Rumak18

Keiner eine Idee?

Hallo @4077:

Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte.

Ach ok...danke!

Eine kleine Nachfrage noch dazu:

Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist?

Hallo,

wir haben hier eine AD 2008 R2 mit einfacher OU Struktur:

- Domain

              - OU1

                       - Verknüpfte GPO1

                       - Verknüpfte GPO2

                       - Verknüpfte GPO3

              - OU2

                       - Verknüpfte GPO4

                       - Verknüpfte GPO5

                       - Verknüpfte GPO6

Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ??

Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??

Da mich dieses Problem einen ganz Tag lang beschäftigt hat und ich dadurch sehr viele Nervenzellen verloren habe wollte auch ich diesen alten Beitrag nochmal rausholen und meine Lösung mitliefern:

Bei mir war das Problem, dass der "net use" Befehl das entsprechende Ziellaufwerk als "Variable" nicht gemappt hat. Habe ich anstatt der Variable den eigentlichen Namen eingegeben ist es gegangen.

@lefg

Auf diese Weise kann ich nur User meiner lokalen Administrator Gruppe hinzufügen, die aus meiner aktuellen DomäneA kommen.

@Sunny61:

Nein, das klappt wie gesagt nicht. Ich kann User nur aus meiner Domain hinzufügen. Klappt das denn bei euch? Das kann ich mir nicht vorstellen, deshalb schliesse ich mich auch der Meinung von NilsK an.

@Dunkelmann:

Danke für den Tipp, aber ich werde einfach eine Admin Maschine in der DomäneB installieren, die dann die entsprechenden MMC Konsolen direkt öffnen kann.

@Board Veteran:

Die beiden DCs der DomäneB sind manuell am DNS Server der Domäne A eingetragen. Netzwerktechnisch sind sie ebenfalls komplett erreichbar(IPSec Tunnel).

@Export Member:

Das wir nicht klappen, da der User den ich eingebe ja "Administrator" heißt und diesen gibt es auf den lokalen PC bereits.

Danke für die Hilfe...klingt auch logisch, ABER es klappt nicht.

Folgendermaßen siehtm ein Script aus:

C:\Windows\System32\runas.exe /user:DOMAINB\Administrator "mmc.exe %SystemRoot%\system32\dsa.msc"

pause

Folgende Fehlermeldung kommt:

Geben Sie das Kennwort für "DOMAINB\Administrator" ein:
Es wird versucht, mmc.exe C:\Windows\system32\dsa.msc als Benutzer "DOMAINB\Admin
istrator" zu starten...
RUNAS-FEHLER: mmc.exe C:\Windows\system32\dsa.msc kann nicht ausgeführt werden
1326: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

Drücken Sie eine beliebige Taste . . .

Der User bzw. das Kennwort ist 100% richtig eingegeben. Ich weiß nicht wirklich weiter.

Hallo,

ich befinde mich mit meinem Laptop in der Domäne "A" und möchte allerdings die Domäne "B" vorzugsweise mit den "Remoteserver Verwaltungstools" administrieren, damit ich mich beispielsweise nicht immer am DC1 der Domäne "B" anmelden muss bzw. auch anderen Usern die MÖglichkeiten zur Verwaltung gebe ohne dass sie sich gleich dort anmelden.

Problem ist nur, dass ich die Domäne "B" in den Verwaltungstools auf meinem Rechner, der in Domäne "A" ist , nicht auswählen kann. Muss man hier gleich zur "Vertrauensstellung der Domänen" greifen oder kann man das auch anders lösen?

Danke vorab.

Hallo,

nach einem AD Upgrade und Austausch von DCs (Die alten Win2k3 gibt es nicht mehr), habe ich nur noch zwei 2008-R2 DCs in meiner Domain. Nach Entfernen der DC Rolle von den alten DCs mit dcpromo habe ich beim DNS Server immer noch das Verzeichnis "Default-First-Site-Name" unter "Forward-Lookupzonen\_msdcs.asp-rz.nbg\dc\_sites\". Darunter aber auch meinen Standort namens "Karlsruhe". Die SRV Einträge unter  v"Default-First-Site-Name" verweisen auf den alten ersten DC in der Domain, den es ja nicht mehr gibt. Kann ich das Verzeichnis "Default-First-Site-Name" einfach rauslöschen?

Siehe auch angehängten Screenshot.

@lefg: So funktioniert es bei mir auch. Also wenn ich alle Script einzeln in die GPO hinzufüge. Das möchte ich aber nicht. Hier habe ich EIN Script, welches eben die anderen aufrufen soll (Ist einfach schneller zu betrachten und schneller zu bearbeiten als wenn ich erst die MMC Konsole aufmachen muss und dann auch noch die GPO betrachten muss.

@Sunn61:

Nein, sie sind nicht geheim. Aber darum geht es hier nicht, denn einzeln laufen die Scripte ja und auch dann wenn ich sie mit "&" verbinden. Ich finds eben nur komisch, dass sie nicht laufen , wenn ich sie untereinander aufliste.

Hallo renator,

auch das klappt nicht. Er hört auf beim ersten!

OK... ich frag mal anders , so dass es jeder versteht :p

Wie sichert Ihr mit wbadmin eure Active Directory (Aber nur Versionen 2008 R2)? Mit der Zeit kommen da ja viele Versionen zusamenn....

So....ich habe die Lösung nun nach akribischem Suchen gefunden.

Der Grund war, dass der "Parallel Port" im BIOS deaktiviert war. Dies sieht man auch am obigen "netdiag" Auszug, allerdings hätte ich nicht gedacht, dass das der Grund ist.

Kaum habe ich den Parallel port im Bios auf "enabled" gesetzt, schon kam der Event 1054 und 15 nicht mehr! Es war also kein GPO Problem.

Dennoch habe ich ein kleines Problem , welches ich allerdings in einem eigenen Thread aufmachen werde: Es werden nämlich nicht die für "Dienste" festgelegten Einstellungen der AD auf die Clients angewendet, obwohl kein Fehler mehr in "gpresult", rsop.msc und Event Manager erscheint.

Hallo,

ich bin von 2008-R1 auf 2008-R2 umgestiegen.

Nun wundert mich etwas das Ergebnis. Ich verwende die gleiche Syntax wie bis dato:

echo j|wbadmin start systemstatebackup -backupTarget:e:                                 
echo j|WBADMIN DELETE SYSTEMSTATEBACKUP -keepVersions:2    

Das Ergebnis ist leider nicht so wie auf dem Win2k8-R1. Früher hatte ich immer zwei Ordner unter    "SystemStateBackup", da ich zwei Versionen behalten möchte.

Nun habe ich nur eine Version , also einen Ordner. In diesem habe ich zwar meine VHD und XML Dateien, aber ein zweiter Ordner fehlt doch oder ist es in Win2k8-R2 anders gestrickt? Bei Microsoft konnte ich nichts rauslesen, was das betrifft.

Hab ein "gpresult /Z" laufen lassen und einen Unterschied zwischen einem Rechner festgestellt bei dem die GPOs gezogen werden und einem , bei dem die GPOs nicht gezogen werden:

Der Rechner, bei dem alles funktioniert hat zusätzlich diesen Eintrag:

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.
----------------------------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Mache ich Morgen Abend...heute komme ich nicht mehr dazu.Danke soweit. 

@Sunn61:

Na...du hast mich doch gefragt, ob ich bezüglich diesem Thread eventuell GPOs Probleme habe und diese habe ich, wie es der hinzugefügt LInk zeigt.

@renator:

Danke. Werde es mal ausprobieren, sobald das andere Problem gelöst ist.

0- Ich habe den erwähnten Windows-KB943729-x86-DEU FIX eingespielt

- Ich habe die DNS Server testweise gewechselt auf die alten DCs

- Ich habe MediaSense deaktivert (MicrosoftFixit50492)

- Ich habe die beiden Einstellungen bezüglich XP "Auf Netzwerk warten" konfiguriert -> http://blog.dikmenoglu.de/PermaLink,guid,530415f6-4c2c-424a-84a4-c96d64ec5d93.aspx

- Ich habe die virtuellen NICs der VMs gewechselt auf Flexible, E1000 und VMXNET3  (XP Maschinen laufen alle auf VMWare ESX 4.1)

- Ich habe ein komplett sauberes XP ohne irgendwelche Software neuaufgesetzt -> Gleiches Problem bei neuen XPs

- Ich habe teilweise GPOs deaktiviert um zu sehen, ob dann die GPOs greifen , die nicht gegriffen haben -> Dadurch bin ich eigentlich noch mehr verunsicht, da es bei einigen geklappt hat und bei einigen nicht. 

- Ich habe das SYSVOL Verzeichnis verkleinert (Jetzt 15 MB, davor 350 MB, aber das sollte ja auch nicht zu viel sein)

- Ich habe dcdiag auf allen DCs durchgeführt

- NSLOOKUP und PING Zeiten von Clients auf Domain und DCs sind alle in Ordnung

- Clients können Software manuell vom NETLOGON Verzeichnis ausführen. GPOs werden teilweise so nicht gezogen, wenn es sich um Softwareinstallationen handelt (MSI). 

Hier noch der netdiag Nachtrag: 

Ich finde es komisch, dass der "kerberos test" nicht funktioniert und unter "Trust relationship test" ist noch der alte Domaincontroller01 eingetragen, den ich allerdings jetzt demnächst komplett aus der Domain entfernen wollte. Muss ich diese "Trust relationship" irgendwie manuell umbiegen? Alle Rollen und Globaler Kataloger sind auf dem "Domaincontroller03". 

......................................

    Computer Name: KRANKER_PC
    DNS Host Name: KRANKER_PC.meinedomain.local
    System info : Windows 2000 Professional (Build 2600)
    Processor : x86 Family 6 Model 15 Stepping 1, GenuineIntel
    List of installed hotfixes : 
        KB2115168
        KB2229593
        KB2264107
        KB2296011
        KB2345886
        KB2347290
        KB2360937
        KB2378111_WM9
        KB2387149
        KB2393802
        KB2419632
        KB2423089
        KB2440591
        KB2443105
        KB2467659
        KB2476490
        KB2478960
        KB2478971
        KB2479943
        KB2481109
        KB2483185
        KB2483614
        KB2485663
        KB2492386
        KB2506212
        KB2507618
        KB2507938
        KB2508429
        KB2509553
        KB2510531-IE8
        KB2510581
        KB2535512
        KB2536276-v2
        KB2544521-IE8
        KB2544893-v2
        KB2564958
        KB2566454
        KB2570947
        KB2584146
        KB2585542
        KB2592799
        KB2598479
        KB2598845-IE8
        KB2603381
        KB2618444-IE8
        KB2618451
        KB2619339
        KB2620712
        KB2624667
        KB2631813
        KB2632503-IE8
        KB2646524
        KB2653956
        KB2655992
        KB2659262
        KB2661254-v2
        KB2661637
        KB2676562
        KB2686509
        KB2691442
        KB2698365
        KB2705219-v2
        KB2712808
        KB2719985
        KB2723135-v2
        KB2724197
        KB2727528
        KB2736233
        KB2744842-IE8
        KB2749655
        KB2753842-v2
        KB2756822
        KB2757638
        KB2758857
        KB2761226
        KB2761465-IE8
        KB2770660
        KB2779030
        KB2779562
        KB2799329-IE8
        KB898461
        KB923561
        KB943729
        KB946648
        KB950762
        KB950974
        KB951376-v2
        KB951978
        KB952004
        KB952069_WM9
        KB952287
        KB952954
        KB954155_WM9
        KB956572
        KB956744
        KB956802
        KB956844
        KB959426
        KB960803
        KB960859
        KB968389
        KB969059
        KB969084
        KB970430
        KB971029
        KB971657
        KB972270
        KB973507
        KB973540_WM9
        KB973815
        KB973869
        KB973904
        KB974112
        KB974318
        KB974392
        KB974571
        KB975025
        KB975467
        KB975558_WM8
        KB975560
        KB975713
        KB977816
        KB977914
        KB978338
        KB978542
        KB978695_WM9
        KB978706
        KB979309
        KB979482
        KB979687
        KB981322
        KB981997
        KB982132
        KB982381-IE8
        KB982665
        Q147222


Netcard queries test . . . . . . . : Passed
    [WARNING] The net card 'WAN-Miniport (IP) - Trend Micro Common Firewall Miniport' may not be working because it has not received any packets.
    GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'WAN-Miniport (IP) - Paketplaner-Miniport' may not be working because it has not received any packets.
    [WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.
    [WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.
    [WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.
    GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

    Adapter : LAN-Verbindung

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : KRANKER_PC.meinedomain.local
        IP Address . . . . . . . . : 192.178.15.111
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . : 172.16.15.1
        Dns Servers. . . . . . . . : 192.178.15.13
                                     192.178.15.14


        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Passed

        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{C3ACFF79-3544-4145-870E-197A4DD1F732}
    1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed


Redir and Browser test . . . . . . : Failed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{C3ACFF79-3544-4145-870E-197A4DD1F732}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{C3ACFF79-3544-4145-870E-197A4DD1F732}
    The browser is bound to 1 NetBt transport.
    [FATAL] Cannot send mailslot message to '\\meinedomain*\MAILSLOT\NET\NETLOGON' via redir. [ERROR_BAD_NETPATH]


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Passed
    Secure channel for domain 'meinedomain' is to '\\DOMAINCONTROLLER01.meinedomain.local'.


Kerberos test. . . . . . . . . . . : Failed
        [FATAL] Kerberos does not have a ticket for host/KRANKER_PC.meinedomain.local.


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped
    The IPSec service is not started.
    Service status  is: Stopped
    Service startup is: Disabled


The command completed successfully

OK....Danke. Es gibt auch Fehler bei mir:

http://www.mcseboard.de/topic/191759-ad2008-xp-clients-ziehen-gpo-nicht-event-1054/

Hallo,

mir ist bewusst, dass ich wenig Informationen geliefert habe, wollte aber mit Absicht die Nachfragen nach diesen abwarten:

1. RSOP liefert auf den Clients ein rotes X bei der "COmputerkonfiguration" wobei viele Einstellungen tatsächlich gezogen worden sind. Aber beispielsweise nicht die, wo "Dateien" verteilt werden -> Computerkonfiguration\Einstellungen\Windows-Einstellungen\Dateien

2. Laut gpresult werden ALLE Computer GPOs übernommen. Alle tauchen unter Computerkonfiguration auf.

3. Das KB ist eingespielt. 

Ich habe schon viele Ansätze versucht, die ich hier gar nicht auflisten kann. Ich weiß echt nicht, was passiert ist. Es ging ja vor kurzem noch.Ich sehe diesen Fehler auf immer mehr XP SP3 Maschinen.

Das einzige wo ich mir vorstellen könnte, dass EInfluss HÄTTE wäre das NIcht Vorhandensein von WINS. Das habe ich bei der Installation der DNS Server auf den beiden neuen DCs (Win2k8-R2( deaktiviert gelassen (Default). Aber selbst wenn ich die Clients zurück schwenke auf die alten beiden DCs (Win2k8-R1) in Sachen DNS Server, dann ändert das auch nichts. 

Hallo Helfer,

ich habe ein riesen Problem mit meiner AD. Ich habe eine AD mit zwei Win2k8-R2 und zwei Win2k8-R1 DCs. Die AD Domänenfunktionsebene ist 2008. Ich weiß leider nicht genau seit wann, aber seit einiger Zeit (Wahrscheinlich seit AD Update von 2003 auf 2008) ziehen "neue" XP SP3 Clients , die ich zur Domain hinzufüge nicht alle GPOs. Am CLient finde ich in den Events nur den "Event 1054" Eintrag. Leider trifft irgendwie keine im Web befindlich Lösung auf mich zu. 

Kann mir Jemand hier meinen Allerwertesten retten?

Win VIsta, 7 oder 8 Clients besitze ich nicht. 

Hallo.

Das dachte ich auch....aber meine GPOs werden teilweise nicht gezogen, weil die interne Win Firewall wohl hier blockt, obwohl in den GPOs der Computer die Firewall auf "deaktiviert" konfiguriert ist. Im zweiten Script tue ich das manuell mit "sc" und "net service". 

Eine Verschachtelung wie du sie vorstellst, wäre an der Stelle finde ich noch schlimmer. Trotzdem danke. 

Hallo,

ich habe in einer Computer Richtlinie ein Login Script für meine Clients hinterlegt. Es sieht so aus:

\\meinedomain.local\SYSVOL\meinedomain.local\scripts\Alle_Computer\1.cmd 
\\meinedomain.local\SYSVOL\meinedomain.local\scripts\Alle_Computer\2.cmd

Problem: Nur das erste Script läuft. Nicht das zweite. Ich habe es auch manuell überprüft. Selbst dann läuft nur das erste, wobei das zweite an sich funktioniert.

Allerdings funktionierts dann so:

\\meinedomain.local\SYSVOL\meinedomain.local\scripts\Alle_Computer\1.cmd & \\meinedomain.local\SYSVOL\meinedomain.local\scripts\Alle_Computer\2.cmd

Würde Jemand noch eine Variante kennen, bei denen das klappen würde, denn mir gefällt einfach die Art nicht, dass das Script somit immer länger wird, anstatt schön eine Auflistung wie im ersten Beispiel zu haben.

 

Es scheint alles zu funktionieren...sehe erst mal keine Probleme. Sollten welche auftauschen, kann ich das hier dokumentieren, aber zu irgendwas müssen diese Befehle ja gut sein  :wink2: