szumbusch

Hihi, die Frage ist berechtigt, man kann schon durcheinanderkommen...

Am Clientrechner in der Domäne angemeldet. Shell-/DOS-/CMD-/Konsolfenster (ad libitum)

aufgemacht.

Hinter dem Prompt: '%logonserver%\netlogon\dsquery /?' eingegeben.

Als DAU (auth. Benutzer): nix

Als Administrator: nix

Sascha

Hallo Edgar!

Wie schon gesagt, die Syntax wird NICHT angezeigt.

Ich bekomme aber auch keine Fehlermeldung.

Auf dem Server kein Problem. da zeigt er mir alles wie gewünscht an.

Die Clienten sind W2K Rechner.

Sascha

Hallo.

Danke erst einmal fürs lesen und die Antwort.

Aber die Syntax und was man damit machen kann, ist nicht mein Problem.

Wenn ich auf dem Server 'dsquery user -name etc.' ausführe kommt das gewünschte ergebnis.

Aber ich möchte das Ergebnis auf einem Clientrechner ermitteln,

bekomme auf diesem aber kein ergebnis.

Sascha

Hallo, ihr Lieben!

Ich möchte in einem Netz auf Clientrechnern mit

'\\server\netlogon\dsquery user -name %username%' die OU 'rausfischen, der ein User zugeordnet ist.

Wie es in einem älteren Thread beschrieben ist.

dsquery ist in 'NETLOGON' copiert, aurthentifizierte Benutzer habe Lese- und Ausführungsrecht.

Problem: Wenn ich auf dem Clientrechner '\\server\netlogon\dsquery' in einem Shell-Fenster aufrufe, bekomme ich keine Ausgabe.

Man sagte mir, daß mit 'dsquery /?' zumindest die Syntaxhilfe kommen sollte.

Was mache ich falsch?

Der Client gehört zur Domäne, der DC ist als DNS eingetragen.

Sascha

Hi,

Strenggenommen ist es der Container(CN) des Users, dieser ist aber die OU, so der User nicht im Standardcontainer(CN) ist. Es ist etwas spitzfindig von mir, sei deshalb bitte nicht gram. ;)

Auf keinen Fall! Das ist völlig OK. Container und OU sind ja auch nicht zwangsläufig gleich.

Dsquery ist kein Kommando der Shell selbst, es ist eine Exe, ein Bestandteil von 2k3, wird auch von 2k ausgeführt. Es gibt dsadd, dsmod, dsget, dsmove, dsrm, dsquery.

Du verwendest den Begriff Skripting. Damit verbinde ich Windows Skripting Host, VBS usw.

Hier ist der Begriff Batching eher angebracht. Das ist viel älter als Skripting. Mit Batches haben wir schon vor Windows und Dos gearbeitet, vor der Gründung von MS überhaupt. Es gab nämlich schon ein (EDV)Leben vor Bill Gates. ;)

Hihi, wem sagst Du das...

Ich habe meine ersten (professionellen) Schritte auf einer PDP11 gemacht.

Das angesagte Kleincomputer-System nannte sich damals Osbourne-1 und lief unter CP/M.

Ach ja, PIP und ED...

Als UNIX Mensch bin ich natürlich mit batching und scripting durchaus vertraut.

Da das Behaviour von DOS etc. allerdings in meinen Augen nicht deterministisch war/ist(?),

habe ich darum immer einen großen Bogen gemacht. Und VBS war sowiso in meinen Kreisen immer sehr verpöhnt (ohne eigentlich zu wissen, warum)

Die Scripte, diew wir im Moment nutzen, habe ich aus dem Netz, oder diesem Forum und habe sie nach kurzem Studium an unsere Bedürfnisse angepasst.

Heute ist letzter Schultag, morgen werden die Messer gewetzt und scripte ausgetestet.

Vielen Dank erst einmal für diesen anderen Ansatz.

Sascha

OK.

Sehr ähnliche Struktur, völlig andere Herangehensweise.

Ich rekapituliere mal, was ich verstanden habe:

Du holst den OU-Namen mit dsquery, checkst, ob eine Freigabe mit dem selben Namen existiert, und wenn ja, dann bindest Du sie ein.

Korrekt?

Das muß ich mir erstmal auf der Zunge zergehen lassen.....

Ich bin im Windows Scripting nicht so bewandert, deshalb die folgende dumme Frage:

Das sind Windows-Shell Kommandos, kein VBS?

Ich muß jetzt erst einmal einiges austesten.

*denk*

Danke,

Sascha

Vielleicht muß ich andersherum herangehen:

Ich habe ein Verzeichnis, welches ich als Gemeinsames Klassenlaufwerk für eine Schulklasse allen mitgliedern dieser Klasse bei Anmeldung am System unter dem Laufwerksbuchstaben 'K:' zuordnen möchte.

Wie mache ich das?

Es gibt eine OU für die Klasse und es gibt eine Sicherheitsgruppe für die Klasse.

Das Verzeichnis ist so eingerichtet, daß nur Mitglieder der Sicherheitsgruppe der Klasse Zugriff daraf haben.

Sascha

Nein, ich denke nicht.

Aber ich muß ja irgendwie realisieren, das nur Mitglieder der entsprechenden Klasse Zugriff auf das Laufwerk haben. Das mache ich über die Mitgliedschaft in einer Sicherheitsgruppe.

Und auf dem Client-Rechner sagt gpresult eben, das der entsprechende Benutzer NICHT zu dieser Gruppe gehört.

Warum aber die Policy nicht auf dem Ckient Rechner zieht, verstehe ich immer noch nicht.

Sascha

Hallo!

Vielleicht ein Hinweis, der etwas bringt.

Ich habe eine Sicherheitsgruppe AT04-4, um die zugehörigkeit zu dieser Klasse mit eigenen Permissions versehen zu können.

Ich habe einen user AT04-4-DAU, der im AD als Mitglied der Gruppe AT04-4 geführt wird.

Wenn ich aber gpresult auf einem Client-Rechner laufen lasse, wir die Mitgliedschaft in dieser Gruppe nicht angezeigt!

Wie kann das sein?

Sascha

Hi!

Nach langer Zeit, das versprochene Feedback!

Bin nicht wirklich weitergekommen, habe deshalb einen neuen Thread aufgemacht:

http://www.mcseboard.de/showthread.php?t=78609&goto=newpost

Sascha

Hallo Edgar!

Das kommt mir alles sehr bekannt vor...:o)

Nur, das ich nicht aus der NT-Welt komme, sondern aus der UNIX-Welt.

Ich habe es zwar immer mal versucht, aber mich mit Schaudern wieder abgewendet.

(Das war natürlich auch ein bischen Glaubenskriegermäßig)

Aber als ich das erste mal einen W2K3-Server aus der Nähe betrachten konnte, wurde ich doch sehr neugierig.

Bot er doch alles, was unter UNIX funktionierte und auch das, was man sich (heimlich) immer gewünscht hatte.

Bin also nicht unbedingtr mit wehenden Fahnen übergelaufen, aber ich finde das Konzept mit AD, OU, etc. recht überzeugend, vor allem, wenn man größere Rechner und Nutzermengen hat.

Ich habe eigentlich alles genau so gemacht wie Du. Raumbezogene Druckerzuordnung, etc.

(Bei der Du mir ja auch schon helfen konntest.)

OU Hierarchien, kleine GPO's für Einzelprobleme, usf.

Alles soweit prima. Nur diese gruppenbasierte Geschichte läuft nicht.

Ich habe den Verdacht, daß es etwas mit Permissions zu tun hat.

Aber ich weiß nicht so recht, wie ich an das Problem herangehen soll.

Allgemein denke ich, daß Microsoft fast schon zuviel Hausaufgaben gemacht hat.

Die Flut der Parameter und Möglichkeiten erschlägt einen und es ist (mir zumindest) nicht möglich, Dinge wirklich zu vergleichen. Oder doch?

Sascha

Stefan?

Aber danke anyway!

Sascha

Hi,

wie gesagt, es gibt Richtlinien, die sehr wohl funktionieren.

Die Zuordnung eines Benutzergebundenen Homelaufwerkes oder die Raumbezogene Druckerzuordnung z.B.

Wenn ich die Sache mit der GPO-Modellierung simuliere, zeigt mir das Tool, das Richtlinie für die Zuordnung des Klassenlaufwerkes benutzt wird/würde.

Aber auf der Seite des Client-Rechners mit einem Benutzer, der zu dieser Gruppe und OU gehört, nix...

Sascha

Hallo Miteinander,

sorry für die späte Antwort. Hatte gestern einen Fahrradunfall und musste mich erst einmal bemitleiden lassen. Jetzt geht es wieder....:o)

Entschuldigt meine unklare Problembeschreibung. Das Problem liegt darin, daß die Policy nicht zieht.

Gpresult zeigt aber eine Policy für ein anderes Startscript, welches sehr wohl funktioniert, auch nicht an...

Verwirrt,

Sascha

Hallo liebe Leute,

das Problem habe ich schon länger, aber ich hatte gehofft es über RTFM selber in den Griff zu bekommen. Leider bin ich gescheitert.

Ich muß eine Freigabe allen zuordnen, die einer GRUPPE angehören.

Es handelt sich um Schulklassen. Jeder bekommt sein eigenes Home-Laufwerk, es muß aber noch ein Gruppenlaufwerk für alle zur Verfügung stehen.

Da es viele Klassen gibt, darf nur wer zu einer Klasse gehört, das Leufwerk mappen und hat lese und schreibrechte darauf.

Jedes Mitglied einer Klasse gehört nun auch zu einer eigens eingerichteten Sicherheitsgruppe, z.B. AT04-4.

Es gibt eine OU 'AT04-4' im AD und alle Nutzeraccounts der Schüler, die zu dieser Klasse gehören, sind darunter angeordnet.

Folgendes VBS-Script soll bei der Anmeldung aufgerufen werden:

On Error Resume Next

Set objnet = CreateObject ("WScript.Network")

'Versuchen alle Netzlaufwerke zu trennen...

objnet.RemoveNetworkdrive

'Netzlaufwerk K: trennen...

If Err.Number Then

objnet.RemoveNetworkdrive "K:"

End If

'...Netzlaufwerk K: verbinden...

objnet.MapNetworkDrive "K:", "\\Server\Klassenlaufwerk AT04-4"

Ich habe im zuständigen GPO folgendes ausprobiert:

'Benutzerkonfiguration->Windows Einstellungen->Scripts->Anmelden'

Funktioniert nicht.

'Benutzerkonfiguration->Administrative Vorlagen->System->Anmeldung->Diese Programme...'

Funktioniert nicht.

Loopbackverarbeitung ist aktiviert mit parameter 'zusammenführen'

Momentan führen die Schüler das Script 'von Hand' aus.

Das ist allerdings nicht gewünscht.

Wo zum Teufel könnte der Fehler stecken?

Danke im Voraus,

Sascha

OK, Danke.

Damit habe ich erst mal etwas zu knabbern. Werde mich erst mal damit beschäftigen.

Es gibt auf jeden Fall Feedback (oder weitere nervige Fragen...)

VIELEN DANK!

Sascha

So, geschafft:

AT04-4 ist der Name der Klasse (Klasse1)

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

Created on Mittwoch, 9. November 2005 at 23:31:36

Operating System Information:

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

###############################################################

User Group Policy results for:

CN=AT04-4-DAU,OU=AT04-4,OU=Klassen,OU=BFS,DC=schule-xxxxxxx,DC=xxxxxxxxxxxx,DC=de

Domain Name: SCHULE0

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\AT04-4-DAU

The user is a member of the following security groups:

SCHULE0\Domnen-Benutzer

\Jeder

VORDEFINIERT\Benutzer

NT-AUTORITT\INTERAKTIV

NT-AUTORITT\Authentifizierte Benutzer

\LOKAL

SCHULE0\Schler

###############################################################

Last time Group Policy was applied: Mittwoch, 9. November 2005 at 23:30:47

Group Policy was applied from: xxxxxxx.xxxxxxxx.xxxxxxxxxxxxx.de

===============================================================

The user received "Registry" settings from these GPOs:

Default Domain Policy

===============================================================

The user received "Skripts" settings from these GPOs:

Default Domain Policy

Drucker-R2104

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

###############################################################

Computer Group Policy results for:

CN=R2104-20,OU=Raum 2104,OU=BFS,DC=schule-xxxxx,DC=xxxxxxxxx,DC=de

Domain Name: SCHULE0

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

The computer is a member of the following security groups:

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

NT-AUTORITT\NETZWERK

NT-AUTORITT\Authentifizierte Benutzer

SCHULE0\R2104-20$

SCHULE0\Domnencomputer

###############################################################

Last time Group Policy was applied: Mittwoch, 9. November 2005 at 22:15:15

Group Policy was applied from: xxxxxxx.xxxxxxxx.xxxxxxx.de

===============================================================

The computer received "Registry" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

Drucker-R2104

===============================================================

The computer received "Security" settings from these GPOs:

Default Domain Policy

===============================================================

The computer received "EFS recovery" settings from these GPOs:

Richtlinien der lokalen Gruppe

Default Domain Policy

C:\Programme\Resource Kit>gpresult

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

Created on Mittwoch, 9. November 2005 at 23:02:43

Operating System Information:

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

###############################################################

User Group Policy results for:

CN=AT04-4-DAU,OU=AT04-4,OU=Klassen,OU=BFS,DC=schule-xxxxxx,DC=xxxxxxxxxx,DC=de

Domain Name: SCHULE0

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\AT04-4-DAU

The user is a member of the following security groups:

SCHULE0\Domnen-Benutzer

\Jeder

VORDEFINIERT\Benutzer

NT-AUTORIT?T\INTERAKTIV

NT-AUTORIT?T\Authentifizierte Benutzer

\LOKAL

*Hier ist dann Schluss mit der Kopiererei*

Moment noch, ich kriegs net rüber kopiert.

Ich gehe über 'Remote Desktop' auf den Server, und von da über VNC auf den betreffenden Client-Rechner.

Wie kriege ich die DOS Ausgabe 'rüberkopiert?

Ich kann Dir aber schjon sagen, daß er das entsprechende GPO nicht zur kenntnis nimmt.

Sascha

Ich auch

Verwirrung... :p

Du bist ja noch da! Wie schön. (Mann bin ich dankbar!)

Ich habe nur das Script zugewiesen.

Ich möchte, wie gesagt, nur kleine Einheiten anlegen, damit die Gefahr der unübersichtlichen Überschneidung vermieden wird.

Genau, ein Anmeldescript, welches allen Benutzern ein Klassenlaufwerk zum Datenaustausch zuweist.

Das Account befindet sich definitiv unter 'Klasse1'.

Sascha

Hab Deine Struktur mal nachgebaut, allerdings hab ich nur 2 OUs unterhalb von Klassen angelegt. Ich habe ein Benutzerkonto in die OU Klasse1 geschoben, habe in den Eigenschaften von Klasse1 - Gruppenrichtlinie ein neues GPO erzeugt und unter der Benutzerkonfiguration eine Anmeldescript (eine .cmd Datei mit einem net use Befehl) zugewiesen, funktioniert auch alles mit der Zuweisung bei der Anmeldung des vorher verschobenen Benutzers.

Werden eigentlich überhaupt keine Benutzerrichtlinien übernommen (oder wird in dem GPO nur das Script zugeordnet) ?

Hallo.

Sorry for Delay, aber ich mußte mich zwischenzeitlich um meine Familie kümmern.

Dein Verdacht ist begründet. Ich hatte den selben Gedanken und habe auf verschiedenen Strukturebenen getestet.

Zur Struktur:

Unter der Domäne ist ein Zweig der Schule als OU eingetragen:

' BFS' (was für Berufsfachschule steht).

Unter 'BFS' gibt es die die OU's: 'Dozenten' und 'Klassen'

Unter 'Dozenten' sind direkt die Benutzerobjekte der Dozenten angelegt.

Unter 'Klassen' gibt es noch 13 Klassen-OU's mit Ihren Bezeichnungen

(Klasse1, Klasse2, etc..)

Sagen wir, wir arbeiten mit 'Klasse1'.

Dann ist die GPO unter

'Domäne'->'BFS'->'Klassen'->'Klasse1' verlinkt und funktioniert nicht.

Eine weiter 'rauf verlinkt, also

'Domäne'->'BFS'->'Klassen', funktioniert auch nicht.

Aber wenn ich mit 'Domäne'->'BFS' verlinke, funktioniert es.

Was mir ganz klar zeigt, daß ich etwas falsch oder gar nicht verstanden habe.

Aber was?

Any Hints?

Die Hierarchie würde ich gerne so beibehalten, denn erstens ist Sie selbsterklärend und zweitens gibt es so viele Sonderwünsche und Spezialitäten, daß ich die Hierarchie schon brauche, wenn nachfolgende Generationen noch durchsteigen wollen.

*seufz*

Link doch bitte mal das GPO in den Domänencontainer (also nicht das Script in der Default Domain Policy definieren) und berichte, was dann passiert ...

Danke,

Sascha

Was aber ausgeführt wird, wenn Du das GPO auf Domänenebene linkst (oder hast Du die Einstellung direkt in der Default Domain Policy vorgenommen?).

Ich habe testweise die Anweisungen in das allgemeingültige Logon-Script in der Default

Domain Policy eingebaut.

Du hast nirgendwo "Kein Vorrang" konfiguriert, da laut gpresult bzw. dem Richtlinienergebnissatz dieses GPO angewendet wird.

Korrekt.

Die Benutzer befinden sich in der OU, in die Du das GPO gelinkt hast und nicht in einer untergeordneten OU, in der die Richtlinienvererbung deaktiviert wurde.

Genau so ist es.

Weiterhin ist auch die Benutzerkonfiguration und die Computerkonfiguration innerhalb des GPOs aktiv und das GPO ist nicht deaktiviert. WMI-Filter sind nicht gesetzt ... :suspect: Im Moment fällt mir nicht mehr viel ein (oder habe ich da jetzt noch irgendwas vergessen)

Alles, wie Du es sagst... :o(

Ich habe extra versucht, die Dinge simpel zu gestalten, weil ich Fehler im Zweifel schnell finden will.

Es ist bestimmt nur eine Kleinigkeit, aber ich komme einfach nicht drauf...

Sascha

Nichts, was meinen Verdacht erregen könnte....

In dem Script habe ich als erste Zeile ein 'MsgBox "Script läuft.."'

Aber diese Meldung kommt, wie gesagt, gar nicht erst.

Sascha

Hallo!

Es handelt sich um eine Schulklasse.

Der Klassenname ist die OU. Innerhalb der OU befinden sich die Nutzeraccounts für die Schüler der Klasse.

Sascha

Um es noch mal klarzustellen, was genau befindet sich in der OU, auf die Du das GPO anwendest, eine Gruppe oder die Benutzerkonten, die der Gruppe angehören ?