Jump to content

GruRiLi greift nicht komplett


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Board,

 

ich habe inzwischen über Google und Boardsuche Stunden zugebracht und kein brauchbares Ergebnis zu Tage gefördert. Deshalb jetzt auf diesem Weg:

 

Ich habe eine Windows 2003 Domäne mit einem Standort. Im AD gibt es eine OU Verwaltung, in dieser OU liegt der Ordner Zentrale, unter Zentrale gibt es User1, User2, PC1 und PC2.

 

User1 soll innerhalb "Verwaltung" lokaler Admin sein.

 

Dies habe ich über eingeschränkte Gruppen gelöst (oder auch nicht)

 

Ich habe eine Sicherheitsgruppe Mit Namen "Lokale Administratoren" erstellt, hier ist User1 Mitglied. Dann habe ich unter Verwaltung eine GRURILI erstellt, hier unter eingeschränkte Gruppen eine Gruppe Names Administratoren erstellt und hier dann die DomänenAdmins, den Administrator sowie die Gruppe LokaleAdministratoren zum Mitglied gemacht.

 

Alle Eigenschaften aus der Gruppenrichtlinie unter Verwaltung werden auf diesen PC1 übertragen, (Laufwerksmapping, Druckerzuweisung, Batchausführung....), der User1 bleibt allerdings einfacher Benutzer. Ich habe auf dem DC schon mehrfach gpupdate ausgeführt, Tagelang abgewartet, nichts.

 

In einer anderen OU habe ich es mit User3 für PC3 und PC4 genauso gemacht, da funzt es einwandfrei.

 

Und jetzt? Das gibts doch nicht. WAS MACHE ICH FALSCH?

 

Danke schon jetzt für Eure Hilfe.

 

Gruß

 

Stefan

Link zu diesem Kommentar

Hallo

 

Grundsätzlich musst Du auf den angeschlossenen CLients, also Client1 und Client2 gpudpate /force machen und nicht auf dem domaincontroller.

 

wichtig in diesem Zusammenhang sind, dass als 1. DNS Server auf den clients der Domaincontroller eingetragen ist, da sonst Richtlinien nicht sauber applied werden (Es hat dann auch den SCECLIENT Error im APPS Log drin).

 

Ich wuerde mal unter http://www.gruppenrichtlinien.de nachschauen. Dann wenn Du 2003 einsetzt den GPMC (freedownload von Microsoft) auf dem DC installieren. Damit kannst Du Fehler direkt Analysieren. Sn bisschen Gewohnungsbedürftig aber sonst ein Suppertool.

 

Ich habe bei mir das anders gelöst indem ich eine Admins_%computername% Gruppe mit ldap VB Scripting anlege. Danach füge ich diese Gruppe automatisch der local administrator Gruppe hinzu.

 

Einzig was ich mich frage, wieso Du den Domainadmin hinzufügen willst, denn dieser wird bei dem Joining-Prozess des Gerätes per default schon eingefügt.

 

 

Gruss,

 

Matthias

Link zu diesem Kommentar

Danke Matthias für deine prompte Hilfestellung, freut mich.

 

Original geschrieben von gysinma1

wichtig in diesem Zusammenhang sind, dass als 1. DNS Server auf den clients der Domaincontroller eingetragen ist, da sonst Richtlinien nicht sauber applied werden (Es hat dann auch den SCECLIENT Error im APPS Log drin).

 

Der DC wird per default per dhcp zugewiesen und steht unter ipconfig /all auch drin.

SCECLIENT Meldet dass alle Sicherheitsrichtlinien erfolgreich angewendet wurden :-(

 

Ich habe bei mir das anders gelöst indem ich eine Admins_%computername% Gruppe mit ldap VB Scripting anlege. Danach füge ich diese Gruppe automatisch der local administrator Gruppe hinzu.

 

Da kenn ich micht nicht genug aus. Ich bin froh dass die Standardscripte soweit laufen. Kann dies einfach erklärt werden?

 

Einzig was ich mich frage, wieso Du den Domainadmin hinzufügen willst, denn dieser wird bei dem Joining-Prozess des Gerätes per default schon eingefügt.

 

Weil mir jemand gesagt hat dass die eingeschränkte Gruppen die defaults überschreiben und somit nur noch diejenigen lokale Admins sind die in dieser eingeschränkten Gruppe drin sind.

 

Mir scheint als würde nur dieser Punkt "eingeschränkte Gruppen" nicht auf den Client angewendet. Wie gesagt: Die Scripte laufen soweit!

 

Gruß

 

Stefan

Link zu diesem Kommentar

Hallo

 

Natürlich erkläre ich das gerne ein bisschen ausführlicher, wie ich das meine mit den Scripten. Nun dies ist allerdings eher dafür gedacht, wenn Du

a) Serverbuilds machst

b) Geräte von Grund auf neu installierst.

 

Obwohl ich denke, dass dies in dem vorliegenden Fall weniger zutrifft kurz das Ganze erklärt:

 

Vielmals ist es ja so, dass Server von einer zentralen IT aufgesetzt und ausgeliefert werden. Das Business betreibt dann diese Server meist als Applicationserver. Da wir nicht wollen, dass KretiPleti den lokalen Admin oder gar den Domainadmin kennt, generieren wir eine zusätzliche Securitygroup in der AD mit der Syntax: admins_%countrycode%_%servername%

 

In diese Gruppe fügen wir dann die künfitgen Serveroperators, welche ihre Applikationen auf den Dingern installieren hinzu als ganz normale Gruppenmitglieder.

 

Soweit der organisatorische Scope. Nun der praktisch, technische Scope:

 

1. mit LDAP auf in der AD die Gruppe admins_%countrycode%_%servername% anlegen (in der richtigen OU etc.). Suche dazu unter ldap, benutzer anlegen, script im google (ich hab leider den Sourcecode nit grad zur Hand).

 

2. mit net localgroup administrators admins_%countrycode%_%servername% /add diese Gruppe hinzufügen.

 

Das geschieht bei der Installation des Serverimages vollautomatisch.

 

 

 

 

 

"Weil mir jemand gesagt hat dass die eingeschränkte Gruppen die defaults überschreiben und somit nur noch diejenigen lokale Admins sind die in dieser eingeschränkten Gruppe drin sind. "

 

Das kann ich mir nicht vorstellen, denn default sind diese Angaben leer. Aber ein Versuch habe ich soeben gestartet ...

 

Um aber an Deinem Problem teilzuhaben: Hast Du die clients schon einmal rebooted. Allenfalls mal ein Gerät aus der Domain nehmen (rebooten) wieder heinnehmen (rebooten) ... wichtig vor dem Rebooten nach dem Joining der Domain sollte der Domain Admin bereits drin sein bei den localadmins.

 

 

Gruss,

 

Matthias

Link zu diesem Kommentar

Hallo Matthias,

 

ich habe den PC aus der Domain rausgenommen, im AD von Hand gelöscht und dann wieder reingenommen. Jeweils Reboot dazwischen.

 

Ich habe mal das Tool GPRESULT.EXE laufen lassen. Hier kommt mir eines komisch vor:

 

the Computer received "Skripts" settings from

 

GPR_Verwaltung

 

the Computer received "Security" settings from

 

Default Domain Policy

 

Er scheint also die Sicherheitsrichtlinien nicht von meiner selbst erstellten GPR_Verwaltung zu übernehmen.

 

Gruß

 

Stefan

 

Ich habe innerhalb von OU Zentrale einen weiteren PC, hier erhält User1 lokale Administratorrechte.

Link zu diesem Kommentar

Hallo

 

Ich habe das Gefühl, dass Deine Default Domain Policies die zusätzliche gpr_verwaltung überschreiben.

 

Installiere mal den gpmc und prüfe welche policie "stärker" ist. Dieses Tool hilft Dir wirklich weiter. Auch kannst Du eine solide Analyse machen, welches die "winning Policy" ist. Mit gpresult bekommst Du das nur bedingt hin.

 

 

Grundsätzlich ist, sofern ein Parameter gesetzt ist, die default Domain Policy stärker.

 

 

Dann noch ein Test: Der Domainadmin wird nicht entfernt. Es ist sogar so, dass wenn ich einen Benutzer definiere dieser eingetragen wird. Wurde dieser Benutzer mittels Policy eingetragen, so kann ich diesen auch wieder heraus nehmen indem ich ihn einfach wieder in der Policy lösche.

 

Accounts die schon existierten fasst die Policy jedoch nicht an.

 

 

Gruss,

 

Matthias

Link zu diesem Kommentar

Hallo und Guten Morgen Matthias,

 

ich habe am Wochenende das SnapIn GPMC auf dem Server installiert, wirklich eine feine Sache. Danke für den Tipp.

 

Allerdings lässt sich mein Problem damit immer noch nicht lösen da die Analyse eines Remoten PCs erst ab WIN XP funktioniert, bei mir läuft noch WIN2000. Na ja, schade. Ich muss mal sehen wie ich weiterkomme. Komisch ist dass ein weiterer PC innerhalb der selben OU die GRURILI zieht und somit der User1 lokaler Admin ist.....

 

Ich möchte mich auf jeden Fall herzlich für deine Bemühungen bedanken. Merci.

 

Gruß

 

Stefan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...