Server 2003 Gruppenrichtlinien Prob

[IThome 10]

Du erstellst ein GPO mit Einstellungen in der Benutzerkonfiguration. Danach legst Du fest, wer diese Gruppenrichtlinie übernehmen darf, entfernst also die Authentifizierten Benutzer und setzt dafür die von Dir definierte Gruppe ein und gewährst ihr "Lesen" und "Gruppenrichtlinie übernehmen". Wenn in dem GPO Benutzereinstellungen vorgenommen werden, müssen sich Benutzerobjekte in Reichweite der Richtlinie befinden und in der Gruppe befinden sich Benutzerkonten. Werden Computereinstellungen definiert, müssen sich Computerkonten in Reichweite der Richtlinien befinden und es befinden sich Computerkonten in der Gruppe.

Die Gruppen müssen sich NICHT in der OU der Computer oder Benutzer befinden, die kann irgendwo sein ...

[Dennisthemenace 10]

Gut danke das werde ich gleich mal testen

[Dennisthemenace 10]

Ne ich schnalls net geht nicht was ich mache ohne Erfolg.

Gibts ne Möglichkeit per mAil oder Skype ...Screnns auszutausachen haben mal alles aufgeklistet wie es bei mir aus sieht.:(

[IThome 10]

Benutzt Du die Gruppenrichtlinienverwaltungskonsole ?

[Dennisthemenace 10]

Ja,

 

ich habe ein paar Screens gemacht die sind aber zu gross um hier hoch zuladen.

Du musst wissen das ist mein erster Server daher noch etwas umbeholfen.

Ich denk edas ich es verstanden habe was du geschrieben hast biun mir aber nicht sicher wo ich das alles einstellen soll. Habe in dem Tool in einer Abteilungss OU eine GP hinzugefügt (Desktop Symbole entfernen) dann habe ich da unter Sicherheitsfilterung der Richtlinie die Gruppe hinzugefügt aber ohne Erfolg

[IThome 10]

Mache es zum Test und besseren Verständnis mal so ...

1. Lege Dir eine Test-OU an

2. Erzeuge dort 3 Benutzer: User1, User2, User3

3. Erzeuge Dir irgendwo 3 Gruppen: GR1, GR2, GR3 und mache User1 Mitglied zu Gr1, User2 zu Gr2 und User3 zu Gr3

4. Öffne GPMC.MSC und erstelle und linke 3 neue GPOs in die erstellte Test-OU. In diesen GPOs stellst Du etwas in den Administrativen Vorlagen in der Benutzerkonfiguration! ein, natürlich für jedes etwas anderes (Startmenüeinstellungen z.B., jedenfalls etwas, was man schnell erkennen kann, wenn es angewendet wurde)

5. In der GPMC siehst Du jetzt unterhalb Deiner OU 3 Richtlinienverknüpfungen. Klicke die erste an, rechts auf Delegierung und dort rechts unten auf Erweitert. An dieser Stelle siehst Du die Sicherheitsfilterung. Entferne die Gruppe Authentifizierte Benutzer und füge die Gruppe Gr1 zu und gewähre ihr Lesen und Gruppenrichtlinie übernehmen. Bei der 2. Richtlinie genauso, nur mit Gr2, bei der 3. mit Gr3

6. Starte eine Workstation neu und melde Dich abwechselnd mit User1, User2 und User3 an und prüfe, ob die verschiedenen Einstellungen wirken

[Dennisthemenace 10]

So alles gemacht wie du es beschrieben hattest..leider ohne durchschlagenden Erfolg nix aber gar nix passiert

[IThome 10]

Dann schreib mal, was Du gemacht hast, was Du eingestellt hast und wo ...

Führe auf dem Client mal RSOP.MSC durch und prüfe, ob die Einstellung wirksam ist oder nicht ...

Ich habe das schon sehr oft so gemacht, das klappt eigentlich immer ;)

[Dennisthemenace 10]

Na das was du meintest.

 

Neue OU Test erstellt da rein dann 3 testuser.

Dann drei Gruppen erstellt in die jeweils einer der testuser reinkam.

So das soweit in der AD

 

Dann in das Tool auf die neue OU Test

Rechtsklick GPObjekt hier erstellen und verknüpfen das ganze drei mal

Dann jeweils auf die GP rechtsklick bearbeiten und eingestellt was ich wollte einfache dinge

dann in jeder GP auf der rechten Seite auf Delegieren uns Auth weg und Gruppe hinein mit Lese und Übernhme rechten.

Das für jede GP

gpupdate alle drei testuser angemeldet und geflucht wie ein kesselflicker.

 

Das Ergenbnis von rsop.msc hat ergeben das die Einstellung nicht übernommen werden zumondest hat er mir die Admin Vorlagen nicht angezeigt in denne ich die GP bearbeitet habe

 

 

So muss weg ich probiere es morgen nocheinmal bis dann

[IThome 10]

Übernehmen die Clients überhaupt irgendwas ? Sind die Symbole in RSOP.MSC normal oder durchgestrichen oder mit einem gelben Symbol versehen ? Wie sind die IP-Einstellungen des Clients und des Servers (einmal IPCONFIG /ALL eines Clients und des Servers posten). Es melden sich auch Domänenkonten und nicht lokale Konten an ?

[Dennisthemenace 10]

Guten Morgen,

 

Also das RSOp sieht normal aus also nicht ist farblich markiert oder durchgestrichen.

Aber die Richtlinien die ich mit den Testusern gemacht habe werden nicht angezeigt.

Der Rechner meldet sich an der Domäne an ohne Prob.

Das Prob mit demn DNS und DHCP habe ich vorher schon lösen können. Aber hier noch mal die IP's

[IThome 10]

Das mit den Anhängen kann dauern, wenn sie überhaupt freigeschaltet werden. Also die Ausgabe hier reinkopieren ...

[Dennisthemenace 10]

Gut,

 

Hier bitte Client config

 

Microsoft Windows XP [Version 5.1.2600]

© Copyright 1985-2001 Microsoft Corp.

 

C:\Dokumente und Einstellungen\test2>ipconfig -all

 

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : MEG-TEST

Primäres DNS-Suffix . . . . . . . : MEG.local

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : MEG.local

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-0D-9D-8F-BC-14

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.20.100

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.20.7

DHCP-Server . . . . . . . . . . . : 192.168.20.7

DNS-Server. . . . . . . . . . . . : 192.168.20.7

Lease erhalten. . . . . . . . . . : Mittwoch, 28. März 2007 08:29:35

Lease läuft ab. . . . . . . . . . : Donnerstag, 5. April 2007 08:29:35

 

C:\Dokumente und Einstellungen\test2>

 

Hier die ServerIP Config

 

 

C:\Dokumente und Einstellungen\Administrator>ipconfig -all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : meg-svr07

Primäres DNS-Suffix . . . . . . . : MEG.local

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : MEG.local

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-18-F3-51-AD-12

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.20.7

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.20.222

DNS-Server . . . . . . . . . . . : 192.168.20.7

192.168.20.222

 

C:\Dokumente und Einstellungen\Administrator>

[IThome 10]

Ausser dass der Router als 2. DNS-Server beim Server eingetragen ist, sieht das gut aus. Also muss der Fehler beim GPO bzw. der Sicherheitsfilterung liegen. Erzeuge also noch ein 4. GPO (bei den anderen 3 GPOs deaktivierst Du die Verknüpfung), stelle irgendwas ein und verändere die Sicherheitsfilterung nicht. Klappt das denn wenigstens ?

[Dennisthemenace 10]

So das habe ich jetzt auch getestet und dabei ist mir aufgefallen das, wenn ich den Auth Benutzer lösche die GP nicht mehr geht. Wenn ich ihn aber drin lasse dann werden die GP angewendet.