krush 10 Geschrieben 22. März 2007 Melden Teilen Geschrieben 22. März 2007 Tach zusammen, mal wieder ein kleines 2k3 Problem. Ich hab verschiedene OU's und SubOU's und möchte Gruppenrichtlinien an die diese binden. Aber die greifen nicht, selbst wenn ich die Richtlinie genau unter die Domain setzte, so das sie theoretisch für alles unter der Domain greifen sollte, tut sie es nicht. Außer auf dem Server selber, d.h. wenn ich beispielsweise die Systemsteuerung sperre, kann ich auch nicht mehr auf die zugreifen. In dem Fall war ich als Administrator angemeldet. Aber wie gesagt melde ich mich mit einem User aus dem AD an einem Client an, geht nichts, die Clients sind natürlich entsprechend die Domäne hinzugefügt worden. Hat jemand eine spontane Idee? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. März 2007 Melden Teilen Geschrieben 22. März 2007 RSOP.MSC schon probiert ? Hast Du etwas an der Sicherheitsfilterung verändert ? Zitieren Link zu diesem Kommentar
Monarch 10 Geschrieben 22. März 2007 Melden Teilen Geschrieben 22. März 2007 Hast Du etwas an der Sicherheitsfilterung verändert ? Der Verdacht liegt nahe, wenn er als Administrator sich die Systemsteuerung per Richtlinie sperrt :rolleyes: Zitieren Link zu diesem Kommentar
krush 10 Geschrieben 23. März 2007 Autor Melden Teilen Geschrieben 23. März 2007 RSOP.MSC schon probiert ? rsop.msc zeig an, dass die Richtlinie auf den Client übernommen wird. Ich hab testeshalber mal "Zugriff auf die Systemsteuerung nicht zulassen" aktiviert und "Klasseischen Stil der Systemsteuerung erzwingen" aktiviert...nichts..ich kann nach wie vor azf die Systemsteuerung zugreifen..aber im Richtlinienergebnissatz wird angeseigt das die oben stehenden richtlinien aktiviert wurden Hast Du etwas an der Sicherheitsfilterung verändert ? ...nein eigentlich nicht. Alles was ich gemacht habe, ist die Richtlinie entsprechend unter die OU gelegt. Bei "Authentifizierte Benutzer" die Berechtigungen auf "Lesen" und "Richtlinie übenehmen" gesetzt (Lesen (durch Sicherheitsfilterung) ), sowie bei Domänen-Admins "Richtlinie übenehmen" nicht gesetzt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2007 Melden Teilen Geschrieben 23. März 2007 Bei den Admins Gruppenrichtlinie übernehmen verweigern (nichts weiter). Der Rest der Sicherheitsrichtlinie bzw. der Sicherheitsfilterung bleibt Standard. Leg Dir mal eine Test-OU an, schiebe dort ein Testbenutzerkonto und ein Administratorenkonto rein und linke diese Richtlinie in diese OU. Dann machst Du von einem Rechner GPUDATE und meldest Dich einmal als Admin an und einmal als Testbenutzer. Wenn das klappt, ist grundsätzlich erstmal alles okay. Linke dann die Gruppenrichtlinie in die Domäne oder in die betreffende OU und teste erneut. Zitieren Link zu diesem Kommentar
krush 10 Geschrieben 23. März 2007 Autor Melden Teilen Geschrieben 23. März 2007 Leg Dir mal eine Test-OU an, schiebe dort ein Testbenutzerkonto und ein Administratorenkonto rein und linke diese Richtlinie in diese OU. Dann machst Du von einem Rechner GPUDATE und meldest Dich einmal als Admin an und einmal als Testbenutzer. Wenn das klappt, ist grundsätzlich erstmal alles okay. Linke dann die Gruppenrichtlinie in die Domäne oder in die betreffende OU und teste erneut. ...das war ne gute Idee, mit der test OU funktioniert es natürlich, wenn ich die Richtlinie an die Domain oder an die OU wo die eigentlichen Nutzer drin liegen verknüpfe funktioniert es nicht...wozu ich hier sagen muß das die User in einer Sub-OU liegen, aber das sollte theoretisch keine Rolle spielen, oder? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2007 Melden Teilen Geschrieben 23. März 2007 Welche Objekte befinden sich in der OU ? Ist in der OU eventuell die Vererbung deaktiviert ? Zitieren Link zu diesem Kommentar
krush 10 Geschrieben 23. März 2007 Autor Melden Teilen Geschrieben 23. März 2007 Welche Objekte befinden sich in der OU ? Ist in der OU eventuell die Vererbung deaktiviert ? wo kann man die Vererbung aktivieren/deaktivieren. Sooo ich bin schon etwas näher gekommen, ich lege ja meine user mit einem powershell script an. So dann habe ich einfach mal manuell einen Nutzer in die Sub-OU gelegt, und siehe da es funktionierte...also bin ich weiter auf die Suche gegangen. Das Script erstellt für die User eine Gruppe und legt dann die User dort rein, ich hab das Script mal so laufen lassen das die User nicht in die Gruppe aufgenommen werden, und siehe da es funktioniert...erkennt da irgendjemand einen zusammenhang? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2007 Melden Teilen Geschrieben 23. März 2007 Benutzt Du die GPMC ? Aber an der Vererbung liegt es ja offensichtlich nicht ... Zitieren Link zu diesem Kommentar
krush 10 Geschrieben 23. März 2007 Autor Melden Teilen Geschrieben 23. März 2007 Benutzt Du die GPMC ? Aber an der Vererbung liegt es ja offensichtlich nicht ... jep, ne an der liegt es nicht...also kurz zur Erläuterung, ich lege mit dem Script verschiedene Klassen an, d.h. z.b. die Schüler der klasse1 liegen dann unter folgendem LDAP-Pfad: LDAP://OU=KLASSE,OU=JAHRGANG,OU=SCHUELER,DC=DOMAIN,DC=blaba...wie gesagt es wird zuätzlich noch eine globale-Gruppe erstellt, die alle Schüler dieser Klasse beinhaltet diese Gruppe wird dann zu einer domain-lokalen Gruppe hinzugefügt diese liegt unter: LDAP://OU=SCHUELER,DC=DOMAIN,DC=blaba...wenn ich die Gruppe der Klasse nicht der Schüler-Gruppe hinzufüge funktioniert es... Zitieren Link zu diesem Kommentar
krush 10 Geschrieben 23. März 2007 Autor Melden Teilen Geschrieben 23. März 2007 so das Problem wäre dann auch gelöst, ich habe die Gruppe einfach gelöscht und wieder neuangelegt und schon geht es, verstehen tue ich es nicht. Es wird zeit das Samba4 rauskommt :p Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2007 Melden Teilen Geschrieben 23. März 2007 Strange :suspect: Egal, Hauptsache, es läuft wieder ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.