ClaudiaDZM

Hallo, ich versuch mal, das System zu beschreiben: Ich habe eine Domain, in die ist die "Default Domain Policy" [Authentifizierte Benutzer] verlinkt. Unterhalb dieser Domain befindet sich die OU "Domain Controllers", in die ist die "Default Domain Controllers Policy" [Authentifizierte Benutzer] verlinkt. Die nächste OU ist "Kuechler Users" mit "Kuechler_policy" [Authentifizierte Benutzer]. Dann gibt es noch die OU "terminalserver" mit zwei verlinkten policies: "Default Domain Controllers Policy" [Authentifizierte Benutzer] und "kuechler_home_redirect" [Authentifizierte Benutzer, Richtline für Administratoren verweigern]. Und diese letzte Policy ist das Problem. Das Ergebnis von GPRESULT (für einen Benutzer, nicht für Admin), die Richtlinie kuechler_home_redirect kommt gar nicht vor: RSOP-Daten fr KUECHLER\mh auf KUEWIN02: Protokollmodus -------------------------------------------------------- Betriebssystemtyp: Microsoft(R) Windows(R) Server 2003 Standard Edition Betriebssystemkonfiguration: Zustzlicher/Reservedomnencontroller Betriebssystemversion: 5.2.3790 Terminalservermodus: Anwendungsserver Standortname: Nicht zutreffend Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\mh Langsame Verbindung? Nein BENUTZEREINSTELLUNGEN ---------------------- CN=Martina Hnsli,OU=Kuechler Users,DC=kuechler,DC=domain Letzte Gruppenrichtlinienanwendung: 05.12.2007, um 16:00:54 Gruppenrichtlinieanwendung von: kuewin02.kuechler.domain Schwellenwert fr langsame Verbindung:500 kbps Domnenname: KUECHLER Domnentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------- Kuechler_policy Default Domain Policy Richtlinien der lokalen Gruppe Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------- Domnen-Benutzer Jeder Remotedesktopbenutzer Benutzer Pr-Windows 2000 kompatibler Zugriff INTERAKTIVE REMOTEANMELDUNG INTERAKTIV TERMINALSERVERBENUTZER Authentifizierte Benutzer Diese Organisation LOKAL KuechlerMitarbeiter Könnt Ihr damit etwas anfangen? Oder welche Info's sind noch wichtig? Schöne Grüsse

Hallo ich kämpfe immer noch mit meinen Gruppenrichtlinien. Diese werden nicht verarbeitet, gpresult meldet "Filterung: Verweigert (Sicherheit)" Es handelt sich um Gruppenrichtlinien, die der OU "terminalserver" zugewiesen sind und nur zum Zug kommen sollen, wenn sich jemand am Terminalserver einloggt, nicht aber an einem von der Domäne verwalteten PC. Die Richtlinie http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarbeitungs_Modus.htm"]Loopbackverarbeitungsmodus ist eingerichtet. Hat jemand einen Tipp, wo man ansetzen könnte und wie man zu mehr Informationen zu "Filterung: Verweigert (Sicherheit)" kommt? Könnte irgendeine übergeordnete Organisationseinheit die Anwendung der Richtlinie unterbinden? Schöne Grüsse, Claudia

Hi, meine Gruppenrichtlinien werden schlicht ignoriert. Nun habe ich mit diesem Gruppenrichtlinienergebnis-Assistenten Berichte erstellen lassen und im Fehlerprotokoll bekomme ich z.B. so eine Aussage: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts cn={4D264C11-B31C-4C12-8EB1-55C2138751D2},cn=policies,cn=system,DC=kuechler,DC=domain kann nicht zugegriffen werden. Die Datei muss im Pfad <\\kuechler.domain\SysVol\kuechler.domain\Policies\{4D264C11-B31C-4C12-8EB1-55C2138751D2}\gpt.ini> vorhanden sein. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Wenn ich nun aber in diesen Pfad schaue, gibt es das Objekt dort: Pfad: C:\WINDOWS\SYSVOL\sysvol\kuechler.domain\Policies\{4D264C11-B31C-4C12-8EB1-55C2138751D2} Dateiname: GPT.ini Inhalt: [General] Version=5767178 displayName=Neues Gruppenrichtlinienobjekt Was schonmal komisch ist: was da als "displayName" steht ist nicht der Name meiner Gruppenrichtlinie. Ich hab das dann mal geändert auf den tatsächlichen Namen. Beim Überprüfen kommt nun zwar keine Fehlermeldung mehr, aber die Gruppenrichtlinie wird überhaupt nicht erwähnt, weder unter den angewendeten noch unter den abgelehnten, es ist, als gäbe es sie nicht. Anzuwenden wäre sie für TERMINALSERVERBENUTZER, das steht eigentlich auch noch so drin. Ich habe schon versucht, ein neues Richtlinienobjekt zu erstellen, aber auch das wird ignoriert. Ich bin vollkommen ratlos. Heute morgen hatte ich ein ADM importiert und später wieder gelöscht. Allerdings in einer Extra-Richtlinie, die längst wieder gelöscht ist. Sonst fällt mir überhaupt nichts ein, was Auslöser für dieses Verhalten sein könnte. Kann mir jemand einen Tipp geben? Schöne Grüsse, Claudia

Vielen Dank! Claudia

Werd ich probieren, vielen Dank! Schöne Grüsse, Claudia

Wow. adm ist ganz neu für mich. aber ich hab dank dem Link auf die Seite grurili.de gefunden und werd mir das mal zu Gemüte führen. Ein herzliches Dankeschön und allen ein schönes Wochenende! Claudia

Vielen Dank, hab ich gefunden. Und so würd's auch klappen. Aber es muss doch auch über eine Gruppenrichtlinie gehen. Anderer Ansatz: Wenn ich diesen Schlüssel unter CURRENT_USER ganz rauslöschen würde (was ich mich bisher nicht getraut habe), könnte es dann sein, dass die Gruppenrichtlinie wieder beachtet würde? Schöne Grüsse, Claudia

Nein, mit "Liste der häufig programmierten Programme aus dem Startmenü entfernen". Wenn ich diese Regel aktiviere, bleibt die Liste naturgemäß leer. Aktiviere ich sie wieder, sind die unerwünschten Einträge auch wieder da. Ich hab's jetzt mal mit der von Dir erwähnten Regel versucht, das bewirkt aber gar nichts, da es sich ja nicht um "Standardprogramme" handelt und nicht bei allen Usern auftritt, sondern nur vereinzelt. Das zusätzlich Verwirrende ist, dass dieser User im konkreten Beispiel bisher gar keine Möglichkeit hatte, eines dieser Programme zu starten. Irgendwo muss das BS sich diese Einträge ja merken. Da müsste es doch die Möglichkeit geben, sie zu löschen. Schöne Grüsse, Claudia

Ich habe auf dem Windows2003 Terminalserver die Internet-Explorer-Startseite generell vorgegeben. Nun kommt aber prinzipiell als Startseite: Customize Your Settings also die Startseite, mit der Microsoft die Browser-Einrichtung erzwingen will. Unsere User haben aber per Proxy-Einstellung gar keinen Zugriff auf diese Seite, erhalten also "access denied" und wahrscheinlich, weil die Seiten nicht "abgearbeitet" wird, kommt sie immer wieder. Kann man das unterbinden? Schöne Grüsse, Claudia

Unsere Standard-User sollen die "Liste der häufig verwendeten Programme" im Startmenu haben. Nun tauchen da aber seltsame Dinge auf, z.B. bei einem User die Einträge "SQL Server Configuration Manager" und "Serververwaltung". Gibt es eine Möglichkeit, diese Liste zu löschen, sodass sie neu erstellt wird? Ich habe schon in einer Gruppenrichtlinie vorübergehend die Anzeige unterdrückt, aber wenn ich sie wieder zulasse, kommen diese Einträge wieder. Sie müssen also irgendwo gespeichert sein. Hat man darauf Zugriff? Schöne Grüsse, Claudia

Hilfe! Auch nachdem ich die Ordnerumleitung in der Gruppenrichtlinie wieder entfernt habe, bekommen die User bei "öffnen" oder "speichern" aus beliebigen Programmen immer nur diesen "Eigene Dateien"-Ordner plus "Netzwerkumgebung", weder C noch eines der verbundenen Laufwerke. Ist da irgendwas in der registry hängen geblieben? Wo kann ich da suchen? Schöne Grüsse, Claudia

Das hab ich schon probiert, aber ohne das gewünschte Ergebnis. Situation: Per Anmeldescript beommt jeder ein Netzlaufwerk H:\ das auf seinen persönlichen Ordner auf dem Fileserver (Samba) zeigt. Eintrag im Script: USE H: "\\172.16.1.200\%username%\Documents" (das funktioniert auch) Folgende Einstellungen habe ich in der betreffenden Gruppenrichtlinie für den Ordner "Eigene Dateien" vorgenommen: Einstellung: Standard, leitet alle Ordner auf den gleichen Pfad um: Zielordner: An folgenden Pfad umleiten: H:\ Dem Benutzer exklusive Zugriffsrechte für Eigene Dateien erteilen Den Inhalt von Eigene Dateien an den neuen Ort verschieben Ordner nach Entfernen der Richtlinie an neuem Ort belassen Ich hab's auch versucht, indem ich als Zielordner nicht H:\ angegeben habe, sondern \\172.16.1.200\%username%\Documents hat aber auch nichts gebracht: Ich starte Notepad, will die Datei speichern und vorgeschlagen wird der lokale Ordner "Eigene Dateien". Ist etwas an meinen Einstellungen falsch? Schöne Grüsse, Claudia PS: hab grad festgestellt, das nun aus allen Programmen der Zugriff auf diesen Ordner plus "Netzwerk" beschränkt ist. Ich kann gar nichts anderes mehr auswählen, weder ein verbundenes Laufwerk noch einen anderen lokalen Ordner. Z.B. müsste ich für die Konfiguration eines Tapi-clients einen lokalen Pfad einstellen, hab aber keine Chance, es wird nur "eigene Dateien" angeboten.

Hi Wir nutzen den Terminalserver als Applikationsserver und die Files liegen auf einer anderen Maschine, wo jeder sein Benutzerverzeichnis hat. Nun hätte ich gern, dass immer dann, wenn jemand irgendein Programm öffnet und darin "speichern unter" oder "Datei öffnen" wählt, dieses Netzlaufwerk vorgeschlagen wird und nicht das lokale Benutzerverzeichnis. Was ich bei meinem ersten Versuch hinbekommen habe: Im active directory bei den Eigenschaften kann man den Basisordner verschieben. Das ist aber nicht, was ich suche. "Anwendungsdaten", "Lokale Einstellungen", etc, das soll alles lokal auf dem Terminalserver liegen. Nur der Pfad, der für das Speichern von irgendwelchen Office-, PDF- etc. Dateien vorgeschlagen wird, der soll ein anderer sein. Gibt es da einen Ansatz? Schöne Grüsse, Claudia

Hi zunächst einmal: grosses Kompliment und Dankeschön. Ich hab ja erst vor zwei oder drei Tagen auf dieses Forum gefunden und wenn ich sehe, welcher trffic hier herrscht und wie schnell sich jemand bereit findet, zu antworten, das ist wirklich super-toll. Es nimmt enorm viel Druck, wenn man das Vertrauen hat, nicht allein in der Wüste zu stehen. Wegen meiner Richtlichtnien bin ich jetzt doch zu meinem ursprünglichen Entwurf zurückgekommen, indem ich zusätzliche Richtlinien mit höherer Priorität eingerichtet habe, die verschiedenen Benutzern die für den Standarduser entzogenen Rechte wieder zugänglich macht - und bis jetzt funktioniert's. Dies vor allem auch darum, da ich nicht nur entweder/oder habe, sondern: für einige Benutzer soll ein Teil der "Verbote" aufgehoben werden, und nochmal andere sollen überhaupt nicht eingeschränkt werden, ich hab also 3 gestufte Richtlinienobjekte. Ob das optimal eingerichtet ist, wage ich zu bezweifeln, kann ja bei meinem Einsteigerwissen gar nicht sein. Aber im Moment kann ich das System so handeln und jetzt heißt es halt: reinknien und sich das erarbeiten. Ich hab auch schon die nächste Frage, tu sie aber in einen neuen Thread. Schöne Grüsse, Claudia

Hi, ich habe jetzt nochmal alle von mir vorgenommenen Einschränkungen aufgehoben und nach gpupdate und gpresult erhielt ich daraufhin wieder den Bescheid, die Gruppe werde angewendet. Ich hab dann wieder vorsichtig einige erste Einschränkungen vorgenommen (Proxyeinstellungen hinterlegt und die Aenderung derselben untersagt) - und noch immer funktioniert es. Ich werde also jetzt vorsichtig Schritt für Schritt die Einschränkungen wieder einbauen. Aber wenn ich irgendwann wieder an den Punkt gelange, dass diese Richtlinie nicht angewendet wird mit dem Hinweis "Verweigert (Sicherheit)" - hat mir dafür jeman einen Tipp, wo ich da suchen soll? Kann ich irgendwie herausfinden, was der Grund für diese Verweigerung ist? Schöne Grüsse, Claudia