torstenv

Hi! Ich muss auf sehr vielen Rechnern einen Treiber deinstallieren. Das ist leider ein Treiber, der sich nicht einfach so im Betrieb deinstallieren und entfernen lässt. D.h. es muss ein Deinstaller aufgerufen werden, der den Treiber austrägt, so dass er beim Systemstart nicht mehr geladen wird. Nun muss der Rechner durchgebootet werden und nach dem Reboot müssen die Dateien, die zu diesem Treiber gehören, enttfernt werden. Alles kein Problem als Admin. Meine Frage zielt darauf, wie man es machen kann, dass nur _EIN_ Admin-Login notwendig ist. Es sollte so laufen, dass sich der Admin einloggt, den Deinstall-Prozess anschmeißt und fertig. Der Uninstaller rebootet selbstständig. Das Problem ist das Beseitigen der Dateien auf dem Rechner, die nun nicht mehr benötigt werden (cleanup). Es scheint, als würde ein Eintrag in HKLM/Software/Microsoft/Windows/RunOnce mit den Rechten des lokal angemeldeten Users ausgeführt, und das ist nach dem Neustart ein eingeschränkter User. Das heißt, der ist nicht berechtigt, diese Dateien zu löschen. Gibt es eine alternative Stelle, an der ein Prozess beim Boot nur ein mal mit Admin-Rechten ausgeführt werden? Es geht nur um das Entfernen von Dateien aus System32\drivers\. Ein Programmierer arbeitet derzeit an einem Weg einen Service zu kreieren, der dann die Dateien löscht und sich selbstständig wieder abmeldet. Ist es wirklich notwendig einen so komplizierten Weg zu gehen? Danke im voraus! Gruß, T.

Ich habe ein Code Snipplet von http://msdn.microsoft.com/library/default.asp?url=/library/en-us/netdir/adsi/ads_group_type_enum.asp benutzt, und nun taucht die Gruppe auf. Die GPO wird scheinbar auch übernommen. Es scheint, als käme ich meinem Ziel näher. Wir können diesen Thread erst mal als gegessen betrachten. Tausen Dank an Euch! T.

Jüngste Testergebnisse: Alles auf Anfang, OU gelöscht, neue Gruppe in "Computers" angelegt, Host "foo" dieser Gruppe hinzugefügt, keine GPO angelegt, "foo" gebootet und gpresult meldet: "foo" ist Mitglied der eben angelegten Gruppe. Aha. Also so ganz vermurkst ist mein System wohl doch nicht. Also noch mal probiert: Die Gruppe von oben wieder entfernt, die Gruppenzugehörigkeit von "foo" überprüft ( nix drin- OK). Jetzt muss ich hier noch ein Detail nennen, was ich bisher nicht genannt habe: Das Anlegen von Gruppen, Mitglieder bestimmen, User anlegen, das Erstellen von GPOs und das Linken der GPO an einen Ort und eben alle Arbeiten im Active Directory, die mit meinem Problem hier zu tun haben, mache ich nicht von Hand, sondern mit einem Programm, welches ich dafür geschrieben habe. Das Programm nutzt die LDAP Zugriffsmöglichkeit auf das AD um so Gruppen und User anzulegen und Mitgliedschaften zu bestimmen. GPOs verwalte ich durch Aufrufe von Scripten, die der GPMC beigelegt waren. Also nach Aufruf meines Programmes bis zu dem Punkt, an dem der Host der Gruppe hinzugefügt wurde, habe ich das Programm noch mal laufen lassen und siehe: Die automatisch angelegte Gruppe wurde von GPResult NICHT in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt. Noch mal alles gelöscht und die gleichen Schritte von Hand durchgeführt und: Die von Hand angelegte Gruppe wurde von GPResult _korrekt_ in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt. Der Rest war eine Kleinigkeit. Noch schnell eine GPO eingefügt und die Sicherheitseinstellungen angepasst. Und: GPO wird korrekt übernommen. So. Jetzt haben wir zumindest die Ursache gefunden. Einer der 3 gescripteten Schritte: -neue OU erstellen -Gruppe in der OU anlegen -Computerkonto der Gruppe hinzufügen funktioniert nicht so, wie er sollte. Das Problem ist, dass augenscheinlich kein Unterschied festzustellen ist. Die per Script angelegten Objekte sehen genau so aus, wie die von Hand angelegten. Jetzt ist die Frage, wie ich bei diesem Problem weiter komme. Ich zweifle daran, dass ich hier in diesem Forum weiterhin so tolle Hilfe finde, wie bisher, da sich das Problem nun darauf verlagert, was beim den o.g. Schritten falsch laufen könnte. Ich habe hier mal die Prozeduren eingepastet, vielleicht habe ich ja Glück und jemand erkennt da einen Fehler. Falls nicht, würde ich mich aber um Rückmeldung freuen, die mir sagt, wohin ich mich wenden könnte. Für eure bisherige Hilfe, Klaus und Grizzly, jedenfalls schon mal ganz herzlichen Dank! Ohne euch wäre ich nicht bis hierhin gekommen! T. Ab hier für Leute, die sich das im Detail antun wollen: Es gibt 3 Schritte, die die Ursache des Problems sein könnten: - Anlegen einer OU - Erstellen einer Gruppe in der OU - Festlegen der Mitgliedschaft eines Computerkontos in der Gruppe Ich halte es für am wahrscheinlichsten, dass das Problem im Erstellen der Gruppe liegt. Hier mal die Funktion, mit der ich die Gruppe erstelle: Private Function GruppeAnlegen(ByVal Gruppe As String, ByVal Ort As String) As Boolean Dim OU, grp As IADs On Error GoTo Err Set OU = GetObject("LDAP://" & Ort) Set grp = OU.Create("group", Gruppe) grp.Put "samAccountName", Mid(Gruppe, 4) grp.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED grp.SetInfo GruppeAnlegen = True Exit Function Err: GruppeAnlegen = False End Function ' Aufruf: if GruppeAnlegen("CN=GR test", "OU=MyOU, DC=test1, DC=testdomain, DC=de") then debug.print "OK" Torsten

Ja, ich teste ja die ganze Zeit während wir uns hier austauschen fleissig weiter. Ich habe auch schon ausprobiert, die Gruppe "Authentifizierte Benutzer" drin zu lassen und nur das "Anwenden" Flag zu entfernen. Aber ich glaube das Problem liegt eigentlich darin, dass, wie Klaus richtig bemerkt hat, der Host selbst gar nicht als Mitglied der Gruppe benannt wird, wenn ich auf dem Host selbst GPresult aufrufe. Also ich vermute hier die Ursache des Problems. Warum taucht in der Liste der Gruppen, in denen der Host ist, nicht die Gruppe auf, um die es geht?

@Grizzkly UND Klaus: Jungs, ich schnalls nicht. Inzwischen bin ich auch zu Eurer Überzeugung gekommen, dass das Problem darin liegt, dass der DC den entsprechenden Host nicht als Mitglied der Gruppe betrachtet. Aber ich habe wirklich schon alles versucht. Den Host wieder rausgenommen und neu hinzugefügt. Noch mal die Gruppe geöffnet und dort unter "Mitglieder" hinzugefügt, dann noch mal den Computer geöffnet und dort unter "Mitglied von" die Gruppe hinzugefügt. Ich kapiere es nicht. Es ist immer das gleiche Spiel. Ich kann Euch Screenshots von der MMC-Konsole schicken, in der der Host klar und eindeutig Mitglied der entsprechenden Gruppe ist. Das ist unzweifelhaft. Und dennoch. Randbemerkung: Da ich inzwischen anfange Knöchelchen zu werfen und im Kaffesatz zu lesen, weil mich diese Problem verrückt macht, greife ich nach jedem Strohhalm. Also die Gruppe, um die es geht, liegt in einer OU, die ich eigens für meinen Zweck angelegt habe. Ich ging bisher davon aus, dass das egal sein dürfte. Wenn ich nicht eh schon ne Glatze hätte, hätte ich mir heute die Haare ausgerauft. Aber ich danke Euch auf jeden Fall für euren Tapferen Beistand! ;-) T.

Hmm. Ja, danke erst mal. Jedenfalls heißt das für mich, dass ich mich sooo doof gar nicht angestellt habe. Ich poste parallel mal in microsoft.public.de.german.gruppen_richtlinien, aber ich zweifle daran, dass ich da noch Hilfe bekomme. Freue mich jedenfalls, wenn ich wieder was von dir höre. Wenn ich selbst was rausfinde, werde ich es hier posten. Gruß, Torsten

Nope. Keine Änderung.

>Ich habe eben nochmal nachgeschaut (nur um mich zu >vergewissern), es ist definitiv möglich, Gruppenrichtlinien für >Computergruppen zu filtern Da sind wir schon mal einig! :-) >Ich weiss, es ist eine blöde Frage, Och... Man weiß ja nie. Fragen kann man. >aber bist du sicher, dass der/die Computer in der Gruppe >Mitglied sind. Ja. ;-) Wäre das jetzt die Ursache gewesen, hätte ich auch eine Steinigung verdient! ;-) >Ist die Gruppe vom Typ Sicherheit? Ja. >Was für ein Gruppenbereich? Lokale Domäne In meinen Augen alles korrekt.

Ich bin dankbar für deine Versuche, mir zu helfen. Leider kann ich keine Workarounds benutzen. Ich muss das Problem lösen. Mir ist absolut nicht klar, wieso er Computerkonten innerhalb einer Gruppe nicht erkennt. Das klingt für mich nicht so, als hätte ich einen Fehler beim Setup gemacht. Was soll ich denn jetzt machen?

>Teste doch mal die GPO, indem du die auth. Benutzer entfernst, >und den Client (Computername) direkt mit apply einträgst. >Übernimmt er dann die GPO? Ja. Hatte ich auch erwartet, weil er die ja auch übernimmt, wenn die Authentifizierten Benutzer eingetragen sind.

Hi! Das ist ja gerade das Problem: Es ist alles Default, ich habe im Grunde keine Änderungen gemacht, außer denen, die ich hier schon dokumentiert habe. Aber im Einzelnen: >Unterbrechung der Vererbung GPO ist direkt an die Domain gebunden. Vererbung ist nicht abgeschaltet. >Verweigern der Übernahme Das würde heißen, dass ich irgendwo einen Verweigern -Schalter an hätte. Habe ich auch schon dokumentiert, du kannst ja unten die gesetzten Berechtigungen sehen, da ist nichts auf Verweigern gestellt. >Deaktivieren der Computer oder Benutzerkonfiguration Wenn ich mir die GPO per GPMC ansehe, sieht die ganz normal aus, keine Deaktivierungen. >und das, was ich noch vergessen habe. Ja, möglicherweise findet sich hier der Grund ! ;-) Der Trick ist ja, dass, wenn ich die Gruppe "GR-Test" wieder aus den Sicherheitseinstellungen der GPO entferne, und stattdessen wieder die Gruppe "Authentifizierte Benutzer" hinzufüge und dieser die Rechte "Read and Apply" gebe, dann wird die GPO korrekt angewandt. Kehre ich den Prozess dann um, entferne also "Authentifizierte Benutzer" wieder und füge wieder meine Gruppe "GR-Test" in den Sicherheitseinstellungen hinzu und gebe dieser Gruppe die Rechte "Read and Apply", dann wird die GPO wieder nicht angewandt und es GPResult meldet wieder "Filterung: Verweigert (Sicherheit)". Dabei ist der Host, auf dem ich das Teste, definitiv Mitglied der Gruooe "GR-Test". Noch eine Idee? T.

Ups, noch mal alles zurück, ich musste mein Posting noch mal übereditieren, weil ich etwas zu voreilig war. Hier also der Output von GPResult. Hier ist der springende Punkt, dass das Tool zeigt, dass die GPO mit Namen "MyGPO Install Client" nicht übernommen wird. Begründung: Filterung: Verweigert (Sicherheit). (s.u.) Die Sicherheitseinstellungen dieser GPO sind wie folgt: (Uneingeschränkter Zugriff = UEZ, Lesen=R, Schreiben=W, Alle untergeordneten Objekte erstellen=AUOE, Alle untergeordneten Objekte löschen=AUOL, Gruppenrichtlinie übernehmen=A) - "Authentifizierte Benutzer" Zulassen: - , Verweigern: - - "Domänen Admins" Zulassen: R/W/AUOE/AUOL, Verweigern: - -"Ersteller-Besitzer": Zulassen: - , Verweigern: - -"MyGroup":Zulassen: R/A , Verweigern: - -"Organisations-Admins": Zulassen: R/W/AUOE/AUOL, Verweigern: - -"System": Zulassen: R/W/AUOE/AUOL, Verweigern: - Die Gruppe "MyGroup" hat nur ein Mitglied, nämlich den Rechner VMXPT2, und das ist der Rechner, auf dem ich hier das GPresult ausgeführt habe. Ich bin echt ratlos. C:\Dokumente und Einstellungen\Administrator.TEST1>gpresult Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0 Copyright © Microsoft Corp. 1981-2001 Am 30.06.2003 um 18:24:28 erstellt RSOP-Ergebnisse für TEST1\Administrator auf VMXPT2 : Protokollierungsmodus --------------------------------------------------------------------------- Betriebssystemtyp: Microsoft Windows XP Professional Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe Betriebssystemversion: 5.1.2600 Domänenname: TEST1 Domänentyp: Windows 2000 Standortname: Standardname-des-ersten-Standorts Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\Administrator.TEST1 Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------- CN=VMXPT2,CN=Computers,DC=test1,DC=Test,DC=de Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:24:16 Gruppenrichtlinie wurde angewendet von: srvtest1.test1.Test.de Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Aktivierungsintervall auf 8 Sek Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------- ------------ MyGPO Install Client Filterung: Verweigert (Sicherheit) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder Benutzer VMXPT2$ Domänencomputer NETZWERK Authentifizierte Benutzer BENUTZEREINSTELLUNGEN ---------------------- CN=Administrator,CN=Users,DC=test1,DC=Test,DC=de Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:23:38 Gruppenrichtlinie wurde angewendet von: Nicht zutreffend Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt ert wurden. ---------------------------------------------------------------------------- ------------ MyGPO Install Client Filterung: Verweigert (Sicherheit) MyGPO UnInstall Client Filterung: Verweigert (Sicherheit) Aktivierungsintervall auf 8 Sek Filterung: Nicht angewendet (Leer) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Domänen-Benutzer Jeder Benutzer Administratoren Domänen-Admins Schema-Admins Organisations-Admins Richtlinien-Ersteller-Besitzer LOKAL INTERAKTIV Authentifizierte Benutzer C:\Dokumente und Einstellungen\Administrator.TEST1>

>vielleicht wars unklar.. Sorry, es ist _mir_ immer noch unklar... :-( >Wenn du die authenticated users entfernst, entfernst du auch >die Domain computers. Wenn du statt dessen eine eigene >Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als >auch die Computer, für die diese Policy gelten soll, "read" und " >apply" haben. Read und Apply _WO_ haben? Ich will ja erreichen, dass ich die Hosts, die die GPO übernehmen sollen, durch die Mitgliedschaft in meiner Gruppe ("GR-Test") festlegen kann. Dazu habe ich bei den Sicherheitseinstellungen der GPO "GR-Test" mit Read und Apply hinzugefügt, damit nicht alle anderen Hosts auch die GPO bekommen, habe ich "Authenticated Users" entfernt (bzw. nicht wirklich entfernt, sondern nur "read und Apply" abgehakt, sodass weder erlauben noch verweigern an ist). In der Policy selbst sind nur Einstellungen in der Computerkonfiguration, also sind Benutzereinstellungen egal. Die Hosts, mit denen ich teste SIND nun Mitglieder von "GR-Test". Damit, so fand ich zumindest, sollte doch klar definiert sein, auf welchen Hosts die GPO zur Anwendung kommen sollte. >Ob du die Policys am Client, oder am DC einträgst, ist völlig >wurscht, wenn dein Netz sauber konfiguriert ist. Ja, das scheint mir auch so. Es scheint, als wäre es nicht das Problem, welches ich im Ausgangsposting beschrieben habe. >Installier dir die Supporttools, dort gibt es zwei >Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst >meistens, wo es hakt. Auf meinem Win2k Server waren die schon drauf und liefen beide ohne Fehlermeldungen durch. Ich nehme die Beschreibung mit den Domain Computern sehr ernst, habe das aber noch nicht wirklich verstanden, wo ich jetzt noch etwas ändern müsste. T.

Sorry, das kapiere ich nicht. Die Besonderheit ist ja, dass ich die GPO an die Domain binde, aber NICHT will, dass sie für jeden Host in der Domain gültig ist. Darum entferne ich ja extra die Berechtigung "Anwenden" von der Gruppe "Authentifizierte Benutzer". Ich möchte die Menge der Hosts, die diese GPO anwenden sollen, über die Mitgliedschaft einer bestimmten, vorher von mir angelegten Gruppe festlegen. Dazu habe ich also eben dieser Gruppe das "Anwenden" und "Lesen" Recht gegeben. Aber die Mitglieder dieser Gruppe wenden die GPO nicht an, wenn ich das automatisiert über GPMC-Scripts laufen lasse. Lege ich jedoch, wie schon beschrieben, diese Konstellation von Hand an, was im Endergebnis keinen Unterschied macht (und man kann nacher nicht mehr feststellen, ob eine GPO nun von Hand oder über die GPMC-Scripte angelegt wurde), dann jedenfalls wird die GPO einwandfrei angewandt, so scheint es. Deinen Hinweis auf die Domain Computer habe ich nicht nachvollziehen können. T.

Wenn ich das täte, würde die GPO auf alle Computer in der Domain angewendet. Das will ich nicht. Ich will, dass die GPO nur auf Mitglieder der von mir erstellten Gruppe angewendet wird. T.

Folgendes Problem: Ein Win2k-Server verwaltet mehrere XP Clients. Ich füge der Domain (also nicht einer OU) ein neues GPO hinzu und modifiziere die Sicherheitseinstellungen der GPO dergestalt, dass "Authentifizierte Benutzer" die Schalter "Anwenden" und "Lesen" entfernt haben (also sind in dieser Gruppe nun keine Schalter an, auch nicht "verweigern"). Dann füge ich den Sicherheitseinstellungen eine neue Gruppe (eine selbst angelegte) hinzu und wähle für diese die Sicherheitseinstellungen "Lesen" und "Anwenden" an. Mache ich das oben formulierte von Hand auf dem DC, so wird die GPO irgendwann übernommen. Mache ich das aber von einem anderen Host aus (XP-SP1) über die GPMC, so wird die GPO scheinbar nicht übernommen, obwohl augenscheinlich bei der Ansicht der GPO und deren Einstellungen direkt vom DC aus betrachtet, alle Einstellungen die selben sind, wie bei der von Hand angelegten GPO. Wie finde ich heraus, warum die eine GPO nicht angewendet wird? Danke! T.

Sind beide Links direkte Links oder über einen Hub? Falls direkt: Hast du in beiden Fällen korrekt ein Crosslink-Kabel verwendet? Du musst bei der Angabe der IP-Konfig hier im Forum schon mit angeben, in welcher Subnetzmaske die einzelnen Kisten sind.

Hallo! Hat jemand schon mal mit GPMC Scripting gearbeitet? Ich muss zugeben, dass ich die Beispiele von Microsoft nicht verstehe. Ich möchte gerne aus einer GPO, die ich von Hand erstellt habe, ein Template machen, welches ich nach einer Manipulation dann auf anderen DCs einfach importieren kann und fertig. Zur Terminologie: SRC nenne ich den Rechner, auf dem ich die GPO von Hand erstellt habe, und von dem ich das Template erstellen möchte DEST ist irgendein Domain-Controller (W2k oder W2k3), der keine Vertrauensbeziehung zu SRC hat, und eine ganz andere Domain verwaltet. Die GPO, um die es geht, ist direkt an die Domain gebunden, aber die Sicherheitseinstellungen so modifiziert, dass nur Mitglieder der Gruppe XY, welche sich in einer speziellen OU befindet, die Berechtigung haben, diese GPO zu übernehmen. Das Recht „GPO übernehmen“ habe ich der Gruppe Authentifizierte Benutzer weggenommen. Das ist im Detail - glaube ich - egal, es geht nur darum, dass die Sicherheitseinstellungen übernommen werden müssen. Die OU, in der sich sie Gruppen befinden, ist, ebenso wie die Gruppen selbst, auf jedem DEST schon vorhanden, sodass es nicht notwendig ist, das komplette Environment zu erstellen. Ich setze voraus, dass auf allen Systemen (SRC und DEST) die GPMC installiert ist. Microsoft spricht davon, dass man "migration Tables" verwenden soll. Ich habe aber den ganzen Prozess noch nicht verstanden. Ich dachte, es ginge irgendwie so: 1. Aufrufen eines Scriptes unter Angabe der zu sichernden GPO zur Erstellung eines GPO-Templates 2. Aufrufen eines Scriptes unter Angabe der betreffenden GPO zur Erstellung eines Migration Tables 3. Anpassen des Migration Tables (wie? Dazu gibt es keine Beispiele oder Anleitungen) 4. Kopieren des GPO-Templates und des Migration Tables auf den Rechner DEST 5. Aufrufen eine Scriptes zum Importieren der GPO und Anwenden des Migration Tables 6. Fertig Ist das richtig so? Wie lauten die einzelnen Scripte / Aufrufe? Lässt sich das mit den Beispiel-Scripten von MS abbilden? Welche Änderungen muss ich dann an dem Migration File machen? Danke im voraus! A.