Jump to content

Deutsche GPO auf engl. Servern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Guys !

Hier kommt eine interessante Aufgabenstellung, zu der ich noch keine Lösung gefunden habe (obwohl das doch bestimmt auch schon anderen passiert ist ????) :

 

Hab eine deutschsprachige w2k3-ADS-Struktur mit deutschsprachiger Domain GPO.

Jetzt kommen die ersten englischsprachigen Server dazu und siehe da - es knackt im Gebälk!

 

In der Domain Policy gibt es ein Recht "Anmelden als Batch" - da sind deutschsprachige Berechtigungseinträge drin ("Vordefiniert\Administratoren" usw.) . Diese Einträge produzieren jetzt auf den englischen Servern (logischerweise) massenweise Fehlermeldung (Event 1202) und nöhlen mir das Eventlog voll, weil die engl. Server kein "Vordefiniert" kennen.

 

Jemand eine Ahnung, wie ich die GPO so einstellen kann, daß dass diese Berechtigungseinträge auf den Servern in der jeweiligen Sprache genutzt werden ? Bin ich der Einzige auf dieser Welt, der englischeUND deutsche W2K3-Server administriert ?

 

Wäre gut, wenn Hilfe herbei eilt.

 

Gruß Frank

Link zu diesem Kommentar

ich habe mir erst mal sehr viele gedanken gemacht ob und wie ich auf diesen artikel antworten kann (werde).

 

ich behaupte einfach mal das was du vorhast von vornherein zum scheitern verurteilt ist. im grunde wäre es einfach, aber da haben die MS guys von anfang an nicht mitgedacht. ich meine damit das man die gruppen nicht unbedingt hätte übersetzen müssen. will sagen z.b. "domain admins" hätten auch in den sprachversionen "domain admins" bleiben sollen und in deutschland nicht zu "domänen-administratoren" mutieren sollen. das hat nämlich noch viele andere problem wie z.B. das du in scripts keine umlaute verwenden kannst. da wird dann z.B. das "Startmenü" im skript zum "Startmen³" obwohl es richtig im skript steht. MS hat hier also ein babylonisches sprachgewirr geschaffen das sich nicht mal selbst beherrscht.

 

ich kenne mehrere "sehr" deutsch firmen die im backend bereich nur englische sprachversionen einsetzen und im frontend deutsch und das gibt keine problem, wie das aber genau mit AD abläuft kann ich dir leider auch nicht sagen. evtl das Multi Language Pack? ich habe das noch nie getestet.

 

als (unschöne) lösung kann ich dir ad hoc im moment nur empfehlen die server, wo es beisst, über lokale richtlinien zu arbeiten und in zukunft entweder alles auf englisch oder alles auf deutsch abzubilden.

 

aber evtl. haben andere schreiber hier bereits erfahrung damit und teilen es hier noch mit. wenn nicht werdet ihr wohl ein konzept von einem systemhaus kaufen müssen.

 

edit: da hab ich dann doch (evtl) noch was in google gefunden:

 

http://www.microsoft.com/globaldev/reference/win2k/setup/restrict.mspx

Link zu diesem Kommentar
In der Domain Policy gibt es ein Recht "Anmelden als Batch" - da sind deutschsprachige Berechtigungseinträge drin ("Vordefiniert\Administratoren" usw.) . Diese Einträge produzieren jetzt auf den englischen Servern (logischerweise) massenweise Fehlermeldung (Event 1202) und nöhlen mir das Eventlog voll, weil die engl. Server kein "Vordefiniert" kennen.
Hallo,

 

Dirk ist zu zustimmen.

 

Was mir nicht aufgeht, warum deutsche Gruppenrichtlinien auf englichsprachigen Servern?

 

Was ist mit deutschen Gruppenrichtlinien gemeint, die ADMs?

 

Gruß

 

Edgar

Link zu diesem Kommentar

Vermutlich meint er die Secedit-Templates, die vom Gruppenrichtlinien-Editor erzeugt werden. Allerdings sehe ich nur bei

 

[Privilege Rights]

seundockprivilege = Benutzer,Hauptbenutzer,Administratoren

setcbprivilege = Administratoren,Benutzer

setakeownershipprivilege = *S-1-5-18,Administratoren

sesystemtimeprivilege = Hauptbenutzer,Administratoren

sesystemprofileprivilege = Administratoren

sesystemenvironmentprivilege = Administratoren

sesyncagentprivilege =

seshutdownprivilege = *S-1-5-18,Sicherungs-Operatoren,Hauptbenutzer,Benutzer,Administratoren

 

[...]

 

Reale Namen.

 

Bei

 

[File Security]

"%SystemRoot%\inf\usbstor.PNF",2,"D:PAR(D;OICI;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)"

"%SystemRoot%\inf\usbstor.inf",2,"D:PAR"c:\programme",2,"D:P(A;OICI;GXGR;;;BU)(A;OICI;SDGXGWGR;;;PU)(A;OICI;GA;;;BA)(A;OICI;GA;;;SY)(A;OICI;GA;;;CO)"

"c:\windows",2,"D:P(A;OICI;GXGR;;;BU)(A;OICI;SDGXGWGR;;;PU)(A;OICI;GA;;;BA)(A;OICI;GA;;;SY)(A;OICI;GA;;;CO)"

"c:\windows\tasks",1,"D:AR"

 

[...]

 

Stehen irgendwelche ID's. Die sollten auch in Englisch gehen.

 

-Zahni

Link zu diesem Kommentar

Hallo Dirk und Zahni,

 

ich rede über die "default domain policy".

Ich war wie ihr ebenfalls der Meinung, dass Windows dort, was die Berechtigungen betrifft, nur mit SID´s hantiert (wäre ja auch intelligent gewesen!) - aber es ist leider so, daß dort (sichtbar in den gpt0000x.inf-Files auf dem einzelnen Server) neben SID´s gerade die von Windows vorgegebenen Objekte wie "Domänen-Administratoren", "Vordefiniert" u. Ä. klartextlich aufgeführt sind...

 

Da die default domain policy für alle Server gilt, also unerheblich, ob diese ein deutsches oder englisches Betriebssystem aufweisen, knallt es dann bei allen Nicht-deutschen Windows-Versionen.

 

Ich habe testweise mal auf einem englischen Server diese Einträge in der GPT00001.inf ins englische übersetzt (also "domain-Admins" usw - und siehe da, es geht einwandfrei...

 

Frage :

1.) Gibt es hierzu ein Patch, der bei der Übernahme der Default Domain Policy die Einträge in die lokale Sprache übersetzt ?

 

Wäre schön, wieder von euch zu hören!

 

Gruß Frank

Link zu diesem Kommentar

Hallo,

 

ich hab das gleiche Problem und suche nach einer Lösung. Ich möchte gern mit einer Server Policy die lokale Anmeldung auf die Gruppe der Administratoren beschränken.

Die Domänen Controller sind alle in englisch, es gibt aber auch einige Applikationsserver die in deutsch sind. Wenn ich die Richtlinie konfigurieren will, kann ich nur "Administrators" auswählen, die deutschen Server erkennen den aber nicht, weil sie nur auf Administratoren hören, es findet keine SID Übersetzung statt. Ich hab somit immer das Problem, das die Richtlinie, ob deutsch oder englisch, nicht angewandt wird. Ich habe mir schon überlegt einfach eine neue Gruppe anzulegen und die Domänenadmins aufzunehmen, das geht aber auch nicht, weil die Gruppe der Administratoren immer bei der lokalen Anmeldung dabei sein müssen, das ist eine Sicherheitsmaßnahme um sich nicht selbst auszuschliessen.

Ist das ein genereller Bug oder was kann man da machen?

 

Grüße

hekmek

Link zu diesem Kommentar

Das Problem existiert seit W2K.

Auf dem Server eine Security Group anlegen, die der anderspsrachlichen Installation entspricht,

die BuiltIn als Member reinhängen und das Eventlog ist wieder sauber.

Hier wars ein SBS2K (US) dem eine deutsche W2k Unterstützung zugeteilt wurde.

Auf dem W2K kam natürlich der Fehler - also im SBS die Administratoren anlegen;

mit Leben füllen und gut ist.

Link zu diesem Kommentar

@Urmel

das funktioniert ja eben nicht immer da z. B. bei der Richtlinie lokale Anmeldung die Gruppe der Administratoren nicht entfernt werden kann.

Ich habe aber einen Workaround herausgefunden, der zu funktionieren scheint:

Wenn man die generierte INF Datei im Sysvol Ordner der jeweiligen Policy öffnet findet man die Gruppennamen im Klartext. Wenn man jetzt diese Namen durch die SID mit einem vorangestelltem Stern(*) ändert, funktioniert die Übersetzung wieder auf allen Systemen.

Bei einigen Richtlinien wie z.B. "anmelden als Dienst" funktioniert das von Haus aus, anscheinend aber nicht bei allen Richtlinien.

 

Grüße

hekmek

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...