firefox80 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Hallo Leute! Hier im LAN ist gerade ein Problem aufgetaucht, das ich zwar gleich lösen konnte aber mir ist die Ursache nicht klar: Netzwerksumgebung: - SBS2003Std (\\server) - 2003Std Server (\\backup) - Die beiden Server sind AD integrierte DCs - Über die GPO eingeschränkte Gruppen habe ich alle User zu lokalen Admins gemacht, was auch immer funktioniert hat. Die GPOs sind alle am Server erstellt worden Es fing damit an dass ein User nicht mit Nero brennen konnte. Der Grund war schnell gefunden: Der Domain-User war kein lokaler Admin mehr. Wie konnte also diese GPO Einstellung verloren gehen? Nach dem Login ist mir aufgefallen dass das minimierte Fenster des Login Scripts auf dem Backup ausgeführt wurde. Der Server war aber trotzdem online Die erste Frage die ich jetzt habe ist: Wenn die Anmeldung am \\backup statt findet, was passiert mit den GPOs? Werden diese unter den Servern repliziert? Muss man das händisch machen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Die Gruppenrichtlinien befinden sich in SYSVOL, werden also auch automatisch repliziert . Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Hi Firefox80, hm wohl ein bisserl was falsch verstand vom Konzept der Gruppenrichtlinien. - Die beiden Server sind AD integrierte DCs Gibts nicht AD integrierte DC? ;) => Nein Nach dem Login ist mir aufgefallen dass das minimierte Fenster des Login Scripts auf dem Backup ausgeführt wurde. Der Server war aber trotzdem online Verstehe ich jetzt nicht, was für ein Loginskript, u. was soll das mit deinem Clientproblem zu tun haben? Wenn es dir darum geht, an welchem Server sich der User anmeldet, dass wird automatisch ausgewählt. Der Server der zuerst antwortet, an dem meldet sich der Client an. Kontrolle über "echo %logonserver% Die Replikation von Gruppenrichtlinien erfolgt automatisch, ohne eingreifen, die Gruppenrichtlinien werden physikalisch im Sysvol Verzeichnis gespeichert u. dann über den File Replication Server auf alle DC´s in der Domäne repliziert. \\deine-domain.local\sysvol\deine-domain.local\policies\ Warum deine "eingeschränkten Gruppen" nicht funktioniert haben, hm solltest du evtl. mal in die winlogon.log schauen unter %windir%\security EDIT: Falls die winlogon.log zu wenig hergibt, kannst du wie hier How to Enable Logging for Security Configuration Client Processing in Windows 2000 beschrieben das debug logging aktivieren. LG Gadget Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 4. Oktober 2006 Autor Melden Teilen Geschrieben 4. Oktober 2006 AD integrierte DC? Sorry, bei der Bezeichnung hab ich mich echt vergriffen ;) In meiner verwirrung wollte ich was anderes zum Ausdruck bringen, was aber eh keine relevanz hat In dem Log bin ich fündig geworden: Anscheinend hab ich sowieso einen Konfigurationsfehler, da ich auf allen Clients folgende Meldungen habe: ----Gruppenmitgliedschaft wird konfiguriert... Konfigurieren von lokale admins. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Keine Systemzuordnung gefunden für lokale admins. Konfigurieren von Administratoren. Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen. Bei dem betreffenden Rechner konnte ich folgenden Eintrag finden: ----Gruppenmitgliedschaft wird konfiguriert... Konfigurieren von lokale admins. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Keine Systemzuordnung gefunden für lokale admins. Konfigurieren von Administratoren. *S-1-5-21-2985629752-3477709883-3360069064-512 hinzufügen. Fehler 1387: Ein Mitglied konnte in der lokalen Gruppe nicht hinzugefügt oder entfernt werden, da das Mitglied nicht vorhanden ist. Fehler beim Hinzufügen von *S-1-5-21-2985629752-3477709883-3360069064-512. *S-1-5-21-2985629752-3477709883-3360069064-513 hinzufügen. Fehler 1387: Ein Mitglied konnte in der lokalen Gruppe nicht hinzugefügt oder entfernt werden, da das Mitglied nicht vorhanden ist. Fehler beim Hinzufügen von *S-1-5-21-2985629752-3477709883-3360069064-513. Entfernen von DOMAIN\Domänen-Admins. Entfernen von DOMAIN\Domänen-Benutzer. Konfiguration der Gruppenmitgliedschaft wurde erfolgreich abgeschlossen. Da steht jetzt zumindest, dass die Domänen Konten von der lokalen Administratoren Gruppe entfernt wurde. Helft mir bitte weiter was ich damit anfangen soll! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Beschreibe doch mal, welche Gruppen welchen Scopes Du den lokalen Administratoren zufügen möchtest und wie Du das dann konfiguriert hast ... Zitieren Link zu diesem Kommentar
Koten 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Hi! Du schreibst, Du hast die GPO's am Server erstellt. Kann es sein, dass dieser evtl. ein englisches OS hat und Deine Clients ein deutsches? Da wäre ja dann die Schreibweise der Gruppe der lokalen Administratoren eine andere. englisch: Administrators deutsch: Administratoren Ist so eine Falle, in die ich mal reingelaufen bin... :-) Gruß, Koten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.