losh

Hi Forum, inzwischen habe ich den Fehler (nur falls mal jemand nach der Lösung suchen sollte): Einfach einen neuen Container erstellen (direkt unter dem Domainnamen), dann einen User erstellen, ihm eine GruRiLi zuweisen, schauen ob es funktioniert. Nun immer nur diesen Nutzer kopieren (Rechtsklick und Kopieren). hat bei mir zumindest geholfen, wenns auch eine richtig blöde Variante ist. Gruß LoSh

Jupp, das war die gleiche WS. Hier, der Vollständigkeit halber. Login des gleichen Nutzers (Sabine), an gleichem Rechner (Aristoteles) und gleichem Server (Sokrates) allerdings mit Mitgliedschaft bei Domänen-Admins Microsoft ® Windows ® 2000 Operating System Group Policy Result tool Copyright © Microsoft Corp. 1981-1999 Created on Montag, 6. Oktober 2003 at 20:29:05 Operating System Information: Operating System Type: Professional Operating System Version: 5.0.2195.Service Pack 4 Terminal Server Mode: Not supported ############################################################### User Group Policy results for: CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts Roaming profile: \\sokrates\sabine\ Local profile: C:\Dokumente und Einstellungen\Sabine The user is a member of the following security groups: LAN\Domänen-Benutzer \Jeder VORDEFINIERT\Benutzer VORDEFINIERT\Administratoren NT-AUTORITÄT\INTERAKTIV NT-AUTORITÄT\Authentifizierte Benutzer \LOKAL LAN\testsicherheitsgruppe LAN\Domänen-Admins ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:29:02 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The user received "Registry" settings from these GPOs: Default Domain Policy Benutzerrichlinie =============================================================== The user received "Folder Redirection" settings from these GPOs: Benutzerrichlinie =============================================================== The user received "Skripts" settings from these GPOs: Benutzerrichlinie =============================================================== The user received "Internet Explorer Branding" settings from these GPOs: Benutzerrichlinie ############################################################### Computer Group Policy results for: CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts The computer is a member of the following security groups: VORDEFINIERT\Administratoren \Jeder VORDEFINIERT\Benutzer LAN\ARISTOTELES$ LAN\Domänencomputer NT-AUTORITÄT\NETZWERK NT-AUTORITÄT\Authentifizierte Benutzer ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:28:57 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The computer received "Registry" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Benutzerrichlinie Computer-Richtlinie =============================================================== The computer received "Security" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy =============================================================== The computer received "EFS recovery" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy

Jupp, das meinte ich ja (hatte ich ins PS von einer Antwort an TOM geschrieben) Das Problem ist, dass ich zu dem Fehler keine Lösung finde. In irgendeinem MS-Win2k-Forum habe ich einmal eine Fragestellung nach dem Fehler gefunden aber ohne Antwort seit März. In den Knowledge-Bases habe ich auch nichts ordentliches gefunden und in der Event-ID-Datenbank habe ich die Fehler (die aus dem Ereignisprotokoll) auch nicht gefunden. Aber irgendwer muss sich ja was bei der Fehlermeldung gedacht haben oder? Ich könnte schreien! CU LoSh PS: Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten.

Das ist die Ausgabe von gpresult, wenn der Testuser (jetzt wirds kompliziert) "Sabine" sich vom Rechner "Aristoteles" an den Server "Sokrates" einloggt. (Ohne Domänen-Admin-Rechte) Microsoft ® Windows ® 2000 Operating System Group Policy Result tool Copyright © Microsoft Corp. 1981-1999 Created on Montag, 6. Oktober 2003 at 20:26:56 Operating System Information: Operating System Type: Professional Operating System Version: 5.0.2195.Service Pack 4 Terminal Server Mode: Not supported ############################################################### User Group Policy results for: CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts Roaming profile: \\sokrates\sabine\ Local profile: C:\Dokumente und Einstellungen\Sabine The user is a member of the following security groups: ############################################################### Failed to open key with 2 ############################################################### Computer Group Policy results for: CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts The computer is a member of the following security groups: VORDEFINIERT\Administratoren \Jeder VORDEFINIERT\Benutzer LAN\ARISTOTELES$ LAN\Domänencomputer NT-AUTORITÄT\NETZWERK NT-AUTORITÄT\Authentifizierte Benutzer ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:26:55 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The computer received "Registry" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Benutzerrichlinie Computer-Richtlinie =============================================================== The computer received "Security" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy =============================================================== The computer received "EFS recovery" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy

Hi TOM, das glaube ich ja auch, ich weiß nur nicht wo ich noch schauen könnte. Ich habe dem testuser auf alle Platten, Freigaben, soweit mir irgendwie einleuchtend Unterverzeichnisse, alle Container, einfach alles was mir einfiel Vollzugriff gegeben. Ich wüsste nicht was ich ihm noch gestatten könnte. CU LoSh PS: gpresult spuckt eine Fehlermeldung aus: "unable to open key with 2" und es werden keine Sicherheitsgruppen angezeigt. Ich kann gerne mal die Log-Dateien posten, falls euch das was bringt.

Hi Grizzly999, Normalerweise haben die User nur Lese- und Übernahme-Recht. Aber dem Test-User habe ich Vollzugriff gegeben. Sicherheitshalber habe ich ihm auch Vollzugriff in den Sicherheitseinstellungen des Containers gegeben, damit es daran schon mal nicht liegen kann. geholfen hat das aber auch nicht. Gruß LoSh

Hi TOM, die Struktur sieht folgendermaßen aus: Builtin Users Benutzer ->Administratoren ->Mitarbeiter ->Besucher ->->Internet ->Computer ... Das sind meine Container. Die eingerückten stehen jeweils unter den vorherigen nicht eingerückten. Jetzt habe ich also dem Container "Benutzer" eine GruRiLi zugewiesen namens "Benutzerrichtlinie", dem Container "Administratoren" "Administratorenrichtlinie" ... Auf einen Nutzer in der Gruppe Benutzer/Besucher/Internet werden also die "Benutzerrichtlinie", die "Besucherrichtlinie" und die "Internetrichtlinie" angewendet. Das funktioniert auch, solange der Nutzer Domänen-Admin ist, wenn nicht, dann eben nicht. Das ist das Problem. Mein Testnutzer liegt jetzt direkt auf der zweitobersten Ebene, also in "Benutzer" (dadrüber ist ja nocht die Domäne) auf den wird die Benutzerrichtlinie aber eben auch nur angewendet, wenn er Domänen-Admin ist. Unabhängig davon ob ich ihn in einen anderen Container verschiebe (natürlich immer unterhalb der Benutzerrichtlinie). Ist mein Problem klarer geworden? Gruß Alex

Am Login-Script liegt es glaube ich nicht, weil ich alle Freigaben und alle Sicherheitseinstellungen für einen Testuser auf "Vollzugriff" gestellt habe. Ich habe aber noch ein paar Ereignisprotokoll-Einträge anzubieten, falls die weiterhelfen: ===========Beginn Ereignisprotokoll=========== Ereignistyp: Fehler Ereignisquelle: Winlogon Ereigniskategorie: Keine Ereigniskennung: 1012 Datum: 05.10.2003 Zeit: 18:54:30 Benutzer: LAN\testuser Computer: HERAKLIT Beschreibung: Das Untersystem für die automatische Zertifikatsregistrierung konnte nicht auf die für die Registrierung erforderlichen lokalen Ressourcen zugreifen. Die Registrierung wird nicht ausgeführt. (0x80070005) Zugriff verweigert Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 05.10.2003 Zeit: 18:53:52 Benutzer: NT-AUTORITÄT\SYSTEM Computer: HERAKLIT Beschreibung: Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie empfing Flags (0) und hat einen Fehlerstatuscode (203) zurückgegeben. Ereignistyp: Fehler Ereignisquelle: Folder Redirection Ereigniskategorie: Keine Ereigniskennung: 111 Datum: 05.10.2003 Zeit: 18:53:52 Benutzer: LAN\testuser Computer: HERAKLIT Beschreibung: Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen. ======================================== Diese Einträge sagen mir natürlich auch verdammt wenig. Das Problem muss doch bekannt sein oder??? *mitleiderregendguck* Vielen Dank für eure Hilfe im Vorraus

Hi Forum, habe folgendes Problem mit Win2k Server: Für verschiedene Bentzer sollen verschiedene Gruppenrichtlinien angewendet werden. Unter anderen eine namens "Benutzerrichtlinie", die für alle gelten soll (Alle Benutzer sind in einem Container "Benutzer"). Diese wird auch für alle angewendet (gut sichtbar durch ein Login-Script) für alle Domänen-Admins. Für alle anderen nicht. Jetzt fehlt mir da aber eine Menge an Wissen: a) Wo ist der Unterschied zwischen Domänen-Admins und normalen Admins (bei denen funzen die Gruppenrichtlinien nämlich nicht) b) Wie kann ich die Gruppenrichtlinien für alle übernehmen (natürlich ohne alle zu Domänen-Admins zu machen)? Ich geh´ noch kaputt damit und ich brauch das Zeug dringend, weils nicht mein Netzwerk ist. Gruß LoSh