6
Probleme mit Benutzerrichtlinien und Sicherheitsgruppen
Die Sicherheitsgruppen werden bei gpresult nicht richtig angezeigt. Dadurch können dann auch die relevanten Benutzerrichtlinien nicht übernommen werden
Hallo zusammen
Im Zuge einer Server-Generalüberholung (Daten,Gruppen,Benutzer, DNS,Richtlinien etc... alles neu) versuche ich zur Zeit gerade die Gruppenrichtlinien zum laufen zu bringen... Und da ergeben sich so einige Probleme. Was ich bisher versucht habe:
1) Benutzer B_XY neu im AD erstellt und die Gruppen G_XY (ebenfalls neu erstellt, lokal sicherheit) und Administrator hinzugefügt.
2) Skript und Profilpfad hinzugefügt (Anmerkung der Benuter hätte keine Schreibrechte im Ordner der Profile, wenn er kein Admin wäre).
3) Login von einer WS
4) Skript wird geladen Profil wird geschrieben, Sicherheiten greifen (Zugriff wo erlaubt, gesperrt wo nicht erlaubt). So weit so gut, also logout
5) Neuvergabe der Sicherheiten auf dem frisch geschriebenen Profil (B_XY hat nun vollzugriff)
6) Entfernen der Gruppe Administratoren von B_XY (somit hat B_XY nur noch G_XY als Gruppe)
7) Erstellen einer neuen Gruppenrichtlinie GR_XY die auf G_XY angewendet werden soll
8) Login von B_XY Skrip, Profil, alles da nur die neue Richtlinie wird nicht geladen
9) gpresult: zeigt alles schön an, nur falsch! (Der Benutzer ist hier immer noch Admin aber die Gruppe G_XY fehlt. Der Computer wird auch als Admin bezeichnet obwohl er im AD nur ein Domänen Computer ist) GR_XY wird nicht angewendet wegen "Filterung: Verweigert (Sicherheit)" was soweit auch Sinn machen würde, wenn der Benutzer nicht teil der G_XY wäre.
normalerweise würde man sagen, dass was mit dem DNS nicht stimmt aber nslookup funktionniert bestens....
SYSVOL ist freigegeben genau so wie NETLOGON
Ich habe auch keine lanagsame Verbindung (auch so vom gpresult angegeben)
gpupdate /force läuft durch, hat aber keinen Effekt...
Ich lauf hier gegen ne Wand an! Hat jemand Vorschläge??
Im Zuge einer Server-Generalüberholung (Daten,Gruppen,Benutzer, DNS,Richtlinien etc... alles neu) versuche ich zur Zeit gerade die Gruppenrichtlinien zum laufen zu bringen... Und da ergeben sich so einige Probleme. Was ich bisher versucht habe:
1) Benutzer B_XY neu im AD erstellt und die Gruppen G_XY (ebenfalls neu erstellt, lokal sicherheit) und Administrator hinzugefügt.
2) Skript und Profilpfad hinzugefügt (Anmerkung der Benuter hätte keine Schreibrechte im Ordner der Profile, wenn er kein Admin wäre).
3) Login von einer WS
4) Skript wird geladen Profil wird geschrieben, Sicherheiten greifen (Zugriff wo erlaubt, gesperrt wo nicht erlaubt). So weit so gut, also logout
5) Neuvergabe der Sicherheiten auf dem frisch geschriebenen Profil (B_XY hat nun vollzugriff)
6) Entfernen der Gruppe Administratoren von B_XY (somit hat B_XY nur noch G_XY als Gruppe)
7) Erstellen einer neuen Gruppenrichtlinie GR_XY die auf G_XY angewendet werden soll
8) Login von B_XY Skrip, Profil, alles da nur die neue Richtlinie wird nicht geladen
9) gpresult: zeigt alles schön an, nur falsch! (Der Benutzer ist hier immer noch Admin aber die Gruppe G_XY fehlt. Der Computer wird auch als Admin bezeichnet obwohl er im AD nur ein Domänen Computer ist) GR_XY wird nicht angewendet wegen "Filterung: Verweigert (Sicherheit)" was soweit auch Sinn machen würde, wenn der Benutzer nicht teil der G_XY wäre.
normalerweise würde man sagen, dass was mit dem DNS nicht stimmt aber nslookup funktionniert bestens....
SYSVOL ist freigegeben genau so wie NETLOGON
Ich habe auch keine lanagsame Verbindung (auch so vom gpresult angegeben)
gpupdate /force läuft durch, hat aber keinen Effekt...
Ich lauf hier gegen ne Wand an! Hat jemand Vorschläge??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123110
Url: https://administrator.de/contentid/123110
Printed on: April 16, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hallo,
Gruppenrichtlinien auf Sicherheitsgruppen anwenden? Gruppenrichtlinien heißen ja so, weil sie eben nicht auf Gruppen angewandt werden (Gates'sche Logik, Einführungsvorlesung
)
Du musst eine OU erstellen, auf die das GPO angewandt wird. Indem Du Sicherheitsgruppen den Zugriff auf das GPO erteilst/ablehnst kannst Du dann das GPO auf eine oder gerade nicht auf eine Sicherheitsgruppe anwenden.
Gruppenrichtlinien auf Sicherheitsgruppen anwenden? Gruppenrichtlinien heißen ja so, weil sie eben nicht auf Gruppen angewandt werden (Gates'sche Logik, Einführungsvorlesung
)Du musst eine OU erstellen, auf die das GPO angewandt wird. Indem Du Sicherheitsgruppen den Zugriff auf das GPO erteilst/ablehnst kannst Du dann das GPO auf eine oder gerade nicht auf eine Sicherheitsgruppe anwenden.
Sorry ich war wohl etwas unklar.
Gruppenrichtline erstellt, verknüpft mit der OU_Gruppen und aktiviert. Dann Der GPO gesagt, sie soll nur auf die Gruppe G_XY angewendet werden....
Gruppenrichtline erstellt, verknüpft mit der OU_Gruppen und aktiviert. Dann Der GPO gesagt, sie soll nur auf die Gruppe G_XY angewendet werden....
Moin Moin
Befindet sich denn auch Benutzer B_XY unterhalb der OU_Gruppen ?
Gruß L.
Befindet sich denn auch Benutzer B_XY unterhalb der OU_Gruppen ?
Gruß L.
Ganz genau siehts so aus:
Domänenordner (und dieser Ordner ist mit der GPO verknüpft)
|- OU_Benutzer (Und wird dann hier)
|- |- B_XY
|- OU_Computer (und hier)
|- OU_Gruppen (und hierhin vererbt)
|- |- G_XY
Ich hoffe ihr wisst was ich meine...
Das Hauptproblem ist glaube ich, dass gpresult nicht das anzeigt, was es anzeigen sollte....
Domänenordner (und dieser Ordner ist mit der GPO verknüpft)
|- OU_Benutzer (Und wird dann hier)
|- |- B_XY
|- OU_Computer (und hier)
|- OU_Gruppen (und hierhin vererbt)
|- |- G_XY
Ich hoffe ihr wisst was ich meine...
Das Hauptproblem ist glaube ich, dass gpresult nicht das anzeigt, was es anzeigen sollte....
Moin moin
Hast Du schon mal versucht mit der GPMC ein Richtlinienergebnis zu ermitteln.
Das ist etwas ausführlicher als gpresult.
Tritt das Problem auch auf anderen WS auf?
Gruß L.
Hast Du schon mal versucht mit der GPMC ein Richtlinienergebnis zu ermitteln.
Das ist etwas ausführlicher als gpresult.
Tritt das Problem auch auf anderen WS auf?
Gruß L.
Das Problem tritt überall (alle Benutzer und WS) auf. GPMC ... ist das etwa das selbe wie rsop.msc? das klappt auch, nur gibt es mir die standard-richtlinie an und nicht die, die ich eigens erstellt habe.... Werde auf jeden fall noch GPMC saugen und mal schaun was das anzeigt. Werde mich morgen wieder melden. Aber Danke mal fürn Tip!