stephan_1975

Hallo zusammen,

vielen Dank für die Antworten. Mittlerweile habe ich herausgefunden, dass das Problem an gleich mehreren Stellen gelegen hat:

1. Ganz oben im Stamm der Struktur war in der Default Domain Policy Loopback aktiviert. Der Grund lag in einer Mischung aus Windows XP und Windows 7 Rechnern und Benutzern in einer Domäne, Loopback hatte also seinen Sinn. Nachdem es nun aber keine Windows XP Rechner mehr gibt, habe ich Loopback jetzt deaktiviert.

2. Ein weiteres Problem liegt hier offensichtlich im Bereich der Replikation der Server. Auch hier musste ich - es ist eine Domäne, die im Jahr 2004 entstanden ist - bei der Revision einige Einstellungen abändern, damit es jetzt wieder vernünftig läuft.

Vermutlich wäre es besser gewesen, ich hätte die Domäne komplett neu gemacht. Aufgrund der Vielzahl an Rechnern (hier: insgesamt etwa 150) und Benutzern (insgesamt etwa 2000) scheue ich sowas aber. Eine Totalrevision ist aber für das kommende Jahr im August geplant.

Grüße

Stephan

Hallo Nils,

danke für die zügige Antwort. Hier kommt die Ausgabe von gpresult /r:

---- schnipp ----

Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0
Copyright © Microsoft Corp. 1981-2001

Am 20.08.2014, um 14:59:07 erstellt



RSOP-Daten fr BS-PAN\ar-demo-sh11 auf AR-201-LH01: Protokollmodus
-------------------------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion:       6.1.7601
Standortname:                Nicht zutreffend
Zwischengespeichertes Profil:Nicht zutreffend
Lokales Profil:              C:\Users\ar-demo-sh11
Langsame Verbindung?         Nein


BENUTZEREINSTELLUNGEN
----------------------
    CN=ar-demo-sh11,OU=SH,OU=AR,OU=BS,DC=bs-pan,DC=local
    Letzte Gruppenrichtlinienanwendung:   20.08.2014, um 14:57:18
    Gruppenrichtlinieanwendung von:       DCAR02.bs-pan.local
    Schwellenwert fr langsame Verbindung:500 kbps
    Dom„nenname:                          BS-PAN
    Dom„nentyp:                           Windows 2000
    
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        Default Domain Policy
        GPO-PC-W7
        Default Domain Policy
        GPO-AR-Printers
        GPO-RS
        Richtlinien der lokalen Gruppe

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Desktop Authority 32bit Client Install
            Filterung:  Verweigert (WMI-Filter)
            WMI-Filter: Desktop Authority 32bit Systems

        Desktop Authority 64bit Client Install
            Filterung:  Nicht angewendet (Leer)

        Desktop Authority 32bit Client Install
            Filterung:  Verweigert (WMI-Filter)
            WMI-Filter: Desktop Authority 32bit Systems

        Desktop Authority 64bit Client Install
            Filterung:  Nicht angewendet (Leer)

        GPO-AR-PC
            Filterung:  Deaktiviert (Gruppenrichtlinienobjekt)

        Desktop Authority 64bit Client Install
            Filterung:  Nicht angewendet (Leer)

        Desktop Authority 32bit Client Install
            Filterung:  Verweigert (WMI-Filter)
            WMI-Filter: Desktop Authority 32bit Systems

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Dom„nen-Benutzer
        Jeder
        Benutzer
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        ar_sh_gl
        ar_sh_drucker_lo
        mb_sh_drucker_lo
        ar_sh_lo
        Mittlere Verbindlichkeitsstufe
      

---- schnapp ----

Wichtig aus meiner Sicht ist folgendes: Der Benutzer "ar-demo-sh11" ist der OU "SH" zugeordnet. Der PC, an dem sich er Benutzer einloggt, ist einer Untereinheit der OU "PC" zugeordnet. Die Gruppenrichtlinie GPO-PC-W7 ist für die OU PC und ihre Untereinheiten (über Vererbung) zugeordnet und wird folgerichtig angewendet.

Die fragliche GPO nennt sich "GPO-AR-SH-Neu". Sie enthält ausschließlich Benutzereinstellungen. Diese GPO ist an die OU "SH", in der sich ausschließlich Benutzer befinden, deligiert. Leider wird sie aber nicht gezogen, das heißt, sie wird weder angewendet noch abgeleht - siehe gpresult /r . Verschiebe ich die GPO jedoch in die GPO "PC", so kommt sie zur Anwendung. Offensichtlich geschieht dies über den PC (hier: AR-201-LH01), welcher einer Untereinheit der OU "PC" zugeordnet ist.

Allmählich reift in mir der Verdacht, dass hier irgendetwas mit einer Art "Loopback" oder etwas ähnlichem geschieht!

Grüße

Stephan

Hallo liebe MCSE-Spezialisten,

ich habe hier ein Poblem, an dem ich mir nun schon seit zwei Wochen die Zähne ausbeiße. Es geht um folgende Rahmenbedingung:

- Benutzer befinden sich in einer Benutzer-OU

- Rechner befinden sich in einer Computer-OU (genannt "PC")

- Gruppenrichtlinien werden vererbt

- Server ist Windows Server 2008 R2

- Replikationsdienste funktionieren ohne Probleme

Die GPO, um die es geht, besitzt ausschließlich Benutzer-Einstellungen. Sie ist in der Gruppenrichtlinienverwaltung an die Benutzer-OU deligiert. Als Sicherheitsgruppen-Mitgliedschaft wurde Authentifizierte Benutzer angegeben. Die GPO ist aktiviert (sowohl Benutzer- als auch Computer-Einstellungen).

Wenn sich nun ein Benutzer, welcher der oben beschriebenen Benutzer-OU angehört, anmeldet, wird die GPO jedoch nicht angewandt. Das wird noch nicht einmal versucht, das heißt, sie wird nicht angewendet und auch nicht abgelehnt.

Extrem strange ist folgendes Verhalten: Befindet sich die GPO in der PC-OU, so wird sie angewandt. Wie oben schon beschrieben ist die Vererbung aktiviert.

Vielleicht hat jemand von euch irgendeinen Tipp, wo ich mit der Suche anfangen soll.

Vielen Dank für eure Hilfe schon vorab!

Grüße

Stephan