"eingeschränkte Gruppen" ziehen nur auf auf einem Teil der PC's

[lamu 10]

Hallo,

 

wir betreiben eine 2003er Domäne. Unsere GPO "eingeschränkte Gruppen" macht einige User zu lokalen Admins. Die Richtlinie zieht aber nur auf einem Teil der PC's. Die OU ist dieselbe, das BS ist dasselbe... Ich habe mir mal die Gruppenrichtlinienergebnisse von zwei Beispiel-PC's gezogen. Quasi identisch.

 

Hat irgendjemand eine Ide?

 

Gruss

lamu

[IThome 10]

Was sagt die Ereignisanzeige der fehlerhaften PCs ? GPUPDATE /FORCE schon durchgeführt ?

[lamu 10]

Die Ereignisanzeige bringt zwar eine SceCli-Warnung (1202), aber die steht auch im Log der PC's, die die "eingeschränkten Gruppen" übernehmen. Gpupdate bzw. secedit durchgeführt.

 

lamu

[lefg 276]

Ist es nur die Richtlinie für eingeschränkte Gruppen die nicht zieht, oder zeigt sich das auch bei anderen Richtlinien?

[grizzly999 11]

Klingt jetzt komisch, ist aber so, ich hatte in Test(Schulungs-)umgebungen genau bei dieser, und nur bei dieser Richtlinie (!), schon mehr als einmal einfach ein Zeitproblem. D.h., obwohl alles korrekt war, davon habe ich mich höchstpersönlich überzeugt und alles kontrolliert, wurde auf einigen Rechnern diese RL-Einstellung nicht angewendet. Auch mehrmaliges Booten, gpupdate /force usw., half nichts. Aber nach ca. 1-1,5h war plötzlich die Gruppenmitgliedschaft da. Und alles innerhalb eines LANs, gleiche OS, gleiches SP, alles soweit identisch.

 

Weiterer Ansatz der von IThome: Ziehen andere Setings innerhalb der selben GPO?

 

grizzly999

[lamu 10]

Die Gruppenrichtlinienergebnisse sind identisch - bis auf die "eingeschränkten Gruppen" !!??

 

lamu

[timae 10]

teste das mal hat bei uns geholfen bei einigen pc´s

quelle weiss ich leider nicht mehr

 

--------------------------------------------------------------------------------------------------------

 

ESENT-Ereignis-IDs 1000, 1202, 412 und 454 werden wiederholt im Anwendungsprotokoll festgehalten

 

Wenn man einen Benutzer oder eine Benutzergruppe (per Gruppenrichtline) nicht in die lokalen Administratoren hinzufügen kann, helfen folgende Schritte dies zu beheben:

 

(Das Problem: Die lokale Gruppenrichtliniendatenbank ist defekt!)

 

1. Öffnen Sie den Ordner "%SystemRoot%\Security", und erstellen Sie einen neuen Ordner mit dem Namen "SecurityAlt".

2. Verschieben Sie alle Dateien mit der Endung ".log" aus dem Ordner "%SystemRoot%\Security" in den Order "SecurityAlt".

3. Suchen Sie im Ordner "%SystemRoot%\Security\Database" die Datei "Secedit.sdb", und benennen Sie sie um in "Secedit.alt".

4. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.

5. Klicken Sie auf Konsole, klicken Sie auf Snap-In hinzufügen/entfernen, und fügen Sie das Snap-in "Sicherheitskonfiguration und -analyse" hinzu.

6. Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Datenbank öffnen.

7. Gehen Sie zum Ordner "%SystemRoot%\Security\Database", geben Sie im Feld Dateiname den Dateinamen "Secedit.sdb" ein, und klicken Sie auf Öffnen.

8.

 

Wenn Sie dazu aufgefordert werden, eine Vorlage zu importieren, klicken Sie auf Setup Security.inf und dann auf Öffnen.

 

Hinweis: Falls die Meldung "Zugriff verweigert" angezeigt wird, können Sie diese bedenkenlos ignorieren.

 

-------------------------------------------------------------------------------------------------------

[lamu 10]

Danke für den Tip, aber ich glaube nicht, daß die Sce-Cli-Warnung direkt was mit meinem Problem zu tun hat, da die auch auf Maschinen kommt, die alle Gruppenrichtlinien perfekt umsetzen.

Die Warnung kommt angeblich daher, weil wir in der Richtlinie "Lokal anmelden zulassen" mehrere User eingetragen haben, die nicht in der Domäne angelegt sind.

 

Trotzdem danke

lamu