Zum Inhalt wechseln


Foto

Gruppenrichtlinien werden nicht übernommen

Active Directory

  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#1 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 13:36

Server:

MS Windows Server 2003 SBS

Clients:

Windows XP Professional. Waren vor der Einführung einer Domäne in einer Arbeitsgruppe und i.d.R. mit Administrator rechten versehen

Meine bisherige Konfiguration:

Ich habe auf dem Server im Active Directory Benutzer angelegt und diesen Nutzern habe ich eine Gruppe zugeordnet („Testgruppe“). Die neuen Benutzer und neuen Gruppen befinden sich in der Organisationseinheit „Benutzer“. In der Gruppenrichtlinienverwaltung habe ich in der Organisationseinheit ein neues Gruppenrichtlinienobjekt erstellt („XP-Benutzer“). In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen. Im Gruppenrichtlinien-Editor habe ich unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung“ alle drei Hauptschlüssel hinzugefügt. Dabei habe ich auch die „Testgruppe“ ausgewählt und Vollzugriff vergeben, und danach die Option „Vererbbare Berechtigung an alle Unterschlüssel übermitteln“ ausgewählt. Außerdem habe ich unter „Benutzerkonfiguration\Windows-Einstellungen\Skripts (Start/Herunterfahren)“ ein Skript unter Starten eingestellt. „\\[Servername]\NETLOGON\Test.bat“.


Nun zu meinem Problem:

Leider musste ich feststellen, das die Clients keinen Zugriff auf die Registrierungsdatenbank haben, und mein Testskript wurde auch nicht ausgeführt. Ich habe den Eindruck, dass die Gruppenrichtlinien, die ich einstelle nicht berücksichtigt werden.

Was ich eigentlich erwarte/möchte:

Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe.

Zu meiner Person

Ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten

#2 McMurphy

McMurphy

    Junior Member

  • 73 Beiträge

Geschrieben 06. Januar 2006 - 14:07

... vielleicht hast du es auch nur vergessen mit dazu zu schreiben, aber hast du dein Gruppenrichtlinienobjekt auch den entsprechenden Usern/Computern zugewiesen oder hast du es nur erstellt?

Trotzdem: willkommen an Board

Murphy
... alles wird gut! Wobei ich das langsam bezweifle!

#3 Hirgelzwift

Hirgelzwift

    Board Veteran

  • 2.381 Beiträge

Geschrieben 06. Januar 2006 - 14:20

Der Container Benutzer ist keine OU. GPO's lassen sich nur auf OU's anwenden

#4 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 14:39

@McMurphy
Ich habe dem Gruppenrichtlinienobjekt eine Gruppe zugeordnet

Zitat:
"...In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen..."

Ich hoffe das ist so richtig

@Hirgelzwift

sry aber ich verstehe die Abkürzungen nicht, jedenfalls noch nicht ;-)

#5 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 14:49

So nach meinen recherchen scheint ein OU eine Organisationeinheit zu sein. Jedoch habe ich die "Organisationseinheit-Benutzer" mit einem "rechtsklick -> neu -> Organisationseinheit" auf dem Active Directory erstellt.

#6 Hirgelzwift

Hirgelzwift

    Board Veteran

  • 2.381 Beiträge

Geschrieben 06. Januar 2006 - 15:05

OU= Organisations Einheit (Unit)
GPO= Group Policy Objekt, also eine Gruppenrichtlinie

Es gibt OU's und Container. Wenn du dir das AD anschaust wirst du zwei unterschiedliche Icons feststellen. Die die aussehen wie ein normaler Windowsordner sind "nur" Container, auf die kannst du keine GPO's anwenden.

Um GPO's zuweisen zu können musst du eine eine GPO erzeugen und dann eine OU erzeugen oder mit einer vorhandenen OU die erzeugte GPO verlinken.

Je nachdem ob du dir den GPO Editor installiert hast oder nicht kannst du das entweder in GPO Editor machen oder im AD Benutzer & Computer - bei Gruppenrichtlinen

Natürlich musst du dann auch noch die Objekte, also Computer und oder Benutzer, in diese OU verschieben.

#7 dmetzger

dmetzger

    Expert Member

  • 2.588 Beiträge

Geschrieben 06. Januar 2006 - 15:22

Und natürlich wirken Gruppenrichtlinien auf Computer- oder Benutzerobjekte, nicht auf Gruppen. Das heisst, dass Objekte in der OU oder einer darunter liegenden OU liegen müssen, mit der das auf sie anzuwendende GPO (Gruppenrichtlinien-Objekt) verknüpft ist. Ein Objekt kann also immer nur in einer OU sein.

Im Grundsatz gilt: Computereinstellungen im GPO wirken auf Computerobjekte, Benutzereinstellungen auf Benutzerobjekte.

Mehr Grundsatzliteratur gibt es unter:
http://www.microsoft...ry/default.mspx
http://www.gruppenrichtlinien.de

Das spart uns längere Erklärungen, auch weil vieles davon hier im Board schon geschrieben steht und durch die Boardsuche auch auffindbar ist.
MCT, MCM Windows Server 2008 R2 Directory

#8 Hirgelzwift

Hirgelzwift

    Board Veteran

  • 2.381 Beiträge

Geschrieben 06. Januar 2006 - 15:28

Ich bin halt eine Plaudertasche ;) :D

#9 lefg

lefg

    Expert Member

  • 17.336 Beiträge

Geschrieben 06. Januar 2006 - 15:52

Hallo,

hat der TO sich denn schon mal von dem Funktionieren der Namensauflösung per DNS überzeugt?

Ohne Arme keine Kekse. ;)

Gruß

Edgar
Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

#10 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 19:21

Also ich weis jetzt wo die Sachen gespeichert werden und konfiguriert werden. Aber wie kann ich den überprüfen ob eine Richtlinie übernommen wurde oder nicht?? Denn wenn ich mir auf dem Client die adm files (C:\Windows\Inf) ansehe bzw. das Änderungsdatum mit der auf dem Server vergleiche dann sehe ich es sind nicht die selben sondern die alten, die von anfang an drauf waren. Also irgenswas stimmt nicht

#11 IThome

IThome

    Moderator

  • 17.763 Beiträge

Geschrieben 06. Januar 2006 - 19:29

Zum Überprüfen kannst Du entweder GPRESULT (mit diversen Schaltern) benutzen oder Du öffnest eine leere MMC-Konsole (mmc.exe) und fügst das Snapin Richtlinienergebnissatz zu. Du kannst auf dem zu überprüfenden Client ebenso RSOP.MSC ausführen.
Ich bin S-1-5-XXX-500, ich darf das ...

#12 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 21:27

Folgenden Befehl habe ich ausgeführt:

gpresult /USER go-S3\Administrator


und lieferte folgendes Ergebnis:


Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0
Copyright © Microsoft Corp. 1981-2001

Am 06.01.2006, um 22:17:14 erstellt



RSOP-Daten fr GO-S3\Administrator auf DATENSERVER: Protokollmodus
-------------------------------------------------------------------

Betriebssystemtyp: Microsoft® Windows® Server 2003 fr Small Business Server
Betriebssystemkonfiguration: Prim„rer Dom„nencontroller
Betriebssystemversion: 5.2.3790
Terminalservermodus: Remoteverwaltung
Standortname: Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil: C:\Dokumente und Einstellungen\Administrator
Langsame Verbindung? Nein


COMPUTEREINSTELLUNGEN
----------------------
CN=DATENSERVER,OU=Domain Controllers,DC=go-S3,DC=Datenserver
Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 22:13:35
Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: GO-S3
Dom„nentyp: Windows 2000

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Small Business Server-šberwachungsrichtlinie
Default Domain Controllers Policy
Small Business Server-Clientcomputer
Small Business Server-Remoteuntersttzungsrichtlinie
Small Business Server-Kontosperrungsrichtlinie
Small Business Server-Dom„nenkennwortrichtlinie
Default Domain Policy

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Small Business Server-Windows-Firewall
Filterung: Verweigert (WMI-Filter)
WMI-Filter: PostSP2

Small Business Server-Internetverbindungsfirewall
Filterung: Verweigert (WMI-Filter)
WMI-Filter: PreSP2

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Computer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Administratoren
Jeder
Benutzer
Windows-Autorisierungszugriffsgruppe
NETZWERK
Authentifizierte Benutzer
Diese Organisation
DATENSERVER$
Dom„nencontroller
DOMŽNENCONTROLLER DER ORGANISATION
RAS- und IAS-Server

[...]


#13 neobender

neobender

    Newbie

  • 35 Beiträge

Geschrieben 06. Januar 2006 - 21:28



[...]

BENUTZEREINSTELLUNGEN
----------------------
CN=Administrator,CN=Users,DC=go-S3,DC=Datenserver
Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 20:47:35
Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: GO-S3
Dom„nentyp: Windows 2000

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Small Business Server-Kontosperrungsrichtlinie
Filterung: Deaktiviert (Gruppenrichtlinienobjekt)

Small Business Server-Clientcomputer
Filterung: Nicht angewendet (Leer)

Small Business Server-Windows-Firewall
Filterung: Verweigert (WMI-Filter)
WMI-Filter: PostSP2

Small Business Server-Remoteuntersttzungsrichtlinie
Filterung: Deaktiviert (Gruppenrichtlinienobjekt)

Small Business Server-Dom„nenkennwortrichtlinie
Filterung: Nicht angewendet (Leer)

Small Business Server-Internetverbindungsfirewall
Filterung: Verweigert (WMI-Filter)
WMI-Filter: PreSP2

Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Dom„nen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
Diese Organisation
LOKAL
Dom„nen-Admins
Richtlinien-Ersteller-Besitzer
Organisations-Admins
SBS Mobile Users
SBS Report Users
Schema-Admins
ORA_DBA


Mache ich das jedoch mit dem neu eingerichteten Benutzern:

gpresult /USER go-S3\Testuser

so kommt folgendes Ergebnis:

INFORMATION: Benutzer "go-S3\Testuser" hat keine RSOP-Daten.

#14 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

Geschrieben 06. Januar 2006 - 22:31

Hast Du dich mit dem Test-User schon mal angemeldet?

Wenn nicht, funktioniert das mit RSOP nicht.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#15 IThome

IThome

    Moderator

  • 17.763 Beiträge

Geschrieben 06. Januar 2006 - 22:45

Wo führst Du GPRESULT denn durch, auf dem DC (steht ja oben :rolleyes: ) ? Wenn der User, den Du testen möchtest, dort noch nicht angemeldet war (was auf einem DC sehr wahrscheinlich ist), existiert kein Benutzerprofil für diesen User und Du bekommst diese Meldung . Melde Dich an dem Computer mit dem entsprechenden Benutzer an, an dem letztlich gearbeitet wird und führe dort GPRESULT durch.
Wenn Du prüfen möchtest, was passiert, wenn sich ein Objekt in einer bestimmten OU z.B. befindet, solltest Du den Richtlinienergebnissatz im Planungsmodus verwenden. Dazu gibst Du in Start - Ausführen - MMC ein, dann navigierst Du zu Datei - Snapin hinzufügen - Hinzufügen - Richtlinienergebnissatz markieren - Hinzufügen - Schliessen - OK
Dann hast Du in dem verbliebenen Fenster den Richtlinienergebnissatz stehen, den Du mit rechts anklickst, um einen Richtlinienergebnissatz zu generieren. Im weiteren Verlauf kannst Du definieren, für welchen Benutzer oder Computer Du den Satz erstellen möchtest, wo die Objekte sich befinden (oder befinden werden) usw. Ist der Satz generieren, kannst Du die Einstellungen kontrollieren.
edit: zu lange geschrieben :D
Ich bin S-1-5-XXX-500, ich darf das ...



Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory