Mr.John_Doe 10 Geschrieben 11. August 2014 Melden Teilen Geschrieben 11. August 2014 Hallo, wir haben unsere Clients letztens auf Windows 7 migriert. Gleichzeitig haben wir die alte vom IdentyManagement abgegrenzte Domain durch eine neue Domain ersetzt. Da wir von der Clientbetreuung aber nicht im IDManagement rumpfuschen sollen hat unser Server-Chef uns eine abgesetzte Domain zur Verfügung gestellt, welche mit einer "Nutzerdomain" getrustet ist. Die Nutzer liegen somit in einer anderen Domäne als die Rechner. Die Domänen vertrauen sich gegenseitig. Auf die Nutzerdomäne haben wir keinen Zugriff. Die Nutzer melden sich bei unseren Clients standardmäßig mit der userdomain an. Da die Nutzerdomäne praktisch nicht angefasst werden soll (Vorgabe) mussten wir alle Richtlinien (z.B. RoamingProfiles) an den Rechnern festmachen. Dadurch haben wir leider ein paar Probleme bzw. bekomme ich einige Sachen einfach nicht zum laufen und weiß nicht genau wieso. Möglicherweise könnt ihr mir helfen. Ein entpersonalisiertes Schema habe ich angehangen ... 1. Da die RoamingProfile-Regel am Rechner hängt versucht der Rechner auch für lokale Nutzer (Schulungsräume etc.) Profile auf dem Server zu speichern was in einem Fehler endet. Ich habe versucht in der Regel den Scope auf die Gruppe userdom.local\User zu legen, leider ohne Erfolg 2. Einige nutzerseitige Einstellungen (SharedFolder, Office-Einstellungen usw.) werden nicht angewendet. GPRESULT meldet dass die Richtlinien nicht angewendet werden aufgrund unbekannten Fehlers. Ich habe eine Richtlinie eingerichtet, welche Loopbackverarbeitung (Merge) einrichten sollte und der OU MainDepartment angehangen, gpresult meldet, dass die Richtlinie aktiv ist, aber die Nutzereinstellungen werden trotzdem nicht ausgeführt. Könnt ihr mir bei der Fehlerbehebung helfen? Ich seh die Lösung leider grad nicht ... Danke und Grüße Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 11. August 2014 Melden Teilen Geschrieben 11. August 2014 (OT: Euer "Server-Chef" ist ein T****l - Territorialkriege in der eigenen Firma???) http://gpsearch.azurewebsites.net/#320 hast Du aktiviert? Und SID-Filtering auf dem Trust ist deaktiviert? Und warum hängt eine Roaming Profile Regel am Rechner? Das ist idealerweise eine Einstellung des User-Accounts... Wenn Du das per GPO machen willst (was nur auf Computerebene geht, richtig), dann kriegst Du für lokale User natürlich Fehler, also "warum gibt es die überhaupt"? Zum Thema "Loopback Merge": http://support.microsoft.com/kb/953768 kennst Du? Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 12. August 2014 Autor Melden Teilen Geschrieben 12. August 2014 (OT: Euer "Server-Chef" ist ein T****l - Territorialkriege in der eigenen Firma???) http://gpsearch.azurewebsites.net/#320 hast Du aktiviert? Und SID-Filtering auf dem Trust ist deaktiviert? Und warum hängt eine Roaming Profile Regel am Rechner? Das ist idealerweise eine Einstellung des User-Accounts... Wenn Du das per GPO machen willst (was nur auf Computerebene geht, richtig), dann kriegst Du für lokale User natürlich Fehler, also "warum gibt es die überhaupt"? Zum Thema "Loopback Merge": http://support.microsoft.com/kb/953768 kennst Du? Hallo, Allow-Cross-Forest ist aktiviert für die Richtlinie. Wie kann ich SID-Filtering überprüfen? Wir haben keinen Zugriff auf die Userdomain, daher können wir nur an den GPOs der Rechner wirken. Warum? Möglicherweise deine erste Zeile oder ernsthafte Sicherheitsbedenken ... Den Artikel kenne ich. Ich habe unten mal die beiden Richtlinien angehangen. Meine Idee war es, die RoamingProfile-Richtlinie via Scope auf userdom.local\Users so einzuschränken dass die Richtlinie nur noch für Nutzer dieser Domain angewendet wird. Bin mir aber nicht sicher ob das so funktioniert. Wir vergewaltigen hier die Richtlinienmethodik schon sehr ... Die fraglichen Richtlinien habe ich mal angehangen (hoffentlich genügend entpersonalisiert). Danke und Grüße Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 12. August 2014 Melden Teilen Geschrieben 12. August 2014 Meine Idee war es, die RoamingProfile-Richtlinie via Scope auf userdom.local\Users so einzuschränken dass die Richtlinie nur noch für Nutzer dieser Domain angewendet wird. Bin mir aber nicht sicher ob das so funktioniert. Wir vergewaltigen hier die Richtlinienmethodik schon sehr ... Du kannst Computer-Richtlinien nicht auf User einschränken. Damit bist Du hier an einem "toten" Ende. Ok, um ehrlich zu sein: Bei manchen geht das. Bei RUP nicht - das Profil muss geladen werden, bevor User-Einstellungen verarbeitet werden, deshalb kommst Du in diesem Sonderfall nicht weiter mit irgendwelchen Tricksereien per GPP Registry (die ja auch in HKLM schreiben können...). Zitieren Link zu diesem Kommentar
Mr.John_Doe 10 Geschrieben 13. August 2014 Autor Melden Teilen Geschrieben 13. August 2014 OK, danke. Könnte man dann aber Richtlinien zum Mappen von Laufwerken auf diese Weise einschränken? Die wären dann auch den Rechnern zugewiesen ... Kann ich eine Gruppenrichtlinie einer Securitygroup zuweisen welche Nutzer der anderen Domain enthält? Bsp.: Ich erzeuge eine Gruppe "Abt1_Share" und weise ihr die Nutzer userdom.local\User1 und userdom.local\User2 zu und gebe der OU in welcher die Gruppe liegt eine Richtlinie. Wird diese dann auf die beiden Nutzer angewendet? Grüße Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 13. August 2014 Melden Teilen Geschrieben 13. August 2014 Nein, GPOs werden immer nur auf Computer- oder Benutzerkonten angewandt. Nie auf Gruppenmitgliedschaften; darüber kann man nur die Anwendung filtern. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.