Rainerlein 10 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hallo geschätztes Forum, hab bis jetzt viele Probleme durch Euer Forum lösen können. Doch leider finde ich für dieses Problem keine Antwort, bzw. die richtige Suchanfrage dafür. Folgendes Problem: Windows 2000 TerminalServer im Anwendermodus; Die Clients (ausschließlich W2K) melden sich mit ihrem normalen Benutzernamen an und bekommen ihr je nach Organisationsgruppe gehöriges Profil bei denen per Gruppenrichtlinie Einschränkungen vorgenommen werden, d.h. ohne Desktopsymbole und mit einem benutzerdefinierten Startmenü. Soweit so gut! Seit kurzen hat der Administrator bzw. jeder Benutzer mit Admin-Rechten bei der lokalen Anmeldung am TerminalServer eine mir unbekannte Oberfläche. Es erscheint das Standard-TerminalClient Hintergrundbild und das Startmenü beinhaltet nur <Programme> und <Autostart>, sonst nichts. Diese Admin-Benutzer sind definitiv keiner Gruppenrichtlinie oder Organisationsgruppe unterstellt! Wenn ich einen neuen mit Admin-Rechten ausgestatteten Benutzer anlege, hat dieser keine Einschränkungen. Lösche ich das Profil eingeschränkten Admins und melde mich mit diesem Namen dann an, wird das Profil neu erstellt und alles ist wieder vorhanden.Leider nur ein paar Tage, dann sind diese wieder eingeschränkt. Kann mir jemand dazu einen Tipp geben, ich suche leider schon seit mehrer Tagen eine Lösung und finde keine. Für jede Eurer Hilfen bedanke ich mich bereits jetzt!!! Gruß Rainer Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hui hört sich ein wenig verwirrend an. Hast Du mal geschaut, ob bei den Nutzern, die es betrifft wirklich keine GPO angewandt wird? Bei W2K3 kann man das mit gpresult machen, bei W2K müsste es secedit + Option sein, bin mir aber nicht ganz sicher. Was passiert, wenn Du die Nutzer, die es betrifft in eine neu erstellte OU steckst, die keine "UnterOU" ist, also nicht in einer OU steckt, zwecks Vererbung usw. Ansonsten kommen solch extremen Einschränkungen nicht von ungefähr, es muss also irgendeine GPO geben, die die Restriktionen auslöst... Zitieren Link zu diesem Kommentar
Rainerlein 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 Hallo Wolke2k4, Diese Admin-User liegen in dem Standard-OU Names "User". Dort werden auch alle neuen Benutzer abgelegt. Ich hab das Teil 4 Stunden lang nach GPO oder vererbten Richtlinien durchsucht und nichts gefunden. Das Tool GPRESULT kenn ich, jedoch wusste ich von SECEDIT unter W2K nichts. Ich werde mir das Tool mal besorgen. Ich melde mich nochmal ob es funktioniert hat, bis da hin nochmals Danke Zitieren Link zu diesem Kommentar
S. Hardy 10 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Ach noch ein Tip von mir in diesem Falle: Schau nicht nur nach offensichtlichen Vererbungen sondern auch nach "Erzwungen" bzw. ohne GPMC "kein Vorrang".Trotz deaktivierter Vererbung einer Sub-OU wird eine GPO einer übergeordneten OU bei der Option "Erzwungen" bzw. "kein Vorrang" durchgedrückt!Darauf bitte achten! Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 Hallo Wolke2k4, Diese Admin-User liegen in dem Standard-OU Names "User". Dort werden auch alle neuen Benutzer abgelegt. Hmmm aber auf diese OU wirkt ja standardmäßig eigentlich nur die default domain policy... Secedit ist übrigens ganz normal über die CMD ausführbar. Bei falscher Eingabe des Befehls geht auch die Hilfe auf... Zitieren Link zu diesem Kommentar
Rainerlein 10 Geschrieben 24. November 2005 Autor Melden Teilen Geschrieben 24. November 2005 Hallo, ich bin gerade wieder direkt am Server. Leider immernoch gleiches Problem. Mit gpresult sehe ich keinen Unterschied zwischen den eingeschränkten Admins und den nicht eingeschränkten Admins. In der Default System Policy steht definitiv nichts drin bzw. alles auf "nicht konfiguriert". WICHTIG!! Jeder Admin wird irgendwann eingeschränkt. Ohne etwas zu verändern, nur durch ab- und anmelden! Ich kann das leider nicht genau zeitlich nachvollziehen. Egal was ich tue, wenn ich das Profil (c:\dok...einstellungen\benutzername) lösche und es bei der nächsten Anmeldung wieder erstellen lasse, ist alles wieder Wunderbar. Dann melde ich mich vielleicht 10x ab und wieder an und es geht problemlos. am nächsten Tag könnte jedoch ohne jegliche Änderung wieder alles eingeschränkt sein. Ich wußte mir nicht mehr zu helfen, und so hab ich alle Admin-Benutzer in eine extra OU gesteckt und dort sämtliche Vererbungen von Rechten und Richtlinien deaktiviert. Für weitere Hilfen wäre ich wirklich dankbar!! Gruß Rainerlein Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.