AGDLP Regeln keine Funktion

[Chanjackie 10]

Hallo,

 

ich muss am Mittwoch mein Projekt abgeben und weis nicht mehr weiter, versuche diese Regel seit 2 wochen anzuwenden anfangs hatte es in der Schuzle funktioniert über Virtual Box. 1 Woche später habe ich den Rechner gestartet und es ging nicht mehr. Lehrer kann mir auch nicht helfen. Habe das zu Hause nachgestellt über VMware, doch leider bis jetzt kein Erfolg. Habe das Problem schon bei Administrator.de geschildert dort bekomme ich leider keine Antwort ich hoffe ihr könnt mir helfen.

 

Mein Beispiel: <<kopie von admin.de>>

 

ich habe ein großes Problem und weis nicht mehr weiter, selbst mein Lehrer kann mir nicht helfen, was ich nicht ganz verstehe.

Habe Server 2003 und eine XP Client auf VMware laufen. Das Projekt muss ich am Mittwoch abgeben und am Donnerstag halten.

Jegliche Recherche im Internet blieb erfolglos.

in meiner Domäne habe ich 4 benutzer angelegt die jeweils ihre eigene OU haben.

OU Anwalt => Anwalt1+2

OU Sekretaerin => Sekretaerin1+2

 

Ich wollte AGDLP auf Benutzer Anwalt 1 ausführen...

Ich habe eine OU Lanumbenennen angelegt und dort einen globale Gruppe umbenennen erlauben angelegt.

In einer weiteren OU LanNamechange habe ich eine domänenlokale Gruppe LanChange angelegt

 

In der OU Lanumbenennen worin sich die globale gruppe befindet habe ich Mitglieder der Gruppe hinzugefügt, und zwar Anwalt1.

Über die OU LanNamechange gebe ich die Berechtigungen über Gruppenrichtlinien an. Lan umbenennen aktivieren.

Laut Buch was ich als Hilfe habe, ist die AGDLP richtig angewendet, was mache ich verkehrt.

 

Er über nimmt diese Einstellung leider nicht und ich weis nicht warum. ??? Wenn ich diese GPOs auf der OU Anwälte anwende funktioniert es ich kann die LAN Verbindung umbenennen.

Über ratschläge wäre ich dankbar.

 

 

Ich hoffe ich bekomme es bald hin, das problem es scheint nicht schwer zu sein und mein Lehrer sagt nur er möchte das es funktioniert weis aber selber nicht wie es geht. Oh man bin etwas am boden.

 

Vielen Dank

 

Gruß

[olc 18]

Hi und willkommen an Bord,

 

ich muß zugeben, so ganz habe ich das Szenario nicht verstanden.

 

So wie ich es sehe, hast Du also mehrere OUs, auf eine davon möchtest Du eine GPO hängen, die dann Einstellungen vornimmt (die Erlaubnis, LAN-Verbindungen umzubenennen). Bis hierhin korrekt?

 

Du hast als dann als Sicherheitsfilterung die berechtigten Benutzer in eine globale Gruppe gelegt, diese als Mitglied einer domänenlokalen Gruppe definiert und der domänenlokalen Gruppe die Berechtigung gegeben, die GPO anzuwenden. Auch korrekt?

 

Falls ja, zwei Fragen für den Anfang:

1. Hast Du einmal testweise versucht, einem Benutzer direkt das Recht zu geben, die GPO zu übernehmen?
   
2. Wie lautet der "Pfad" zur verwendeten Gruppenrichtlinie? Ist es eine Computereinstellung oder ist es eine Benutzereinstellung? Vielleicht hast Du es schlichtweg auf der falschen OU verlinkt?
   

 

Deine Skizze oben ist nicht angekommen - am besten irgendwo extern hochladen und verlinken.

 

Laß den Kopf nicht hängen, das bekommst Du schon rechtzeitig hin. :)

 

Viele Grüße

olc

[Chanjackie 10]

Hi,

 

danke für die Hilfe !!! Bin schon wieder an einem anderen Beispiel !!!

Bin total verzeifelt weil es ja schonmal funktionierte !!

 

so ähnlich soll das aussehen!!!!

http://www.laboratoire-microsoft.org/articles/win/groupes/images/agdlp.jpg

 

mittlerweile möchte ich bei dem Windows Explorer das Menü "Datei" verschwinden lassen, nach dem gleichen Prinzip.

Ich habe OU gruppe darin => globale Gruppe mit namen "Menüweg"

dann Eine OU Menüexplorerweg darin => domänlokalen gruppe namens "DAteiweg"

in die globale Gruppe werden die Benutzer z.B. Anwalt1 als mitglied definiert.

die globale Gruppe wird als mitglied der domänlokalen gruppe als mitglied definiert.

Über die OU Menüexplorerweg wird die GPO über Benutzereinstellungen=>Administrative Vorlagen=> Windows KOmponenten=> Windows Explorer => Menü "Datei" aus Windows Explorer entfernen aktiviert.

Über die AGDLP regel funktioniert das einfach nicht , vllt habe ich einen gedankenfehler !!!

 

Wenn du möchtest kannst du dich mal eauf meinen Rechner einloggen über Team Viewer !!!! dann wird vllt alles klarer

–

Mein Auftrag heisst """Anwenden und Verwalten von Gruppen unter Beachtung unterschiedlicher Gruppentypen"""".

 

Wenn jemand mir ein Beispiel geben das funktioniert wäre ich dankbar , anscheinend habe ich das ganze noch nicht so richtig verstanden, laut eines Buches soll es aber so funktionieren.

[olc 18]

Hi,

 

in welcher OU liegen denn die Benutzer?

 

Du kannst Gruppenrichtlinien nicht direkt auf Gruppen anwenden (auch wenn es "Gruppen"-Richlinie heißt), sondern nur die Anwendung damit filtern. Du kannst Gruppenrichtlinien nur auf Computer- oder Benutzerobjekte anwenden.

 

Das bedeutet in Deinem Szenario, daß die Benutzer ebenfalls unterhalb der OU "Menüexplorerweg" liegen sollten (oder in weiter darunter liegenden OUs). Dann greift erst die Policy.

 

BTW:

Nach Möglichkeit würde ich Umlaute wie "ü" nicht in OU-Namen oder ähnlichen Bezeichnern verwenden, das macht bei Scripts ö.ä. unter Umständen nur einmal Probleme.

 

Außerdem gilt das AGDLP Prinzip nicht für AD-Objekte (wie es Gruppenrichtlinien sind), sondern eher für andere Ressourcen wie Drucker, Freigaben, NTFS ACLs etc. In Multi-Domänenumgebungen sind universelle Gruppen anstatt domänenlokale Gruppen zumindest für AD-Objekte die bessere Wahl. Damit kannst Du bei Deinem Lehrer vielleicht extra Punkten. ;)

 

Siehe dazu auch: Aktives Verzeichnis Blog : Benutzeranmeldung an einem Client einer anderen Domäne und GPO Filterung auf domänenlokale Gruppen

 

Viele Grüße

olc

[Chanjackie 10]

Meine Benutzer liegen in der OU Anwalt und in der OU Sekretaerin !!!

 

Also könnte ich mal versuchen, eine Freigabe zu erstellen , wie genau mache ich das über eine Anleitung würde ich mich freuen.

Wie ich das gnaze angelegt habe mit globale und domänlokale gruppen ist aber schonmal richtig ich kann nur keine gruppenrichtlinien darauf anwenden, deswegen wäre ich wohl nie auf mein Ziel gestossen.

 

Bin wieder etwas schlauer , Vielen Dank....

 

Momentan ist bei mir alles durcheinander habe noch 4 Monate dann wäre ich fertig mit der Schule, das problem meine Frau (31) hat mich für einen Mann (51 kurschatten sitzen) lassen. dann sollst du dich noch auf die Sache hier und das Projekt in Linux konzentrieren und nicht funktioniert , das zieht mich im moment wirklich runter.

 

Ich brauche nur ein einfaches Beispiel das funktioniert dasd ich der Klasse zeigen kann und ich kann endlich mit der Aufstellung des Referates beginnen.

[olc 18]

Hi,

 

ok, dann funktioniert es jetzt?

 

Wenn es noch weitere Fragen gibt, dann melde Dich einfach.

 

P.S.: Ich drücke Dir die Daumen, daß Du das alles (Schule und Leben ;) ) hinbekommst.

P.P.S.: Bitte schreibe unbedingt etwas strukturierter, mit ein wenig mehr Grammatik und weniger Ausrufezeichen. Das erleichtert das Verständnis für Deine Fragen ungemein und nützt auch Dir, da dann auch mehr Menschen gewillt sind, Deine Fragen überhaupt bis zu Ende zu lesen... ;)

 

Viele Grüße

olc

[Chanjackie 10]

Wie würde ich jetzt am besten vorgehen mit den Freigaben ?

 

ich denke die AGDLP regel habe ich richtig angewandt, nur darf ich auf die keine Gpos anwenden weil sie nicht übernommen werden, was ich dank deiner Hilfe endlich weiss.

 

Könntest du mir ein Beispiel geben das ich einfach anwenden kann ?

[olc 18]

Hi,

 

doch - Du kannst es so schon machen. Wie gesagt, AGDLP ist an sich kein Problem, solange es sich um eine ein-Domänen Struktur handelt. Von daher ist Dein Beispiel schon korrekt, Du könntest es nur mit der Zusatzinformation spicken, daß es in bestimmten Konstellationen Probleme geben kann.

 

Für Dich heißt das nun, daß Du die Sicherheitsfilterung mittels AGDLP auf der GPO so läßt, wie Du es eingerichtet hast. Du verlinkst jedoch die GPO nicht auf die OU "Menüexplorerweg", sondern verlinkst die GPO auf die OUs "Anwalt" und "Sekretaerin".

 

Im Grunde ist dann die Aufteilung der Gruppen in OUs nicht mehr notwendig, Du könntest die Gruppen also in eine generische OU verschieben, so etwa eine neue OU namens "Gruppen".

 

Wie angesprochen: Du mußt einfach nur den Geltungsbereich der Gruppenrichtlinien verändern, also die GPO oberhalb der Benutzer verlinken. Dann ist alles in Ordnung und sollte funktionieren.

 

Viele Grüße

olc

[Chanjackie 10]

Tut mir leid, aber richtig verstehen tue ich es anscheinend nicht Sorry....

 

Wenn ich die Gpos auf die OUs Anwalt und Sekretaerin machen funktionert es ja , aber ich gehe ja nicht über die AGDLP regel sondern gehe direkt über meine Benutzer.

[olc 18]

Hi,

 

nein - Du wendest die AGDLP Regel trotzdem an. ;)

 

Die AGDLP Regel sagt, daß Du die Sicherheitsfilterung über Gruppen erledigst.

Das bedeutet: Du verlinkst zwar die GPO oberhalb der Benutzer, aber Du gibst Ihnen nicht das Recht die GPO zu übernehmen.

• Entferne dazu die Authentifizierten Benutzer aus der Liste der berechtigten Benutzer und Gruppen auf diese OU.
  
• Bei einem kurzen Test wirst Du nun feststellen, daß die GPO nicht mehr greift.
  
• Nun fügst Du die entsprechende domänenlokale Gruppe als berechtigt, diese GPO zu übernehmen, hinzu.
  
• Die Benutzer sind weiterhin Mitglied der globalen Gruppe, die globale Gruppe ist Mitglied der domänenlokalen Gruppe.
  
• Obwohl die Gruppe nicht in der selben OU liegt, sondern nur die Benutzer unterhalb der GPO liegen, wird die Richtlinie nun wieder greifen.
  

 

Du filterst also mit Sicherheitsberechtigungen, wer die GPO überhaupt übernehmen darf. Und genau das ist in diesem Fall über AGDLP erfolgt.

 

Viele Grüße

olc

[NilsK 2.781]

Moin,

 

was ich noch nicht verstehe: Was willst du in deinem Referat nachweisen bzw. darstellen? Wenn es um die AGDLP-Regel geht, hast du dir einen viel zu komplexen Anwendungsfall gesucht, denn die Anwendung von GPOs beinhaltet weit mehr als nur die AGDLP-Regel. Ganz im Gegenteil kommen Berechtigungen bei GPOs sehr "spät" und nur "am Rande" ins Spiel.

 

Für eine Demonstration des Windows-Berechtigungssystems wären einfache Dateizugriffe viel sinnvoller. Geht es dir hingegen um eine Darstellung der GPO-Anwendungsmechanismen, solltest du die Gruppenverschachtelung weglassen, weil sie vom Prinzip eher ablenkt und nur unnötige Komplexität hinzufügt.

 

Wie immer wäre es also auch hier am sinnvollsten, wenn du dein Ziel beschreibst, statt uns nur über die Probleme deiner Lösung spekulieren zu lassen.

 

Gruß, Nils

[Chanjackie 10]

Hallo OLC ,

 

Das mit meiner Frau ist zu akutelle ich brauche mal ablenkung.

 

du ich werde jetzt mal auf die Fastnacht gehen,ich werde mich auf jedenfall nochmal melden und bedanke mich rechtherzlich schonmal für deien Hilfe !!!!

 

Gruß

[olc 18]

Ok, mach das. Laß Dich nicht unterkriegen. Jede Scherbe spiegelt das Licht. :wink2:

 

Viele Grüße

olc

[Chanjackie 10]

Hallo bin wieder zurück und mir geht es noch gut :-) !!!

 

Ich soll eigentliuch nur ein Beispiel bringen indem ich agdlp anwende, was ich mache ist egal , hauptsache die Agdlp ist drinne.

 

Zuvor habe ich es versucht über ein script (mit runas und netsh) den Gateway zu ändern , das hatleider nicht funktioniert ich musste das Passwort manuell eingeben.

Aufbau war genau wie die ganze Zeit beschrieben.

 

Jetzt möchte ich nur was ganz einfachen was schnell geht damit ich mein Refgerat am Mittwoch abgeben kann und am Donnerstag muss ich es halten. Vllt gebe ich einfach nur einen Ordner frei und fertig.

Auf jedenfall habe ich jetzt mal das richtige Board gefunden hier bekommt man wenigstens geholfen!!!

 

Werde das Problem nach dem ausschlafen angehen... Hoffe das ich morgen auch unterstützung erhalte und das es endlich klappt ... Vielen Dank ..

grüsse

[Chanjackie 10]

Hallo OLC,

 

Ich habe das ganze Szenario mit einem Freigegebenen Ordner gemacht, jetzt kann ich der globalen Gruppe, Benutzer zuordnen und die können zugreifen so wie ich es immer wollte.

 

Das scheint dann das sinnvollste zu sein bzw. einfachste um AGDLP anzuwenden.

 

Vielen Dank für eure Hilfe ....

 

Jetzt noch die Dokumentation und fertig ....