IThome

Haken unter erweitert entfernen - Kopieren - OK - Nicht gewollte Gruppen entfernen und gewollte Gruppen zufügen - OK Unter Umständen danach in den erweiterten Sicherheitseinstellungen im Parentfolder den unteren Haken setzen und diese Sicherheitseinstellungen nach unten drücken ...

Starte die Backupexec-Dienste mal neu, lassen sie sich neu starten ?

Wenn dort eine SID steht, bedeutet das, dass dieses Konto namentlich nicht mehr aufgelöst werden kann, weil es z.B. gelöscht wurde ...

Das ist normales Verhalten, da es geerbt wurde. Du kannst Dort aber die Berechtigungen neu setzen, die dann, je nach Einstellung, nach unten weitergegeben werden ...

Schau mal hier ... Knowledge Base - Symantec Corp.

Nein , OU heisst Organizational Unit, also Organisationseinheit. Wenn Du also unterhalb der Domäne, die z.B. TEST.DE heisst, eine OU engelegt hast, die "Computerkonten-TEST" heisst, dann wäre der OU-Parameter OU=Computerkonten-TEST,DC=TEST,DC=DE Dort würde das Objekt dann erzeugt werden und nicht im Default Container "Computers"

In Backupexec unter Netzwerk - Anmeldekonten (so heisst das glaube ich) In der Computerverwaltung - Dienste kannst Du die Anmeldekonten der Dienste sehen Im Exchange Systemmanager kannst Du mit rechts auf die Organisation klicken und Dir die Objektverwaltung ansehen ...

Welches ist das Systemkonto für Backupexec ? Mit welchem Konto werden die Veritas-Dienste gestartet ? Ist es ein anderes als der Administrator ? Ist diesem Konto Objektverwaltung im Exchange zugewiesen worden ? In welchen Gruppen ist dieses Konto ?

Wenn die Konten aktiviert sind, was man an den DCs sehen kann und der Client sich anmeldet, welchen DC er auch immer als Anmeldeserver benutzt, dann muss das klappen und das nicht erst nach Stunden. NETDIAG und DCDIAG ergeben also keine Fehler und der Client (ist das eigentlich nur einer mit den Problemen oder alle ?) hat auch sonst keine Probleme , in der Ereignisanzeige z.B. ersichtlich ... Du kannst ja mal die Überwachung aktivieren (Erfolg und Fehler) ...

Geht es auch nicht ohne OU (das Objekt wird dann im Default-Container erstellt) ?

Gerade mal gemacht, standortintern, Sekunden ... Ist das nur ein Standort ? Wie melden sich die User an, mit dem UPN, dem Anmeldenamen, dem Prä-2000 Anmeldenamen ?

Was gibst Du als Befehlszeile ein und als welcher Benutzer ?

Und auf beiden DCs ist zu sehen, dass der Account auch wieder aktiviert ist ? DCDIAG bringt keine Fehler ?

Was kommt denn eigentlich für eine Fehlermeldung ?

Gib einfach mal unter Start - Ausführen rundll32 printui.dll,PrintUIEntry /? ein (genau so geschrieben), Parameter /dn und /n z.B. Es gibt aber auch ne Menge Beispiele ...

Dann mach das und scripte bei allen User via Anmeldescript, dass der alte Drucker getrennt und der neue verbunden wird ...

Mehrere Stunden ? Replikation okay ?

Du hast aber auch von Share geredet, dann müssen die Clients neu verbinden, weil das Ziel sich verändert hat. Was genau musst Du verändern ?

Wieviele DCs sind das denn ?

Ja sicher ... Das kannst Du aber auch scripten (das Trennen des alten Druckers und das Verbinden des neuen) ...

Yeeehaaaaaa, ich hab endlich mal was gewonnen ... :D

Führe bei Start - Ausführen - SERVICES.MSC aus und schaue nach, ob es Dienste gibt, die auf Startart automatisch stehen, aber nicht gestartet sind. Dann klickst Du diese Dienste doppelt an und schaust unter "Anmelden", mit welchem Konto sie gestartet sind (eventuell mit einem Adminkonto, dessen Kennwort geändert wurde)

Hab ich gewonnen, hab ich gewonnen ? :D

Die Frage ist jetzt erstmal, wie die Richtlinien im Moment auf die Terminalserver angewendet werden. Sind die alle in einer OU und eine Richtlinie für die Benutzereinschränkung für alle gleich ? Man könnte entweder für jeden Terminalserver des jeweiligen Standortes eine eigene OU anlegen und in dieser OU eine Softwareeinschränkungsrichtlinie (Pfadregel, die die ausführbare Datei z.B. einschränkt) definieren. Diese Richtlinie wird dann sicherheitsgefiltert und in den Filter kommen dann die Benutzer bzw. die Gruppe, die die Software nicht benutzen dürfen. Ebenso denkbar wäre auch eine Standortrichtlinie, die nur die Terminalserver des Standortes erreicht und ebenfalls eine Softwareeinschränkung definiert (ebenso gefiltert nach Benutzern und zusätzlich nach Computerkonten des betreffenden Terminalservers, soll ja nicht für alle im Standort gelten) ...

Was ja meiner Meinung ein klares Zeichen dafür ist, dass bei denen irgendwas im Argen ist ... mal geht´s - mal nicht ...