stephan_1975
-
Gesamte Inhalte
3 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von stephan_1975
-
-
Hallo Nils,
danke für die zügige Antwort. Hier kommt die Ausgabe von gpresult /r:
---- schnipp ----
Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0
Copyright © Microsoft Corp. 1981-2001
Am 20.08.2014, um 14:59:07 erstellt
RSOP-Daten fr BS-PAN\ar-demo-sh11 auf AR-201-LH01: Protokollmodus
-------------------------------------------------------------------
Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion: 6.1.7601
Standortname: Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil: C:\Users\ar-demo-sh11
Langsame Verbindung? Nein
BENUTZEREINSTELLUNGEN
----------------------
CN=ar-demo-sh11,OU=SH,OU=AR,OU=BS,DC=bs-pan,DC=local
Letzte Gruppenrichtlinienanwendung: 20.08.2014, um 14:57:18
Gruppenrichtlinieanwendung von: DCAR02.bs-pan.local
Schwellenwert fr langsame Verbindung:500 kbps
Dom„nenname: BS-PAN
Dom„nentyp: Windows 2000
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Default Domain Policy
GPO-PC-W7
Default Domain Policy
GPO-AR-Printers
GPO-RS
Richtlinien der lokalen Gruppe
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Desktop Authority 32bit Client Install
Filterung: Verweigert (WMI-Filter)
WMI-Filter: Desktop Authority 32bit Systems
Desktop Authority 64bit Client Install
Filterung: Nicht angewendet (Leer)
Desktop Authority 32bit Client Install
Filterung: Verweigert (WMI-Filter)
WMI-Filter: Desktop Authority 32bit Systems
Desktop Authority 64bit Client Install
Filterung: Nicht angewendet (Leer)
GPO-AR-PC
Filterung: Deaktiviert (Gruppenrichtlinienobjekt)
Desktop Authority 64bit Client Install
Filterung: Nicht angewendet (Leer)
Desktop Authority 32bit Client Install
Filterung: Verweigert (WMI-Filter)
WMI-Filter: Desktop Authority 32bit Systems
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
Dom„nen-Benutzer
Jeder
Benutzer
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
ar_sh_gl
ar_sh_drucker_lo
mb_sh_drucker_lo
ar_sh_lo
Mittlere Verbindlichkeitsstufe
---- schnapp ----
Wichtig aus meiner Sicht ist folgendes: Der Benutzer "ar-demo-sh11" ist der OU "SH" zugeordnet. Der PC, an dem sich er Benutzer einloggt, ist einer Untereinheit der OU "PC" zugeordnet. Die Gruppenrichtlinie GPO-PC-W7 ist für die OU PC und ihre Untereinheiten (über Vererbung) zugeordnet und wird folgerichtig angewendet.
Die fragliche GPO nennt sich "GPO-AR-SH-Neu". Sie enthält ausschließlich Benutzereinstellungen. Diese GPO ist an die OU "SH", in der sich ausschließlich Benutzer befinden, deligiert. Leider wird sie aber nicht gezogen, das heißt, sie wird weder angewendet noch abgeleht - siehe gpresult /r . Verschiebe ich die GPO jedoch in die GPO "PC", so kommt sie zur Anwendung. Offensichtlich geschieht dies über den PC (hier: AR-201-LH01), welcher einer Untereinheit der OU "PC" zugeordnet ist.
Allmählich reift in mir der Verdacht, dass hier irgendetwas mit einer Art "Loopback" oder etwas ähnlichem geschieht!
Grüße
Stephan
-
Hallo liebe MCSE-Spezialisten,
ich habe hier ein Poblem, an dem ich mir nun schon seit zwei Wochen die Zähne ausbeiße. Es geht um folgende Rahmenbedingung:
- Benutzer befinden sich in einer Benutzer-OU
- Rechner befinden sich in einer Computer-OU (genannt "PC")
- Gruppenrichtlinien werden vererbt
- Server ist Windows Server 2008 R2
- Replikationsdienste funktionieren ohne Probleme
Die GPO, um die es geht, besitzt ausschließlich Benutzer-Einstellungen. Sie ist in der Gruppenrichtlinienverwaltung an die Benutzer-OU deligiert. Als Sicherheitsgruppen-Mitgliedschaft wurde Authentifizierte Benutzer angegeben. Die GPO ist aktiviert (sowohl Benutzer- als auch Computer-Einstellungen).
Wenn sich nun ein Benutzer, welcher der oben beschriebenen Benutzer-OU angehört, anmeldet, wird die GPO jedoch nicht angewandt. Das wird noch nicht einmal versucht, das heißt, sie wird nicht angewendet und auch nicht abgelehnt.
Extrem strange ist folgendes Verhalten: Befindet sich die GPO in der PC-OU, so wird sie angewandt. Wie oben schon beschrieben ist die Vererbung aktiviert.
Vielleicht hat jemand von euch irgendeinen Tipp, wo ich mit der Suche anfangen soll.
Vielen Dank für eure Hilfe schon vorab!
Grüße
Stephan
GPOs werden in bestimmter OU nicht angewendet
in Active Directory Forum
Geschrieben
Hallo zusammen,
vielen Dank für die Antworten. Mittlerweile habe ich herausgefunden, dass das Problem an gleich mehreren Stellen gelegen hat:
1. Ganz oben im Stamm der Struktur war in der Default Domain Policy Loopback aktiviert. Der Grund lag in einer Mischung aus Windows XP und Windows 7 Rechnern und Benutzern in einer Domäne, Loopback hatte also seinen Sinn. Nachdem es nun aber keine Windows XP Rechner mehr gibt, habe ich Loopback jetzt deaktiviert.
2. Ein weiteres Problem liegt hier offensichtlich im Bereich der Replikation der Server. Auch hier musste ich - es ist eine Domäne, die im Jahr 2004 entstanden ist - bei der Revision einige Einstellungen abändern, damit es jetzt wieder vernünftig läuft.
Vermutlich wäre es besser gewesen, ich hätte die Domäne komplett neu gemacht. Aufgrund der Vielzahl an Rechnern (hier: insgesamt etwa 150) und Benutzern (insgesamt etwa 2000) scheue ich sowas aber. Eine Totalrevision ist aber für das kommende Jahr im August geplant.
Grüße
Stephan