krush

Hallo, ich habe meine Gruppenrichtlinien entsprechend konfiguriert, das funktioniert soweit auch super. Mache ich aber aus dem Benutzerprofil ein manatory profile greifen die Richtlinien nicht mehr...via RSOP.MSC werden diese aber als übernommen angezeigt..

das ist klar...aber was ist wenn sich ne andere Person anmelden will, die vorher noch nicht angemeldet war??

wie gesagt, falls der Server mal im Eimer ist, und man trotzdem arbeiten kann. Eigentlich alles irgendwie quatsch ;)

Hallo, ich hab hier ein Netz mit diversen Rechnern und einen Win2k3 Server. Grundsätzlich wird alles vom Server verwaltet. Aber ich hab mir überlegt, dass unter Umständen ein "Backup-User" nicht schlecht wäre, das heißt wenn der Server mal ausfallen sollte, dass man sich immernoch anmelden kann. Dazu müßte ich aber die lokalen Gruppenrichtlinien auf dem Client anpassen, wenn der Server jetzt läuft werden die lokalen Richtlinien ignoriert, oder wie läuft das? Was meint ihr?...hat das überhaupt Sinn mit so einem "Backup-User"??

Hallo zusammen, gibt ein Programm womit ich ein Image mit einer Kommandozeile einspielen kann, also ohne irgendwo noch unnötig rum zu klicken? Ich dachte mit dem alten ghost würde das gehen oder mit partimage. Oder kennt jemand noch ein anderes Programm? Hintergrund ist eine Bootcd die automatisch das Image einspielt, ohne große Anforderungen an denjenigen zustellen der die CD eingelegt hat ;)

hat jemand die ganze Thematik schon mit der powershell umsetzen können?

so jetzt funzt es, hing wohl damit zusammen dass die Richtlinie an eine Sub-OU gebunden war, wenn ich dann den PC handisch in die sub-OU gezogen hab, hat es funktioniert. Ich hab die Richtlinie direkt mit der Domäne verbunden, soll eh für alle User gelten ;-) thanks nochmal

damn..tut sie aber nicht...hängt noch irgendeine andere Einstellung damit zusammen?

danke! Sollte die Geschichte im rsop.msc angezeigt werden? Die Konfigurationen der "Benutzerkonfiguration" werden einwandfrei angezeigt. Irgendwie bin ich doch noch kein Hauptbenutzer :-/ Obwohl die Anleitung eigentlich mehr als eindeutig ist

Soo nachdem mein Win2k3 schnurt wie ein Kätzchen ;) Habe ich ein kleines Problem mit einer Client-Software, diese benötigt unbedingt min. Hauptbenutzerrechte des Clients um anständig zu funktionieren. Da hier min 180 User im Labor arbeiten, werd ich diese nicht handisch auf x-Rechnern zum Hauptbenutzer machen :) Zumal ständig neue dazu kommen und gelöscht werden. Mir fallen da ein paar spontane Ideen ein: 1. es gibt nur ein lokales Konto wo sich alle User anmelden und dieses Konto wird dann zum Hauptbenutzer gemacht....werden in dem Fall auch die Gruppenrichtlinien des Servers übernommen? 2. ich führe ein Startscript aus, welches den aktuellen Benutzer zum Hauptbenutzer macht, obwohl nicht weiß ob das überhaupt geht ...was halltet Ihr davon, gute/schlechte Ideen? Bessere Ideen, dann nur her damit! ;)

so das Problem wäre dann auch gelöst, ich habe die Gruppe einfach gelöscht und wieder neuangelegt und schon geht es, verstehen tue ich es nicht. Es wird zeit das Samba4 rauskommt :p

jep, ne an der liegt es nicht...also kurz zur Erläuterung, ich lege mit dem Script verschiedene Klassen an, d.h. z.b. die Schüler der klasse1 liegen dann unter folgendem LDAP-Pfad: LDAP://OU=KLASSE,OU=JAHRGANG,OU=SCHUELER,DC=DOMAIN,DC=blaba...wie gesagt es wird zuätzlich noch eine globale-Gruppe erstellt, die alle Schüler dieser Klasse beinhaltet diese Gruppe wird dann zu einer domain-lokalen Gruppe hinzugefügt diese liegt unter: LDAP://OU=SCHUELER,DC=DOMAIN,DC=blaba...wenn ich die Gruppe der Klasse nicht der Schüler-Gruppe hinzufüge funktioniert es...

wo kann man die Vererbung aktivieren/deaktivieren. Sooo ich bin schon etwas näher gekommen, ich lege ja meine user mit einem powershell script an. So dann habe ich einfach mal manuell einen Nutzer in die Sub-OU gelegt, und siehe da es funktionierte...also bin ich weiter auf die Suche gegangen. Das Script erstellt für die User eine Gruppe und legt dann die User dort rein, ich hab das Script mal so laufen lassen das die User nicht in die Gruppe aufgenommen werden, und siehe da es funktioniert...erkennt da irgendjemand einen zusammenhang?

...das war ne gute Idee, mit der test OU funktioniert es natürlich, wenn ich die Richtlinie an die Domain oder an die OU wo die eigentlichen Nutzer drin liegen verknüpfe funktioniert es nicht...wozu ich hier sagen muß das die User in einer Sub-OU liegen, aber das sollte theoretisch keine Rolle spielen, oder?

Ich hab testeshalber mal "Zugriff auf die Systemsteuerung nicht zulassen" aktiviert und "Klasseischen Stil der Systemsteuerung erzwingen" aktiviert...nichts..ich kann nach wie vor azf die Systemsteuerung zugreifen..aber im Richtlinienergebnissatz wird angeseigt das die oben stehenden richtlinien aktiviert wurden ...nein eigentlich nicht. Alles was ich gemacht habe, ist die Richtlinie entsprechend unter die OU gelegt. Bei "Authentifizierte Benutzer" die Berechtigungen auf "Lesen" und "Richtlinie übenehmen" gesetzt (Lesen (durch Sicherheitsfilterung) ), sowie bei Domänen-Admins "Richtlinie übenehmen" nicht gesetzt.

Tach zusammen, mal wieder ein kleines 2k3 Problem. Ich hab verschiedene OU's und SubOU's und möchte Gruppenrichtlinien an die diese binden. Aber die greifen nicht, selbst wenn ich die Richtlinie genau unter die Domain setzte, so das sie theoretisch für alles unter der Domain greifen sollte, tut sie es nicht. Außer auf dem Server selber, d.h. wenn ich beispielsweise die Systemsteuerung sperre, kann ich auch nicht mehr auf die zugreifen. In dem Fall war ich als Administrator angemeldet. Aber wie gesagt melde ich mich mit einem User aus dem AD an einem Client an, geht nichts, die Clients sind natürlich entsprechend die Domäne hinzugefügt worden. Hat jemand eine spontane Idee?

ja das war kein Problem das Erstellen des Verzeichnisses mit in das Script einzubinden einfach noch die entsprechenden Rechte via set-acl oder calcs setzen und schon haut alles hin. Danke nochmal, jungs ;)

naja notfalls wäre das eine Lösung :) das Problem ist hierbei nur, ich lege alle User und Klassen mit nem powershell-script an, d.h. ich mußte das Kopieren des Profiles irgendwie einbinden...reicht es nur aus das Profil rüber zu kopieren, wie funktioniert das dann mit den Berechtigungen?

ganz einfach, stell dir vor du hast einen Schulungsraum da kommen schnell 120 User zusammen, obwohl nur max. 10 User zur gleichen Zeit angemeldet sind. Deswegen macht sich ein Profil ganz günstig meiner Meinung nach. @Satan: ich hatte schon überlegt ob ich beim ersten Start via batchdatei den Ordner anlege, dazu bräuchte ich aber sicherlich schreibrechte in dem darüberliegenden Ordner.

...grundsätzlich sollen so an die 120 User das gleiche Profil bekommen, d.h. ändert sich irgendwann das Profil mußte ich an nach deiner Methode 121 Profile ändern :-/ Das wäre einbisschen viel :)

jungs! Ihr habt ein Bier bei mir gut...das wars natürlich ;) Kleine Frage noch die auch einbisschen in die Richtung geht. Gibt es die Möglichkeit gleich wenn ich einen User im AD anlege den Basis Ordner gleich mit zu erstellen (also nur Vollzugriff des Eigentümers). Da einige Benutzer bei mir ein manatory-profile verwenden, ergibt sich das Problem das Sie ihren Basisordner beim ersten Start nicht selber erstellen.

@Satan: nee, die Benutzer durfen ja nur lesen @IThome: sehr interessant unter Effektive Berechtigungen darf der user ordner anlegen und dateien anlegen...

so also ich habe jetzt einfach mal primitiverweiße eine neue Freigabe "c:\test\" erstellt. einen neuen User erstellt der nur der Gruppe "Domänen-Benutzer" Berechtigungen unter Freigabe: Jeder (Vollzugriff) Berechtigungen unter Sicherheit: Administratoren & System (Vollzugriff) Benutzer (Lesen,Ausführen,Ordnerinhalt auflisten,lesen & spezielle Berechtigungen) Ersteller-Besitzer (nur spezielle Berechtigungen) soo...jetzt sollte mein neuer Benutzer eigentlich nicht darauf zugreifen dürfen, aber er kann unter "\\$server\test" schreiben wie er munter ist

nee, das ist es ja...das darf eigentlich nicht sein

mit nem angelegten User im AD ist nur in der Gruppe "Domäne-Benutzer" also kein Admin, das hab ich schon geprüft