win2000 server

[richu 10]

ich hab da ein problem mit einer win2000 domäne.

 

Die domäne funktioniert einwandfrei, bis auf die gruppenrichtlinien. Ich kann sie an die einzelnen benutzer vergeben. Doch leider funktioniert es nur wenn ich diejenigen benutzer am server (domänencontroller) anmelde, doch leider auf den workstations nicht.

kann mir einer weiterhelfen. thanks

[grizzly999 11]

Auf den Workstation mal

secedit /refreshpolicy user_policy /enforce

eingeben. Dann neu anmelden.

 

grizzly999

[morpheus 10]

Ich denke es könnte eher daran liegen wo du die GPO angesetzt hast. Auf Domain, OU ... . Wo sind die Clients, Benutzer ???

 

Sind es XP Clients lautet der vorgeschlagene Befehl

 

gpupdate /target:user /force /wait:0

[richu 10]

meine clients sind unter anderem win98 wie win2000 auch hat es ein win xp user.

Doch es ist bei allen das gleiche.

Noch ne frage an grizzly999; gibt es den keine lösung ohne das ganze "secedit /refreshpolicy user_policy /enforce" parameter zeugs einzugeben.

danke

[grizzly999 11]

Also bei Windows 98 (und NT 4.0) funktionieren die Gruppenrichtlinien sowieso nicht. Bei den W2k oder XP Clients gibt es auch zwei andere Möglichkeit, die eine heisst rebooten, die andere warten. Standardmässig überprüft der Client alle 90min plus einer zufallsmässig gesteuerten Abweichung von bis zu +- 30 min den Server auf geänderte Richtlinien. Der secedit befehl beschleunigt diese Abfrage eben, wenn man im schlechtesten Fall nicht zwei Stunden warten oder rebooten will. Es gibt allerdings ein paar Richtlinien, für die ist ein Reboot unumgänglich.

 

grizzly999

[richu 10]

danke grizzly

 

das mit dem win 98 kann ich irgendwie noch verstehen aber bei NT 4.0 mit NTFS sollte es doch gehen oder nicht. Wie sieht es den bei win98 mit Poledit aus?

[grizzly999 11]

Gruppenrichtlinien haben nichts mit NTFS zu tun, sondern damit, wie sie abgerufen werden. Und dieser Vorgang hat sich ab W2k grundlegend geändert. Für W98 und NT 4.0 müssen die Systemrichtlinienrichtlinien mit poledit (Achtung zwei verschiedene Versionen für beide OS) erstellt werden und als config.pol (W98) und ntconfig.pol(NT 4.0) in der netlogon-Freigabe aller DCs abgelegt werden.

 

grizzly999

[richu 10]

ok alles klar

damit kann ich wirklich was anfangen.

danke grizzly

[husi 10]

Original geschrieben von richu

ich hab da ein problem mit einer win2000 domäne.

 

Die domäne funktioniert einwandfrei, bis auf die gruppenrichtlinien. Ich kann sie an die einzelnen benutzer vergeben. Doch leider funktioniert es nur wenn ich diejenigen benutzer am server (domänencontroller) anmelde, doch leider auf den workstations nicht.

kann mir einer weiterhelfen. thanks

 

ich habe genau dieses problem.

 

aber /secedit nützt nichts.

 

was könnte ich noch machen, damit es funzt?

[grizzly999 11]

Also husi,

 

irgendwas machst du falsch. Checken wir nochmals:

Die Richtlinie existiert und funktioniert, sonst würden sie nicht bei der lokalen Anmeldung am DC ziehen.

 

- Die Richtlinie ist einer OU zugewiesen?

- In dieser OU sind der/die Benutzerkonten?

- Die einzelnen User oder eine Gruppe, in der der/die User Mitglied sind, hat die Berechtigung "Richtlinie übernehmen"?

- Keine andere Richtlinie (Domäne/Standort/drüberliegende OU)setzt diese Richtlinie ausser Kraft?

- Die Unterbrechung der Richtlinienvererbung ist nicht aktiviert?

-In den Optionen der Richtlinie ist kein Häkchen gesetzt (Benutzereinstellungen deaktivieren oder Richtlinie nicht auf diesen Container anwenden)?

- Die Clients sind entweder Windows 2000 oder XP oder 2003 Server?

- Die Clients haben einen für die AD-Domäne zuständigen DNS-Server eingetragen (Testping vom Client aus auf DCname.domänename.xxx geht)?

-Die Clients sind Mitglied der Domäne?

 

Dann muss es gehen

 

grizzly999

[husi 10]

Danke für deine Geduld mit mir ;)

 

 

- Die Richtlinie ist einer OU zugewiesen?

Ja

 

- In dieser OU sind der/die Benutzerkonten?

Ja

 

- Die einzelnen User oder eine Gruppe, in der der/die User Mitglied sind, hat die Berechtigung "Richtlinie übernehmen"?

Ja. Am Server funktioniert die Anmeldung wenn User Richtlinie übernimmt und auch wenn NUR Authentifizierte Benutzer die Richtlinie übernimmt. am client nirgends.

 

- Keine andere Richtlinie (Domäne/Standort/drüberliegende OU)setzt diese Richtlinie ausser Kraft?

Nein, es sind sonst nur die Standardrichtlinien drauf.

 

- Die Unterbrechung der Richtlinienvererbung ist nicht aktiviert?

nicht aktiviert

 

-In den Optionen der Richtlinie ist kein Häkchen gesetzt (Benutzereinstellungen deaktivieren oder Richtlinie nicht auf diesen Container anwenden)?

beide nicht aktiviert

 

- Die Clients sind entweder Windows 2000 oder XP oder 2003 Server?

Ja

 

- Die Clients haben einen für die AD-Domäne zuständigen DNS-Server eingetragen (Testping vom Client aus auf DCname.domänename.xxx geht)?

Der DNS ist eingetragen. Nur der Ping geht nur bei "ping testserver" und nicht bei "ping testserver.testnetz.dh"

da könnte der Fehler sitzen

 

-Die Clients sind Mitglied der Domäne?

ja

 

 

 

 

 

also, ich hoffe du kannst mir mit diesen angaben helfen.

 

vielen Dank für die Hilfe

mfg

husi

[grizzly999 11]

Der DNS ist eingetragen. Nur der Ping geht nur bei "ping testserver" und nicht bei "ping testserver.testnetz.dh"

da könnte der Fehler sitzen

DAS ist der Fehler. Ohne funktionierende DNS-Namensauflösung keine Richtlinien. Wenn der ping auf den Vollqualifizierten Domänenname (z.B. servername.domäne.com) nicht geht, gibt's auch keine Gruppenrichtlinien.

 

Du sagst es ist der für dei Domäne zuständige DNS bei den Clients eingetragen. Wo läuft der? Auf dem DC?

 

grizzly999

[husi 10]

ja, der läuft auf dem dc. ich habe nur 1 server.

 

habe DNS noch nicht gross konfiguriert. soviel ich weiss automatisch nach ADS-installation.

[grizzly999 11]

Da du den Server bei den Clients als DNS eingetragen hast, ihn auch mit NetBIOS-Namen anpingen kannst, liegt es mit großer Wahrscheinlichkeit am DNS-Server selber. Keine FW-Software installiert? DNS-Serverdienst läuft? Zone für die Domäne ist vorhanden? Host-Eintrag für DNS-Server ist korrekt drin? In der Zone gibt es den Eintrag _msdcs (mit Einträgen drin)? DNS-ereignislog zeigt keine besonderen Fehler?

Zur Sicherheit den DNS-Dienst nochmals neu starten.

 

grizzly999

[husi 10]

In der Zone gibt es den Eintrag _msdcs (mit Einträgen drin)?

_msdcs gibt es nicht

 

die ordnerstruktur des DNS ist folgendermassen:

 

-DNS

--testserver

---Foreward-Lookupzonen

---- .

----- arpa

------ diverse unterordner

----- dh

---- testnetz.dh

---Reverse-Lookupzonen

---- 10.0.0.x Subnet

 

 

ich habe die Zone folgendermassen eingefügt:

Vorgang --> mit Computer verbinden --> dieser Computer

 

danach sind diese ordner vorhanden.

was muss ich für weitere konfigurationen vornehmen?