Jump to content

kaineanung

Members
  • Gesamte Inhalte

    273
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

12 Neutral

Über kaineanung

  • Rang
    Member
  1. GPOs 'greifen' erst nach 2x neustarten?

    Ja, das war doch das mit dem 'jeder steigt im Root ein und darf sich zu seinem Ordner durchklicken', richtig? Das werde ich so nie und nimmer durch bekommen bei uns in der Firma. Die Firma gibt es schon seit dem 19 Jh, Netzwerke eben seit es PCs und Netzwerke gibt und da ist alles ein wenig 'festgefahren' und alles lieb gewonnene bleibt.. Ich muss mit dem klar kommen was da ist udn die Ordnerstruktur auf dem Filesrver bildet die Firmenstruktur ab und jeder steigt in seiner Ebene ein. Ich bin ja überhaupt froh daß wir den Win 2K3 als DC ablösen und wir endlich vorwärts kommen... das habe ich jetzt bestimmt 4 Jahre lang jedes Jahr bei den Investitionen gefordert... Mein Ziel ist: der User meldet sich an und wird nicht durch ein 3-Minütiges Logon-Batch-Script gegängelt wie bisher. Wenn sich ein User zu schnell anmeldet ist manchmal kein Mapping vorhanden da das Netzwerk noch nicht bereits war und das soll auch verbessert werden. usw.. alles soll schön im Hintergrund laufen ohne Kommandozeilen-Aufpop-SadoMaso (was wir bisher haben). Also: GPO war das naheliegendste.... Wenn ich das Logon-Programm (ist eine EXE) asynchron und im Hintergrund ausführen kann: dann sagt mir nur ob auch per GPO (kann man ja auch scripte ausführen lassen) oder ebenfalls über den Logon-Pfad eines jeden Useres welches automatisch beim Login ausgeführt wird?
  2. GPOs 'greifen' erst nach 2x neustarten?

    Und wie mache ich das? Kann ich die Logon.exe (Das ist unser Programm für das Mapping welches auf die Logon.ini zugreift und dort steht alles wie wir es brauchen) auch aus einer GPO ausführen? Kann das auch im Hintergrund passieren ohne das ich das sehe beim Login obwohl das Programm ja eigentlich ein kleines Statusfenster hat (dieses Fenster eben unterdrücken)? An Alle: Sollte es dennoch mit der GPO gemacht werden, habei ch folgendes Szenario einmal probeweise in meiner Testumgebung umgesetzt: Momentan habe ich das Laufwerksmapping einer Firmen-Gruppe (Vertrieb) in 3 GPOs abgebildet die Flach liegen (ohne OUs und alle 'nebeneinander'): 1. Abteilung (nennen wir 'T2' für Team2) 2. Abteilungsleiter (Koordinatoren, Gruppenleiter -> nennen wir 'TL2' für Teamleiter 2 z.B. TL2K1m TL2K2, TL2G1 usw.) 3. Abteilungen (die einzelnen Gruppen in denen die Mitarbeiter aufgeteilt sind - nennen wir T2xx für die Gruppen T201, T202, T210, T220, T223 usw..)) So, die GPO T2 beinhaltet Laufwerksmappings für die Abteilungslaufwerke die bei allen Mitgliedern der Abteilung gleich sind (also auch runter bis zu den Gruppen) und zusätzlich die explizite Laufwerksmappigns des Abteilungsleiters (Zielgruppenadressierung). Die GPO TL2 hat zusätzlich zur T2 die Laufwerksmappings der Koordinatoren/Gruppenleiter, da wird auch Zielgruppenadressierung angewandt. Die GPO TL2xx hat zusätzlich zur T2 die Laufwerksmappings der Gruppen, hier wird für jede Gruppe ebenfalls die Zielgruppenadressierung angewandt. Sicherheitsfilterung auf die Sicherheitsgruppen auf der AD: T2 -> T2, alle TL2 und alle T2xx TL2 -> alle TL2 TL2xx -> alle T2xx 1. Somit wird NICHTS ausgeführt wenn man sich nicht in einer dieser Gruppen befindet in der AD. 2. Befindet man sich im Vertrieb (T2, TL2 oder T2xx) wird GPO T2 ausgeführt und alle gemeinsamen Laufwerke für den Vertrieb gemappt. Der Abteilungsleiter hat noch ein Laufwerksmapping extra weleches eine Zielgruppenadressierung auf seine Sicherheitsgruppe (AD -> T2) hat. 3. Ist man ein Gruppenleiter oder Koordinator (TL2-Gruppe auf der AD) wird die TL2-GPO ebenfalls ausgeführt (Sicherheitsfilterung!). Dort dann jeweils für die unterschiedlichen Gruppen per Zielgruppenadressierung die entsprechenden Laufwerke gemappt. 4. Ist man ein Arbeiter und somit ein Gruppenmitglied der T2xx-Gruppen wird durch die Sicherheitsfilterung die GPO-T2xx ausgeführt zusätzlich zur GPO-T2. Dort wiederum durch die Zielgruppenadressierung die Laufwerksmappings der jeweiligen Gruppen. Vertriebsleiter: T2 Gruppenleiter / Koordinatoren: T2 + TL2 Mitarbeiter: T2 + T2xx Sicherheitsfilterung fürs grobe Filtern, Zielgruppenadressierung für die einzelnen Gruppen. Dadurch das man bei der Zielgruppenadressierung auch OR-Verknüpfungen verwenden kann, konnte ich dadurch einige Laufwerksmapping zusammenfassen. Ich habe dennoch ca. 87 verschiedene Zielgruppenadresseirungen verteilt auf die 3 GPOs. Ist das zuviel?
  3. GPOs 'greifen' erst nach 2x neustarten?

    Jetzt einmal zurück zu meinem ursprünglichen Problem: Ich habe nun einige GPOs die per Sicherheitseinstellung gefiltert und manche auch Zielgruppenadressierung nutzen. Wenn ich nun einen Testuser zum Mitglied einer neuen Sicherheitsgruppe mache, muss ich den PC 2x Neu Starten und diesen User anmelden bevor ich die richtigen Laufwerksmappings bekomme. Wenn ich gpupdate ausführe dann tut sich nichts (->die Laufwerkszuordnungen werden definitiv erst nach dem Neuanmelden ausgeführt) und mit dem Parameter /force ebenso. Jemand eine Idee woran das liegen kann? Mit einem Neustart könnte ich ja leben, aber warum muss es 2x sein? Durch Abmelden & Neu Anmelden funktioniert es auch nicht, auch nicht wenn ich es 2x mache. Es muss wohl das Neustarten sein, und zwar 2x... Jemand eine Idee? P.S. gpresult /R liefert auch erst nach dem 2. Neustart korrekte Sicherheitsgruppen-Mitgliedschaften. Wieso bekomtm der Client es erst nach dem 2. Neustart mit das sich die Sicherheitseinstellungen des Benutzers geändert hat?
  4. GPOs 'greifen' erst nach 2x neustarten?

    Echt jetzt???? Ich will einfach weg von der Logon-Datei. Gründe: 1.) Der Client meldet sich manchmal zu schnell an ohne die Netzwerkverbindung zum DC abzuwarten -> Es werden keine Mappings ausgeführt, auch nicht wenn die Konnektivität dann endlich vorhanden ist). Durch das GPO erhoffe ich mir das dieses Problem nicht mehr auftritt. 2.) Meine Kollegen haben die Logon-Batch soweit missbraucht das täglich viele viele Aufgaben beim Login erledigt werden und die User dann beim Anmelden mit 3 Minuten Verzögerung rechnen müssen. Daher will ich das Ding ganz abschaffen 3.) dachte ich immer das Logon-Scripte abgeschafft werden sollen und das einfach nicht mehr zeitgemäß ist?
  5. GPOs 'greifen' erst nach 2x neustarten?

    Ich teste gerade die GPOs / LW-Mapping. ÜBersicht ist top. ABER: wenn man das alles 'weiterspinnt', frage ich mich wie ich gruppenbasierende Aufgaben erledigen kann wie z.B. Vorlagen verteilen, Desktops einrichten usw..? Könnte man da nicht am Anfang in den saueren Apfel beissen, die Firmen-Hierarchie in den OUs Abbilden und wenn alles steht, kann man easy Dinge gezielt für diverse Gruppen erledigen? Notfalls auch die Vererbung nutzen und dann Vorlagen für ganze Abteilungen mitsamt allen Untergruppen und dessen Untergruppen auf ein Schlag austauschen o.ä.? So ganz verkehrt wäre das dann nicht. Dann hat man jede Gruppe oder ganze Hierachie-'Stänge' ganz einfach 'im Griff'?
  6. GPOs 'greifen' erst nach 2x neustarten?

    Danke, das werde ich mir durchlesen. Filterung von GPO war das Stichwort welches mir gefehlt hat! Das wollte ich über die Berechtigung auf den einzelnen GPOs erreichen.... Ja, unter der Voraussetzung das wir nur 1 Laufwerksmapping / Gruppe haben. Wir haben insgesamt 3 Gruppenbezogene und 1 Allgemeine und dann noch ein paar Sonderwünsche diverser Gruppen. Somit wäre die Liste in einer GPO mit Zielgruppenadressierung bei 40 Gruppen a 3 Mappings schon einmal bei 120, dann noch die Allgemeinen Mappings die bei jedem Gleich sind (momentan in der obersten GPO, die für alle gültig ist, implementiert): nochmals 40 und dann noch diverse Sonderwünsche in Summe vielleicht 15 = 175 verschiedene Mappings... in einer GPO mit der Zielgruppenadressierung nicht übersichtlich umsetzbar... Ausserdem kann ich die GPOs dann für Gruppenindividuelle Dinge nutzen wie Vorlagen kopieren, Desktop einrichten, usw.. eien Freigabe auf das Root-Directory? Verstehe ich nicht, aber ich sehe das der Ansatz ein anderer ist. Beim lesen ist mir aber dennoch die Idee gekommen ich könnte pro Laufwerk eine GPO erstellen und dort dann die Zielgruppenadressierung nutzen, somit würde die Übersicht dann vielleicht doch nicht so darunter leiden? Dann hätte ich lediglich ca. 40 Einträge. Das könnte ich mir durchaus vorstellen. Werdei ch mal in meiner Testumgebung versuchen umzusetzen und schauen ob das gut für mich ist.
  7. GPOs 'greifen' erst nach 2x neustarten?

    Ok, und wie würde dann eine OU-Struktur aussehen eurer Meinung nach? Beispiel: Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1 Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 2 -> Gruppe 2 Vertriebsleiter -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 2 -> Gruppenleiter 2 -> Gruppe 2 Produktion -> Koordinator 2 -> Gruppenleiter 3 -> Gruppe 3 usw.. So, jetzt habe ich die AD-Struktur natürlich ebenso: Vertriebsleiter ist der Oberboss im Vertrieb und darf in alle untergeordneten Order lesen, ändern und schreiben. Also Koordinator 1 und Koordinator 2 im Vertrieb und deren allen Unterordnern. Diese wiederrum dürfen das ebenso machen in deren Unterordnern, abern icht beim Vertriebsleiter (Hierarchie eines darüber). usw. Dies ebenso in der Produktion und im Einkauf und in der Auftragsabwicklung usw.. So, das wurde so auch abgebildet in der Verzeichnisstruktur. Wie soll es denn auch anders gehen? Jeder User bekommt beim einloggen mehrere Laufwerke zugeordnet. Sein Teamlaufwerk ist z.B. das Laufwerk H:. Jeder User bekommt sein H: gemappt auf seine Freigabe auf dem Fileserver. Dies macht ein Tool welches in der Logon-Batch aufgerufen wird. Dieses Tool schaut sich die Berechtigung an und sucht entsprechend in seiner INI-Datei den Pfad für das H:Laufwerk dieser Gruppe und mappt es dann. So, das will ich jetzt in GPO umwandeln, habe aber keine Lust in einer GPO hunderte Möglichkeiten über die 'Zielgruppenadressierung' abzubilden. Da geht die Übersicht nach bereits der 5 Gruppe sicher flöten. Daher will ich für jede Gruppe eine GPO und in dieser wird nicht nur die entsprechenden Laufwerke gemappt sondern auch andere Dinge ausgeführt wir diverse Vorlagen heruntergedrückt, Desktopverknüpfungen gesetzt usw.. (das ist jedenfalls mein Ziel). So, wenn ich jetzt eine GPO für jede Gruppe erstelle, dann habe ich beispielsweise folgende GPOs: Vertriebsleiter-GPO (VL_GPO), Vertriebs-Koordinator-GPO 1 (VK_1_GPO), Vetriebs-Koordinatorengruppe_1_Gruppenleiter 1 (VK1GL_1), Vertriebsgruppe 1 (VK1G_1) Und folgende Hierarchie: VL_GPO->VK_1_GPO->VK1GL_1->VK1G_1 VL_GPO->VK_1_GPO->VK1GL_2->VK1G_2 VL_GPO->VK_2_GPO->VK2GL_1->VK2G_1 usw. oder in der Produktion PL_GPO->PK_1_GPO->PK1GL_1->PK1G_1 PL_GPO->PK_2_GPO->PK2GL_1->PK2G_1 PL_GPO->PK_2_GPO->PK2GL_2->PK2G_2 usw. Ich möchte, wenn sich der User aus der Gruppe VK2GL_1 anmeldet (Gruppenleiter im Vertrieb unterhalb des 2. Koordinators), daß nur seine GPO ausgeführt wird und das sein H:-Laufwerk in die entsprechende Ordnerstruktur auf dem Fileserver mappt. Ich hoffe es ist klar was ich will und wie es aussehen soll. Die Frage ist nur: wie kann ich beim anmelden des Users es so gestalten das nur seine GPO ausgeführt wird und nicht auch die der Vorgesetzten? Weil das ist momentan der Fall und das geht nicht?
  8. GPOs 'greifen' erst nach 2x neustarten?

    Aber ich kann die Berechtigung doch dafür verwenden um die Vererbten GPOs NICHT ausführen zu lassen, oder? Das war die Intention: Teamleiter Verkauf (TLG_V) GPO wird beim Teamleiter Verkauf ausgeführt. Eine OU weiter drunter ist die Verkaufsgruppe die ihre eigene GPO hat (G_V). Da soll die Verkauf-GPO ausgeführt werden. Momentan ist es so daß dank der OU-Struktur (Hierarchisch) in der G_V-GPO auch die TLG_V-GPO ausgeführt wird. Das kann ich unter Delegierung doch bestimmt unterbinden indem ich dort angebe daß nur die entsprechende Gruppe lesend zugreifen kann? Somit könnte ich die GPOs über Berechtigungen steuern?
  9. GPOs 'greifen' erst nach 2x neustarten?

    Na Gott sei dank versteht mich endlich einer hier. Theorie der optimalen Umsetzung hört sich immer gut und toll an, aber in der Praxis läuft es meist immer anders. Ich habe nicht viel zu sagen und der Chef und Vorgesetzter will Altbewährtes nicht ändern. Das ist Fakt. Ich will das Netzwerk und die Domäne aber trotzdem, eben so weit es geht oder erlaubt ist, modernisieren. Wir arbeiten immer noch mit einer mindestens 3 Minuten ablaufenden Logon-Batch als schlimmstes Beispiel! Die will ich weg bekommen. Ich werde aber keine Ordnerstrukturen ändern und kann das bei der nächsten Sitzung nur vorschlagen (ist aber sinnlos da ich meine Pappenheimer kenne). Wir nutzen EINE Sache in der GPO: Passwortpolicy in der Domäne. Sonst gar nicht. Das will ich ändern und das bekomme ich auch genehmigt. Daher bitte ich einfach hier um Infos, an meine Fakten angepasst, was ich tun könnte um mir das Leben zu erleichtern. Also zurück zum Thema: 1.) wenn ich die OU-Struktur so beibehalte wie ich sie nun angedacht habe, könnte ich ja mit der Delegierung arbeiten und die Berechtigungen immer so setzen das eben nur die Sicherheitsgruppe, in welcher sich der User anmeldet, ausgeführt wird und alle anderen Abgelehnt werden, oder? Somit würde für den User in der Verkaufsgruppe dessen GPO ausgeführt, seines Gruppenleiters, Teamleiters und Koordinators nicht) 2.) könnte ich das Gleichem achen aber ohne OU-Struktur und alle in einer Ebene -> Flach. Da hätte ich aber sicherlich den Nachteil das 2 GPOs ausgeführt werden würden und 28 GPOs abgelehnt werden (ich weiß nicht ob das Zeit kostet oder andere Nachteile mit sich bringt?) 3.) Könnte ich die OU-Struktur falsch herum aufstellen wie bereits gestern einmal angedacht: Chef und Admins nicht am linken Rand sondern am rechten Rand ausrichten und die Hierarchie nach links 'runter'-laufen lassen? Damit würden nur die GPOs links von der entsprechenden OU ausgeführt (wenn ich mich nicht irre von links nach rechts) bis zu der eigenen OU und, wenn ich das richtig verstanden habe, gilt das Prinzip der Letzte zählt ->richtige GPO wird ausgeführt. Sind diese Vorgehensweisen praktikabel? Habe ich was übersehen? Gibt es bessere Lösungen ohne die Ordnerstruktur ändern zu müssen?
  10. GPOs 'greifen' erst nach 2x neustarten?

    Macht es nicht Sinn die Firma in der Ordnerstruktur abzubilden? Berechtigungen werden nach unten vererbt und der Chef steht oben an der Spitze (gleich nach der EDV..;)) und darunter die Teams, die Gruppen und dann die Users. Jeder steigt in seine Ebene ein was die Berechtigung angeht und darf nach unten schauen. Andersherum natürlich nicht... So sollte es doch auch sein oder nicht? Ich rede jetzt von der reinen Ordnerstruktur. OU ist dann eine andere Geschichte! Aber ich dachte das könnte ich auch so nutzen aber die GPOs machen mir da ein Strich durch die Rechnung... Wie auch immer: ich werde in eminer Testumgebung weiter experimentieren. Dann eben die OUs flach halten...
  11. GPOs 'greifen' erst nach 2x neustarten?

    Das ist alles gut und schön. Sollte ich jemals die Firma wechseln werde ich mir vorher deren Ordnerstruktur anschauen bevor ich zusage... aber das hier ist nun mal so wie es ist. Bisher wurde die Laufwerkszuordnung von einem Tool erledigt welches die Gruppenzugehörigkeit ausliest und entsprechend der in der INI-Datei hinterlegten Zuordnung mappt. Dies wird im Logon-Skript ausgeführt. Ich will jetzt weg vom Logon-Skript und hoffe eine Lösung, die aber nicht das komplette Umwerfen unserer Ordnerstruktur beinhaltet, zu finden die das per GPO macht. Voraussetzung ist aber das die Ordnerstruktur nicht angerührt wird. Ok, ich rudere hiermit ein wenig zurück. Bei uns sind es max. 4 Ebenen. also 1 Ebene mehr als bei dir. Das wird doch noch abgebildet werden können... Koordinator Verkauf -> Teamleiter Verkauf -> Gruppenleiter Verkauf-> Gruppe Verkauf @all Noch jemand konstruktive Vorschläge? Ideen? Ansätze? Ich will wenigstens etwas modernen werden und weg von W2K3 hin zu W2K16 und weg von Logon-Skripte hin zu GPO. Wenn das zur Folge hätte das die Ordnerstruktur geändert werden würde, würde mindestens das Logon-Skript mit dem Mappingtool weitergeführt werden. Darauf habe ich absolut null Bock und klammere mich an jeden Strohhalm welches mir die neuen DCs bieten... und wenn es die Abbildung der Firma in OUs sein sollte... oder wenn alle OUs flach liegen sollten (das ist meine letzte Lösung da doch auch etwas unübersichtlich...)
  12. GPOs 'greifen' erst nach 2x neustarten?

    Verstehe ich das richtig: Für alle einfach auf das Root-Verzeichnis mounten und der Domänenberechtigung überlassen was angezeigt wird und was nicht? Dann muss sich jeder Heini erst durch 4 Unterordner durch klicken bis er zu einem gefüllten Ordner kommt? Gibt es denn kein Konzept mit OU die in der entsprechenden Struktur der Firma abgebildet sind? Zur Not könnte ich ja die Struktur einfach umdrehen: rechts die unterste Ebene und dann nach links zu den Vorgesetzten bis zum Abteilungsleiter abbilden? Das der Vorgesetzte die ganzen GPOs von den Untergebenen 'abbekommt' ist dann nicht weiter schlimm da ja das Prinzip 'letzter zählt' verwendet wird. Die GPOs bzw. die Laufwerkszuordnungen werden einfach von der darauf folgenden GPO übersteuert... Ist zwar auch nicht so doll aber immerhin ein wenig in die Richtung die ich mir wünschen würde...
  13. GPOs 'greifen' erst nach 2x neustarten?

    Entschuldigt das es so lange gedauert hat. War ein ungünstiger Zeitpunkt meine Frage zu stellen da kurz darauf wir hier unser ERP-System migriert haben und ich erst jetzt wieder zu meinem Thema hier komme. also, dann mache ich mal weiter: Wir haben hier mindestens 40 Gruppen bzw. Untergruppen bzw. Unteruntergruppen usw... 7 Abteilungen mit 1-2 Koordinatoren pro Abteilung mit jeweils mehreren Teamleitern mit jeweils mehreren Gruppenleitern und der dazugehörenden Gruppe. (Abteilungsleiter (7)->Koordinator (1-2)->Teamleiter (1-n)->Gruppenleiter (1-n)->Gruppe) Beispiel: Abteilung Verkauf -> Unterabteilung Inland -> Unterabteilung Produktgruppe -> Unterabteilung Region ODER Abteilung Produktion -> Unterabteilung Koordinator X -> Unterabteilung Montage -> Unterabteilung Produktgruppe Jeder Knotenpunkt hat seine eigenen Laufwerksfreigaben auf die gemappt wird. Wenn ich das alles in eine GPO hineinstopfe, geht mir spätestens nach der Abbildung der 1 Abteilung (komplett bis zu den Gruppen herunter) aber so was von die Übersicht flöten! Das scheint mir für mich nicht praktikabel zu sein. Also habe ich für jeden 'Knotenpunkt' eine OU in der richtigen Hierarchie erstellt und in diesen GPOs die entsprechenden Laufwerkszuordnungen erstellt. Es funktioniert auch bei meinem Test von 2 OUs (Gruppenleiter-OU / Gruppen-OU). Was mich aber stutzig macht ist das gpresult /R mir ausgibt das beide GPOs ausgeführt werden. Kurz recherchiert und klar ist: auch hier wird nach der Hierarchie alles abgearbeitet. Vom aktuellen Punkt bis ganz nach links.... So, Mist. Ich will natürlich das nur die GPO ausgeführt wird in welcher sich der angemeldete Benutzer befinden bzw. in welcher OU er zugeordnet wird (oder wenigstens die Abarbeitung der Hierarchie von links nach rechts). Sonst wird ja bei dem User aus der untersten OU (der Gruppe) auch die GPO seines Gruppenleiters, seiner Teamleiters, seines Koordinatoren und die des Abteilungsleiters ausgeführt! Am besten wäre: jeder soll nur das bekommen was seiner OU zugewiesen wurde + Default Policy + Firmen- bzw. Standort-Policy (sofern vorhanden). Das Einzige was mir gerade dazu einfällt ist: alle OUs 'Flach' anzulegen, also nebeneinander in der gleichen Ebene... das ist aber total unübersichtlich. Vererbung deaktivieren ist keine gute Idee -> Default Domain Policy und andere GPOs in der gleichen Ebene werden dann auch nicht ausgeführt. So, was macht ihr eigentlich so bei solchen Gegebenheiten?
  14. Hallo Leute, ich habe hier ein kleines Problem: Ich habe in meiner Testumgebung 2 GPOs erstellt wobei jede GPO für eine Abteilung steht und nur dann ausgeführt wird wenn sich ein User aus dieser Abteilung anmeldet. Die User sind natürlich Mitglieder der Sicherheitsgruppe 'Abt_01' oder 'Abt_02'. Ich habe, laut diversen Anleitungen, die GPOs so erstellt daß diese nur bei gegebener Berechtigung ausgeführt werden (z.B. Sicherheitsfilterung: 'Abt_01'-Sicherheitsgruppe der AD und in der Delegierung Authentifizierter Benutzer: nur lesen, 'Abt_01'-Sicherheitsgruppe: GPO ausführen und lesen). Ich habe einen Testuser den ich mal der Gruppe 'Abt_01' und dann mal der Gruppe 'Abt_02' zuweise (nur entweder/oder) um zu sehen ob die GPOs greifen. Jeder der GPO hat diverse Laufwerksmappings die die Abteilungsfreigaben Mappen. Soweit so gut, bis hierhin klappt es auch wunderbar. Ich habe also 'Testuser' in die Sicherheitsgruppe 'Abt_01' aufgenommen und am Testclient angemeldet. Die Laufwerke wurden wie gewünscht und wie erwartet gemappt. Ich habe nun den 'Testuser' aus der Sicherheitsgruppe 'Abt_01' heraus genommen und in die 'Abt_02' aufgenommen und den Rechner neu gestartet. Die Laufwerke waren mal nicht da, mal waren sie noch von der ersten Gruppe da (aber ohne Berechtigung darauf zuzugreifen), jedoch kein einziges mal von der Abt_02 auf Anhieb! Erst nach einem nochmaligen Neustart war es dann so wie gewünscht, sprich: Testuser hat die Laufwerksmappings der Abt_02 erhalten (oder anders herum wenn ich von Abt_02 auf Abt_01 gewechselt bin)! So, kann mir mal jemand erklären ob das normal ist oder, aufgrund der eigenen Erfahrung, sofort weiß wo was vergessen wurde oder der Gleichen? Ich danke schon einmal im Voraus für eure Hilfe.
  15. Migration von DC 2k3 auf 2k16 möglich?

    Ich habe hier doch noch ein kleines Problemchen bei dem mir vielleicht der Eine oder Andere helfen könnte: Ich habe nun den DNS-Server am laufen bei welchem ich die Domänen-Netzwerkdienste als '_msdcs'-Zone betreibe. Zuvor habe ich ein Zonentransfer der "Firma.local"-Zone vom BIND-Server vorgenommen, diese Zone dann zur Primären AD-integrierten Zone gemacht und dann die msdcs-Zone replizieren lassen. Wenn ich nun mit dem dnslint-Tool (von MS) von einem AD-Client aus die AD und DNS checken lasse, bekomme ich eine Warnung 'One or more DNS servers is not authoritative for the domain' Dies ist 'nur' eine Warnung (gelb) und der Betrieb des DNS ist nicht eingeschränkt. Auch eine Migration der Domäne von W2K3 nach W2K16 funktioniert. Dennoch würde ich diese Warnung gerne weg bekommen. Wenn ich diese msdcs-Zone an den BIND repliziere, bekomme ich dann dort, wenn ich das Tool dann laufen lasse und die AD checken lasse und angebe das der DNS-Server eben nun der BIND-Server ist, die gleiche Meldung wie oben, aber nun in rot statt gelb, was dann auch bedeutet daß es ein Fehler und keine Warnung mehr ist. Wenn ich es also schaffe dieser Zone irgend eine 'Autortät' zu vergeben, müssten meine Probleme gelöst sein. Aber wie mache ich das? Die Autorität ist doch bestimmt der Server welcher diese Zone verwaltet? In der SOA der _MSDCS-Zone steht auch der W2K3-DC-Server drin als 'Primärer Server'. In der Firma-local-Zone ebenfalls und das egal ob ausgegraut (Sekundäre Zone) oder aktiv / bearbeitbar (Primäre Zone + AD integriert). Ich habe beide Fälle ausprobiert. So, wie bekomme ich das hin der Zone eine Autorität zu vergeben?
×