Zum Inhalt wechseln


Foto

Gruppenrichtlinien werden nicht übernommen


  • Bitte melde dich an um zu Antworten
35 Antworten in diesem Thema

#31 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 01. Juli 2003 - 17:13

Hallo klausk,

könntest du was testen? Ich vermute es liegt daran, dass die Gruppe, in der die Computer Mitglied sind, in einer anderen OU als die Computer selber sind, und der/die Computer keine Leseberechtigung auf der OU haben. Damit könnten sie meiner Meinung nach die Gruppe nicht sehen und darin nicht Mitglied werden???

gruß

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#32 klausk

klausk

    Expert Member

  • 1.462 Beiträge

 

Geschrieben 01. Juli 2003 - 17:18

Hallo grizzly999,

das mit der Gruppe in der anderen OU ist schon getestet - ich lege Gruppen nach Möglichkeit nie in der gleichen OU wie die Computerkonten ab :)

Das mit der Leseberechtigung klingt schlüssig, werde ich gleich mal testen ...

Bis gleich
Klaus

#33 klausk

klausk

    Expert Member

  • 1.462 Beiträge

 

Geschrieben 01. Juli 2003 - 18:18

Hmm, auch wenn der PC keine Berechtigung auf die OU hat (Berechtigungen für das Computerkonto "Vollzugriff verweigert") wird mit gpresult trotzdem die Gruppenzugehörigkeit angezeigt und die Gruppenrichtlinie geladen.

Kann mir das nur so erklären, dass ich als Admin die Gruppe (SID) dem Computerkonto hinzufüge und ich die entsprechenden Rechte auf DC habe. Beim Anmelden überprüft wiederum der DC in welchen Gruppen der Computer enthalten ist und generiert dementsprechend das Ticket ... Und wenn ich als Admin mit gpresult prüfe, habe ich auch wieder mehr Rechte als der Computer ... es tun sich Abgründe auf :cry:

#34 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 02. Juli 2003 - 08:03

Jüngste Testergebnisse:
Alles auf Anfang, OU gelöscht, neue Gruppe in "Computers" angelegt, Host "foo" dieser Gruppe hinzugefügt, keine GPO angelegt, "foo" gebootet und gpresult meldet: "foo" ist Mitglied der eben angelegten Gruppe.

Aha. Also so ganz vermurkst ist mein System wohl doch nicht.

Also noch mal probiert: Die Gruppe von oben wieder entfernt, die Gruppenzugehörigkeit von "foo" überprüft ( nix drin- OK).

Jetzt muss ich hier noch ein Detail nennen, was ich bisher nicht genannt habe: Das Anlegen von Gruppen, Mitglieder bestimmen, User anlegen, das Erstellen von GPOs und das Linken der GPO an einen Ort und eben alle Arbeiten im Active Directory, die mit meinem Problem hier zu tun haben, mache ich nicht von Hand, sondern mit einem Programm, welches ich dafür geschrieben habe. Das Programm nutzt die LDAP Zugriffsmöglichkeit auf das AD um so Gruppen und User anzulegen und Mitgliedschaften zu bestimmen. GPOs verwalte ich durch Aufrufe von Scripten, die der GPMC beigelegt waren.

Also nach Aufruf meines Programmes bis zu dem Punkt, an dem der Host der Gruppe hinzugefügt wurde, habe ich das Programm noch mal laufen lassen und siehe:
Die automatisch angelegte Gruppe wurde von GPResult NICHT in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt. Noch mal alles gelöscht und die gleichen Schritte von Hand durchgeführt und: Die von Hand angelegte Gruppe wurde von GPResult _korrekt_ in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt.
Der Rest war eine Kleinigkeit. Noch schnell eine GPO eingefügt und die Sicherheitseinstellungen angepasst. Und: GPO wird korrekt übernommen.

So. Jetzt haben wir zumindest die Ursache gefunden.

Einer der 3 gescripteten Schritte:
-neue OU erstellen
-Gruppe in der OU anlegen
-Computerkonto der Gruppe hinzufügen
funktioniert nicht so, wie er sollte. Das Problem ist, dass augenscheinlich kein Unterschied festzustellen ist. Die per Script angelegten Objekte sehen genau so aus, wie die von Hand angelegten.

Jetzt ist die Frage, wie ich bei diesem Problem weiter komme. Ich zweifle daran, dass ich hier in diesem Forum weiterhin so tolle Hilfe finde, wie bisher, da sich das Problem nun darauf verlagert, was beim den o.g. Schritten falsch laufen könnte.

Ich habe hier mal die Prozeduren eingepastet, vielleicht habe ich ja Glück und jemand erkennt da einen Fehler. Falls nicht, würde ich mich aber um Rückmeldung freuen, die mir sagt, wohin ich mich wenden könnte.

Für eure bisherige Hilfe, Klaus und Grizzly, jedenfalls schon mal ganz herzlichen Dank! Ohne euch wäre ich nicht bis hierhin gekommen!

T.

Ab hier für Leute, die sich das im Detail antun wollen:

Es gibt 3 Schritte, die die Ursache des Problems sein könnten:
- Anlegen einer OU
- Erstellen einer Gruppe in der OU
- Festlegen der Mitgliedschaft eines Computerkontos in der Gruppe

Ich halte es für am wahrscheinlichsten, dass das Problem im Erstellen der Gruppe liegt. Hier mal die Funktion, mit der ich die Gruppe erstelle:

Private Function GruppeAnlegen(ByVal Gruppe As String, ByVal Ort As String) As Boolean
Dim OU, grp As IADs
On Error GoTo Err

Set OU = GetObject("LDAP://" & Ort)
Set grp = OU.Create("group", Gruppe)
grp.Put "samAccountName", Mid(Gruppe, 4)
grp.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED
grp.SetInfo
GruppeAnlegen = True
Exit Function

Err:
GruppeAnlegen = False
End Function

' Aufruf:
if GruppeAnlegen("CN=GR test", "OU=MyOU, DC=test1, DC=testdomain, DC=de") then debug.print "OK"

Torsten

#35 torstenv

torstenv

    Junior Member

  • 118 Beiträge

 

Geschrieben 02. Juli 2003 - 08:47

Ich habe ein Code Snipplet von
http://msdn.microsof...p_type_enum.asp
benutzt, und nun taucht die Gruppe auf. Die GPO wird scheinbar auch übernommen. Es scheint, als käme ich meinem Ziel näher. Wir können diesen Thread erst mal als gegessen betrachten.

Tausen Dank an Euch!

T.

#36 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 02. Juli 2003 - 20:15

Kleine Ergänzung noch:
In den win2003 Reskitools http://www.microsoft...&displaylang=en
gibt es den Policy-spy. (winpolicies.exe). Das Tool liefert zum Troubleshooten von GPO-Problemen als Ergänzung zu gpresult.exe etc. recht viele Infos
cu
blub