Richtlinien für einzelne Benutzer oder Sicherheitsgruppen einrichten

[JackLevin 10]

Hallo!

 

Ich möchte über Sicherheitsgruppen Software an bestimmte einzelne Benutzer innerhalb einer OU verteilen. Ich bin dabei wie unter http://www.gruppenrichtlinien.de "How To", "Richtlinien für Benutzergruppen" vorgegangen. Nebenbei bemerkt: Ich arbeite mit Win 2k Ad Server.

 

Im einzelnen habe ich folgendes gemacht:

 

1. Über die Eigenschaften der zu konfigrierenden OU im 'Active Directory Benutzer und Computer' den Reiter Gruppenrichtlinien angewählt. Hier 2 neue Richtlinien (sind die einzigen) erstellt. Eine für 'Angestellte' (mehr Rechte, steht auch oben) und eine 'Praktikanten' (mit weniger Rechten, steht unten).

2. Danach habe ich in der OU zwei globale Sicherheitsgruppen erstellt, in der ich auch Benutzer zugewiesen haben (jeweils nur eine Gruppenzugehörigkeit!!).

3. Danach habe ich jeweils ein Paket in Richtlinie 'Angestellte' und 'Praktikanten' erstellt.

 

-> Das Ergebnis: es wurde nichts installiert.

 

4. Daraufhin habe ich die Pakete mit Vollzugriff ausgestattet, da ich auf der Seite gruppenrichtlinien.de gesehen habe (durch frieda!!), dass manchmal erhöhte Zugriffsrechte benötigt werden um das Paket zu verteilen.

 

-> Das Ergebnis: es wurde nichts installiert. Mir fiel anschließend auf, dass oben auf der Seite ja auch dick und fett drauf steht, dass es nach dieser Anleitung nicht klappt!! :rolleyes:

Daraufhin habe ich nach einer anderen Anleitung gesucht.

 

Auf der Seite http://www.rsbesigheim.de/profile/iuk/modellnetz/konzeption/gruppenstruktur.htm steht etwas mehr über Gruppen und deren Eigenschaften. Die legen zusätzlich zu ihren globalen Sicherheitsgruppen lokale Sicherheitsgruppen an, über welche sie dann die Rechte steuern. :suspect:

 

5. Erstellte zwei lokale Sicherheitsgruppen, welche ich mit den globalen Gruppen verknüpfte.

 

-> Das Ergebnis: es wurde nichts installiert. :(

 

Nun bin ich ehrlich gesagt etwas ratlos. Habe ich irgendwas vergessen??? Kennt sich jemand mit der Thematik aus?

 

Bin dankbar für jede Hilfe... ;)

[domi974 10]

Hallo,

 

willst Du die Software über die Computerkonfiguration oder Benutzerkonfiguration vereilen? Die Maschinen müssen ebenfalls mindestens Leserecht auf die msi-dateien bzw. auf das Installationsverzeichnis haben. Dazu genügt die Gruppe "Authentifizierte Benutzer" hinzuzufügen.

 

Was haben die Clients für ein OS? Wenn WXP, dann auf Start --> Ausführen und rsop.msc eingeben. Dort wird dir der Gruppenrichtlinien-Ergebnissatz angezeigt. D.h. Du siehst, wo Fehler bei den GPOs aufgetaucht sind. Funzt aber nur mit WXP!

 

Ansonsten den Link http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php mal besuchen. Dort steht was über Gruppenrichtlinien (2. Teil auch lesen).

 

Läuft der DNS richtig? Probleme mit GPOs können auch aus einem nicht richtig konfiguriertem DNS resultieren.

[JackLevin 10]

Hallo domi974!

 

Danke für die Antwort. Das mit dem "rsop.msc" war ein guter Tipp!! :wink2: Kannte das Tool zwar schon, ist mir abr entfallen, es anzuwenden... Die Clients besitzen WinXP, die Fehlermeldung lautet:

 

"Die aktuellen Versionen der ADM-Dateien sind nicht verfügbar. Dies kann durch nicht ausreichende Berechtigungen oder nicht verfügbare Netzwerkressourcen verursacht worden sein. Die lokale Kopie dieser ADM-Dateien wird verwendet."

 

Habe die Authentifizierten Benutzer mit Leserechten hinzugefügt, das müsste ja eigentlich reichen. Erscheint mir aber schleierhaft, dass es daran liegt, denn der Mark Heitbrink auf http://www.gruppenrichtlinien.de hat die nämlich auch nicht drin.

 

Am DNS sollte es eigentlich nicht liegen, das hat nämlich bis jetzt funktioniert... :wink2:

[domi974 10]

Benutzt Du die ADM-Dateien von W2K oder von WXP? Anderseits dürften die keine Rolle bei der Softwareverteilung spielen...?

 

Ist das die Fehlermeldung für die Softwareverteilung? Eher nicht, oder? Werden denn irgendwelche Richtlinien übernommen?

[JackLevin 10]

Morgen!

 

Habe nochmal nachgesehen wie die Fehlermeldung genau aussieht. Unter Details steht noch folgendes:

 

"inetres.adm

Standort - "\\CLIENT01\admin$\System32\GroupPolicy\Adm\inetres.adm"

Fehler - Zugriff verweigert

wmplayer.adm

Standort - "\\CLIENT01\admin$\System32\GroupPolicy\Adm\wmplayer.adm"

Fehler - Zugriff verweigert"

 

-----------------------------------

Habe gerade nachgeschaut, inetres.adm bestimmt Richtlinien für den Internet Explorer 6.0 und wmplayer.adm wohl die für den Media Player, also nix ernstes...

-----------------------------------

 

Ich denke die ADM Files werden von meinem AD übernommen, auf dem ist Win2kAdServer drauf... :suspect:

 

-----------------------------------

Also ich glaube es liegt an was anderem. Ich habe es gerade ausprobiert. Sämtliche Sotwarezuweisungen der OUs werden nicht mehr übernommen. Dabei wird keine Fehlermeldung über "rsop.msc" abgegeben!!! Bei meinen Tests habe ich die Richtlinien 'Angestellte' und 'Praktikanten' deaktiviert. Ich verstehe aber nicht warum die Softwarezuweisungen nicht mehr übernommen werden... :(

-----------------------------------

[JackLevin 10]

Salli!

 

Ich habe eine Fehlermeldung bei den Clients abfangen können. Sie lautet:

 

"Softwareinstallation hat die Synchronisierung der Richtlinieneinstellungen im Rahmen einer Vordergrundaktualisierung angefordert. Dies kann durch Änderungen der Richtlinieneinstellungen verursacht worden sein."

 

Weiss jemand damit was anzufangen?? Ich habe ein msi-Paket über die Computerkonfiguration verteilen wollen. Diese ist über den Aufruf von rsop.msc am Client mit einem gelben Dreieck mit Ausrufezeichen versehen... :suspect: