GPO für einen Benutzer aus diff. Forest zulassen

[kwakS 10]

Hallo zusammen,

 

ich habe ein Problem, dass eine GPO für einen Benutzer eines anderen Forest nicht übernommen wird.

Meine Struktur sieht wie folgt aus:

2 Forests,

Forest A (functional level 2003) hat eine bidirektionale Vertrauensstellung mit Forest B (functional level 2008)

 

Jetzt habe ich in Forest B einen Terminal Server (W2k8) implementiert und wollte entsprechende GPO's anwenden.

OU Server-->OU TS gebaut und da das AD Objekt des TerminalServers reingeschoben.

Auf die OU TS habe ich dann 2 GPO verlinkt

Die GPO die nur für den Computerteil zuständig ist, wurde übernommen. Die zweite GPO, die für den Userteil zuständig ist, wurde mit folgender Fehlermeldung abgebrochen:

 

The user account is in a different forest than the computer account. The processing of Group Policy from another forest is not allowed. Group Policy will be processed using Loopback Replace mode. The scope of the user policy settings will be determined by the location of the computer object in Active Directory. The settings will be aquired from the User Configuration of these policies.

 

Der Loopback Mode ist im Replace Mode eingestellt. Trotzdem wird die GPO abgewiesen.

Hat jemand eine Idee woran das liegt bzw. eine Idee wie ich der Ursache auf die Spur kommen kann?

[solinske 10]

Es gibt eine GPO EINstellung die die Cross Forrest Funktion zulässt, evtl. musst du auch noch die Profil Ownerchip bei den TS deaktivieren, damit der User korrekt angemeldet wird.

[kwakS 10]

Danke für den Tipp. Der hats gebracht :)