Jump to content

Gruppenrichtlinie / Defaul Domain Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Habe versucht Gruppenrichtlinien anzuwenden und dazu OU erstellt usw. das klappte aber nicht, also habe ich ein wenig gelesen Gruppenrichtlinie.de und hier im Forum.

Dann habe ich gelesen, dass die DefaulDomainPolicy auf allen Computern in der Domäne

angewandt wird bzw. werden sollte. Also habe ich versucht erstmal damit versucht Richtlinien durchzusetzen, aber....

Ich habe hier einen SBS2003 Server mit Win2000 und WinXp Clients. Die User sind Benutzer & Administratoren und auf dem Client's lokale Administratoren, Anmeldungen laufen problemlos über den Server.

Habe zunächst mal auf dem WinXP Client per gpresult gecheckt ob die GPO's übernommen werden. Als Antwort bekomme ich dass die Default Domain Policy (DDP) übernommen wird, aber ich habe den Anschein, dass auch das gar nicht funktioniert.

Habe zum Testen auf dem Server in DDP in

computerkonfig>AdminVorlagen>System>Autoplay deaktivieren auf aktivieren gesetzt

so wird dieser wenn ich auf dem Client nachschaue (natürlich nach gpupdate bzw. neuanmelden) gar nicht übernommen.

Aber genau "das" sollte doch jetzt der Fall sein oder nicht?

Was mir dann aufgefallen ist, dass wenn ich auf dem Client gpedit.msc aufrufe und auf lokale Richtlinie oben klicke>Eigenschaften dann wird die Domäne sowie der eindeutige Computername nicht angezeigt.

Anderseits habe ich aber auch eine Ordnerumleitung für die Eigenen Dateien aktiviert, das ging über einen Menüpunkt unter Benutzer in SBS2003 also ohne selber in den GPO's zu arbeiten. Diese Richtlinie wird aber anstandslos übernommen und funktioniert.

Sieht für mich so aus, als würde die Richtlinie vom Server doch nicht richitg gezogen und übernommen? Muß ich auf den Clients noch irgendetwas ändern/installieren? Habe mal etwas von adm Dateien gelesen..?

 

Wäre nett, wenn jemand Rat weiß!

Gruß Umi!

Link zu diesem Kommentar
Muß ich auf den Clients noch irgendetwas ändern/installieren? Habe mal etwas von adm Dateien gelesen..?

Hallo,

 

nein, da muss nichts zusätzlich installiert werden. Die benötigten ADM-Dateien sind Bestandteil des Systems, es sei denn, sie wurden gelöscht.

 

Ich nehme mal an die Clients sind Mitglieder der Domäne.

 

Funktioniert die Namensauflösung? Du weisst, wie das festzustellen ist?

 

Haben sich die Clients im DNS jeweils in der Foreward- sowie in der Reverse-Lookupzone eingetragen?

 

Zeigt die Gruppenrichtlinie am XP sowie am 2k keine Wirkung?

 

Welche Richlinien der DDP wurden aktiviert, Computer- oder Benutzerrichtlinien?

 

Gruß

 

Edgar

Link zu diesem Kommentar

Hallo!

 

Also Danke schonmal für Dein Interesse.

 

1. Client's sind Mitglieder der Domäne

2. Hier scheint der Fehler!

3. Ja in Forward und Reverse sind die Namen und zugehörigen ip's eingetragen

3. weder auf w2k noch auf xp clients greifen die gruppenrichtlinine

 

Allerdings sagt gpresult dass defaultdomainpolicy angewandt wurde!

Was mich schon stutzig gemacht hat ist das wenn ich im Client oder Server im Richtlinineneditor gpedit.msc im oberstne Baum auf Eigenschaften lokaler Computer klicke und dann Eigenschaften, dass hier bei Domäne und eindeutiger Name beides mal unbekannt steht, das sollte doch nicht sein, oder?

 

Aber wie gesagt bei Punkt 2 habe ich einen Fahler ausgemacht, über ping auf dem Server findet sich der Server, hat aber Zeitüberschreitungen bei den Clients, wenn ich von den Clients ping so erhalte ich alle Adressen und Namen!

 

Also stimmt was mit dem Server nicht, ist mir vorher gar nicht aufgefallen, da alle Clients sich ordentlich anmelden und auch Fernsteuerung über Terminaldienst usw. ordentlich funktioniert.

 

Vielleicht eine Idee um das Problem zu lösen?

 

Gruß Umi!

Link zu diesem Kommentar

Verstehe die Frage nicht ganz? Der Server ist der einzige Server und somit auch DNS Server, auf jeden Fall sind dort Zonen und IP's eingetragen.

Oder meintest du in den Netzwerkkarten Einstellungen?

Dort ist zu einem der Server selbst eingetragen und zum anderen ein Router als zweiter DNS.

Das mußte sein, da sonst einige Seiten in den Browsern nicht aufgerufen werden.

Außerdem vergibt der Router die IP's. Diese sind fest eingetragen.

Link zu diesem Kommentar

Hiho,

Dort ist zu einem der Server selbst eingetragen und zum anderen ein Router als zweiter DNS

nimm den Router raus

Das mußte sein, da sonst einige Seiten in den Browsern nicht aufgerufen werden

Falsch, richte beim DNS eine Weiterleitung auf den Router oder einen DNS deines Providers ein.

Außerdem vergibt der Router die IP's. Diese sind fest eingetragen

Richte den DHCP deines Servers ein und konfiguriere ihn vernünftig. Ist IMHO die bessere Wahl.

Was mich schon stutzig gemacht hat ist das wenn ich im Client oder Server im Richtlinineneditor gpedit.msc im oberstne Baum auf Eigenschaften lokaler Computer klicke und dann Eigenschaften, dass hier bei Domäne und eindeutiger Name beides mal unbekannt steht, das sollte doch nicht sein, oder?

gpedit.msc öffnet die lokale Policy des jeweiligen Clients und nicht die der Domäne.

Aber wie gesagt bei Punkt 2 habe ich einen Fahler ausgemacht, über ping auf dem Server findet sich der Server, hat aber Zeitüberschreitungen bei den Clients, wenn ich von den Clients ping so erhalte ich alle Adressen und Namen

Läuft auf den Clients Firewallsoftware? Funktioniert ping mit Namen? Funktioniert ping mit IP? Was sagt nslookup vom Client? Sowohl vom Client als auch vom Server teste und Ergebnis posten.

 

Gruß Guido

Link zu diesem Kommentar

Hi!

 

1.) Umleitung einstellen? Also die Internetverbindung tat auch vorher, ohne den Router, aber einige Seiten wurden (auf dem Server) halt nicht angezeigt, gab dann den Fehler konnte die Seite nicht finden. Habe dann gelesen dass man den Router als zweiten DNS eintragen soll, damit tat alles. Ansonsten wüßte ich auch gar nicht wie ich dem Server noch sagen soll er solle direkt auf den Router zugreifen, was er ja ohnehin eigentlich machen sollte.

 

2.) Der Router soll die festen IP's inne haben, da falls der Server ausfällt, alle anderen Clients, weiterhin IP Adressen bekommen und ins Netz können, dabei verfügen die Clients über lokale Notfallaccounts. Mir ist zwar klar, dass es über den Server laufen kann/soll, aber es geht ja auch über den Router und im Server sind die Adressen zu den PC's ja auch fest eingetragen, also sollte dass doch auch gehen.

 

3.) Ok verstehe gpedit.msc öffnet die lokale Richtlinie, aber diese sollte doch nach Übernahme, bzw Abgleich mit der Domänenrichtlinie, die Teile welche aktiviert bzw. deaktiviert wurden auch explizit enhalten bzw. darin gestellt sein.

Wo müßte ich den sonst nachschauen, welche Punkte der Domänenrichtlinie auf dem Client jetzt wirklich übernommen wurden?

 

4.) ping und nslookup funktionieren von den Clients aus ohne Probleme diese enthalten eine Firewall.

Vom Server gab es aus allerdings Probleme. Den w2k client kann ich problemlos pingen den xp client nicht, anscheinend war auf dem Client die firewall Schuld, dass Problem habe ich aber nun beseitigt

 

==> Wenn ich jetzt nach 3.) nur die lokale Richtlinie sehe, in denen nichts verändert ist, woran erkenne ich dann welche Richtlinien übernommen wurden, gpresult sagt ja dass welche übernommen wurden, aber wo finde ich die auf dem Client zum Anschauen?!

Link zu diesem Kommentar

Hiho,

zu1)

Ansonsten wüßte ich auch gar nicht wie ich dem Server noch sagen soll er solle direkt auf den Router zugreifen, was er ja ohnehin eigentlich machen sollte.

wenn er vom ersten DNS eine Antwort bekommt "kenne ich nicht" fragt er den zweiten DNS eh nicht ab, er fragt diese sowiso nur, wenn er keine Antwort von ersten bekommt. Richte in den Eigenschaften des Servers eine Weiterleitung (forwarding) ein und gut ist.

Umleitung einstellen?

Weiterleitung nicht Umleitung ;) Hier ein Bild mit der Weiterleitung: http://www.msisafaq.de/Anleitungen/2000/Konzepte/DNSAufloesung.htm bisschen nach unten scrollen.

zu2)

2.) Der Router soll die festen IP's inne haben, da falls der Server ausfällt, alle anderen Clients, weiterhin IP Adressen bekommen und ins Netz können, dabei verfügen die Clients über lokale Notfallaccounts. Mir ist zwar klar, dass es über den Server laufen kann/soll, aber es geht ja auch über den Router und im Server sind die Adressen zu den PC's ja auch fest eingetragen, also sollte dass doch auch gehen

Beim Server kannst du auch die IP´s zu MAC Adressen festlegen. Desweitern kannst du wesentlich mehr Einstellungen dem Client mitgeben. Außerdem kann dein Server dann auch die Einträge im DNS eintragen und löschen. Sollte der Server ausfallen kannst du zeitweise immer noch den im Router aktivieren. Deine Clients haben eh eine Leasedauer der IP´s von 8 Tagen, bis dahin solltest du den Server wiederherstellen können. Und lokale Accounts brauchst du nur, wenn der User sich an dem PC wo er dran will noch nie eingeloggt hat. Sein DomProfil wird auf dem Client gespeichert und er kann sich dann auch ohne Server anmelden.

 

zu3) Lad Dir mal den GPMC Group Policy Management Console runter. Dort kannst Du "Ergebnissätze" für PC mit gewünschtem User erstellen. Wie sowas aussieht siehst du hier:

http://www.grurili.de/RiLi/Windows_2000_Computer.htm Das hier ist allerdings eine Übersicht über alle. Beim Ergebnis siehst du dann nur die Einstellungen die gemacht wurden und von welcher Richtlinie sie kam.

 

http://www.microsoft.com/downloads/details.aspx?FamilyID=f39e9d60-7e41-4947-82f5-3330f37adfeb&DisplayLang=de <--- GPMC

 

Achso noch was. Die Reihenfolge beim Übernehmen von GPO´s ist:

lokal -> Standort -> Domäne -> OU

Daher kann in der lokalen nicht das stehen was in den anderen "verstellt" wurde.

 

Lies mal das hier: http://www.netzwerktotal.de/gruppenrichtlinien1.htm

 

zu4) Sicher das die Firewall nicht auch bei den GPO´s reinpfuscht?

 

Gruß Guido

 

PS: auch mal interessant: http://www.mcseboard.de/showthread.php?t=62745&highlight=gpo+reihenfolge

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...