Jump to content

Eingeschränkte Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Habe mich zwar Heute erst angemeldet, lese aber schon länger im Board und hole mir sehr hilfreiche Infos! Deswegen zunächst einmal ein Kompliment an alle, die hier Ihr Wissen hier zur Verfügung stellen!

 

Leider finde ich im Moment nicht die passende Antwort auf ein Problem mit "eingeschränkten Gruppen" in den Gruppenrichtlinien.

Im AD einer W2k-Domäne habe ich auf einer OU, in der die betreffenden Computerkonten liegen, ein GPO erstellt, dass u.a. auf den Clients eine Globale Sicherheitsgruppe (Mitglieder die User) als Hauptbenutzer und eine Globale Sicherheitsgruppe (mit den Admins) als Administratoren in die lokalen Sicherheitsgruppen eintragen soll. Leider funktioniert das nicht so wie es soll. Die Gruppenrichtlinie wird lt. gpresult angewandt und auch die SUS-Einstellungen, die in der selben Richtlinie eingestellt sind, werden angewendet.

Unter Windows 2000 Clients werden die Einstellungen 1 mal vorgenommen. Ändere ich jetzt jedoch eine Einstellung, wird diese auf den Clients (z.B. nach Neuanmeldung) nicht aktualisiert. Auf den Windows-XP-Clients wird erst gar nichts eingetragen.

Bei den Einstellungen habe ich die Gruppe "Admin" hinzugefügt und gesagt "Diese Gruppe ist Mitglied von: Administratoren" (die "User"-Gruppe als Mitglied von "Hauptbenutzer"). Damit müßten doch die Gruppen dann doch lokal hinzugefügt werden?!?

 

Kann mir jemand einen Tipp geben was ich falsch mache? Ich hoffe ich habe alle benötigten Info´s gegeben...

 

Schon mal Danke im voraus für Eure Hilfe

 

Hotte

Link zu diesem Kommentar

http://www.mcseboard.de/showthread.php?s=&threadid=18948

Zitat:

"Hallo,

 

da wir jetzt "des Pudels Kern" haben -- siehe Betreff :-)

Information ist das a und O in der Informatik

 

 

Sind die eingeschränkten Gruppen natürlich die Lösung.

 

Das Verfahren funktioniert natürlich nur, wenn auch Computerobjekte in der OU, auf die die Richtlinie angewand wird, sind.

 

Scripting ist auch ne nette Lösung, mann muss halt nur beachten "wer" das Script dann ausführt und auch die entsprechenden Rechte besitzt. (Userobjekt).

 

http://www.mcseboard.de/showthread.php?s=&threadid=10558&highlight=eingeschr%E4nkte+gruppen

 

 

greetings

 

 

Hallo,

 

es gibt wie immer 1001 Möglichkeiten, ich würde vom Scripten in deinem Fall abraten, da es eine Build-In Funktion gibt.

Eingeschränkte Gruppen funktionieren ohne Probleme, es sei denn es sind keine Computerobjekte in der OU, bzw. Site, bzw. Domain - Richtlinie.

 

 

Have a nice weekend

Link zu diesem Kommentar

Hallo BigTom!

 

Wie du an meinem Posting siehst habe ich die betreffenden Computerkonten auch in der OU liegen, auf die die Gruppenlinien ziehen. Sie werden ja auch unter Windows 2000 Prof. teilweise angewendet. Die Einstellung für den SUS, die in genau der selben Gruppenrichtlinie eingestellt sind, werden ja auch auf W2k Prof. und XP Prof. angewendet. Die angegebenen Threads habe ich auf der Suche nach einer Lösung auch gefunden gehabt und sie ja auch schon in Kyro´s Thread reingestellt gehabt.

 

Gruß

Hotte

Link zu diesem Kommentar

Moin krennman!

 

Bei Windows 2000 Prof. Clients:

Ereignissanzeige Andwendung:

Warnung: Event ID 1202

Sicherheitsrichtlinien werden mit Warnungen übermitelt. 0x5: Zugriff verweigert.

 

Dazu hab ich bei Eventid.net folgendes gefunden:

Error code: 0x5 (Decimal 5) = "Access is denied." - This specific error means that when the policy was being applied to the system, the account in which the policy is being run as did not have permission to make a required change. You can review C:\Winnt\Security\Logs for exact details in Windows 2000, or C:\Windows\Security\Logs\winlogon.log in Windows XP

 

Und in der betreffenden Logfile steht:

---Gruppenmitgliedschaft wird konfiguriert...

Konfiguration von Domäne\Administratoren.

Fehler 1332: Zuordnung von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Keine Systemzuordnung gefunden für Administrators.

Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen.

 

Und Windows XP Prof. Clients:

In den Ereignissanzeigen finde ich keinen Eintrag der etwas mit Gruppenrichtlinien zu tun hat.

 

Und in der betreffenden Logfile steht:

----Gruppenmitgliedschaft wird konfiguriert...

Konfigurieren von Domäne\Administratoren.

Keine Systemzuordnung gefunden für Domäna\Administratoren.

Konfiguration der Gruppenmitgliedscahft wurde erfolgreich abgeschlossen.

 

 

Alles in allem sieht es so aus das den Clients die Berechtigung fehlt in den Gruppenrichtlinien was zu ändern und somit wird die konfiguration der Mitgliedschaften abgebrochen, da von der Einstellung der User-Gruppe als Hauptbenutzer niergends was zu finden ist?!?

 

(Nochmal unter W2k werden keine Änderungen an den Gruppenmitgliedschaften gemacht. Und Unter XP wird erst gar nix eingetragen.)

Link zu diesem Kommentar

Hallo Hotte, erstmal sorry für die Verwirrung ! ;)

 

 

2.erstmal "Zitat":

 

 

 

"Die angegebenen Threads habe ich auf der Suche nach einer Lösung auch gefunden gehabt und sie ja auch schon in Kyro´s Thread reingestellt gehabt. "

 

 

 

Da es sich um um das gleiche bzw. ein folge Problem handelt -- jedoch in unterschiedlichen Threads -- habe ich mir erlaubt den "kommenden Generationen" dieses auch mitzuteilen.

 

Was ich jetzt hier wissen möchte ist:

 

Bearbeitets Du die GPOs von einer XP oder W2K Maschiene aus mit einer mmc ?

Falls so, welche AdminTools sind installiert ? Version?

 

oder mit TS direkt auf dem jeweiligen Server ??

Falls so mit welchem TS-Client ??

 

- Du musst hier natürlich die Frage nicht beantworten , sondern nach dem Zusammenhang "googlen" oder bei MS nachschauen.

 

nice monday

 

Bigtom

Link zu diesem Kommentar

Hallo BigTom!

 

Kein Problem. Bin ja für jede Hilfe dankbar!

 

Zu deinen Fragen:

Die GPO´s bearbeite ich ausschließlich per TS direkt auf dem Server. Dazu verwende ich die TS von meinem XP-Client (Remotedesktopverbindung Version ??; mein XP Prof. ist SP1a)

 

Glaub mir, hab diesbezüglich auch schon gegoogelt und bei M$ geschaut. So richtig was gefunden hab ich noch nicht.

 

Vielleicht noch was für dich zur Erklärung:

Es handelt sich hierbei um einen Neuaufbau einer Domäne, die eine bestehende W2k/NT4 - Mischdomäne ablösen soll. Das ganze Betrifft ca. 200 Clients. Im Moment hab ich die neue Domäne noch nebenher auf 3 Servern und 2 Test-Clients laufen. Sowohl die Server als auch die Clients laufen erst seint ein paar Wochen und die Eventlog´s schauen eigentlich ganz sauber aus. Auch die ganzen Einstellungen, die per Policy mitgegeben werden sind auf dem XP und W2k - Testclients aktiviert (sowohl Computer- als auch Benutzereinstellungen wie z.B. Ordnerumleitung Eigene Dateien, SUS, Internetzugang, eingeschränkte Systemsteuerung, ect.) Das einzige was nicht funktioniert ist das die Gruppen automatisch zugeordnet werden.

 

Gruß

Hotte

Link zu diesem Kommentar

Hallo Hotte,

 

da wir jetzt in etwa die gleiche "wellenlänge" haben.

 

Muss ich Dir leider hierzu Mitteilen, dass alles was man via Chat oder Forum von meiner Seite zu erledigen hätte hier endet.

 

 

nur noch 3

1. Du "weisst was du tust" -- "ich glaube Dir"

2. Du (Dein Geschäft) zahlt KOHLE an MS ---hohl dir dein Recht !

3. Schieb den pol-Kram -- nur mal zum test in die Site&services.

 

 

3. Nur da ich deine topologie nicht kenne -- also ins blaue !

 

great LUCK

 

BigTom

 

Ps.: ich vertrau (klappt auch) den "freundlichen Drittanbietern"

Link zu diesem Kommentar

Hallo BigTom!

 

War schon nix gegen dich! Da ich hier schon längere Zeit mitlese und in etwa 4 von 5 Threads von "Newbies", die Ihre ersten Beiträge hier verfassen, zunächst mal (meistens auch berechtigt) ein Verweiss auf die Suchdienste des Boards bzw. Google kommt, hab ich das wie sonst auch erst mal gemacht. Und dabei bin ich ja auch auf den ein oder anderen Beitrag gestoßen, der mich auf die Möglichkeit der eingeschränkten Gruppen gebracht hat. Ansonsten will ich nicht sagen das ich immer genau weiß was ich tue, bin nicht der Microsoft-Gott schlechthin... Um Himmels willen, NEIN!! Ich hab mittlerweile fast 10 Jahre mit der Sache zu tun und dadurch aber durchaus schon eine gewisse Erfahrung im Umgang mit Microsoft-Systemen. Das ist alles.

 

Dein Tipp mal noch die Richtlinien in Site&Services zu definieren werd ich mal noch ausprobieren und das Ergebniss hier Posten.

 

Vielleicht hat jemand aber auch noch eine andere Idee?!?

 

Gruß

Hotte

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...