Jump to content

Problem: Gruppenrichtlinien nur für Domänen-Admins


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Forum,

 

habe folgendes Problem mit Win2k Server:

Für verschiedene Bentzer sollen verschiedene Gruppenrichtlinien angewendet werden. Unter anderen eine namens "Benutzerrichtlinie", die für alle gelten soll (Alle Benutzer sind in einem Container "Benutzer"). Diese wird auch für alle angewendet (gut sichtbar durch ein Login-Script) für alle Domänen-Admins. Für alle anderen nicht.

Jetzt fehlt mir da aber eine Menge an Wissen:

a) Wo ist der Unterschied zwischen Domänen-Admins und normalen Admins (bei denen funzen die Gruppenrichtlinien nämlich nicht)

b) Wie kann ich die Gruppenrichtlinien für alle übernehmen (natürlich ohne alle zu Domänen-Admins zu machen)?

 

Ich geh´ noch kaputt damit und ich brauch das Zeug dringend, weils nicht mein Netzwerk ist.

 

Gruß LoSh

Link zu diesem Kommentar

Am Login-Script liegt es glaube ich nicht, weil ich alle Freigaben und alle Sicherheitseinstellungen für einen Testuser auf "Vollzugriff" gestellt habe.

 

Ich habe aber noch ein paar Ereignisprotokoll-Einträge anzubieten, falls die weiterhelfen:

 

===========Beginn Ereignisprotokoll===========

Ereignistyp: Fehler

Ereignisquelle: Winlogon

Ereigniskategorie: Keine

Ereigniskennung: 1012

Datum: 05.10.2003

Zeit: 18:54:30

Benutzer: LAN\testuser

Computer: HERAKLIT

Beschreibung:

Das Untersystem für die automatische Zertifikatsregistrierung konnte nicht auf die für die Registrierung erforderlichen lokalen Ressourcen zugreifen. Die Registrierung wird nicht ausgeführt. (0x80070005) Zugriff verweigert

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 05.10.2003

Zeit: 18:53:52

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: HERAKLIT

Beschreibung:

Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie empfing Flags (0) und hat einen Fehlerstatuscode (203) zurückgegeben.

 

Ereignistyp: Fehler

Ereignisquelle: Folder Redirection

Ereigniskategorie: Keine

Ereigniskennung: 111

Datum: 05.10.2003

Zeit: 18:53:52

Benutzer: LAN\testuser

Computer: HERAKLIT

Beschreibung:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

========================================

 

 

Diese Einträge sagen mir natürlich auch verdammt wenig.

Das Problem muss doch bekannt sein oder??? *mitleiderregendguck*

 

Vielen Dank für eure Hilfe im Vorraus

Link zu diesem Kommentar

Hallo Losh,

 

es gibt eine lokale Gruppe Administratoren, die stehen unter Builtin und eine globale Gruppe Domänenadmins, stehen unter Users. Wenn eine Richtlinie für alle gelten soll, musst Du die Richtlinie auf die Domäne anwenden. Du hast sie vermutlich auf den Container Users angewendet. Also einen rechten Mausclick auf die Domäne dann auf Eigenschaften und im Register Gruppenrichtlinien deine Richtlinie "Benutzerrichtlinie" hinzufügen. Bei dem Container entfernen.

 

Viel Erfolg, Tom

Link zu diesem Kommentar

Hi TOM,

 

die Struktur sieht folgendermaßen aus:

 

Builtin

Users

Benutzer

->Administratoren

->Mitarbeiter

->Besucher

->->Internet

->Computer

...

 

Das sind meine Container. Die eingerückten stehen jeweils unter den vorherigen nicht eingerückten.

 

Jetzt habe ich also dem Container "Benutzer" eine GruRiLi zugewiesen namens "Benutzerrichtlinie", dem Container "Administratoren" "Administratorenrichtlinie" ...

 

Auf einen Nutzer in der Gruppe Benutzer/Besucher/Internet werden also die "Benutzerrichtlinie", die "Besucherrichtlinie" und die "Internetrichtlinie" angewendet. Das funktioniert auch, solange der Nutzer Domänen-Admin ist, wenn nicht, dann eben nicht. Das ist das Problem.

 

Mein Testnutzer liegt jetzt direkt auf der zweitobersten Ebene, also in "Benutzer" (dadrüber ist ja nocht die Domäne) auf den wird die Benutzerrichtlinie aber eben auch nur angewendet, wenn er Domänen-Admin ist. Unabhängig davon ob ich ihn in einen anderen Container verschiebe (natürlich immer unterhalb der Benutzerrichtlinie).

 

Ist mein Problem klarer geworden?

 

Gruß Alex

Link zu diesem Kommentar

Hi TOM,

 

das glaube ich ja auch, ich weiß nur nicht wo ich noch schauen könnte.

Ich habe dem testuser auf alle Platten, Freigaben, soweit mir irgendwie einleuchtend Unterverzeichnisse, alle Container, einfach alles was mir einfiel Vollzugriff gegeben. Ich wüsste nicht was ich ihm noch gestatten könnte.

 

CU LoSh

 

PS: gpresult spuckt eine Fehlermeldung aus: "unable to open key with 2" und es werden keine Sicherheitsgruppen angezeigt.

 

Ich kann gerne mal die Log-Dateien posten, falls euch das was bringt.

Link zu diesem Kommentar

Das ist die Ausgabe von gpresult, wenn der Testuser (jetzt wirds kompliziert) "Sabine" sich vom Rechner "Aristoteles" an den Server "Sokrates" einloggt.

 

(Ohne Domänen-Admin-Rechte)

 

 

 

 

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Montag, 6. Oktober 2003 at 20:26:56

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

Roaming profile: \\sokrates\sabine\

Local profile: C:\Dokumente und Einstellungen\Sabine

 

The user is a member of the following security groups:

 

 

 

###############################################################

 

Failed to open key with 2

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

LAN\ARISTOTELES$

LAN\Domänencomputer

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:26:55

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Benutzerrichlinie

Computer-Richtlinie

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Link zu diesem Kommentar
The user is a member of the following security groups:

 

 

 

###############################################################

 

Failed to open key with 2

 

 

 

###############################################################

Da ist der Fehler, aber ich weiss im Moment nicht welcher. Auf jeden Fall sollten da die Gruppenmitgliedschaften und geladene Benutzer GPOs aufgeführt werden.

 

grizzly999

Link zu diesem Kommentar

Jupp, das meinte ich ja (hatte ich ins PS von einer Antwort an TOM geschrieben)

Das Problem ist, dass ich zu dem Fehler keine Lösung finde. In irgendeinem MS-Win2k-Forum habe ich einmal eine Fragestellung nach dem Fehler gefunden aber ohne Antwort seit März.

 

In den Knowledge-Bases habe ich auch nichts ordentliches gefunden und in der Event-ID-Datenbank habe ich die Fehler (die aus dem Ereignisprotokoll) auch nicht gefunden.

 

Aber irgendwer muss sich ja was bei der Fehlermeldung gedacht haben oder?

 

Ich könnte schreien! :cry:

 

CU LoSh

 

PS: Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten.

Link zu diesem Kommentar

Jupp, das war die gleiche WS.

 

Hier, der Vollständigkeit halber.

 

 

 

Login des gleichen Nutzers (Sabine), an gleichem Rechner (Aristoteles) und gleichem Server (Sokrates) allerdings mit Mitgliedschaft bei Domänen-Admins

 

 

 

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Montag, 6. Oktober 2003 at 20:29:05

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

Roaming profile: \\sokrates\sabine\

Local profile: C:\Dokumente und Einstellungen\Sabine

 

The user is a member of the following security groups:

 

LAN\Domänen-Benutzer

\Jeder

VORDEFINIERT\Benutzer

VORDEFINIERT\Administratoren

NT-AUTORITÄT\INTERAKTIV

NT-AUTORITÄT\Authentifizierte Benutzer

\LOKAL

LAN\testsicherheitsgruppe

LAN\Domänen-Admins

 

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:29:02

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

Default Domain Policy

Benutzerrichlinie

 

 

===============================================================

The user received "Folder Redirection" settings from these GPOs:

 

Benutzerrichlinie

 

 

===============================================================

The user received "Skripts" settings from these GPOs:

 

Benutzerrichlinie

 

 

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

 

Benutzerrichlinie

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de

 

Domain Name: LAN

Domain Type: Windows 2000

Site Name: Standardname-des-ersten-Standorts

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

LAN\ARISTOTELES$

LAN\Domänencomputer

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

 

###############################################################

 

Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:28:57

Group Policy was applied from: sokrates.lan.buecherei-march.de

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Benutzerrichlinie

Computer-Richtlinie

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

Link zu diesem Kommentar
  • 3 Wochen später...

Hi Forum,

 

inzwischen habe ich den Fehler (nur falls mal jemand nach der Lösung suchen sollte):

 

Einfach einen neuen Container erstellen (direkt unter dem Domainnamen), dann einen User erstellen, ihm eine GruRiLi zuweisen, schauen ob es funktioniert.

Nun immer nur diesen Nutzer kopieren (Rechtsklick und Kopieren).

 

hat bei mir zumindest geholfen, wenns auch eine richtig blöde Variante ist.

 

Gruß LoSh

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...