christe
Goto Top

Server 2012R2 GPO Laufwerksmapping klappt nicht

Hallo Gemeinde.

ich bin langsam echt am verzweifeln und habe lange überlegt mich hier anzumelden.
Weder dieses Forum oder sonstige deutsch-und englischsprachige Ergebnisse von Suchmaschinen haben mich bisher bei diesem Thema weitergebracht.
Ansonsten ist dieses Forum sehr hilfreich für mich und ich hatte keine weiteren Fragen face-smile .

Ich hoffe ihr könnt mir nun mit meinem Problem helfen und habt eine Lösung für mich!

unsere Umgebung:
- ein HP Server (Name s10) mit WS2012R2 Standard als DC und VM-Host
- 5 NBs, 2 Drucker und 13 Arbeitsplatz-PCs
- 13 VMs auf dem Host (u.a. WS2016, WS2012R2, WS2008R2, Win7, Linux, usw.)

AD, Netzwerkfreigaben, VPN, Hyper-V usw. funktionieren super.

jetzt die Problembeschreibung:
ich möchte die Arbeit der Benutzer erleichtern und gewisse Dateien, Verknüpfungen und Netzlaufwerke bei der Anmeldung zur Verfügung stellen.
Da dachte ich mir, ich fange mit dem leichtesten an und mappe erstmal nur ein Laufwerk.
Ich bin u.a. dieser Anleitung gefolgt:
http://mntechblog.de/netzlaufwerke-durch-eine-gruppenrichtlinie-verbind ...

die neu erstellte Richtlinie heißt bei mir „Shares“ und das neue Laufwerk T: (Freigabe „ \\s10\RemoteTransfer“ ) soll bei der Anmeldung für alle Domänen-Benutzer gemappt werden.
Sie wurde auch aktiviert und verknüpft.
Anschließend habe ich „gpupdate /force“ ohne Fehler ausgeführt und das Laufwerk wurde sofort auf dem Server in meinen Administrator-Account gemappt.
Dann habe ich mich an einem anderen PC mit meinem Admin-Konto angemeldet und dort wurde es nicht gemappt. Das ist bei allen PCs der Fall die bisher in der Domäne waren.
Da ich parallel mit der Erstellung der VMs noch nicht fertig war, habe ich eine VM mit WS2008R2 erstellt und mich angemeldet. Siehe da, Laufwerk T: wurde gemappt.
Das heisst für mich, das es nur die PCs betrifft die vor Erstellung dieser Richtlinie vorhanden waren.

Auf den PCs kommt überall die gleiche Meldung.
Auf einer VM mit WS2012R2 (Name s11) gibt es zb folgende Meldungen im Ereignislog:

EreignisID 1096 unter System:
Fehler bei der Verarbeitung der Gruppenrichtlinie.
Es wurde versucht, registrierungsbasierte Richtlinieneinstellungen für das Gruppenrichtlinienobjekt
"LDAP://CN=User,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=chs,DC=local" zu lesen.
Die Gruppenrichtlinieneinstellungen dürfen nicht erzwungen werden, bis dieses Ereignis behoben ist.
Weitere Informationen über den Dateinamen und -pfad, der den Fehler verursacht hat, können den Ereignisdetails entnommen werden.

EreignisID 8194 unter Anwendung:
Die clientseitige Erweiterung konnte die Benutzer-Richtlinieneinstellungen für Shares {FDA357D3-29BD-42CC-A964-6A92547EF33F}
nicht übernehmen. Fehlercode: 0x80070005 Zugriff verweigert Weitere Details finden Sie in der Ablaufverfolgungsdatei.

Ein Ausführen von „gpupdate /force“ auf der VM s11 bringt auch nochmal die beiden Fehler in der Kommandozeile.

Anmerkungen:
- Das Verhalten/Fehlermeldung ist auf allen PCs identisch
- auf die Freigabe „\\s10\RemoteTransfer“ kann ich von jedem PC problemlos zugreifen
- die Gruppe „Domänen-Benutzer“ hat die Berechtigung „Vollzugriff“ auf die Freigabe
- „ \\s10\SYSVOL\chs.local\Policies\{FDA357D3-29BD-42CC-A964-6A92547EF33F} “ enthält alle nötigen ini’s und Informationen (Drives.xml)
und ist auch für alle Benutzer/Computer erreichbar


Jetzt stellen sich für mich noch Fragen:
- In welcher Ablaufverfolgungsdatei kann ich Informationen dazu finden?
In C:\Windows\tracing gibt es diverse Logfiles, aber nichts zu diesem Thema


Habt ihr Ideen dazu?

Danke und Grüße!
Christian

Content-Key: 336409

Url: https://administrator.de/contentid/336409

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Cornitus
Cornitus 28.04.2017 aktualisiert um 13:34:27 Uhr
Goto Top
Hallo,

welche Benutzer sind in der GPO unter "Sicherheitsfilterung" vorhanden? Die Gruppe "Authentifizierte Benutzer" braucht auf die GPO mindestens die Leserechte. Wenn nicht jeder Authentifizierte Benutzer und Computer die GPO anwenden soll und du dort nur deinen Adminaccount/Testaccount drin hast, dann musst du unter "Delegierung" in der GPO noch die Gruppe "Authentifizierte Benutzer" hinzufügen und dieser Gruppe das Recht für die Anwendung der GPO entziehen. Die Gruppe muss aber "lesen" auf die GPO haben.

Grüße
Mitglied: emeriks
emeriks 28.04.2017 um 13:58:29 Uhr
Goto Top
Hi,
das kommt mir bekannt vor.
  1. Wie sieht die Sicherheitsfilterung der GPO aus?
  2. Drücke mal die Berechtigungen des zugehörigen GPO-Ordners (ich nehme an "{FDA357D3-29BD-42CC-A964-6A92547EF33F}") nochmal an alle untergeordneten Dateien und Ordner durch

E.
Mitglied: keine-ahnung
keine-ahnung 28.04.2017 um 14:33:24 Uhr
Goto Top
Moin,
WS2012R2 Standard als DC und VM-Host
AD, Netzwerkfreigaben, VPN, Hyper-V usw. funktionieren super
elegante Konstruktion - stell das unbedingt mal auf der Messe der Meister von Morgen vor face-wink.

LG, Thomas
Mitglied: emeriks
emeriks 28.04.2017 um 14:49:09 Uhr
Goto Top
elegante Konstruktion - stell das unbedingt mal auf der Messe der Meister von Morgen vor face-wink.
Alter Streber! face-wink
Mitglied: christe
christe 04.05.2017 um 09:29:27 Uhr
Goto Top
Hallo hallo.

Vielen Dank erstmal für eure Anteilnahme.
ich bin das jetzt mehrmals durchgegangen und habe auch nur diese eine GPO aktiviert, und die anderen deaktiviert bzw. die Verknüpfung zur Domäne gelöst.
jetzt habe ich bei meiner GPO, die mittlerweile "DriveMapping" heißt, folgendes geändert:
- ich habe in der Sicherheitsfilterung den Eintrag "auth. Benutzer" entfernt und dann "Domänen-Benutzer" eingetragen.
- bei der Delegierung wurde es dann erwartungsgemäß ersetzt
- dann habe ich die Berechtigungen des GPO-Ordners nochmal durchgedrückt.

Es funktioniert aber leider immer noch nicht.
der Unterschied ist aber, das bei den anderen PCs nun keine Fehler mehr im Event-Log sind. aber auch keine Meldung das eine GPO übernommen wurde.
Also das Ergebnis ist das gleiche wie vorher, aber nur das keine Meldungen mehr kommen face-sad .

führe ich „gpupdate /force“ auf dem Server lokal aus, dann wird das Laufwerk gemappt.

führe ich „gpupdate /force“ bzw An-/Abmeldung auf einem Client aus, dann kommt kein Fehler in der Kommandozeile
aber das Laufwerk wird auch nicht gemappt. wie gesagt, keine Einträge im Event-Log.

ahh, ich bin echt am Verzweifeln.

was ich auch merkwürdig finde:
man kann ja in der GPO-Verwaltung eine Abfrage starten und das Ergebnis für jeden PC erhalten.
wenn ich also von dem Server aus auf einen anderen PC diese GPO ausführen will, dann steht bei "Abgelehnte Gruppenrichtlinienobjekte": NT-AUTORITÄT\Authentifizierte Benutzer .
mache ich das für den Server, dann steht die GPO bei erfolgreich und auch Domänen-Benuter. siehe die beiden Bilder.
Habe das Gefühl das ich nah dran bin...

Habt ihr weitere Ideen dazu?

Danke für eure Hilfe und viele Grüße!

Christian
gpo_result_pass
gpo_result_failed