Verschachtelte Gruppenmitgliedschaft funktioniert nicht

[Wisi]

Hi,

ich hab folgendes Problem:

User ist Mitglied von globaler Gruppe "GG_Remotedesktop", diese wiederum ist Mitglied von "DLG_Remotedesktop", also sollte der User effektiv Mitglied von der DLG Gruppe sein.

Jetzt haben wir in einer Gruppenrichtlinie die Richtlinie "Anmelden über Terminaldienste zulassen" modifiziert, dass DLG_Remotedesktop sich anmelden darf, also sollte sich das eigentlich doch auch auf die die User auswirken?

Tuts jedenfalls nicht. Hat wer nen Tipp, außer die GG_Remotedesktop in die Richtlinie aufzunehmen?

edit: wenn ich den User in die DLG_Remotedesktop Gruppe stecke, funktionierts auch nicht, aber über die GG_Remotedesktop direkt funktionierts wie gewohnt.

[IThome]

Hast Du das auch im RDP-Verbindungsobjekt angepasst ? In welchem Betriebsmodus ist die Domäne ? Erzähl mal ein bisschen mehr, wer (in welcher OU) diese Richtlinie anwendet, ist das ein Terminalserver ?

[Wisi]

Hast Du das auch im RDP-Verbindungsobjekt angepasst ?

was meinst du damit?

Modus ist "Windows 2000 gemischt"

Die Richtline gilt über die komplette Domäne, ist gefiltert auf Authentifizierte Benutzer und Domänen Computer

Domäne
-OU Abteilung -> Benutzer
-OU Dienstgruppen -> DLG und GG Gruppe

ist im Prinzip aber doch egal in welcher OU die Benutzer sind oder überseh ich da was in der Richtlinie?

Richtlinie funktioniert wenn:

-GG_Remotedesktop das Recht in der Richtlinie bekommt (Benutzer ist ja Mitglied)
-der Benutzer direkt das Recht in der Richtlinie bekommt

Richtlinie funktioniert nicht wenn:
-DLG_Remotedesktop das Recht bekommt (obwohl GG_Remotedesktop Mitglied ist)
-DLG_Remotedesktop das Recht bekommt und zusätzlich der User Mitglied dieser Gruppe ist (das verwundert mich am meisten...)


edit: sollte vielleicht noch schreiben, dass die user ihre pcs damit fernsteuern und ich nicht auf einen server zugreifen will, sondern von einer workstation auf eine andere (sprich der ferngesteuerte pc hat windows xp pro)

edit2: dasselbe problem hab ich auch mit eingeschränkten gruppen stelle ich gerade fest, will ich über eine dlg rechte verteilen gehts nicht, über die gg gehts; so langsam zweifel ich dann doch an meinen prüfungen

[IThome]

Der Modus muss auf mindestens Windows 2000 pur stehen, damit domänenlokale Gruppen auf Membern benutzt werden können ...

[Wisi]

ok, alles klar, d.h. ich müsste in den Win2K Native modus wechseln

wir haben derzeit nur noch 2003 dcs, das sollte keine problem geben oder? evtl. kommen aber wieder 2000er dazu, deswegen will ich nicht höher gehen, was meinst du?

[IThome]

Sehe ich auch so, solange Du keine NT 4 BDCs im Netz hast, kannst Du auf Native wechseln. Solange Du noch 2000 DCs hast, solltest Du nicht in den Windows 2003 Modus wechseln ...

[Wisi]

merci, das wars dann auch, läuft

hat gleich noch nen anderen fehler hinterhergezogen (war ja klar ), aber der war leicht zu finden, jetzt sind die logs wieder fehlerfrei