Jump to content
Sign in to follow this  
remdozza

AD - Rechteproblem ?

Recommended Posts

Hallo Community,

 

ich bin derzeit am Verzweifeln. Folgende Situation:

 

SK8R2 mit einer Domäne

 

Ziel:

- Umstellung von Arbeitsgruppenstruktur in Domänen-/AD-Struktur.

- neuer IP-Kreis

 

So sind wir vorgegangen;

- User (ca. 100) wurden angelegt, <vorerst> mit Domänen-Admin-Rechten.

- dann zu jedem PC gegangen in die Domäne geholt

- Neustart

- mit dem jeweiligen Domänen-User angemeldet

- Neustart

- mit Admin angemeldet und das lokale Userprofil ins Domänenuser-Profil (servergespeichert) kopiert (Systemeigenschaften)

 

Dies klappte soweit alles ganz gut, alle hatten ihre eigenen Daten usw. . Nun wurden Gpo's angelegt, Laufwerkmappings, und ein paar Kleinigkeiten.

 

Wenn die User noch Domänen-Admins sind klappt alles vorzüglich.

Setze ich sie aber auf Domänen-Benutzer und entferne die Admins, dann geht nichts, ausser das Homeverzeichnis.

 

Auf die jeweiligen Freigaben kommt man im Explorer super, nur gemappt werden sie nicht :-/ Er behauptet dass er sie anwendet, aber im Arbeitsplatz ist nichts zu sehen.

 

Hat jemand von Euch 'ne Vermutung, dass kann eigentlich nur etwas Banales sein oder ? by the way: die User die angelegt wurden, da klappt es net.

Wenn ich einen neuen User anlege (ohne ein profil zu kopieren) geht es...

 

Nur will ich natürlich nicht, alle User neu anlegen, weil ja mglw. auch die eig. Dateien dann nicht erreichbar wären.

 

Ich denke, ich sehe den Wald vor lauter Bäumen nicht, sicher gibt es bei Euch jemanden, der das kennt oder ??

 

Wenn Ihr noch Infos braucht, bitte schreiben,

vorab vielen dank !

Edited by remdozza

Share this post


Link to post

- User (ca. 100) wurden angelegt, <vorerst> mit Domänen-Admin Rechten.

 

Weshalb das denn? Ist vollkommen unnötig.

 

wenn die user noch domänen-admins sind klappt alles vorzüglich.

setze ich sie aber auf domänen-benutzer und entferne die admins, dann geht nichts, ausser das homeverzeichnis.

 

Sind die Fehlermeldungen auf den Clients geheim? Wenn nein, kannst Du ja mal bei Troubleshooting Microsoft Windows Event Logs die dort angebotenen Lösungen durchgehen.

 

auf die jeweiligen freigaben kommt man im explorer super, nur gemappt werden sie nicht :-/ er behauptet dass er sie anwendet, aber im arbeitsplatz ist nichts zu sehen.

 

Wer hat das behauptet? Der Hund vom Nachbarn? Nochmal: Fehlermeldungen im Ereignisprotokoll?

Share this post


Link to post
Weshalb das denn? Ist vollkommen unnötig.

 

Ach... Wenn ich das erzähle... lange Geschichte...

 

Sind die Fehlermeldungen auf den Clients geheim? Wenn nein, kannst Du ja mal bei Troubleshooting Microsoft Windows Event Logs die dort angebotenen Lösungen durchgehen.

Es gab ja keine!

 

 

Wer hat das behauptet? Der Hund vom Nachbarn? Nochmal: Fehlermeldungen im Ereignisprotokoll?

gpresult hat das behauptet...

Edited by remdozza

Share this post


Link to post

Hallo remdozza,

 

schön dass du uns gefunden hast. :)

 

Bitte achte in Zukunft darauf auch Großbuchstaben zu nutzen.

 

Die Wahrscheinlichkeit dass dir jemand hilft steigt drastisch mit der guten und leichten Lesbarkeit deiner Beiträge!

 

Vielen Dank für dein Verständnis!

Share this post


Link to post

Hallo Dr. Melzer,

also, ich dachte ja nicht, dass dort so hingeschaut wird. Bildete mir nur ein,

ein halbwegs vernünftiges Deutsch an den Tag zu legen. Aber gut, ich lasse

mich eines Besseren belehren ;)

Share this post


Link to post

Was passiert wenn du die Laufwerke manuell über net use t: \\UNC-Pfad\ verbindest?

Was ist die Ausgabe von "net use"?

 

Die Laufwerke werden über die GPO gemappt?

Oder klassisch per Batch?

 

Mal nen Testuser angelegt, der mit Blankoprofil angemeldet wird?

 

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

Share this post


Link to post
Was passiert wenn du die Laufwerke manuell über net use t: \\UNC-Pfad\ verbindest?

Was ist die Ausgabe von "net use"?

 

Die Laufwerke werden über die GPO gemappt?

Oder klassisch per Batch?

 

Mal nen Testuser angelegt, der mit Blankoprofil angemeldet wird?

 

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

 

Holá strained,

 

erster Versuch war Einbindung via cmd-File. Als Domänen-Admin alles wunderbar. Als Domänen-Benutzer nicht.

 

Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht :(

 

Testuser wurde angelegt, als Domänen-Benutzer, mit dem klappt alles. Nur nicht mit vorhandenen Usern, die, leider, bereits Domänen-Admin Rechte haben.

(die will ich ja wieder wegnehmen :-P)

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

Share this post


Link to post
Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht

 

Genau deswegen wäre das hier interessant:

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

-> für die GPO-Ergebnisse musst du dich ja nicht interaktiv als User anmelden.

 

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

Der User muss auf dem Client (XP, 7, etc) Mitglied der lokalen Gruppe "Remotedesktopbenutzer" sein.

Share this post


Link to post

erster Versuch war Einbindung via cmd-File. Als Domänen-Admin alles wunderbar. Als Domänen-Benutzer nicht.

 

Und was passiert stattdessen? Wie genau hast Du das cmd eingebunden? Lass dir nicht alles aus der Nase ziehen.

 

Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht :(

 

Melde dich als Benutzer an und kontrollier mit RSOP.MSC ob die GPO überhaupt ankommt. Sind das XP-Clients? Wenn ja, ist KB943729 installiert? Wenn nein, hol das nach. Für die Group Policy Preferences muß das Update installiert sein.

 

Hast Du die GPO auch auf Benutzerobjekte wirken lassen? Merke: Gruppenrichtlinien greifen nicht auf Gruppen. Zeig doch mal kurz die Struktur des AD.

 

Testuser wurde angelegt, als Domänen-Benutzer, mit dem klappt alles. Nur nicht mit vorhandenen Usern, die, leider, bereits Domänen-Admin Rechte haben.

 

Wo genau ist der Testuser abgelegt und wo genau die bisherigen User?

 

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

 

Das Benutzerkonto muß in der Gruppe der lokalen Remote Desktop Benutzergruppe sein. Eingeschränkte Gruppen

Share this post


Link to post
Und was passiert stattdessen? Wie genau hast Du das cmd eingebunden? Lass dir nicht alles aus der Nase ziehen.

mit net use t: \\xx01\freigabe /persitant:no

freigabe ist für eine benutzergruppe angelegt.

 

Melde dich als Benutzer an und kontrollier mit RSOP.MSC ob die GPO überhaupt ankommt. Sind das XP-Clients? Wenn ja, ist KB943729 installiert? Wenn nein, hol das nach. Für die Group Policy Preferences muß das Update installiert sein.

Nach dem Install des Updates klappte es ordentlich mit der LW-Zuordnung (also nich cmd) und als Admin. Jedoch änderte es nichts bei den Benutzern. RSOP liefere ich gleich.

 

Hast Du die GPO auch auf Benutzerobjekte wirken lassen? Merke: Gruppenrichtlinien greifen nicht auf Gruppen. Zeig doch mal kurz die Struktur des AD.

Ähm, wie? Ich habe bei einem Mapping (Transferlw) auth. User hinterlegt.

 

 

Wo genau ist der Testuser abgelegt und wo genau die bisherigen User?

Ich habe unter der Domäne eine neue OU angelegt-> Benutzer, hier liegen alle User.

 

Das Benutzerkonto muß in der Gruppe der lokalen Remote Desktop Benutzergruppe sein. Eingeschränkte Gruppen

 

danke !!

Share this post


Link to post

rsop zeigt "nur" 2 Fehler:

 

Group Policy Drive Maps ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

-2046746620 (0x86012004)

Zusätzliche Informationen:

The client-side extension caught the unhandled exception '0xC0000005' inside: 'threadEntry : client main'%%100790275

 

--

 

 

Folder Redirection ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System konnte die eingegebene Umgebungsoption nicht finden.

 

Zusätzliche Informationen:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

Share this post


Link to post
rsop zeigt "nur" 2 Fehler:

 

Und Du willst immer noch erzählen im Ereignisprotokoll auf dem Client ist alles grün?

 

Group Policy Drive Maps ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

-2046746620 (0x86012004)

Zusätzliche Informationen:

The client-side extension caught the unhandled exception '0xC0000005' inside: 'threadEntry : client main'%%100790275

 

05er Fehler sind immer Zugriff verweigert. Der normale Benutzer wird keine Berechtigungen auf das Verzeichnis haben. Wie sehen die Freigabe- und NTFS-Berechtigungen aus?

 

Folder Redirection ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System konnte die eingegebene Umgebungsoption nicht finden.

 

Zusätzliche Informationen:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

 

Welche Ordnerumleitungsrichtlinie hast Du da eingerichtet? Haben die Benutzer denn auch genügend NTFS-Berechtigungen um auf die Freigabe zuzugreifen? Dürfen die Benutzer denn auch die GPO übernehmen? Was steht in den Eigenschaften er GPO drin? Wer darf lesen und übernehmen?

Share this post


Link to post

Wie kann ich denn für Euch am Einfachsten darstellen, wie die Struktur aussieht ?

 

Malen oder einen Screenshot vom AD uploaden und den Link hier posten. Wenn Du hier einen Screenshot anhängst, mußt Du den erst von den Admins freischalten lassen.

 

EDIT: Evtl. hilft dir das hier: http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...