Jump to content

Gruppenrichtlinie greift nicht!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Tach zusammen,

 

mal wieder ein kleines 2k3 Problem.

Ich hab verschiedene OU's und SubOU's und möchte Gruppenrichtlinien an die diese binden.

Aber die greifen nicht, selbst wenn ich die Richtlinie genau unter die Domain setzte, so das sie theoretisch für alles unter der Domain greifen sollte, tut sie es nicht. Außer auf dem Server selber, d.h. wenn ich beispielsweise die Systemsteuerung sperre, kann ich auch nicht mehr auf die zugreifen. In dem Fall war ich als Administrator angemeldet.

Aber wie gesagt melde ich mich mit einem User aus dem AD an einem Client an, geht nichts, die Clients sind natürlich entsprechend die Domäne hinzugefügt worden.

 

Hat jemand eine spontane Idee?

Link zu diesem Kommentar
RSOP.MSC schon probiert ?

 

rsop.msc zeig an, dass die Richtlinie auf den Client übernommen wird.

 

Ich hab testeshalber mal "Zugriff auf die Systemsteuerung nicht zulassen" aktiviert und "Klasseischen Stil der Systemsteuerung erzwingen" aktiviert...nichts..ich kann nach wie vor azf die Systemsteuerung zugreifen..aber im Richtlinienergebnissatz wird angeseigt das die oben stehenden richtlinien aktiviert wurden :confused:

 

 

Hast Du etwas an der Sicherheitsfilterung verändert ?

 

...nein eigentlich nicht.

Alles was ich gemacht habe, ist die Richtlinie entsprechend unter die OU gelegt. Bei "Authentifizierte Benutzer" die Berechtigungen auf "Lesen" und "Richtlinie übenehmen" gesetzt (Lesen (durch Sicherheitsfilterung) ), sowie bei Domänen-Admins "Richtlinie übenehmen" nicht gesetzt.

Link zu diesem Kommentar

Bei den Admins Gruppenrichtlinie übernehmen verweigern (nichts weiter). Der Rest der Sicherheitsrichtlinie bzw. der Sicherheitsfilterung bleibt Standard.

Leg Dir mal eine Test-OU an, schiebe dort ein Testbenutzerkonto und ein Administratorenkonto rein und linke diese Richtlinie in diese OU. Dann machst Du von einem Rechner GPUDATE und meldest Dich einmal als Admin an und einmal als Testbenutzer.

Wenn das klappt, ist grundsätzlich erstmal alles okay. Linke dann die Gruppenrichtlinie in die Domäne oder in die betreffende OU und teste erneut.

Link zu diesem Kommentar

Leg Dir mal eine Test-OU an, schiebe dort ein Testbenutzerkonto und ein Administratorenkonto rein und linke diese Richtlinie in diese OU. Dann machst Du von einem Rechner GPUDATE und meldest Dich einmal als Admin an und einmal als Testbenutzer.

Wenn das klappt, ist grundsätzlich erstmal alles okay. Linke dann die Gruppenrichtlinie in die Domäne oder in die betreffende OU und teste erneut.

 

...das war ne gute Idee, mit der test OU funktioniert es natürlich, wenn ich die Richtlinie an die Domain oder an die OU wo die eigentlichen Nutzer drin liegen verknüpfe funktioniert es nicht...wozu ich hier sagen muß das die User in einer Sub-OU liegen, aber das sollte theoretisch keine Rolle spielen, oder?

Link zu diesem Kommentar
Welche Objekte befinden sich in der OU ? Ist in der OU eventuell die Vererbung deaktiviert ?

 

wo kann man die Vererbung aktivieren/deaktivieren.

Sooo ich bin schon etwas näher gekommen, ich lege ja meine user mit einem powershell script an. So dann habe ich einfach mal manuell einen Nutzer in die Sub-OU gelegt, und siehe da es funktionierte...also bin ich weiter auf die Suche gegangen.

Das Script erstellt für die User eine Gruppe und legt dann die User dort rein, ich hab das Script mal so laufen lassen das die User nicht in die Gruppe aufgenommen werden, und siehe da es funktioniert...erkennt da irgendjemand einen zusammenhang?

Link zu diesem Kommentar
Benutzt Du die GPMC ? Aber an der Vererbung liegt es ja offensichtlich nicht ...

 

jep, ne an der liegt es nicht...also kurz zur Erläuterung, ich lege mit dem Script verschiedene Klassen an, d.h. z.b. die Schüler der klasse1 liegen dann unter folgendem LDAP-Pfad: LDAP://OU=KLASSE,OU=JAHRGANG,OU=SCHUELER,DC=DOMAIN,DC=blaba...wie gesagt es wird zuätzlich noch eine globale-Gruppe erstellt, die alle Schüler dieser Klasse beinhaltet diese Gruppe wird dann zu einer domain-lokalen Gruppe hinzugefügt diese liegt unter:

LDAP://OU=SCHUELER,DC=DOMAIN,DC=blaba...wenn ich die Gruppe der Klasse nicht der Schüler-Gruppe hinzufüge funktioniert es...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...