Lifeforce

Hi,

du hast das Kommando mit den Parametern /p und /g ausgeführt? Dann müsste eigentlich das Gruppenrichtlinienobjekt unter bei /g angegebenen Namen in der Gruppenrichtlinienverwaltungskonsole unter den Gruppenrichtlinien angezeigt werden und muss dann von dort mit der entsprechenden OU verlinkt werden.

Hi,

wenn du eine Konsolsitzung einrichtest, siehst du das, was der Kunde gerade auf seinem Bildschirm hatte. Dessen Bildschirm ist dann aber gesperrt, solange du arbeitest.

Musste mich gerade um ein paar Kunden kümmern, aber das was lefg geschrieben hat, dürfte die wahrscheinlichste Ursache sein.

Wirken Gruppenrichtlinien auf den Computer?

Entweder richtest du einen Hardware-Raid ein, dann brauchst du den Controller (das ist immer vorzuziehen), oder du emulierst den Raid mit Bordmitteln des Betriebssystems, dann brauchst du dafür die dynamischen Platten, weil du mit Basisfestplatten keinen Raid emulieren kannst.

Hast du die Rechner zwei mal rebootet? Einmal zum anwenden der GPO wg. der langsamen Verbindungen, danach wg. der ursprünglichen GPO.

Geht über Gruppenrichtlinie z.B. in der Default Domain Policy bei den Administrativen Vorlagen im System unter Benutzerprofile in der Einstellung Sicherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen.

Die folgende Seite gibt recht gut Auskunft:

http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm

SP1 bringt eine Firewall mit. Möglicherweise war sie es. Oder: veränderte Einstellungen bezüglich SMB-Signierung. Könnte auch sein.

Das Prinzip war AGLP. Wenn du einer auf dem Server oder Client bestehenden lokalen Gruppe Domänenitglieder hinzufügen willst, geht das nur direkt über den Account des Benutzers (ungünstig - wenn es nicht gerade bloß ein Benutzer ist) oder eben über das geschilderte Verfahren mit der Globalen Gruppe vom AD in die bestehende lokale Gruppe auf dem Server.

A G DL P:

du befindets dich mit deiner Domäne in einer Funktionsebene, in der NT BDCs nicht mehr unterstützt werden, dann ist das anwendbar: nehmen wir als Beispiel an, du hast eine Ressource auf dem lokalen Computer (Server) freigegeben und musst nun die Freigabeberechtigungen (und meinetwegen auch noch die NTFS-Berechtigungen vergeben. Dann kannst du auf der einen Seite auf dem DC die Benutzer in einer globalen Gruppe organisieren, und du kannst gleichzeitig auf dem DC entsprechende domänenlokale Gruppen anlegen (z.B. DL-Freigabe-lesen, DL-Freigabe-ändern usw.). Dukannst in der Zugriffsteuerungsliste der Freigabe nun die domänenlokalen Gruppen verwenden und die entsprechechenden Berechtigungen zuweisen. Der Vorteil dieses Verfahrens im Gegensatz zu AGLP ist, dass nun zwei klar oneinander getrennte Orte hast, wo du tätig wirst. Auf der einen Seite ist da der Server, wo du die Berechtigungen den domänenlokalen Gruppen erteilt hast, auf der anderen Seite ist da der DC, wo du mit den Benutzern jonglierst. A->G, G->DL. Das DL<-P wird einmal auf dem Server definiert, danach ist Ruhe. Wechselt ein Benutzer in eine andere Abteilung verschiebst du ihn auf dem DC z.B. von der globalen Gruppe Einkauf ind die globale Gruppe Verkauf, schon hat er die der neuen Abteilung zugeordneten Berechtigungen. Soll eine Abteilung andere Berechtigungen für den Zugriff auf eine Ressource erhalten, verschiebst du die globale Gruppe in eine andere domänenlokale Gruppe. Und das passiert alles nur auf dem DC.

... aber ich kann für die Berechtigungen der GPO Gruppen verwenden.

Gruß macboon

Komisch, und ich dachte, ich hätte geschrieben, dass Gruppen für Berechtigungen herangezogen werden ... ;)

Z.B. in der Default Domain Policy in der Computerkonfiguratin bei den Administrativen Vorlagen unter System und dann unter Gruppenrichtlinien in der Einstellung Gruppenrichtlinien zur Erkennung langsamer Verbindungen.

Wenn ich dich richtig verstehe, willst du (TESTPERSON(ICH)) zum lokalen Administrator machen. Du hast diesen User in die globale Gruppe (PC_Admin) eingefügt. Nun kannst du diese globale Gruppe in die lokale Gruppe ADMINISTRATOREN auf dem lokalen Computer hinzufügen, wenn dieser Domänenmitglied ist. Damit erhält der User der Domäne lokale administrative Berechtigungen.

Dadadum har recht. Die Standardcontainer (und dazu gehört der Container users) sind nicht weiter unterteilbar.

Gruppenrichtlinienobjekte können mit den Containern Standort, Domäne und Organisationseinheit verknüpft werden und wirken nur auf die darin enthaltenen Endobjekte: Computerrichtlinien auf die Computer, Benutzerrichtlinien auf die Benutzer. Dabei muss natürlich auf die Anwendungs- und Vererbungsreihenfolge geachtet werden.

In der Regel wird ein den Unternehmensrichtlinien entsprechendes Organisationseinheitenmodell entworfen, welches als Ziel hat, die Verwaltung der Computer und Benutzer entsprechend zu vereinfachen. Dazu werden die Benutzer und Computer entsprechend in den Organisationseinheiten aufgenommen. Mittels der Gruppenrichtlinien können nun die Arbeitsumgebungen der Benutzer auf ihren Computern automatisiert eingerichtet und verwaltet werden.

Gruppen verfolgen ein anderes Ziel: sie dienen auf der einen Seite zum Organisieren von Benutzern nach bestimmten Kriterien, zum anderen werden sie dazu verwendet, in Zugriffssteuerungslisten (z.B. Freigabe, NTFS) ihre Mitglieder mit den definierten Berechtigungen zu versorgen.

Obwohl Gruppenrichtlinien Gruppenrichtlinien heißen, können sie nicht auf Gruppen. sondern nur auf die in den Containern enthaltenen Endobjekte angewendet werden.

Erhöhe mal den Gruppenrichtlinienschwellenwert für langsame Verbindungen.

Existieren mehrere DCs? Werden die Anmeldungen vom selben DC durchgeführt? Funktioniert die Replikation zwischen den DCs? Ist clientseitig die DNS-Konfiguration in den TCP/IP-Eigenschaften korrekt?

Bei MS gibt es eine gute Seite, um die Fehler bzgl. Gruppenrichtlinienanwendungen einzugrenzen. Schau sie dir mal an:

http://www.microsoft.com/germany/technet/datenbank/articles/600865_1.mspx

Neuer Benutzer und alter Benutzer melden sich beide von ein und demselben PC an an der Domäne an? Sie sind beide in ein und derselben OU?

Poste doch mal bitte die gpresult-Ergebnisse

Auf dem DC erstellst du eine Zone, die genau so heisst wie die Domäne. Typ ist Active Directory integriert, und du läßt dynamische Updates zu. Dein DC trägt sich dann ein. Was fehlt, ist die Active Directory Verwaltungszone _msdcs mit den Dienstidentifizierungseinträgen. Die kommt nach dem Rebooten - was aber nicht unbedingt nötig ist. Du kannst auch in der Eingabeaufforderung die Befehle eingaben:

net stop netlogon

und danach

net start netlogon

Bei dem letzten Befehl werden die notwendigen Dienste für die Netzwerkanmeldung wieder gestartet (es sollte für jeden Dienst ein Punkt angezeigt werden - ca. 8) und _msdcs wird erzeugt. Das dauert aber eine Weile.

Du kannst noch

ipconfig /registerdns

eingeben.

Die Meldung, dass das SCSI-BIOS nicht vorhanden ist, ist kein Fehler und stellt auch kein Problem dar. Wenn ein Computer nicht von einer SCSI-Platte gebootet wird, sondern z.B. von einer EIDE-Platte, braucht die Festplatte keine BIOS-Unterstützung und das SCSI-BIOS muss nicht installiert werden.

Last known good bringt nichts, da mit Sicherheit seit der Konfigurationsänderung eine erneute Anmeldung stattgefunden hat und damit diese Konfiguration die als zuletzt funktionierende eingestellt ist.

Was ist, wenn du über f8 im vga-Modus startest?

Warum hast du nicht in den Benutzerkonten den Benutzerprofilpfad auf die entsprechende Freigabe in der Form \\COMPUTERNAME\FREIGABENAME\%username% gesetzt? Wenn du der Freigabe für die Gruppe JEDER die Berechtigung VOLLZUGRIFF erteilst, werden die Profile automatisch beim ersten Anmelden des Benutzers angelegt.

Somarsoft ist ok, da brauchst du aber nicht unbedingt Geld auszugeben; dort gibt es für diese Zwecke auch Freeware, z.B. dumpsec. Einfachst, aber reicht fürs erste allemal.

Das hängt von der primären Zone ab. Ist diese auf einem Computer mit Active Directory und vom Typ Primär (Speicherort Active Directory), dann können die anderen Zonen durch eine entsprechende Konfiguration in den Zoneneigenschaften auf den Typ Primär (Speicherort Active Directory) gesetzt werden, aber nur für den Fall, dass sich bei den DNS-Severn ebenfalls um Rechner mit AD handelt. Sonst ist es wohl eine Standardzonenkonfiguration, und da gibt es nur ein Primäre Zone und aus Gründen der Ausfallsicherheit Sekundäre Zonen.