Jump to content
Sign in to follow this  
realmaze

Rechte-Prob bei Benutzern auf Server - Policy?

Recommended Posts

Hi Leutz,

 

Ich hab da mal ein tolles AD Problem mit servergespeicherten Profilen auf nem W2k3 Server :)

 

Angelegt sind sie auf E:\Profile

 

Freigabe von dem Verzeichnis "Profile":

 

Jeder: Nur lesen

Domänen Benutzer: Vollzugriff

Domänen Admins: Vollzugriff

Benutzer: Vollzugriff

Administratoren: Vollzugriff

 

 

NTFS Sicherheit: "Jeder", Benuter + Administratoren haben Vollzugriff

(ich weiß, das ist doppelt gemoppelt...)

 

 

Einstellungen im Profil:

 

Profilpfad: \\server\Profile\%username%

Basispfad: E:\profile\%username%

 

OK... sowiet denk ich OK.

 

Problem:

 

Als Admin kann ich auf der Server generell zugreifen und auch das Profil laden.

 

Als Benutzer darf ich nicht mal "\\server"

Somit komm ich auch nicht auf die Freigabe, er findet logischer Weise kein Profil und fällt auf die Schnauze.

 

Ich vermute mal ein Policy Prob, oder?

 

Ihc habe mal nachgecschaut und dort "Auf diesen Computer zugreifen" die Berechtigung "Jeder" gesetzt. Sowohl bei den Domaincorntoller Policys als auch den für Domänen.

 

*hmpf* ich weiß nich wo ich noch suchen soll. Freigabetechnisch müsste es gehen, aber ich komm nicht auf den Server. Ich muss irgendwie n Denkfehler machen...

 

lt. den NTFS-Effektivrechten habe ich für den Benutzer volles Recht. AUf der Freigabeebene weiß ich nicht, wie ich das ermitteln soll.

Share this post


Link to post

Im Profilverzeichnis muss der Benutzer wenigstens Ändern bei der Freigabeberechtigung und NTFS-Berechtigung haben, da er den Profilordner erstellt und die Berechtigungen für seinen Ordner anpasst, was bei der Abmeldung passiert. Also auf Freigabeebene Jeder - Vollzugriff oder Authentifizierte Benutzer - Vollzugriff (auf Freigabeebene sollte man den Vollzugriff erlauben und die gültigen Berechtigungen via NTFS-Berechtigungen definieren, also hier Ändern für Benutzer z.B.). Den administrativen Zugriff kann man via GPO definieren. Wenn man das macht, muss das GPO auf den Computer angewendet werden, von dem aus der Profilordner in dem Servershare erzeugt wird. Der Benutzer muss Besitztum auf seinen Profilfolder haben, was man aber auch via Gruppenrichtlinie ändern kann. Soviel zu der Profilfreigabe, was Dir aber nicht helfen wird, da Du ja offensichtlich gar nicht auf den Server zugreifen kannst.

Was für eine Meldung bekommst Du denn, wenn ein Benutzer es probiert ? In welchen AD-Gruppen befindet sich ein User, bei dem es nicht klappt ? Wer ist bei dem Benutzerrecht "Zugriff vom Netzwerk auf diesen Computer verweigern" definiert ? Haben die Benutzer Kennwörter ?

Share this post


Link to post

Hey danke für die schnelle Antwort *freu* :)

 

Was für eine Meldung bekommst Du denn, wenn ein Benutzer es probiert ? In welchen AD-Gruppen befindet sich ein User, bei dem es nicht klappt ? Wer ist bei dem Benutzerrecht "Zugriff vom Netzwerk auf diesen Computer verweigern" definiert ? Haben die Benutzer Kennwörter ?

 

 

OK... also: Die AD Config ist momentan noch annähend Standard. Das heißt zu deutsch:

 

User:

 

"Benutzer"

 

ist in Gruppe

 

""Domänen-Benutzer" -> ist Mitglied von Bulitin/Benutzer

 

Benutzer hat ein Kennwort, was den komplexitätseinstellungen entspricht...

 

Ist definitiv ein Berechtigungsprob... aber auf Root-ebene...

 

 

Policy-Regel für Domäne:

 

"nicht definiert"

 

Policy-Regel für Domänencontroller:

 

"nicht definiert" (es war definiert, aber leer... hab's jetzt mal umgestellt auf nicht definiert...)

 

Fehlermeldung:

http://home.arcor.de/martin.zeiske/ms/fehler.JPG

Share this post


Link to post

edit: zu schnell, Augenblick ...

Wer steht im oben genannten Benutzerrecht ? In einem noch nicht angepassten AD sind die Benutzerrechte in Ordnung, die Gruppe Jeder braucht man nicht zufügen (und wenn man es doch möchte um auf den DC zuzugreifen, dann in der Domain Controllers OU) . Als Administrator kannst Du aber vom Netzwerk aus zugreifen ? Was ergibt RSOP.MSC von einem Client aus ? Ist eine Kennwortrichtlinie aktiv ? Die Clients sind auch Member ?

Share this post


Link to post

Als Admin komm ich remote auf den Server, auch auf's Dateisystem - kein Thema.

 

Im Benutzerrecht für "Zugrigff auf diesen Computer vereigern" steht niemand drin. DIe Richtlinie ist nicht definiert.

 

Da scheint irgendwas mit den GPO's falsch zu laufen....

 

wenn ich RSOP.MSC aufrufe bekomm ich folgenden Fehler:

 

Gruppenrichtlinienfehler

 

Die Gruppenrichtlinienergebnissatzdaten sind ungültig. Mögliche Ursache sind beschädigte Daten, oder Daten die gelöscht wurden, bzw. niemals erstellt wurden

 

Ungültiger Namensspace

 

 

Hm.. mir fällt dazu nur eins ein: Ich habe eine OU User und eine OU Admins erstellt um ne besssere AUfteilung über die Benutzer zu haben... Die User hab ich dann entsprechend den OUs verteilt.

Share this post


Link to post

Poste bitte mal IPCONFIG /ALL des Servers und eines Clients und auch, welche Fehler beim Client in der Ereignisanzeige stehen (NETLOGON oder USERENV oder so).

Die Clientrechner sind Mitglied der Domäne , Du wählst auch das Domänenfeld aus und es sind keine lokalen Benutzer angelegt ?

Share this post


Link to post

Client:

 

http://home.arcor.de/martin.zeiske/ms/cmd_pc.JPG

 

Server:

 

http://home.arcor.de/martin.zeiske/ms/server.JPG

 

Fehler im Eventvwr gibts beim Userenv:

 

Der Benutzer oder der Computername kann nicht ermittelt werden. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Netlogon sind keine Probs

 

 

Die Clients sind Mitglied der Domäne und haben folglich ein Computerkonto im AD

Das wurde automatisch angelegt....

 

Ich melde mich auch in der Domäne an...

 

Es gibt halt einen lokalen Benutzer, den lokalen Admin... aber sonst nicht

Share this post


Link to post
Bis auf die DNS-Server Adresse 192.168.1.1 sieht das okay aus. Gib mal bitte \\192.168.0.30 auf dem Client ein ...

 

Die DNS Adresse stimmt :) und das DNS stimmt folglich auch...Subnetting sei Dank...

 

Ihc mals mal eben auf:

 

Internet -> Router -> DMZ (24 Mask, 192.168.1.0 Netz) -> Router -> Grünes Netz (192.168.0.0 Netz)

 

Auf dem W2k3 Srv läuft DHCP + DNS (nur für's grüne Netz, ansonsten Weiterleitung, siehe cmd)

 

edit: ich habe das Spiel mit den OUs Rückgängig gemacht -> Alles User und Gruppen sind wieder in der OU Users (und hoffe das es geht) ich mach ma n Restart und mal sehn, ob ich noch iun die Domäne komm... sonst muss ich wohl den Server neu aufsetzen *g*

Share this post


Link to post

Ist das ein DNS-Server, der dynamische Updates zulässt und SRV-Resource Records unterstützt (ein weiterer 2003/2000 Server) oder ist das ein Router ?

edit: Führe auf dem DC mal den Richtlinienergebnissatz im Planungsmodus aus und wähle einen der Benutzer aus. Du hast geschrieben "annähernd Standard", was ist geändert worden (ausser natürlich User, Gruppen und OU anlegen) ?

Share this post


Link to post

Hm... Problem glaube gelöst. Der Fehler war mal wieer 40 cm vor dem Bildschirm, also OSI Level 8 :)

 

Ihc habe die User und aso weiter wieder in die OU User geshcoben. Jetzt passt es. Hm.. ABer nöächstes Ding: Wie mach ich das, wenn ich die User in einer anderen OU als "Users" haben möchte?

 

Äh die Frage is etwas unpräzise.. Welcher DNS Server? Es gibt 2 :) einen in der DMZ und einen im grünen Netz.

 

Der in der DMZ ist ein "normaler" Router... Sowas wie ne Fritzbox... also auf Linux basierend...

 

Der andere ist der W2k3 Srv.

 

ich hab nur einen Server im grünen Netz.

 

Der ist Domaincontroller, DNS-Server, WINS Server, DHCP Server und WSUS

 

"Führe auf dem DC mal den Richtlinienergebnissatz im Planungsmodus aus und wähle einen der Benutzer aus" Hm.. mal zum lernen: wie macht man das?

 

Es ist nichts weiter apssiert, als das ich OUs angelegt habe und die User entsprechend verteilt habe. Gruppen sind Standard

Share this post


Link to post

Du solltest den Router in der DMZ bei KEINEM Active Directory Member als Primären oder Alternativen DNS-Server eintragen. Dieser Server wird in der DNS-Konsole des DCs als Forwarder eingetragen.

Was genau war der Fehler (für die Nachwelt) ? Eine Gruppenrichtlinie in der Benutzer-OU ?

Einen Richtlinienergebnissatz erstellst Du, in dem Du MMC ausführst, das Snapin Richtlinienergebnissatz zufügst und Richtlinienergebnissatzdaten generierst. Dort kannst Du den Protokolliermodus und den Palnungsmodus auswählen. Wenn die GPMC installiert ist, kannst Du eine Gruppenrichtlinienmodellierung und ein Gruppenrichtlinienergebnis durchführen.

Also simulieren, was passieren würde, wenn der User in der OU über eine langsame Verbindung sich anmeldet z.B

Normalerweise legt man OUs an, alleine schon, um gezielter Richtlinien anwenden zu können (natürlich nicht nur). Laut Deiner Beschreibung nach tritt der Fehler erst auf, wenn die User in einer OU sind (Users ist keine OU, das ist ein Container) ? Was ist das eigentlich für ein Server ?

Share this post


Link to post

Der Fehler war wohl, das ich die User in OUs sortiert habe samt Gruppen. Administartive Gruppen in eine Administrative OU, Benutzer + Benutzergruppen in eine Benutzer OU (nur waren die OU's nicht wirklich konfiguriert, was letztendlich zum Problem geführt hat; ihc habe die OU-Struktur angelegt und die OUs als Container missbraucht. - man lernt halt auch noch... )

 

 

Hab das alles wieder in den Container Users geschoben und jetzt geht's auch wieder...

 

Die OU's waren noch nicht konfiguriert - sind ja auch blos Container

 

Den alternativen DNS hab ich mal beim Server aus der Konfig genommen. Als Forwarder war er ja eh eingerichtet.

 

GPMC ist installiert....

 

Hm... so.. bevor du dich über meinen kleinen Rechner (böse als Server bezeichnet)...

 

Das ist n einfacher Rechner, auf dem ein W2k3 Srv läuft.... Ich nehm das Ding her um genau sowas hier zu lernen. Ich hab zwar ne Ausbildung zum Fachinformatiker gemacht, aber nie wirklich an Servern gearbeitet (deshalb macht man sowas zuhause...) Bevor ich n MCP mach oder das ganze dann noch in 7facher AUsführung zum MCSE (ich glaube eher nicht) will ich das vorher können :)

 

BIs jetzt funktioniert das ganze ganz gut. N bisschen was kann ich halt :) Muss halt mal weiter machen... man lernt halt :)

Share this post


Link to post

Naja, einer der Möglichkeiten von OUs ist, dass man dort Objekte der Ordnung halber platziert. Was Du gemacht hast ist also absolut legitim und üblich (so machen wir das in der Firma auch, sonst würden wir nix wieder finden).

Wenn sich die Benutzerobjekte in einer OU befinden, in der keine fehlerhafte Gruppenrichtlinie wirkt, müssen die sich also anmelden können.

Wäre interessant, warum es in der OU nicht funktioniert, im Users-Container aber schon und deswegen solltest Du mal den Richtlinienergebnissatz/Gruppenrichtlinienmodellierung durchführen und vergleichen ...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...