Jump to content
Sign in to follow this  
losh

Problem: Gruppenrichtlinien nur für Domänen-Admins

Recommended Posts

Hi Forum,

 

habe folgendes Problem mit Win2k Server:

Für verschiedene Bentzer sollen verschiedene Gruppenrichtlinien angewendet werden. Unter anderen eine namens "Benutzerrichtlinie", die für alle gelten soll (Alle Benutzer sind in einem Container "Benutzer"). Diese wird auch für alle angewendet (gut sichtbar durch ein Login-Script) für alle Domänen-Admins. Für alle anderen nicht.

Jetzt fehlt mir da aber eine Menge an Wissen:

a) Wo ist der Unterschied zwischen Domänen-Admins und normalen Admins (bei denen funzen die Gruppenrichtlinien nämlich nicht)

b) Wie kann ich die Gruppenrichtlinien für alle übernehmen (natürlich ohne alle zu Domänen-Admins zu machen)?

 

Ich geh´ noch kaputt damit und ich brauch das Zeug dringend, weils nicht mein Netzwerk ist.

 

Gruß LoSh

Share this post


Link to post

Am Login-Script liegt es glaube ich nicht, weil ich alle Freigaben und alle Sicherheitseinstellungen für einen Testuser auf "Vollzugriff" gestellt habe.

 

Ich habe aber noch ein paar Ereignisprotokoll-Einträge anzubieten, falls die weiterhelfen:

 

===========Beginn Ereignisprotokoll===========

Ereignistyp: Fehler

Ereignisquelle: Winlogon

Ereigniskategorie: Keine

Ereigniskennung: 1012

Datum: 05.10.2003

Zeit: 18:54:30

Benutzer: LAN\testuser

Computer: HERAKLIT

Beschreibung:

Das Untersystem für die automatische Zertifikatsregistrierung konnte nicht auf die für die Registrierung erforderlichen lokalen Ressourcen zugreifen. Die Registrierung wird nicht ausgeführt. (0x80070005) Zugriff verweigert

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 05.10.2003

Zeit: 18:53:52

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: HERAKLIT

Beschreibung:

Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie empfing Flags (0) und hat einen Fehlerstatuscode (203) zurückgegeben.

 

Ereignistyp: Fehler

Ereignisquelle: Folder Redirection

Ereigniskategorie: Keine

Ereigniskennung: 111

Datum: 05.10.2003

Zeit: 18:53:52

Benutzer: LAN\testuser

Computer: HERAKLIT

Beschreibung:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

========================================

 

 

Diese Einträge sagen mir natürlich auch verdammt wenig.

Das Problem muss doch bekannt sein oder??? *mitleiderregendguck*

 

Vielen Dank für eure Hilfe im Vorraus

Share this post


Link to post

Hallo Losh,

 

es gibt eine lokale Gruppe Administratoren, die stehen unter Builtin und eine globale Gruppe Domänenadmins, stehen unter Users. Wenn eine Richtlinie für alle gelten soll, musst Du die Richtlinie auf die Domäne anwenden. Du hast sie vermutlich auf den Container Users angewendet. Also einen rechten Mausclick auf die Domäne dann auf Eigenschaften und im Register Gruppenrichtlinien deine Richtlinie "Benutzerrichtlinie" hinzufügen. Bei dem Container entfernen.

 

Viel Erfolg, Tom

Share this post


Link to post

Hi TOM,

 

die Struktur sieht folgendermaßen aus:

 

Builtin

Users

Benutzer

->Administratoren

->Mitarbeiter

->Besucher

->->Internet

->Computer

...

 

Das sind meine Container. Die eingerückten stehen jeweils unter den vorherigen nicht eingerückten.

 

Jetzt habe ich also dem Container "Benutzer" eine GruRiLi zugewiesen namens "Benutzerrichtlinie", dem Container "Administratoren" "Administratorenrichtlinie" ...

 

Auf einen Nutzer in der Gruppe Benutzer/Besucher/Internet werden also die "Benutzerrichtlinie", die "Besucherrichtlinie" und die "Internetrichtlinie" angewendet. Das funktioniert auch, solange der Nutzer Domänen-Admin ist, wenn nicht, dann eben nicht. Das ist das Problem.

 

Mein Testnutzer liegt jetzt direkt auf der zweitobersten Ebene, also in "Benutzer" (dadrüber ist ja nocht die Domäne) auf den wird die Benutzerrichtlinie aber eben auch nur angewendet, wenn er Domänen-Admin ist. Unabhängig davon ob ich ihn in einen anderen Container verschiebe (natürlich immer unterhalb der Benutzerrichtlinie).

 

Ist mein Problem klarer geworden?

 

Gruß Alex

Share this post


Link to post

Wie sind die Berechtigungen der Gruppenrichtlinie(n) gesetzt, also wer hat die Berechtigung "Gruppenrichtlinie übernehmen"?

Im Resource Kit gibt außerdem ein Tool gpresult.exe, das bei der Fehlersuch auf Seiten des Clients helfen kann.

 

grizzly999

Share this post


Link to post

Hi Grizzly999,

 

Normalerweise haben die User nur Lese- und Übernahme-Recht. Aber dem Test-User habe ich Vollzugriff gegeben.

Sicherheitshalber habe ich ihm auch Vollzugriff in den Sicherheitseinstellungen des Containers gegeben, damit es daran schon mal nicht liegen kann. geholfen hat das aber auch nicht.

 

Gruß LoSh

Share this post


Link to post

Hallo Losh,

 

das hört sich tatsächlich nach einem Berechtigungsproblem an. Überprüfe es und melde dich wieder.

 

Gruss Tom

Share this post


Link to post

Hi TOM,

 

das glaube ich ja auch, ich weiß nur nicht wo ich noch schauen könnte.

Ich habe dem testuser auf alle Platten, Freigaben, soweit mir irgendwie einleuchtend Unterverzeichnisse, alle Container, einfach alles was mir einfiel Vollzugriff gegeben. Ich wüsste nicht was ich ihm noch gestatten könnte.

 

CU LoSh

 

PS: gpresult spuckt eine Fehlermeldung aus: "unable to open key with 2" und es werden keine Sicherheitsgruppen angezeigt.

 

Ich kann gerne mal die Log-Dateien posten, falls euch das was bringt.

Share this post


Link to post

Die hilft es wirlich, die abgerufenen Richtlinien für einen Domänen-Admin und einen normalen User mittels gpresult.exe zu überprüfen, wenn sich beide an derselben Workstation anmelden, und dann weiter zu forschen. Es ist aber definitv kein "Bug" oder so was von W2k.

 

grizzly999

Share this post


Link to post

Das ist die Ausgabe von gpresult, wenn der Testuser (jetzt wirds kompliziert) "Sabine" sich vom Rechner "Aristoteles" an den Server "Sokrates" einloggt.

 

(Ohne Domänen-Admin-Rechte)

 

 

 

 

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Montag, 6. Oktober 2003 at 20:26:56

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

Roaming profile: \\sokrates\sabine\

Local profile: C:\Dokumente und Einstellungen\Sabine

 

The user is a member of the following security groups:

 

 

 

###############################################################

 

Failed to open key with 2

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

LAN\ARISTOTELES$

LAN\Domänencomputer

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:26:55

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Benutzerrichlinie

Computer-Richtlinie

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Share this post


Link to post
The user is a member of the following security groups:

 

 

 

###############################################################

 

Failed to open key with 2

 

 

 

###############################################################

Da ist der Fehler, aber ich weiss im Moment nicht welcher. Auf jeden Fall sollten da die Gruppenmitgliedschaften und geladene Benutzer GPOs aufgeführt werden.

 

grizzly999

Share this post


Link to post

Jupp, das meinte ich ja (hatte ich ins PS von einer Antwort an TOM geschrieben)

Das Problem ist, dass ich zu dem Fehler keine Lösung finde. In irgendeinem MS-Win2k-Forum habe ich einmal eine Fragestellung nach dem Fehler gefunden aber ohne Antwort seit März.

 

In den Knowledge-Bases habe ich auch nichts ordentliches gefunden und in der Event-ID-Datenbank habe ich die Fehler (die aus dem Ereignisprotokoll) auch nicht gefunden.

 

Aber irgendwer muss sich ja was bei der Fehlermeldung gedacht haben oder?

 

Ich könnte schreien! :cry:

 

CU LoSh

 

PS: Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten.

Share this post


Link to post
Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten

Ich mache ne Wette, da steht alles richtig drin :suspect:

 

Vielleicht verhindern irgendwelche Sicherheitseinstellungen den Abruf. Der Domänen-Admin-test hat aber auch an dieser WS stattgefunden?

 

grizzly999

Share this post


Link to post

Jupp, das war die gleiche WS.

 

Hier, der Vollständigkeit halber.

 

 

 

Login des gleichen Nutzers (Sabine), an gleichem Rechner (Aristoteles) und gleichem Server (Sokrates) allerdings mit Mitgliedschaft bei Domänen-Admins

 

 

 

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Montag, 6. Oktober 2003 at 20:29:05

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

Roaming profile: \\sokrates\sabine\

Local profile: C:\Dokumente und Einstellungen\Sabine

 

The user is a member of the following security groups:

 

LAN\Domänen-Benutzer

\Jeder

VORDEFINIERT\Benutzer

VORDEFINIERT\Administratoren

NT-AUTORITÄT\INTERAKTIV

NT-AUTORITÄT\Authentifizierte Benutzer

\LOKAL

LAN\testsicherheitsgruppe

LAN\Domänen-Admins

 

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:29:02

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

Default Domain Policy

Benutzerrichlinie

 

 

===============================================================

The user received "Folder Redirection" settings from these GPOs:

 

Benutzerrichlinie

 

 

===============================================================

The user received "Skripts" settings from these GPOs:

 

Benutzerrichlinie

 

 

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

 

Benutzerrichlinie

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

LAN\ARISTOTELES$

LAN\Domänencomputer

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:28:57

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Benutzerrichlinie

Computer-Richtlinie

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Share this post


Link to post

Hi Forum,

 

inzwischen habe ich den Fehler (nur falls mal jemand nach der Lösung suchen sollte):

 

Einfach einen neuen Container erstellen (direkt unter dem Domainnamen), dann einen User erstellen, ihm eine GruRiLi zuweisen, schauen ob es funktioniert.

Nun immer nur diesen Nutzer kopieren (Rechtsklick und Kopieren).

 

hat bei mir zumindest geholfen, wenns auch eine richtig blöde Variante ist.

 

Gruß LoSh

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...