Jump to content

Domänenrichtlinie überschreibt lokale Richtlinie auf PDC mit AD

Der Newbie
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Der Newbie Mentor

Der Newbie   10

Geschrieben
Geschrieben

Hi,

 

gefrustet von meinem anderen Problem habe ich aus den Templates neue Domänenrichtlinien angelegt und da wohl etwas dummes angestellt, den defaultmässig hat man keinen lokalen zugriff auf den Computer.

 

bei meinem nutzeraccount, habe ich die erlaubnis "Lokal anmelden" gesetzt, nicht bei dem Admin Account.

 

Nun kann ich mich zwar wunderbar als Nutzer anmelden, jedoch nicht mehr als Admin. Sogar von einem Client aus, kann ich nicht mehr als Admin zugreifen, da mir dort gesagt wird,

 

die lokale richtlinie erlaubt es ihnen nicht sich interaktiv anzumelden

 

das gleiche sagt auch der Server.

 

 

gibt es ne möglichkeit das zu korrigieren? Die Sicherheitsrichtlinen der Domäne und die Richtlinie des Domänencontrollers kann ich als normaler User nicht aufrufen, da mir die Berechtigung fehlt.

 

 

Ist jetzt so ein henne ei Problem, ohne Admin kann ich die Richtlinie nicht anpassen und ohne anpassung kann ich als Admin nicht einloggen...

 

gibt es da ne möglichkeit?

 

gruss newbie

Link zu diesem Kommentar
Der Newbie Mentor

Der Newbie   10

Geschrieben
  • Autor
Geschrieben

@Twist

 

Belehr mich ruhig. Bin anfänger, der zu einem serveradmin geworden ist, wie die Kuh zum Schlittschuhlaufen.

 

Bei der Installation wollte (brauche) ich AD u.a für die Softwareverteilung. Der Einrichtungsassistent hat mich durch die Installation geführt und raus kam ein PDC.

 

Jetzt kannst Du natürlich heisemässig flamen von leutchen, die keine ahnung haben und einen server installieren ohne Ahnung zu haben oder Du kannst mir helfen, das etwas gescheiter zu machen.

 

Da mein Chefe kein Geld hat sich einen MSCE zu leisten, darf ich als Azubi an 3 Rechner im Selbststudium üben" damit ich dann mal ran kann.

 

Geht es denn auch einfacher? und wenn, wie sollte ich das tun?

 

aber danke erstmal für die Antwort.

 

 

@grizzly999

 

Tja, das hatte ich ja versucht: "Sie haben keine Berechtigung..."

 

gruss newbie

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Also, du machst folgendes:

Du fährst den DC im abgesicherten Modus mit F8 hoch. Wichtig: verzeichnisdienstwiederherstellung!!

Dann meldest du dich mit dem Administrator SAM Account an. Kennwort dafür musstest du bei dcpromo eingeben. Dann gehst du im Explorer in den Ordner

C:\WINNT\SYSVOL\sysvol\mydomain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

 

Dort findest du die Datei GptTmpl.inf. Diese öffnest du mit dem Editor und suchst die Zeile mit

"SeInteractiveLogonRight="

 

 

Dort fügst du nach einem Komma (vorne oder hinten egal) das da ein:

*S-1-5-32-544

 

Schliessen, normal booten, sollte jetzt wieder funktionieren

Link zu diesem Kommentar
Der Newbie Mentor

Der Newbie   10

Geschrieben
  • Autor
Geschrieben

Hi Grizzly,

 

1. Ich war als Admin drin, habe die alte Policy gelöscht, habe eine neue angelegt domain default policy

 

die rechte für den nutzer xxxx geändert der lokal am serve arbeitet und dann abgemeldet und dann war das leid da...

 

zu 2.

 

oh..da hab ich bammel davor, hatte das schon mal wegen ner defekten festplatte wo sysvol drauf war (nicht auf C:) und der hat hergestellt und hingestellt und hergestellt ergebniss...

 

ich musste neu-installieren....

 

ich hatte auch ein problem mit diesem SAM Account...obwohl ich IMMER mein spezielles Spezialpassword nehme hat der damals immer gesagt login fehlgeschlagen.

 

durch ein anderes programm drivecrypt für meinen USB Stick ist mir aufgefallen, das die tastaturbelegung unter dos resp. unter bluesreen wohl eine andere ist wie unter wk2? Oder das die GROSSSCHREIBUNG durch bios aktiviert war und dann werden ja aus Zahlen Zeichen...

 

Ich habe aber mal in gelesen: das COMPUTERPASSWORT... ist das das was du mit SAM Account meinst?

 

kann man das wie die anderen Passwörter noch ändern bevor ich mir mein AD zerschiesse? Dann würde ich nämlcih dieses erst in

 

aaaa ändern bevor ich den server am offenen herzen operiere!!!!

 

vieleicht hilft ja noch diese Beschreibung:

 

ich habe folgenden Verzeichnisbaum

 

C:\winnt\sysvol\

 

darin sind die ordner:

 

domain, staging, staging areas, und sysvol (das die Hand der Freigabe hat)

 

im Ordner C:\winnt\sysvol\sysvol\findet sich nur ein Ordner und zwar mit der Bezeichnung "servertest.de"

 

darin die Ordner Policies und Scripts (auch freigegeben obwohl leer)

 

im Ordner Policies dann 5 Ordner mit zahlenbezeichnungen, einer davon {6AC1786C-016F-11D2-945F-00C04fB984F9}

 

darin wiederum sind Adm, Machine und User und die datei gpt.ini die aber nur folgenden inhalt hat: "[General]

Version=15

"

 

im Ordner wie du es dann noch bezeichnest ist zwar auch die datei GptTmpl.ini aber die hat als Inhalt nur:

 

 

[unicode]

Unicode=yes

[Version]

signature="$CHICAGO$"

Revision=1

 

 

sonst nix, aber in dem 4 anderen ordnern findet sich in deren GptTmpl.ini folgendes:

 

[unicode]

Unicode=yes

[Version]

signature="$CHICAGO$"

Revision=1

[Privilege Rights]

SeInteractiveLogonRight = *S-1-5-32-544,*S-1-5-21-xxxxxxxxx-1343024091-xxxxxxxxxx-500,*S-1-5-21-xxxxxxxxx-1343024091-xxxxxxxxxx-1107

SeNetworkLogonRight = *S-1-5-21-xxxxxxxxx-1343024091-xxxxxxxxxx-1107,*S-1-5-21-xxxxxxxxx-1343024091-xxxxxxxxxx-500,*S-1-5-32-544

 

 

 

 

Das bedeutet ja wohl irgendwie, das in den wichtigen von dir bezeichneten Ordner 984F9 eine leere datei liegt...

 

meinste ich sollte immer noch mit F8 vorgehen????

 

Gruß newbie

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Du hast also noch weitere Richtlinien erstellt? Deshalb auch mehrere Ordner mit {...........}.

Und heißt die Datei, in der sie "richtige" Zeile zu finden ist .ini, oder .inf?

 

Mein Vorschlag:

 

Du kopierst den ganzen Ordner sysvol mit allem was drunter ist weg als Sicherung.

 

Dann kopierst du die folgende Datei Pfad, den ich vorhin beschrieben habe. Die Endung .txt entfernen, jetzt heisst sie GptTmpl.inf .

 

neu starten, fertig

 

grizzly999

Link zu diesem Kommentar
Der Newbie Mentor

Der Newbie   10

Geschrieben
  • Autor
Geschrieben

Hallo Grizzly,

 

vielen Dank erstmal, hab es so gemacht, kann jetzt wieder lokal als admin rein.

 

aber diese Fehlermeldung ist wieder da...

 

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 23.07.2003

Zeit: 22:57:33

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: TT

Beschreibung:

Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und hat einen Fehlerstatuscode (1332) zurückgegeben.

 

 

und die auch wieder:

 

Ereignistyp: Warnung

Ereignisquelle: SceCli

Ereigniskategorie: Keine

Ereigniskennung: 1202

Datum: 23.07.2003

Zeit: 22:57:33

Benutzer: Nicht zutreffend

Computer: TT

Beschreibung:

Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

Weitere Informationen erhalten Sie im Abschnitt "Problembehandlung" in der Hilfe.

 

 

die war ja ursprung meiner Probleme. Du bist ein Profi und mit 1790 beiträgen auch ein grosser helfer, vielleicht haste dafür ja auch noch eine dummbie anleitung, wie ich die wegbekomme.

 

so, jetzt aber nach hause...

 

newbie

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Diesmal ist der Fehler klar, du hast meine GptTmpl.inf genommen, da waren Namen bei Benutzerrechten eingetragen, die nicht zu deinem Rechner/domäne gehören. Die müssen raus aus den Benutzerrechten. Aber nur solche Konten, die es nicht mehr gibt, keine anderen!!! ;)

 

Könnte sein, dass du aber noch mehr solche Benutzerrecht-Leichen im GPO-Keller hast :D

 

Dieser KB-Artikel beschreibt, wie man sie etwas besser aufspüren kann. Viel Erfolg Sherlock Holmes

http://support.microsoft.com/default.aspx?scid=kb;en-us;247482

 

grizzly999

Link zu diesem Kommentar
Der Newbie Mentor

Der Newbie   10

Geschrieben
  • Autor
Geschrieben

Okay grizzly,

 

ich werde mal den kb artikel fressen und dann mal schauen ob ich das hinbekomme.

 

du hast aber in dem vorherigen thread geschrieben, ich hätte mehrer policies installiert, da ich ja fünf von diesen Ordnern in der SYSVOL habe.

 

ich habe in den Domain, und in den domain controller policies bestimmte werte aktiviert, habe im AD eine neue untergruppe für user mit software installiert und dort einen user angelegt, könnte das damit zusammenhängen? Oder wie kann ich rausfinden, zu was diese Ordner gehören? Vielleicht stören die ja auch ab und an???

 

lieben Gruss newbie...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...