Reveller 10 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Schönen guten Tag zusammen. Ich habe ein Problem mit meiner neuen Windows Server 2008 Testdomäne. Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren hinzuzufügen, ohne bestehende Mitglieder zu entfernen. Mein Versuch: In der Computerkonfig -> Windows -> Sicherheit -> Eingeschränkte Gruppen: Gruppenname: Domain-Admins Mitglieder: <Kein Eintrag> Mitglied von: Administratoren Im Ergebnis habe ich auf einem zweiten Server 2008 in der Domäne keine Domänengruppe "Domänen-Admins" in der lokalen Gruppe der Administratoren. Warum geht das nicht? (gpupdate /force auf DC und Client bringen nichts, Reboots ebenfalls.) Vielen Dank. Reveller Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Also eigentlich sollte das genau der richtige Weg sein. Ich kenne den zwar im Moment nur aus Windows 2003 Domänen, aber ich glaube nicht, dass sich das geändert hat. Führt der Server, bei dem du die Admin-Gruppe in den lokalen Administratoren haben möchtest, denn auch diese Gruppenrichtlinie aus? Überprüfen kannst du das z.B. mit gpresult im cmd Fenster ob deine GPO dabei ist. Aber eigentlich sollte die Gruppen Domänen-Admins doch sowieso in den lokalen Administratoren geführt sein, nachdem er in die domäne aufgenommen wurde?! Zitieren Link zu diesem Kommentar
Reveller 10 Geschrieben 14. Juli 2010 Autor Melden Teilen Geschrieben 14. Juli 2010 Hallo und Danke für die Antwort. Ein gpresult /R zeigt unter Computereinstellungen folgendes (für mich auffälliges) an: Domänentyp: Windows 2000 (Warum denn das??)Angewendete Gruppenrichtlinie: Default und meine eigene (mit den Einstellungen) Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet:Richtlinien der lokalen Gruppen Aha! Ist das die gesuchte Richtlinie und warum wird diese denn nicht angewendet?? Danke und Gruß, Dominic Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Bei der herausgefilterten Gruppenrichtlinien sollte so etwas dabei stehn: Filterung: Nicht angewendet (Leer) Also nur nicht angewendet, weil keine Einstellungen darin gemacht sind. Windows 2000 steht bei meiner Windows 2003 Domäne auch drin. Kann ich im Moment nicht erklären :) Hast du denn eine englisches System, dass du Domain-Admins schreibst und nicht Domänen-Admins? Du kannst auf dem Memberserver noch im Log nachschauen, ob beim Abarbeiten der GPO ein Fehler auftritt: C:\WINDOWS\security\logs\winlogon.log Zitieren Link zu diesem Kommentar
Reveller 10 Geschrieben 14. Juli 2010 Autor Melden Teilen Geschrieben 14. Juli 2010 Okay: Filterung: nicht angewendet (leer) ist vorhanden, sprich dies ist hier nicht relevant. Alle Systeme sind deutsch....sollte das etwa...:shock: Ich habe die Richtlinie nun angepasst: Gruppenname: Domänen-AdminsMitglieder: <Kein Eintrag> Mitglied von: Administratoren Effekt: Keiner Aber das Log: ... ----Gruppenmitgliedschaft wird konfiguriert... Konfigurieren von *s-1-5-21-3019654259-3767635169-4099123114-512. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Keine Systemzuordnung gefunden für *s-1-5-21-3019654259-3767635169-4099123114-512. Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen. . :confused: Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Wenn du den Namene anstatt einzutippen über die Suche hinzufügst, solltest du ganz sicher gehen können. Evtl. fehlt da noch der Domänen-Name vor der Gruppe ala CONTOSO\Domänen-Admins Zitieren Link zu diesem Kommentar
Reveller 10 Geschrieben 14. Juli 2010 Autor Melden Teilen Geschrieben 14. Juli 2010 Ich hätte gedacht das wäre es gewesen... aber leider nicht. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Keine Systemzuordnung gefunden für *s-1-5-21-3019654259-3767635169-4099123114-512. Die SID ist definitiv die der globalen Gruppe "Domänen-Admins" wie Sie auf dem Memberserver mittels wmic:groups auch aufgelöst werden kann. Sehr interessant: Wenn ich als lokaler Admin auf dem memberserver in die lokalen Gruppen gehe und sage globale Gruppe Domänen-Admins hinzufügen, bekomme ich die Meldung diesen wären schon enthalten. Aber defacto werden Sie nicht angezeigt und die Rechte hat der Domänenadmin auch nicht! Ein Mist ist das...:mad: Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Okay, das klingt nun seltsam. Versuchs doch mal testweise mit einer anderen Gruppe, nur um zu sehen, ob es funktioniert und um die Sache etwas einzugrenzen. Hier gabs auch schonmal sowas, aber leider hatte da wohl auch keiner eine Lösung :/ http://www.mcseboard.de/windows-forum-allgemein-83/domaenenbenutzer-via-gpo-hauptbenutzer-47002.html Du könntest aber mal versuchen wie dort beschrieben, via Befehlszeile die Domänen-Admins hinzuzufügen oder löschen und schauen, welche Fehlermeldung dort angezeigt wird: net localgroup /add bzw /delete Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Ich habe ein Problem mit meiner neuen Windows Server 2008 Testdomäne. Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren hinzuzufügen, ohne bestehende Mitglieder zu entfernen. Die Gruppe der Domain Admins sind immer in der Gruppe der lokalen Admins enthalten. AFAIK braucht man dafür keine GPO verwenden. Mein Versuch: In der Computerkonfig -> Windows -> Sicherheit -> Eingeschränkte Gruppen: Gruppenname: Domain-Admins Mitglieder: <Kein Eintrag> Mitglied von: Administratoren Hier findest Du eine HowTo dazu: Eingeschränkte Gruppen (gpupdate /force auf DC und Client bringen nichts, Reboots ebenfalls.) /Force soll nichts bringen lt. GPO-Spezialisten, auf dem DC auf dem Du die GPO erstellst erst recht nicht. Auf den Clients macht man besser nur ein gpupdate und einen Neustart. Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Er hat ja soweit alles richtig gemacht. Dass die Domänen-Admins normal in den Administratoren enthalten sein müssten, war auch schon genannt, ist aber rein anzeigetechnisch wohl nicht der Fall. Das er die GPO versucht anzuwenden sieht man ja im Log. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Moin, Ich habe noch keine Erfahrungen mit Domänen und hänge bei der Aufgabe die Domänen-Admins per Richtlinie in jede lokale Gruppe der Administratoren hinzuzufügen, ohne bestehende Mitglieder zu entfernen. eine ziemlich anspruchsvolle Aufgabe, wenn einem die Grundlagen fehlen. Du solltest bei einfachen Dingen beginnen, nicht bei komplizierten. Im konkreten Fall ist die Aufgabe aber, wie Winfried schon richtig sagt, unsinnig. Wer hat die gestellt? Was ist die konkrete Anforderung? Gruß, Nils Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 So anspruchsvoll ist die Aufgabe nun auch nicht. Er hat ja bisher alles richtig gefunden und die Frage wäre nur dann unsinnig, wenn die Standardzuordnung der Fall wäre. Bei ihm wird aber scheinbar nicht angezeigt, dass die Gruppe Domänen_Admins in den Administratoren drin ist. Von daher finde ich seinen Wunsch die hinzuzufügen, garnicht mal so unsinnig. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Aus sicherheitstechnischer Betrachtung ist das sehr wohl "unsinnig", denn warum sollte ein Domänen-Admin (der ja für die Administration der Domäne == Active Directory) da ist, auch an PCs lokaler Admin sein? Wenn also schon so eine Anforderung kommt, dann baut man dafür eine Gruppe "PC-Admin" oder ähnliches. Da kann man zur Not den Domänen-Admin immer noch reinstecken, aber nicht jeder der Domänenadmin ist, wäre auch PC-Admin und nicht jeder der PC-Admin ist wäre auch DOmänen-Admin. ;) Leider hat MS mit diesem "Sche...ß" mal angefangen und seitdem meint jeder er muß Domänenadmin sein nur damit er auf allen PCs auch Admin ist. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Gruß, Von daher finde ich seinen Wunsch die hinzuzufügen, garnicht mal so unsinnig. mag ja alles sein, aber dazu kann nur der TO eine Auskunft geben, indem er die konkreten Anforderungen und das konkrete Problem beschreibt. Zu klären wäre dann u.a., warum denn die Domänen-Admins nicht in den lokalen Admins sind (sofern das denn überhaupt der Fall ist). Wir haben hier oft Anfragen à la "Wie geht das-und-das", und nach teilweise tagelangem Support stellt sich heraus, dass die tatsächliche (aber nicht genannte) Anforderung eine ganz andere Lösung erfordert hätte. Gruß, Nils Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 15. Juli 2010 Melden Teilen Geschrieben 15. Juli 2010 Er hat ja soweit alles richtig gemacht. Dass die Domänen-Admins normal in den Administratoren enthalten sein müssten, war auch schon genannt, ist aber rein anzeigetechnisch wohl nicht der Fall. Wenn es in der GUI nicht angezeigt ist, wird es wohl auch nicht unter der Haube vorhanden sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.