grizzly999

Hab wohl vergessen die Datei anzuhängen. Hier ist sie

gpttmpl.inf.txt

Ist es jetzt klar?

Nö!

Du schreibst: "Mit der GPO auf die OU möcht ich jetzt das jeder Adminrechte besitzt. So war es beim 2000."

Mit welcher GPO war es bei 2000 so?

grizzly999

Du hast also noch weitere Richtlinien erstellt? Deshalb auch mehrere Ordner mit {...........}.

Und heißt die Datei, in der sie "richtige" Zeile zu finden ist .ini, oder .inf?

Mein Vorschlag:

Du kopierst den ganzen Ordner sysvol mit allem was drunter ist weg als Sicherung.

Dann kopierst du die folgende Datei Pfad, den ich vorhin beschrieben habe. Die Endung .txt entfernen, jetzt heisst sie GptTmpl.inf .

neu starten, fertig

grizzly999

Äh, nicht genau genug gelesen, also streichen wir die Zahlen :D

grizzly999

.... und Zahlen müssen drin sein, und Sonderzeichen, und der Benutzername darf nicht im Kennwort enthalten sein. Ein richtig sicheres Kennwort halt ;)

grizzly999

ich kann es dir nicht sagen, was du falsch machst. habe es gerade eben getestet, mit dem "Zeugs" aus winnt\cache. Es hat einwandfrei funktioniert, als Admin und als Otto-NormalBenutzer.

grizzly999

Nenn' mich Leonardo ;)

grizzly999

Du solltest in der DefaultDomainPolicy an den Kennwortrichtlinien "Kennwort entspricht den Komplexizitätsanforderungen" auf deaktiviert setzen. Dann vielleicht noch die mininmale Kennwortlänge runtersetzen, wenn du keine 7 Zeichen langen Kennwörter willst. Danach gpupdate.exe nicht vergessen...

grizzly999

Der obere haken muss raus (der zweite bleibt draussen). Auf Nachfrage sagen "Kopieren".

Aber der Springende Punkt ist der Reiter BESITZER. Oben!!!

Dort den Besitz für den Administrator oder die Administratoren übernehmen und das Häkchen für die Unterordner nicht vergessen!

grizzly999

Möglicherweise habe aber auch ich nicht ganz verstanden, was DU tun/haben möchtest?!

grizzly999

Also, du machst folgendes:

Du fährst den DC im abgesicherten Modus mit F8 hoch. Wichtig: verzeichnisdienstwiederherstellung!!

Dann meldest du dich mit dem Administrator SAM Account an. Kennwort dafür musstest du bei dcpromo eingeben. Dann gehst du im Explorer in den Ordner

C:\WINNT\SYSVOL\sysvol\mydomain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

Dort findest du die Datei GptTmpl.inf. Diese öffnest du mit dem Editor und suchst die Zeile mit

"SeInteractiveLogonRight="

Dort fügst du nach einem Komma (vorne oder hinten egal) das da ein:

*S-1-5-32-544

Schliessen, normal booten, sollte jetzt wieder funktionieren

Sicherheitseinstellungen des Ordners/erweitert Besitz übernehmen (Häkchen für "Besitz auch für untergeordnete Ordner übernehmen" setzen).

grizzly999

Noch eine Frage:

du hast die DefaultDomainControllerPolicy geändert, oder eine neue Richtlinie an der OU DomainController hinzugefügt?

Warte noch ein klein wenig, ich arbeite an einer Lösung. Melde mich gleich wieder.

grizzly999

Ja natürlich. Läuft einwandfrei und ist vielleicht noch eine Spur intuitiver zu bedienen, wie 8.6.

grizzly999

Danke für die Rückmeldung.

grizzly999

Nein, vorher wird geteert und gefedert!!! :D :D

Als Backupsoftware empfehle ich BackupExec.

grizzly999

hast du rein zufällig noch einen zweiten DC im Zugriff. Ich meine irgendeinen auf einem anderen Testrecher oder so, nicht in dieser Domäne?

grizzly999

Die sind auf der Exchange CD. Ich glaueb Support\.....irgendwo

grizzly999

Willst du die Gruppenrichtlinie für Benutzer verteilen oder auf Computerebene? Wenn für Benutzer, muss die Richtlinie natürlich an einer OU sein, unterhalb derer sich das/die betreffenden Benutzerkonten befinden. Soll es auf Computerebene verteilt werden, gilt dasselbe respektive für Computerkonten.

Ansonsten ist so zu verfahren beim Einrichten der GPO wie beschrieben.

grizzly999

Teeren, Federn, Lohn einbehalten, entlassen! :D

Ihr habt gar keine Bandsicherung für den Exchange? Dann vielleicht Exchange neu starten, alle Ereignislogeinträge im Exchange sammeln und in der KB suchen. Dann die einzelnen Schritte testen. Alternativ/Zusätzlich könntet Ihr einen Call bei MS aufmachen, ich meine einen Löhn-Call. Ist zwar nicht billig, aber da gibt es normalerweise Top-Hilfe.

grizzly999

Hast du den dsclient installiert?

grizzly999

Da hat so eine möchtegern Systemadministratorin rumgespielt und wollte was ausprobieren

Ohoh!! :eek:

Wenn Sie nicht mehr weiss, was sie gemacht hat, wäre meine Idee: Bandsicherung zurückfahren. Das sieht nach was Größerem aus.

grizzly999

Wenn du nicht mehrere E2ks an verschiedenen Stadnorten hast, nein.

Aber noch die übliche Frage. Was wurde denn geändert, bevor der Fehler auftrat?

grizzly999

Ein Ansatz wäre der hier, aber es kann viele Gründe haben:

http://support.microsoft.com/default.aspx?scid=kb;en-us;316709

grizzly999