strade

Danke Sunny für den Link! Den Admin hatte ich schon immer rausgenommen, indem ich ihm die Leserechte genommen habe...leider bekommt er nach jedem Deployment eine neue SID und konnte dann leider doch wieder lesen :( Das es seit Vista aber jetzt auch anders geht, wusste ich noch nicht. Schau ich mir mal an! Unsere Taskforce hat sich für OpenIDM entschieden und entwickelt entsprechend dafür. kA wie es wird. Mich interessiert eigentlich nur, dass ich meine Nutzer und Gruppenzugehörigkeit importiert bekomme und die Daten auch entsprechend mit dem IDM synchronisiert werden. UPDATE: Habe die SID S-1-5-32-545 als neuen Freund kennengelernt. Frage: Kennt jemand eine Möglichkeit, ob und wie ich im AD eine GPO an eine spezielle SID delegieren kann? Das würde meine Probleme auf einen Schlag lösen :) Darf auch Powershell sein...

Ja....die Infrastruktur ist nicht optimal...oder anders gesagt, Windows möchte sich nicht so einfach intigrieren^^ Wir werden ein Identiy Management einführen, dass dann auch mein AD befüllen kann, bis es aber soweit ist, steht mir leider nur der Trust zu Verfügung. Die User kann ich leider nicht importieren. Registry Keys möchte ich auch nicht setzen...bislang mache ich es so, dass ich für die Benutzerkonfig die lokale GPO verwende (was ja so ziemlich das selbe ist), aber das hat natürlich den Nachteil, dass sie zum einen für jeden gilt und das ich sie nur noch an jedem Rechner einzelnd änder kann -.-

Hallo, ja das habe ich auch schon versucht. Leider kein Erfolg; auch nicht in Verbindung mit dem "Allow Cross Forest Roaming Profiles and Group Policies" Setting. Auf lokale Nutzer und leider auch die User aus der vertrauenden Domäne wird einfach nichts angewendet. Warum das so ist, kann ich leider auch nicht einsehen. GPResult führt die entsprechende Richtlinie nicht auf und die Ereignisanzeige bleibt auch leer. Scheinbar ist es so gewollt, aber es muss doch einen Weg, diese Einstellung zu umgehen. Lokale Richtlinien funktionieren ja auch nicht nur bei lokalen Nutzern -.-

Hallo zusammen! Jedes halbe Jahr aufs neue ärgere ich mich mit dem selben Problem rum. Ich hoffe wirklich, dass mir vlt. hier jmd. helfen kann oder mir zumindest mit Sicherheit sagen kann, dass es nicht geht :( Für die Verwaltung und Konfiguration meiner 100 Clients setze ich ein AD ein (jetzt auf einem 2012 Standard) und möchte gerne Gruppenrichtlinien nutzen, um gewisse Einschränkungen zu setzen. Das funktioniert auch einwandfrei für den Teil der Computerkonfiguration; die Benutzerkonfiguration allerdings bereitet schreckliche Probleme. Grund dafür ist wahrscheinlich unsere Struktur: Die User sind nicht in meinem AD, sondern werden immer auf einer Unix Maschine erzeugt. Über einen One-Way-Trust zu der Samba Domäne auf dieser Maschine (emuliert eine alte NT4 Domäne), können sich die User ohne Probleme auf meinen Maschinen einloggen. Um es genauer zu sagen, melden sie sich an der Samba-Domäne an über meine Rechner, die in meinem AD hängen. Daher möchte ich auch, dass für diese Nutzer gewisse Benutzerkonfigurationen gelten, die ich über die GPO einstelle. Und das bekomme ich einfach nicht hin :( Es hat den Anschein, als ob Benutzerkonfigurationen über das AD auch einzig und allein auf User in dem AD angewendet werden können. Ich möchte das Anlegen von lokalen Richtlinien eigentlich vermeiden, da diese dann ja leider für wirklich jeden gelten.. Es wäre echt super, wenn hier jemand Rat wüsste! Grüße, strade