Zebbi 11 Geschrieben 27. Juli 2012 Melden Teilen Geschrieben 27. Juli 2012 Hi, ich hab hier eine ursprünglich rein deutschsprachige Windowsdomain auf 2003er Basis übernommen. Nun sind ein paar 2008R2 Server hinzugekommen, von denen einige englisch, andere deutsch sind. Bisher lief alles mehr oder wenige ohne Probleme, doch nun hab ich auf den englischen Servern entdeckt, dass dort Sicherheitswarnungen aus der Quelle SceCli mit ID 1202 ausgelöst werden. Über FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log fand ich heraus, das sie durch den User "Hauptbenutzer" ausgelöst werden, der dem englischen System ja unbekannt ist (wie heißt der eigentlich auf englisch?). Über die DefaultDomainPolicy GPO hat der Hauptbenutzer das Recht auf lokale Anmeldung (Comp./Win./Sicherheit/Lokale Richtl/"Lokal anmelden zulassen"), was zu dem Fehlereintrag im Ereignislog führt. Natürlich könnte ich ihm das Recht nun einfach nehmen, aber ich hab keine Ahnung welche Nebeneffekte das in dem "gewachsenen System" hat und mein Problem würde mich sicherlich später mit anderen Benutzernamen (z.B. Administrators vs. Administrator) einholen. Kann ich dem englischen Server die deutschen "Spezialbenutzer" beibringen? Falls ja, wie? Ich dachte mir das müsste doch irgendwie als eine Art Alias über den DC gehen, oder? Leider finde ich diesbezüglich nichts, weil ich wohl mit den falschen Begriffen suche... :( Über einen Tipp wäre ich sehr Dankbar! Zitieren Link zu diesem Kommentar
NilsK 2.789 Geschrieben 27. Juli 2012 Melden Teilen Geschrieben 27. Juli 2012 Moin, das Problem wird durch einen Fehler ausgelöst, der bei nicht-englischen Umgebungen erfordert, dass die Gruppenauswahl für GPO-Einstellungen nur an einem Domänencontroller erfolgt. Weist man Benutzerrechte für User oder Gruppen an einem DC zu, so trägt der DC den "Wellknown SID" ein, der in allen Sprachen gleich ist. Erledigt man dies aber an einer Admin-Workstation, so trägt der Editor den Namen ein - und der ist sprachabhängig. Ich finde leider die passenden Belege dazu gerade nicht, aber der Fehler ist bekannt. Weise die Rechte also an einem DC neu zu, dann sollten die Fehlermeldungen nicht mehr auftauchen. Gruß, Nils Zitieren Link zu diesem Kommentar
Zebbi 11 Geschrieben 27. Juli 2012 Autor Melden Teilen Geschrieben 27. Juli 2012 Moin, Weise die Rechte also an einem DC neu zu, dann sollten die Fehlermeldungen nicht mehr auftauchen. Reicht es dazu die GPO zu editieren, oder muss ich die komplett neu machen? Mein Vorgänger scheint die für alles genutzt zu haben. :( Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 27. Juli 2012 Melden Teilen Geschrieben 27. Juli 2012 Reicht es dazu die GPO zu editieren, oder muss ich die komplett neu machen?Mein Vorgänger scheint die für alles genutzt zu haben. :( Ein Test ist schnell gemacht, wenn es nicht funktioniert bleibt dir nur das neu erstellen. Ich weiß es nicht, würde aber vermuten ein editieren müsste ausreichen. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 27. Juli 2012 Melden Teilen Geschrieben 27. Juli 2012 Das Folgende ist nicht ganz jugendfrei: Auf der Sysvol-Freigabe den entsprechenden Ordner der Policy suchen, die INF-Datei der Security-Settings mit einem vernünftigen Editor öffnen (z.B. Ultraedit) und die ausgeschriebenen Gruppennamen durch die well known SID's ersetzen. Nun die Richtlinie im GPO-Editor öffnen und irgendwas ändern, damit die Version der Richlinie erhöht wird. So habe ich das irgendwann mal gemacht. Am Besten mit einer Test-Richlinie ausprobieren. Ich bin übrigens der Meinung, dass der Fehler in neueren Versionen des GPO-Editors nicht mehr auftritt. Zumindest nicht bei neuen Richtlinien. Also alle Updates installieren. -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.