Jump to content

kaineanung

Members
  • Content Count

    336
  • Joined

  • Last visited

Community Reputation

12 Neutral

About kaineanung

  • Rank
    Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Also in meinem Fall nur 'HBA' (Die Sicherheitsgruppe als String eben), oder? P.S. wo finde ich so eine LOG-Datei wie du sie gepostet hast? Wenn ich in der gpsvc.log unter C:\Windows\debug\usermode\ suche finde ich das so nicht? Die gpsvc.log ist natürlich vorhanden nachdem ich das in der Registry aktiviert habe ([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPsvcDebugLevel"=dword:00030002)
  2. Also irgendwie mache ich was falsch... Nehme ich diese 'Variable' dann funktioniert es weder in der Quell-Domäne noch in der Ziel-Domäne. In beiden Domänen steht dann auch brav diese %DomainName% (oder eben %LogonDomain%), aber diese Regel 'greift' gar nicht. Die Sicherheitsgruppe wird nicht erkannt. Ich habe ein Test gemacht: Ich habe eine Test-GPO in der nur eine Sache eingestellt ist: Eine Verknüpfung auf dem Desktop (der User-Desktop) zu C:\Windows\notepad.exe erstellen. Wähle ich in der Zielgruppenadressierung das Element 'Sicherheitsgruppe' und über den Picker die Gruppe 'HBA', dann funktioniert es mit meinem U_Txxx-User (so ist der Username des Testusers) welcher Mitglied der Sicherheitsgruppe 'HBA' ist. Es wird also eine Verknüpfung zum Notepad auf dem Desktop erstellt. Mache ich das wie von euch erklärt mit den Variablen, und ich damit meine ich beide Varianten, also %LogonDomain% und %DomainName%, funktioniert es nicht. %DomainName%\HBA oder %LogonDomain%\HBA werden so nicht aufgelöst und greifen nicht. Die Test-GPO habe ich so natürlich nicht einmal in eine andere Domäne übertragen um zu sehen ob es auch dort läuft (was ja meine Intention ist) da es ja bereits von vornherein nicht funktioniert. An was könnte das liegen? Ich glaube euch ja das %DomainName% bei euch funktioniert. MS hätte es ja auch nicht implementiert an dieser Stelle würde es nicht funktionieren. Bei mir funktioniert es aber leider nicht. An anderer Stelle, z.B. wenn ich den Verknüpfungsnamen variabel gestalten möchte nur um zu sehen ob %DomainName% dort aufgelöst wird, so bekomme ich das zu erwartende Ergebnis. Der Verknüpfungsname beinhaltet dann tatsächlich den Domänen-Namen.
  3. Ich hätte es einfach einmal ausprobieren sollen und dieser Teil meiner Frage wäre beantwortet gewesen. Egal wo ich es erstelle, es wird natürlich syncrhon in beiden Tools angezeigt. Somit hast du selbstverständlich Recht. Ja, das habe ich auch vermutet. Nur was soll es dann abbilden? Reicht dann eine 'Benutzer'- und 'Server'- und 'Desktop'-OU? Vielleicht noch eine Aussendienst-OU bzw. Notebook-OU? Wäre das eine OU-Aufteilung die man im Schnitt und so in etwa in der weiten Welt der Domänen vorfindet? Ich habe das ja schon richtig verstanden das die übergeordneten OUs ihre verknüpften GPOs nach unten vererben, richtig? (Ausser man kann die Vererbung deaktivieren, was man ja dann bewusst machen würde)?
  4. Hallo Leute, da wir bisher mit der AD relativ wenig zu tun hatten und mit GPOs fast gar nichts (ausser die Kennwortrichtlinie in W2K3 in der Default Domain Policy), stehe ich vor der Frage ob man OUs benötigt, wie die am besten aufgebaut sind und vor allem ob ich diese in der AD oder in dem Gruppenrichtlininen.Editor (da kann man ja auch OUs erstellen)? Ich habe die auf gruppenrichtlininen.de die Anleitung 'Erstellen einer Gruppenrichtlinie' gerade angefangen zu lesen und dort steht man soll als allererstes OUs erstellen (Meine Benutzer und Meine Computer). So wie ich das lese, wird dort von der AD geredet, als Bildbeispiel ist aber der Gruppenrichtlinien-Editor zu sehen. Das ist aber nicht das Selbe, oder? Und wenn es das nicht ist: was ist der Unterschied und wo soll man es anlegen? Die andere Frage ist: wie soll ich die Struktur am besten anlegen? Firmenhierarchie (Abteilungen -> Teams -> Gruppen -> Untergruppen), erscheint mir zu komplex und viel zu viele Ebenen. Ändert sich eine Gruppe (und das passiert relativ häufig) muss man wieder umkrempeln. Reicht es da grob einzuteilen Benutzer, Server, Desktops, Aussendienst u.ä.? Ich habe jetzt GPOs erstellt die alle betreffen und jeweils für unsere Abteilungen. Diese werden per Sicherheitsfilter selektiert, also über die Gruppenzuordnung angewandt. In der gpresult sehe ich alledrings dann in einem Abschnitt viele GPOs die nicht angewandt werden. Mich stört das jetzt nicht, aber ich denke das machen die Administratoren in der weiten Welt wahrscheinlich nicht so, oder? Ich würde mich freuen wenn jemand mal sein Aufbau der OUs erklären / zeigen könnte damit ich eine Orientierung habe wie das gemacht werden sollte.
  5. Gibt es denn die Variable %LogonDomain% in der Commandline, wenn Du ein SET [ENTER] eingibst? Woher hast Du die Variable? Wenn ich im Feld 'Gruppe' der Zielgruppenadressierung bin und F3 drücke, werden alle Variablen aufgelistet. U.a. eben diese %LogonDomain% und eben auch genauso wie die zwei Vorposter es auch erwähnt hatten. In der Zielgruppenadressierung sieht es dann wie folgt aus: Benutzer ist Mitglied der Sicherheitsgruppe "%LogonDomain%\HBA" Und das es diese Variable gibt und die auch in den GPOs 'gültig' ist und aufgelöst wird, habe ich getestet indem ich statt eines fixen Namen für diesen Link diese %LogonDomain%-Variable benutze. Der Link wird dann mit dem Domänennamen erstellt wenn ich die Ziegruppenadressierung weglasse oder mit dem Picker die HBA-Gruppe auswähle (und somit die SID dann auch angezeigt und fest hinterlegt wird). Das habei ch nur gemacht um einmalig zu sehen ob die GPO diese Variable überhaupt kennt. Und ja, das tut sie, zumindest in diesem Zusammenhang.. In der Ziegruppenadressierung greift dies so jedoch nicht.. :(
  6. Leider funktioniert das mit den Variablen nicht. Ich habe jetzt eine TEST-GPO erstellt in der folgendes (nur zum Testen) eingestellt ist: Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Verknüpfungen Reiter 'Allgemein': Verknüpfung hinzufügen Aktion: Aktualisieren Name: Test-Link Zieltyp: Dateisystemobjekt Speicherort: Desktop Zielpfad: C:\Windows\notepad.exe Starten in: C:\Windows Tastenkombination: Keine Ausführen: Normales Fenster Reiter 'Gemeinsame Optionen': - Haken bei 'Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption) - Haken bei 'Zielgruppenadressierung auf Elementebene' Zielgruppenadressierung: %LogonDomain%\HBA (HBA ist eine Sicherheitsgruppe in der Domäne) So, wenn ich das jetzt teste (schon in der ursprünglichen Domäne ohne es erst noch zu migrieren) wird KEINE Notepad-Verknüpfung auf dem Desktop erstellt. Benutze ich den Picker und picke mir die Gruppe 'HBA' aus, so wird die Verknüpfung erstellt. Somit ist klar: irgendwas läuft schief. Hilfeee?
  7. Ok, wenn ich jetzt 100 Gruppenzieladressierungen habe, muss ich bei jedem einzelnen das nachholen bzw. den fixen Wert 'Domäne/Gruppe' durch das o.g. ersetzen? Da gibt es nicht zufällig eine Vorgehensart dies auf Dateiebene in der Sicherung der GPOs zu ersetzen? ISt ja XML... Aber ich würde es auch überleben jede einzelne manuell zu ändern... Fragen kann ja mal trotzdem ;) Jedenfalls: VIELEN DANK EUCH ALLEN ;)
  8. Ich verstehe aber leider nicht was ich da dann eingeben soll? Wir haben eine Gruppe die T0 heisst. Es gibt eine Sicherheitsgruppe auf dem AD die 'T0' heisst. Wenn sich ein User, nehmen wir mal an der Max, sich einloggt, dann soll auf dem Desktop irgendeine Verknüpfung erstellt werden die nur die User der Gruppe 'T0' bekommen. Alle Anderen nicht. Ist der User nicht in 'T0', so wird die Verknüpfung, sofern Sie denn auf dem Desktop vorhanden ist, gelöscht. So, wie kann ich jetzt eine Zielgruppenadressierung realisieren wenn ich nicht konkret sage das die Gruppenmitgliedschaft in der AD-Sicherheisgruppe 'T0' vorhanden sein muss?
  9. Jep, Parameter ist " /MigrationTable:Pfad\Dateiname.migtable" Jetzt habe ich das so gemacht und trotzdem enthält die Testumgebung die SID der Quelle wenn ich in die GPOs reinschaue! Somit machei ch irgendwas falsch. Daher die nächste Frage: Wie erstelle ich korrekt eine Migrationtable? Übrigens hattest du Recht mit den Sicherheitsfilter: diese gehen wohl auf den Namen und nicht SID und funktionieren dementsprechend korrekt. Ich nutze aber auch häufig Zielgruppenadressierung und benötige also die korrekte Auflösung "alte SID = neue SID".
  10. Ok, ich habe es gerade nachmals nachgeprüft. CreateEnvironmentFromXML.wsf macht tatsächlich kein Match! Die SID, welche da angezeigt wird ist die 'alte' vom ursprünglichem System. Wenn ich den gleichen User nochmals auf diesem DC in der Testumgebung auswähle, ist es eine andere SID. Ich habe mich lediglich in die Irre führen lassen weil wenn ich die GPOs in der Testumgebung widerhergestellt habe OHNE vorher die Sicherheitsgruppen angelegt zu haben, waren jegliche Sicherheitsfilterungs-Felder und Zielgruppenadressierungsfelder leer. Habe ich vorher die Sicherheitsgruppen der AD neu angelegt mit den alten Namen, so waren sie bei der darauffolgendem Restore der GPOs jedoch allesamt vorhanden. Aber mit der alten SID wie ich vorhin bemerkt hatte... Somit brauche ich bei diesem Vorgang doch eine Umsetzungtabelle bzw. Migrationtable. Die Frage an euch ist jetzt: Wie erstelle ich diese und wie weise ich das Skript an diese zu nutzen?
  11. Was ich auch bemerkt habe und mich wundert (ich aber besser finde wenn das so tatsächlich ist): Ich habe keine Migrationstabelle benötigt wie bei meiner alten Methode als ich GPOs übertragen hatte! Wie das CreateEnviromentFromXML.wsf das hinbekommt weiß ich nicht? Die Gruppennamen sind zwar gleich aber die SIDs sind natürlich unterschiedlich und trotzdem hat alles 'gematcht'. Ist das normal? Kann ich mich darauf verlassen? Wenn ja wäre das wirklich sehr sehr toll...
  12. Der Link stimmt zwar nicht mehr aber man kann die Scriptsammlugn sehr schnell finden und herunterladen. Habe auch zu diesem Script folgenden Artikel gefunden: https://www.gruppenrichtlinien.de/artikel/erstellung-einer-testumgebung-als-abbild-der-produktiven/ Ich habe es nun auch ausgeführt und meine GPOs sind transferiert worden. Die Sicherheitsgruppen mit dem o.g. Script jedoch nicht! So, wenn ich schnell eine Testumgebung erstellen muss, dann sollten diese auch mit übertragen werden. Wenn ich zurück in die Produktivumgebung transferieren möchte, dann sollten nur die GPOs transferiert werden. So, die Frage ist jetzt: geht das mit dieser Skriptsammlung und wenn ja, wie? Wenn das CreateEnvironmentFromXML.wsf nur für das Übertragen der GPOs zuständig ist und auch nur dafür gedacht ist, dann ist das auch ok, ich sollte es nur genau wissen. (Nicht das es in meiner Testumgebung aus welchen Gründen auch immer, nicht so funktioniert hat wie es ollte und später bei dem Transfer in die Produktivumgebung mir dann meine Domäne zerstört weil er die Sicherheitsgruppen dann doch überträgt...)
  13. Wow, danke dir! Ich habe mir soeben ein Script zusammengebastelt welches mir eine Export-CSV von der AD in eine andere AD einfügt! Funktioniert prima (hat etwas gedauert bis ich das "Domänen (lokal)" abgefangen und in 'DomainLocal' gewandelt habe (beim GroupScope welches englische Begriffe erwartet und die exportierte CSV die deutsche Begriffe verwendet)). Warum habe ich blos nicht gleich gefragt????? Hätte mir viel Arbeit gespart! Danke!
  14. Hallo Leute, ich habe hier ein kleines Problemchen: ich habe jetzt eine Testumgebung erstellt in welcher ich unsere Domain-Migration plane und GPOs erstelle bzw. die alten LOGON-Scripte durch GPOs ersetze. Jetzt bin ich soweit das alles funktionieren sollte wie ich mir das vorstelle. Ich habe bereits vor Monaten irgendwelche Scripte gefunden mit Migrationstabelle und alles was dazu gehört um GPOs auf neue Domänen zu transferieren. Das würde ich gerne jetzt nochmal und nochmal testen (bevor es dann in Echt losgeht muss ich das ohne mit der Wimper zu zucken hinbekommen können) und habe mir ein zweites virtuelles und abgeschirmtes Testnetzwerk aufgebaut. So, beim ersten Testnetzwerk habe ich manuell gefühlt Hunderte an Sicherheitsgruppen erstellt. Ich habe also 1:1 aus unserer Domäne die Sicherheitsgruppen manuell erstellt und das dauert wirklich lange. Daher meine Frage an euch Profis hier: Gibt es eine Möglichkeit die Sicherheitsgruppen zu exportieren und auf einem anderen DC zu importieren? Natürlich mit einer neuen SID, denn ich brauche ja nur die Gruppen wegen der Zielgruppenadressierung und der Gleichen um meine GPOs zu testen nachdem ich sie in eine neue Umgebungtransferiert habe. Kurz:: Ziel ist es, wie ich bereits gesagt habe, nach der Migration unserer Domäne, die GPOs aus der Testumgebung transferieren zu können. Das geht auch, nur habe ich keine Lust jetzt die Sicherheitsgruppen manuell zu erstellen um das in einer weiteren Testumgebung testen zu können. Also brauche ich was um die AD-Sicherheitsgruppen in eine Testumgebung transferieren zu können. Wenn es nur so geht das die SID neu erstellt wird (statt die alte zu übernehmen), ist das ok so. Wird sicherlich anders auch gar nicht gehen. Ich danke euch schon einmal im Voraus für eure Hilfe!
  15. Hallo Leute, ich habe einige GPOs und bei manchen läuft ein wenig was schief. Ich habe diverse Einstellungen zu Energieoptionen in einer Grundkonfigurations-GPO (nennen wir mal Firmen-GPO) und 7 GPOs für jeweils eine Abteilung eine eigene GPO (zuständig für Vorlagen, Laufwerksmapping und eben Abteilungsabhängige Dinge). Jetzt liefert mir die Ereignisanzeige (System) eine Warnung, Quelle: Microsoft-Windows-GroupPolicy mit der EreignisID: 1085. In der Allgemeinen Beschreibung: Fehler beim Anwenden der "Group Policy Power Options"-Einstellungen. Die "Group Policy Power Options"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen". Unter Details finde ich dann XML-Like Knotenpunkte zu "System" mit diversen Unterpunkten und "EventtData" mit diversen Infos die mich aber überhaupt nicht weiterbringen. Nicht einmal eine ID des GPO-Objektes oder der Gleichen. Geschweige denn einen Hinweis welche der Einstellungen den Fehler oder die Warnung verursacht? Meine Frage an euch Profis ist: Wie kann ich die GPO-Fehler eigentlich genau debuggen? Wo sehe ich was schief gelaufen ist? Ich kann mit gpresult /r mir diverses anzeigen lassen in der Konsole, aber das ist dann auch nur 'Oberflächlich' bzw. Allgemein wie z.B. welche GPOs ausgeführt wurden, welche Sicherheitseinstellungen GPO-Objekte verhindert haben usw. Was ich aber brauche wäre jetzt konkret: Welche GPO? Computer- oder Benutzerkonfiguration? Welcher Punkt genau die Warnung/Fehler ausgelöst hat? Es kann ja nicht sein das ich das dann mit Try & Error oder dem Ausschlussverfahren selber herausfinden muss welche GPO und dann welcher Punkt genau das alles verursacht hat? Vor allem dann nicht wenn es mal in Echtbetrieb läuft... Wie macht ihr das? Wo findet man die ganzen Informationen? Gibt es ein Tool dazu oder ist es irgendwo in einer Textdatei oder irgendwas?
×
×
  • Create New...