass die Richtlinien erfolgreich geupdatet wurden. Leider aber keine Besserung ersichtlich.

Der Client ist ein normaler Computer mit Windows 7 64bit. Domänen-Benutzer nimmt die Richtlinien nicht an, gleicher PC mit Domänen-Admin schon.

Ich vermute dass der Fehler eher in der Zuordnung des Gruppenrichtlinienobjekt liegt...

@Onitnarat:
In beidem... Unter Computer ist der Punkt "Anmelden als Stapelverarbeitung" hinterlegt. Unter Benutzer die Einstellung zur Windows-Firewall und zu den Druckern.

Komischerweise sehe ich am Client mit rsop.msc jedoch z.B. den Punkt unter Bereitgestellte Drucker unter Benutzerkonfiguration erst gar nicht.
Bitte warten ..
Mitglied: Marcel.Stolle
09.07.2012 um 10:54 Uhr
Hallo,

der Benutzer ist auch Mitglied der OU auf die du das GPO anwendest?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: -ahog-
09.07.2012 um 11:01 Uhr
Ja ;) sollte alles soweit passen
Bitte warten ..
Mitglied: Onitnarat
09.07.2012 um 11:10 Uhr
Was sagt denn der "Gruppenrichtlinienergebnisassistent" wenn Du Benutzer und und Rechner eingibst?
Bitte warten ..
Mitglied: -ahog-
09.07.2012 um 11:22 Uhr
Gruppenrichtlinienobjekte

Angewendete Gruppenrichtlinienobjekte

Name Verknüpfungsstandort Revision
Default Domain Policy domäne.local AD (54), Sysvol (54)
Windows SBS CSE Policy domäne.local AD (3), Sysvol (3)

Abgelehnte Gruppenrichtlinienobjekte
Name Verknüpfungsstandort Grund: abgelehnt
xxx Server Policy domäne.local Zugriff verweigert (Sicherheitsfilterung)
xxx User Policy domäne.local Zugriff verweigert (Sicherheitsfilterung)

hm...
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 08:43 Uhr
UPDATE

Hab noch ein Bild mit ein paar Informationen beigefügt.
Ein Teil funktioniert jetzt ;)
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 08:57 Uhr
Hallo,

vieleicht hilft dir der Artikel von MS weiter

http://technet.microsoft.com/de-de/library/cc722179.aspx

Mit freundlichen Grüßen

Marcel
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 09:20 Uhr
Ja, bei diesem Artikel bin ich auch schon gelandet. Ich lad jetzt mal das "Automated Installation Kit (AIK) for Windows Vista SP1 and Windows Server 2008" herunter und versuch es mit der pushprinterconnections.exe

Komisch ist aber, dass ich die Drucker an meinem PC einwandfrei sehe und auch bestens drauf drucken kann. Außer dass ich Admin bin ist an meinem Computer nichts anders...
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 09:43 Uhr
Hast du schon mal über die druckerverwaltung von deinem Printserver versucht das gpo zu ändern? - wie im artikel beschrieben?
eigentlich dürfte das keine rolle spielen da das GPO auf Computer angewendet wird aber hast du mal versucht alle auth. benutzer in die Sicherheitsgruppe mit ein zu tragen?
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 10:08 Uhr
Auch mit der pushprinterconnections.exe scheint es nicht zu gehen. Ich habe jetzt nebst dem Computer auch noch den Benutzer in die Sicherheitsgruppe eingefügt und zum Testen dem Computer und dem Benutzer volle Rechte auf das Gruppenrichtlinienobjekt gegeben. Keine Besserung.

Im Technet-Artikel habe ich aber diesen Abschnitt entdeckt.
Um diese Verfahren auszuführen, muss die Druckserverfunktion installiert sein und Sie müssen Mitglied der Gruppe Administratoren sein. Sie müssen auch Schreibzugriff auf das Gruppenrichtlinienobjekt haben, wenn Sie es für die Druckerverwaltung verwenden möchten.

Was für ein Recht brauch ein Domänenbenutzer um ein Drucker anlegen zu dürfen?
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 10:47 Uhr
So hab das Problem mal bei mir nachgestellt und es funktioniert ;)

Ausgangssituation

DC 2008R2 und Druckserver
neue GPO erstellt - keine Änderungen an irgendeiner Einstellung
im Druckserver rechtsklick auf Drucker mit GPO bereitstellen
neue zuvor erstellte GPO ausgewählt
hacken bei computer
gpo mit ou verknüpft
pc neustart
funktioniert
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 10:57 Uhr
Ich habe jetzt zum Test den Benutzer in die Gruppe "Domänen-Admins" aufgenommen und schwupps die wupps sind die Drucker da. Es muss also an fehlenden Rechten liegen... Aber alle User als Admin laufen zu lassen ist ja nicht sinngemäß.

Somit stellt sich für mich die Frage: Was für Rechte braucht ein Domänen-Benutzer um ein Drucker anlegen zu dürfen?
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 11:07 Uhr
mhm mal so ne frage.. die nutzer können sich die Drucker uber die Druckerverwaltung aber selbst anbinden oder
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 11:11 Uhr
Wenn ich die Drucker über die GPO verteile muss keine manuelle Anbindung erfolgen. Es gibt auch keine sichtbare Freigabe der Drucker.

Eine normale Drucker-Installation an einem Client der nur Domänen-Benutzer-Rechte hat geht nur, wenn über die Benutzerkontensteuerung die Daten des Admins eingetragen werden.
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 11:19 Uhr
ich habe bei mir folgende Richtlinien deaktiviert damit die installation von Treibern problemlos funktioniert

Installation von Druckern, die Kernelmodustreiber verwenden, nicht zulassen Deaktiviert
Nur Point-and-Print für Pakete verwenden Deaktiviert
Point-and-Print für Pakete - Genehmigte Server Deaktiviert
Point-and-Print-Einschränkungen Deaktiviert
Bitte warten ..
Mitglied: -ahog-
10.07.2012, aktualisiert um 11:47 Uhr
Die ganze Sache wir jetzt noch komplizierter... an meinem Testrechner funktioniert es jetzt, gleicher Benutzer ohne Adminrechte. An einem weiteren Rechner funktioniert es leider jedoch nicht. Melde ich mich mit dem Benutzer Admin an, sind die Drucker da. Im anderen Profil nicht. Ich vermute stark, dass jeder Benutzer für kurze Zeit Adminrechte braucht, bis die Drucker verbunden (bzw. die Treiber installiert sind). Anschließend kann man die Rechte wieder einziehen, das Profil kennt ja nun die Drucker und Treiber...
Bitte warten ..
Mitglied: Marcel.Stolle
10.07.2012 um 13:17 Uhr
mhm das dürfte eben nicht sein da der benutzer ja eigentölich nix damit zu tun hat -- da cumputerkonfig
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 14:46 Uhr
und weiter gehts...

Ich konnte bislang folgendes Verhalten nachstellen.

- Sobald ein User in die Gruppe "Domänen-Admin" aufgenommen wird, erhält er sofort die Drucker die über die GPO verteilt werden sollen. Drucken problemlos möglich.

- Entzieht man ihm anschließend die Gruppe "Domänen-Admin" wieder, so dass er nur noch in der Gruppe der "Domänen-Benutzer" ist und starten den Rechner neu, sind trotzdem alle Drucker der GPO noch vorhanden.

Was nun jedoch nicht mehr geht ist das Drucken. Hier erscheint auf dem Desktop die Meldung, "Drucken nicht erfolgreich" und in der Druckerwarteschleife heißt es "Zugriff verweigert".

Ich werde jetzt mal prüfen, was für Rechte der User braucht. Wenn ich was rausfinde werde ich es hier natürlich fortführen. Solltet ihr noch eine Idee haben, einfach posten.

Danke.
Bitte warten ..
Mitglied: -ahog-
10.07.2012 um 15:05 Uhr
... weil so schön war jetzt auch noch die Lösung.

Wenn man vor lauter Bäumen (Berechtigungen) den Wald nicht mehr sieht!

- Berechtigungen in der GPO überprüft, waren korrekt gesetzt
- Berechtigungen der Benutzer überprüft, alles ok
- Berechtigungen der Drucker in der Druckerverwaltung...

Stande auf Jeder "Drucken" und Domänen-Admin "Drucken, Drucker verwalten, Dokumente verwalten". Den Domänen-Benutzer hinzugefügt und die Berechtigungen angepasst.

Siehe da, es funktioniert.
Ich hoffe ich konnte jemandem (sollte jemand mal das gleiche Problem haben) weiterhelfen ;)

Danke an alle die mir Ratschläge gegeben haben.

Schöne Grüße
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
gelöst GPO wird nicht auf Domänen Benutzer angewendet (13)

Frage von Resolv zum Thema Microsoft ...

Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Windows Server
Fehler bei Remote PowerShell mit einem Domänen-Benutzer (4)

Frage von xcabur zum Thema Windows Server ...

Windows 10
gelöst Leider nochmal: Probleme mit GPO (glaube ich) (3)

Frage von Dave-Bowman zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...