Ich stehe vor der Aufgabe, ein bisher nur aus Linuxrechnern bestehendes Netzwerk um einige XP-Clients zu erweitern. An den Rechnern sollen verschiedene Arten von Benutzern arbeiten, für die ich daher auf meinem 2k3-Server unterschiedliche Richtlinien festgelegt habe.
Die Benutzer sollen sich über den vorhandenen Linux-Kerberos-Server authentifizieren. Dazu habe ich einen Trust hergestellt, auf den XP-Clients den Kerberos-Server bekanntgemacht und den Benutzern im Active Directory über "Namenszuordnungen" die korrekten Prinzipalnamen zugeordnet.
Die Benutzer können sich nun erfolgreich direkt an der Windows-Domäne anmelden, oder aber bei der Anmeldung den Kerberosbereich auswählen und sich auch dort problemlos authentifizieren.
Das Problem besteht nun darin, dass die den einzelnen Benutzergruppen zugeordneten GPOs nur greifen, wenn sich ein User direkt an der Windows-Domäne anmeldet. Bei einer Anmeldung via Kerberos werden sämtliche Richtlinien einfach vollständig ignoriert -- ganz so, als ob sie gar nicht da wären.
Hat vielleicht jemand eine Idee, was ich übersehen haben könnte? Ich konnte dazu nirgendwo etwas finden. Soweit ich weiß, sollte der Client doch auch nach einer Kerberos-Authentifizierung trotzdem die passenden Gruppenrichtlinien vom DC holen und anwenden, bei der "normalen" Anmeldung funktioniert das ja auch. Muss ich dazu vielleicht noch zusätzliche Einstellungen machen?