coolcat 10 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Hiho Community... ich habe mnal folgende Frage... In meiner Abwesenheit (Urlaub und krank) hatte mein Cheffe die glorreiche IDee auf allen Clients per GPO den Zugriff auf Wechselmedien und CD-Rom´s per GPO zu verbieten.... Dumm nur das er leider nicht bedacht hat das einige Rechner auch mit niedrigeren Rechten als Admin* Zugang zu diesen benötigen.,...Also hat er versucht dies wieder zu beheben indem er die GPO löschte... Er wiss leider nicht mehr was er "noch" gemacht hat, auf jeden Fall war ich überrascht das nach meiner Rückkehr trotzallem diese Nutzergruppe (ohne Adminrechte) keinen Zugriff hat auf Wechselmedien und CD-Rom Laufwerke ( "Zugriff verweigert") Dachte ich Mir Ok er hat es nicht geschafft es zu löschen, aber siehe da es ist keine Richtlinie entsprechend der Restriktionen vorhanden...... 1) Ich dachte es wäre vlt ein Problem mit den AD´s im allgemeinen aber jeder Test (z.b DCDIAG oder NETDIAG) verlaufen Problemlos.... 2) Habe ich dann vermutet das etwas mit der Replizierung nicht hinhauen kann, also Test GPO´s aktiviert und gelöscht und siehe da es geht..... 3) Nun dachte ich Okay dann wird es vielleicht etwas mit der Benutzergruppe sein...also gelöscht und wieder angelegt aber...genau nada geht immer noch nicht....(auch heraufstufen als Lokaler Admin auf dem jeweiligen Client brachte keinen Erfolg) 4) Zum erstaunen aller habe ich dann im Netz Stationen gefunden die unter der besagten Benutzergruppe Zugriff haben auf die gesperrten Laufwerke...... 5) Was kann ich noch machen?.....die anderen (44 stck) sind nicht dazu zu bewegen den Zugriff wieder zu gestatten....ehen die Ideen aus.... Hoffe es kann wer helfen LG Coolcat Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Du kannst das GPO erneut erstellen, aber diesmal alles auf nicht konfiguriert setzen und abwarten. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 12. Februar 2013 Autor Melden Teilen Geschrieben 12. Februar 2013 (bearbeitet) Hi Sunny, Danke für deine Antwort Das mit dem Neu erstellen hate ich schon probiert, bzw. habe es auch auf deaktiviert probiert, bzw. alle Einstellungen einmal durch.....NIx hat sich geändert gehbat.....(sry vergessen in den Ausführungen oben) Nach dem ändern habe ich antürlich auch gewartet und gewartet....aber keine Änderung........dann per gewollter Replizierung /force und ähnlichem alle AD-Teile auf den selben Stand gebracht, sowie auch die Clients manuell angestossen aber nichts..... Wenn ich mir von dem jeweiligen Client die GPo´s anschaue, dann entdecke ich aber uach nicht diese Richtlinie in irgendeiner Form dort......seltsam.... LGCoolcat P.S Werde die GPO nun nochmal erstellen......(habe sie erstellt nun und alles auf Nicht KOnfiguriert" gelassen mal sehen was dann passiert Du kannst das GPO erneut erstellen, aber diesmal alles auf nicht konfiguriert setzen und abwarten. Ist diese nicht Standardmäßig auf "Nichtkonfiguriert" gesetzt? LG Coolcat So GPO erstellt....vergleichsweise noch eine andere erstellt und mittels "erzwingen" auf dem betreffenden Client aktualisiert.....die Beispiel GPO wurde erkannt (Logo im IE) die CD-Rom GPO nicht........Noch eine Idee..... Bin schon am überlegen ob ich die Nutzergruppe nochmal erstellen sollte bzw. lösche und dann erstellen, aber das kann es ja nciht sein.....Was hat der bloß gemacht ich komme nicht dahinter...?? Das hier hat mir die GPO Liste ausgespuckt bei einer GPO Namerns "Autostart" Dort steht ja der Status bei jedem auf 0.......aber ändern kann ich diese nicht.... Administrative VorlagenAusblenden System/AnmeldungAusblenden Richtlinie Einstellung Diese Programme bei der Benutzeranmeldung ausführen Aktiviert Auszuführende Objekte bei der Anmeldung \\Server2\Evident\EVIDENT.EXE Zusätzl. Reg.-einst.Ausblenden Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem. Einstellung Status Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f56308-b6bf-11d0-94f2-00a0c91efb8b}\Deny_Read 0 Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f56308-b6bf-11d0-94f2-00a0c91efb8b}\Deny_Write 0 Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\Deny_Read 0 Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\Deny_Write 0 Jemand ne Idee? LG Coolcat bearbeitet 12. Februar 2013 von coolcat Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Kannst Du einen Testclient in eine OU verschieben, auf der kein GPO verlinkt ist? Am besten eine leere Test OU erstellen, die Vererbung von oben deaktivieren und den Client dorthinein verschieben. DCs replizieren lassen, am Client gpupdate ausführen und unbedingt neu starten, evtl. auch zweimal neu starten lassen. Jetzt mit GPRESULT /H > gpresult.html einen Bericht erstellen lassen. Eigentlich muss jetzt alles weg sein. Zusätzlich kannst Du noch die Registry durchsuchen nach Policies. Alles löschen was drunter ist: HKEY_LOCAL_MACHINE\SOFTWARE\Policies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies Im Dateisystem kann auch noch etwas gelöscht werden, die genauen Pfade hab ich allerdings nicht zur Hand und die GPO-FAQ ist noch nicht Online. Aber es müsste auch so funktionieren. Jetzt den Client wieder in die Ursprungs OU verschieben, DCs replizieren, gpupdate und zweimal neu starten. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 12. Februar 2013 Autor Melden Teilen Geschrieben 12. Februar 2013 (bearbeitet) HKEY_LOCAL_MACHINE\SOFTWARE\Policies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies Muss ich das dann an allen 44 Stationen machen? :) OK ich teste mal wie es sich dann verhält...sag dann bescheid . LG Coolcat hmm sry wenn ich einfach mal eben schnell frage..... Also wir sprechen von dem betroffenen Client in der betereffenden OU ja? Am besten eine leere Test OU erstellen, die Vererbung von oben deaktivieren und den Client dorthinein verschieben. DCs replizieren lassen, am Client gpupdate ausführen und unbedingt neu starten, evtl. auch zweimal neu starten lassen. Jetzt mit GPRESULT /H > gpresult.html einen Bericht erstellen lassen. Eigentlich muss jetzt alles weg sein. Also TESTOU erstellt ; Aus der OU (med) den betreffenden Client (med) in die TESTOU verschoben ; DC´s repliziert und kontrolliert (Testweise auch noch eine weitere OU erstellt und ist komplett vorhanden auf jedem DC) ; gpupdate auf dem Client ausgeführt ; 2 x Neustarten lassen per result Ausgewertet und es sind alle anderen GPOS trotzdem vorhanden ;( Trotzdem den Client dann wieder von der neuen in die alte OU geschoben Rep. durchgeführt und am CLient das Prozedre auch angestoßen Gpupdate, Neustart etc.... Aber trotzdem noch keinen ZUgriff auf das CD-ROM.......wenn ich nun mit Rechtsklick auf das CD-ROM klicke und auswerfen angebe, bekomme ich die Fehlermeldung "das dass Laufwerk gerade in Verwendung ist und" hmmmmm irgendwie bin ich gerade am verzweifeln....... Noch ne Idee? Ausgegangen davon das dieser Weg das ist was Du meintest? LG Coolcat bearbeitet 12. Februar 2013 von coolcat Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Muss ich das dann an allen 44 Stationen machen? :) Wenn es das Problem löst, dann ja. ;) Also wir sprechen von dem betroffenen Client in der betereffenden OU ja? Ja. Also TESTOU erstellt ; Aus der OU (med) den betreffenden Client (med) in die TESTOU verschoben ; DC´s repliziert und kontrolliert (Testweise auch noch eine weitere OU erstellt und ist komplett vorhanden auf jedem DC) ; gpupdate auf dem Client ausgeführt ; 2 x Neustarten lassen per result Ausgewertet und es sind alle anderen GPOS trotzdem vorhanden ;( Du hast die Vererbung von GPOs auf diese OU entfernt? Du hast die Registry Einträge von oben auch gelöscht? Aber trotzdem noch keinen ZUgriff auf das CD-ROM.......wenn ich nun mit Rechtsklick auf das CD-ROM klicke und auswerfen angebe, bekomme ich die Fehlermeldung "das dass Laufwerk gerade in Verwendung ist und" Noch ne Idee? Ausgegangen davon das dieser Weg das ist was Du meintest? Nimm einen Testclient aus der Domain raus. Damit müssen alle ordentlichen Einstellungen ebenfalls weg sein. Wenn es dann immer noch nicht funktioniert, gibt es 3rd Party Software die dir das Leben erschwert. AV-Scanner installiert? Wenn ja, zum testen rückstandsfrei deinstallieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.