Jump to content

AD - Rechteproblem ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

ich bin derzeit am Verzweifeln. Folgende Situation:

 

SK8R2 mit einer Domäne

 

Ziel:

- Umstellung von Arbeitsgruppenstruktur in Domänen-/AD-Struktur.

- neuer IP-Kreis

 

So sind wir vorgegangen;

- User (ca. 100) wurden angelegt, <vorerst> mit Domänen-Admin-Rechten.

- dann zu jedem PC gegangen in die Domäne geholt

- Neustart

- mit dem jeweiligen Domänen-User angemeldet

- Neustart

- mit Admin angemeldet und das lokale Userprofil ins Domänenuser-Profil (servergespeichert) kopiert (Systemeigenschaften)

 

Dies klappte soweit alles ganz gut, alle hatten ihre eigenen Daten usw. . Nun wurden Gpo's angelegt, Laufwerkmappings, und ein paar Kleinigkeiten.

 

Wenn die User noch Domänen-Admins sind klappt alles vorzüglich.

Setze ich sie aber auf Domänen-Benutzer und entferne die Admins, dann geht nichts, ausser das Homeverzeichnis.

 

Auf die jeweiligen Freigaben kommt man im Explorer super, nur gemappt werden sie nicht :-/ Er behauptet dass er sie anwendet, aber im Arbeitsplatz ist nichts zu sehen.

 

Hat jemand von Euch 'ne Vermutung, dass kann eigentlich nur etwas Banales sein oder ? by the way: die User die angelegt wurden, da klappt es net.

Wenn ich einen neuen User anlege (ohne ein profil zu kopieren) geht es...

 

Nur will ich natürlich nicht, alle User neu anlegen, weil ja mglw. auch die eig. Dateien dann nicht erreichbar wären.

 

Ich denke, ich sehe den Wald vor lauter Bäumen nicht, sicher gibt es bei Euch jemanden, der das kennt oder ??

 

Wenn Ihr noch Infos braucht, bitte schreiben,

vorab vielen dank !

bearbeitet von remdozza
Link zu diesem Kommentar

- User (ca. 100) wurden angelegt, <vorerst> mit Domänen-Admin Rechten.

 

Weshalb das denn? Ist vollkommen unnötig.

 

wenn die user noch domänen-admins sind klappt alles vorzüglich.

setze ich sie aber auf domänen-benutzer und entferne die admins, dann geht nichts, ausser das homeverzeichnis.

 

Sind die Fehlermeldungen auf den Clients geheim? Wenn nein, kannst Du ja mal bei Troubleshooting Microsoft Windows Event Logs die dort angebotenen Lösungen durchgehen.

 

auf die jeweiligen freigaben kommt man im explorer super, nur gemappt werden sie nicht :-/ er behauptet dass er sie anwendet, aber im arbeitsplatz ist nichts zu sehen.

 

Wer hat das behauptet? Der Hund vom Nachbarn? Nochmal: Fehlermeldungen im Ereignisprotokoll?

Link zu diesem Kommentar
Weshalb das denn? Ist vollkommen unnötig.

 

Ach... Wenn ich das erzähle... lange Geschichte...

 

Sind die Fehlermeldungen auf den Clients geheim? Wenn nein, kannst Du ja mal bei Troubleshooting Microsoft Windows Event Logs die dort angebotenen Lösungen durchgehen.

Es gab ja keine!

 

 

Wer hat das behauptet? Der Hund vom Nachbarn? Nochmal: Fehlermeldungen im Ereignisprotokoll?

gpresult hat das behauptet...

bearbeitet von remdozza
Link zu diesem Kommentar

Was passiert wenn du die Laufwerke manuell über net use t: \\UNC-Pfad\ verbindest?

Was ist die Ausgabe von "net use"?

 

Die Laufwerke werden über die GPO gemappt?

Oder klassisch per Batch?

 

Mal nen Testuser angelegt, der mit Blankoprofil angemeldet wird?

 

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

Link zu diesem Kommentar
Was passiert wenn du die Laufwerke manuell über net use t: \\UNC-Pfad\ verbindest?

Was ist die Ausgabe von "net use"?

 

Die Laufwerke werden über die GPO gemappt?

Oder klassisch per Batch?

 

Mal nen Testuser angelegt, der mit Blankoprofil angemeldet wird?

 

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

 

Holá strained,

 

erster Versuch war Einbindung via cmd-File. Als Domänen-Admin alles wunderbar. Als Domänen-Benutzer nicht.

 

Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht :(

 

Testuser wurde angelegt, als Domänen-Benutzer, mit dem klappt alles. Nur nicht mit vorhandenen Usern, die, leider, bereits Domänen-Admin Rechte haben.

(die will ich ja wieder wegnehmen :-P)

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

Link zu diesem Kommentar
Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht

 

Genau deswegen wäre das hier interessant:

Mal geschaut was "rsop.msc" auf dem Client so alles erzählt?

Und die Gruppenrichtlinienergebnisse in der Gruppenrichtlinienverwaltung des Servers?

-> für die GPO-Ergebnisse musst du dich ja nicht interaktiv als User anmelden.

 

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

Der User muss auf dem Client (XP, 7, etc) Mitglied der lokalen Gruppe "Remotedesktopbenutzer" sein.

Link zu diesem Kommentar

erster Versuch war Einbindung via cmd-File. Als Domänen-Admin alles wunderbar. Als Domänen-Benutzer nicht.

 

Und was passiert stattdessen? Wie genau hast Du das cmd eingebunden? Lass dir nicht alles aus der Nase ziehen.

 

Nun hatte ich vor die Funktion "Laufwerkszuordnung" (Benutzerkonfiguration->Einstellungen->Windows-Einst.->Lwzuordnung) zu nutzen. Klappt bei mir super, bei Benutzern (bestehenden) nicht :(

 

Melde dich als Benutzer an und kontrollier mit RSOP.MSC ob die GPO überhaupt ankommt. Sind das XP-Clients? Wenn ja, ist KB943729 installiert? Wenn nein, hol das nach. Für die Group Policy Preferences muß das Update installiert sein.

 

Hast Du die GPO auch auf Benutzerobjekte wirken lassen? Merke: Gruppenrichtlinien greifen nicht auf Gruppen. Zeig doch mal kurz die Struktur des AD.

 

Testuser wurde angelegt, als Domänen-Benutzer, mit dem klappt alles. Nur nicht mit vorhandenen Usern, die, leider, bereits Domänen-Admin Rechte haben.

 

Wo genau ist der Testuser abgelegt und wo genau die bisherigen User?

 

Ich komme momentan nicht als Domänen-Benutzer auf einen Clienten (bin nur remote drauf und finde auf die schnelle nicht den Knopf, damit ich mich als Benutzer remote anmelden kann, als RDP-User ist er konfiguriert).

 

Das Benutzerkonto muß in der Gruppe der lokalen Remote Desktop Benutzergruppe sein. Eingeschränkte Gruppen

Link zu diesem Kommentar
Und was passiert stattdessen? Wie genau hast Du das cmd eingebunden? Lass dir nicht alles aus der Nase ziehen.

mit net use t: \\xx01\freigabe /persitant:no

freigabe ist für eine benutzergruppe angelegt.

 

Melde dich als Benutzer an und kontrollier mit RSOP.MSC ob die GPO überhaupt ankommt. Sind das XP-Clients? Wenn ja, ist KB943729 installiert? Wenn nein, hol das nach. Für die Group Policy Preferences muß das Update installiert sein.

Nach dem Install des Updates klappte es ordentlich mit der LW-Zuordnung (also nich cmd) und als Admin. Jedoch änderte es nichts bei den Benutzern. RSOP liefere ich gleich.

 

Hast Du die GPO auch auf Benutzerobjekte wirken lassen? Merke: Gruppenrichtlinien greifen nicht auf Gruppen. Zeig doch mal kurz die Struktur des AD.

Ähm, wie? Ich habe bei einem Mapping (Transferlw) auth. User hinterlegt.

 

 

Wo genau ist der Testuser abgelegt und wo genau die bisherigen User?

Ich habe unter der Domäne eine neue OU angelegt-> Benutzer, hier liegen alle User.

 

Das Benutzerkonto muß in der Gruppe der lokalen Remote Desktop Benutzergruppe sein. Eingeschränkte Gruppen

 

danke !!

Link zu diesem Kommentar

rsop zeigt "nur" 2 Fehler:

 

Group Policy Drive Maps ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

-2046746620 (0x86012004)

Zusätzliche Informationen:

The client-side extension caught the unhandled exception '0xC0000005' inside: 'threadEntry : client main'%%100790275

 

--

 

 

Folder Redirection ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System konnte die eingegebene Umgebungsoption nicht finden.

 

Zusätzliche Informationen:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

Link zu diesem Kommentar
rsop zeigt "nur" 2 Fehler:

 

Und Du willst immer noch erzählen im Ereignisprotokoll auf dem Client ist alles grün?

 

Group Policy Drive Maps ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

-2046746620 (0x86012004)

Zusätzliche Informationen:

The client-side extension caught the unhandled exception '0xC0000005' inside: 'threadEntry : client main'%%100790275

 

05er Fehler sind immer Zugriff verweigert. Der normale Benutzer wird keine Berechtigungen auf das Verzeichnis haben. Wie sehen die Freigabe- und NTFS-Berechtigungen aus?

 

Folder Redirection ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System konnte die eingegebene Umgebungsoption nicht finden.

 

Zusätzliche Informationen:

Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen.

 

Welche Ordnerumleitungsrichtlinie hast Du da eingerichtet? Haben die Benutzer denn auch genügend NTFS-Berechtigungen um auf die Freigabe zuzugreifen? Dürfen die Benutzer denn auch die GPO übernehmen? Was steht in den Eigenschaften er GPO drin? Wer darf lesen und übernehmen?

Link zu diesem Kommentar

Wie kann ich denn für Euch am Einfachsten darstellen, wie die Struktur aussieht ?

 

Malen oder einen Screenshot vom AD uploaden und den Link hier posten. Wenn Du hier einen Screenshot anhängst, mußt Du den erst von den Admins freischalten lassen.

 

EDIT: Evtl. hilft dir das hier: http://www.gruppenrichtlinien.de/HowTo/Erste_Schritte_zum_erstellen_einer_Gruppenrichtlinie.htm

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...