Gruppenrichtlinien - ist bestimmt einfach, aber ich komme nicht weiter

[Jack Keflock 10]

Hi,

 

etwas Windows-Ahnung habe ich, aber heute komme nicht weiter. Ich habe einen Win 2000 Server und 12 Win XP Clients. Alle XP habe der Domäne hinzugefügt. Alles

läuft, DNS, DHCP... Jetzt möchte ich, dass ein lokaler XP-Benutzer nach seiner Anmeldung

an einer XP-Maschine z.B. ein Desktop ohne Ikonen bekommt. Das will ich über die

Gruppenrichtlinien einstellen. Was ich bis jetzt gemacht habe:

a) auf dem Server im AD eine OU erstellt

b) dort einen Benutzer erstellt (unter diesem Namen melden sich die Benutzer an den XPs)

c) die Rechner der Domäne aus Computers in die OU verschoben

d) eine Gruppenrichtlinie an dieser OU erstellt

e) in der Gruppenrichtlinie unter Benutzerkonfiguration/Desktop/Alle Desktopsymbole ausblenden AKTIVIERT

f) die Gruppenrichtlinien aktualisiert (verschiedene Befehle: secedit /refreshpolicy {machine_policy | user_policy}[/enforce] und auch den Server runter und rauf gefahren, auch die Richtlinien auf dem XP aktualisiert, XP neu gestartet usw.)

 

ABER NCIHTS PASSIERTE, alle XP haben immernoch die Desktopsymbole!

 

Ich habe verschiedene Szenarien durchgespielt:

a) die OU-Richtlinienvererbung deaktiviert (an/aus)

b) bei der OU-Gruppenrichtlinie: Kein Vorgang (an/aus)

c) Default Domian Policy der ganzen Domäne (an/aus)

 

ABER ES HATTE NICHTS GEBRACHT.

 

Was mache ich falsch?

Danke,

Jack

[lefg 276]

a) auf dem Server im AD eine OU erstellt

b) dort einen Benutzer erstellt (unter diesem Namen melden sich die Benutzer an den XPs)

c) die Rechner der Domäne aus Computers in die OU verschoben

d) eine Gruppenrichtlinie an dieser OU erstellt

e) in der Gruppenrichtlinie unter Benutzerkonfiguration/Desktop/Alle Desktopsymbole ausblenden AKTIVIERT

 

c) die Rechner der Domäne aus Computers in die OU verschoben

Es ist doch ein GPO in der Benutzerkonfiguration, nicht wahr? Muss dann nicht das Benutzerkonto in die OU?

[Jack Keflock 10]

Hi,

 

ich habe zwar die Rechner in die OU verschoben, aber auch der Benutzer, also das Benutzerkonto war/ist in der gleichen OU (s. also Punkt b).

 

Grüße,

Jack

[grizzly999 11]

Als bevorzugten DNS hat der betreffende Client (XP) den DC der DOmäne drin?

Was sagt gpresult.exe zu den übernommenen und abgelehnten GPOs?

 

grizzly999

[snake99 13]

... (verschiedene Befehle: secedit /refreshpolicy {machine_policy | user_policy}[/enforce] und auch den Server runter und rauf gefahren, auch die Richtlinien auf dem XP aktualisiert, XP neu gestartet usw.) ...

 

Hi,

secedit kenne ich noch aus W2k Zeiten. Ab XP war es doch "gpupdate". Z. B. "gpupdate /force"

Aber ich würde auch auf auf falsche DNS Konfiguration des Clients tippen.

[Jack Keflock 10]

Hi,

 

die XP-Clienten haben nur ein DNS-Server, dieser wird vom Domänen-Contoller per DHCP vergeben und es handelt sich um den gleichen Rechner. Sprich:

Domän-Controller: 192.168.10.253 mit DNS und DHCP

Die XP-Maschinen: IP per DHCP, DNS per DHCP und als einziger Eintrag unter DNS steht

192.168.10.253

 

Ich werde heute mal weiter testen, gleich fange ich mit GPRESULT

 

Danke,

Jack

[Jack Keflock 10]

Hi,

 

mein GPRESULT sagte:

 

INFORMATION: Das Richtlinienobjekt ist nicht vorhanden.

 

Kann es an einer falschen DNS-Konfiguration liegen? Ich habe zwar auf dem DC den DNS eingerichtet, aber dann mal gelöscht, dann wieder mich mit dem "Rechner verbunden", in den Zonen nachgeschaut und zurzeit habe ich alles aus der FORWARD entfernt. Nur die

Weiterleitung ist an, so dass alle XPs surfen können, aber vielleicht fehlt was?

 

Jetzt suche ich mal im Web nach den nicht vorhandenen Richtlinienobjekten.

 

Grüße,

Jack

[Jack Keflock 10]

Ok,

 

nach RSOP.MSC bekam ich:

 

GRUPPENRICHTLINIENFEHLER

Die Richtlinienergebnissatzdaten sind ungültig.

Mögliche Ursachen sind beschädigte Daten oder

Daten, die gelöscht bzw. niemals erstellt wurden-

Details:

Ungültiger Namenspace

 

und dann kann ich nur aus SCHLIEßEN klicken.

 

Jetzt machte er weiter, im Fenster stand noch, dass ein Zugriff verweigert wird,

dann kam noch OK/ABBRECHEN und jetzt sehe ich den RICHTLINIENERGEBNISSATZ,

aber mit einem dicken roten Kreuz.

 

Was nun? Welche informationen sind von Bedeutung?

 

Grüße,

Jack

[lefg 276]

Von Bedeutung ist die richtige Einrichtung des DNS selbst und die Foreward Lookupzone.

 

Ich empfehle eine AD-Integrierte Zone anzulegen, dabei auf den Hinweis mit den Beispielnamen der Zone zu achten. Wenn die Zone eingerichtet ist für dynamsche Aktualisierung, erscheinen die Einträge der Hosts von selbst, man kann daran auch mit ipconfig /registerdns nachhelfen.

 

Ich empfehle etwas zu lesen über das Einrichten von DNS, in der Hilfe, im Technet oder einem Buch. Der DNS ist von zentraler bedeutung für eine Domäne, für das Funktionieren des AD und der GPO.

[Jack Keflock 10]

Hi,

 

also es funktioniert!

 

Es lag an dem DNS und vermutlich auch an DHCP. Ich habe bei dem DNS eine

neue Forward- (die habe ich jetzt genau wie meine Domäne benannt, hierbei hätte ich eine Frage: muss die genauso heissen?) und neue Reverse-Zone eingerichtet. Dann den Server mit dem PRT eingetragen. Im zweiten Schritt habe ich bei DHCP die DNS-Aktualisierung aktiviert. Jetzt werden die Clients im DNS eingetragen, und auch die Richtlinie funktioniert. Super.

 

Danke,

Jack

[lefg 276]

Sehr schön. Dann habe ich wohl für heute meine Pfadfinderaufgabe erfüllt. :) ;)