BiZNIZ 17 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Moin ... ... wollte in unserem neuen SBS2003-LAN diverse Firewalleinstellung per GPO Domänenprofil verteilen, so, wie wir es auch beim Standard-2003 machen ... Aber die Einstellungen werden nicht übernommen ... Habe hierzu in der entsprechenden OU unter MyBusiness eine neue Richtlinie erstellt und alle Einträge vorgenommen ... Anschließend ein GPUPDATE /FORCE und bin dann an den PC zum Testen. Ergebnis: Keine Änderung ... Die für den Virenscanner eingetragenen Ports sind nicht da ... Ebenso ist noch immer die Datei- und Druckfreigabe deaktiv, die der Virenscanner erwartet. Habe es dann in der "mitgelieferten" GPO hinzugefügt ... Gleiches Ergebnis ... Hier mal ein Auszug von GPRESULT auf dem Client: Betriebssystemtyp: Microsoft Windows XP Professional Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe Betriebssystemversion: 5.1.2600 Dom„nenname: ARTCOMPANY Dom„nentyp: Windows 2000 COMPUTEREINSTELLUNGEN ---------------------- CN=ARTCOMP00,OU=SBSComputers,OU=Computers,OU=MyBusiness,DC=artcompany,DC=local Angewendete Gruppenrichtlinienobjekte -------------------------------------- Lokale Admins Firewall anpassen Small Business Server-Remoteuntersttzungsrichtlinie Small Business Server-Windows-Firewall Small Business Server-Clientcomputer Small Business Server-Kontosperrungsrichtlinie Small Business Server-Dom„nenkennwortrichtlinie Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------------------- Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder Benutzer NETZWERK Authentifizierte Benutzer ARTCOMP00$ Dom„nencomputer BENUTZEREINSTELLUNGEN ---------------------- Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------------------- Small Business Server-Remoteuntersttzungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Small Business Server-Dom„nenkennwortrichtlinie Filterung: Nicht angewendet (Leer) Small Business Server-Clientcomputer Filterung: Nicht angewendet (Leer) Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Small Business Server-Kontosperrungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Small Business Server-Windows-Firewall Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Dom„nen-Benutzer Jeder Benutzer INTERAKTIV Authentifizierte Benutzer LOKAL SBS Mail Operators Domain Power Users SBS Folder Operators Web Workplace Users SBS Fax Operators SBS SP Admins SBS Mobile Users SBS Remote Operators IIS_WPG STS_WPG Sehe dort nur, dass alles angewandt wurde ... Aber auf dem Client ist nichts zu sehen ... Irgendwo was übersehen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hm, eventuell denkt der Rechner, dass er ausserhalb der Domäne ist. Er entscheidet, ob das Domänen- oder Standardprofil angewendet wird, entweder anhand des Verbindungssuffixes (wenn vorhanden) oder der IP-Adressierung. Bekommt er einen Verbindungssuffix per DHCP zugewiesen und erreicht er mit diesem Suffix den DC und wendet Richtlinien an, dann wendet der Client immer das Domänenprofil an, solange das bei Erstanwendung der Richtlinie aktive Suffix konfiguriert ist. Sobald sich das Suffix ändert oder er keins bekommt (wenn man ihn z.B. zu Hause anschliesst und der DHCP des Routers keinen Suffix verteilt), wendet er das Standardprofil an. Wird kein Suffix per DHCP verteilt oder händisch konfiguriert, wird anhand des IP-Bereiches entschieden, was Domänenprofil und Standardprofil ist. Hat der Client bei der Anwendung der Richtlinie z.B. die Adresse aus dem Bereich 192.168.100.0/24, gilt dieser Bereich als domänenzugehörig. Bei jedem anderen Bereich wird das Standardprofil angewendet (technisch gesehen wird bei Erstanwendung der Richtlinie ein Regkey gesetzt, der überprüft wird) . Zitieren Link zu diesem Kommentar
BiZNIZ 17 Geschrieben 31. Oktober 2006 Autor Melden Teilen Geschrieben 31. Oktober 2006 ... aber dennoch danke für die ausführliche Erklärung ... Das Problem lag dann aber doch an einer ganz anderen Stelle: Der Server war noch nicht im 2003'er Modus! Habe die Domänenstruktur und die Gesamtstruktur heraufgestuft, den Server rebootet und dann die Clients eingeschaltet ... Und siehe da: Alle Einstellungen wir gewünscht vorhanden ... Hätte ich eigentlich selber drauf kommen müssen, da wir das ja auch bei den 2003'er Standard Umgebungen so machen mussten ... Jetzt läuft es jedenfalls ... Und danke nochmals für die Hilfe ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Das läuft nur im höchsten Domänenmodus ? Das wäre mir neu ... Eventuell hat der Serverneustart dieses "Problem" behoben ?! Zitieren Link zu diesem Kommentar
BiZNIZ 17 Geschrieben 31. Oktober 2006 Autor Melden Teilen Geschrieben 31. Oktober 2006 Neustarts hatten wir schon einige seit gestern, da wir das ja auch vermutet hatten ... Aber dennoch klappte es heute nun, nachdem wir den DomainModus auf 2003 heraufgestuft hatten ... Aber nun gibt es ein neues Phänomen: Die Einstellungen werden nicht an allen PCs übernommen ... nur bei drei von zehn ... Bin mittlerweile auch bei einigen als Admin angemeldet gewesen, und habe die PCs mittlerweile auch rebootet ... Keine Chance ... Es wollen um's verrecken nur drei der PCs die Einstellungen übernehmen ... Bei allen anderen sieht's aus wie vorher ...# Irgendeine Idee, wie ich die PCs "zwingen" kann, die Einstellungen zu übernehmen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Führe auf diesen Clients mal GPUPDATE /FORCE durch, danach RSOP.MSC. Schau auch in der Ereignisanzeige der Clients, ob es dort USERENV-Fehler oder ähnlich gibt. Haben die Clients XP SP2 installiert ? Zitieren Link zu diesem Kommentar
BiZNIZ 17 Geschrieben 31. Oktober 2006 Autor Melden Teilen Geschrieben 31. Oktober 2006 Das war's ... Ein GPUPDATE /FORCE am client brachte den Erfolg ... Ein GPUPDATE /target:computer /force am Server auch ... nicht sofort, aber es kam ... Vielen Dank nochmals für die Hilfe ... würde nun endlich meinen "SOLVED" ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Du solltest trotzdem mal die Ereignisanzeigen leeren und einen Client neustarten. Es sieht so aus, als wenn die Clients beim Start Probleme mit der Anwendung von Richtlinien haben. Die Richtlinien sollten auch ohne Anwendung von GPUPDATE angewendet werden, spätestens nach dem zweiten Neustart ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.