trotzdemgrins 10 Geschrieben 24. Juni 2007 Melden Teilen Geschrieben 24. Juni 2007 Hallo ihr Lieben. Ich habe mir eine schöne GPO für einen Terminalserver mit Loopbackverarbeitung etc. gebastelt. Hat mit eurer Hilfe auch gut geklappt - dafür zunächst vielen Dank. Jetzt bin ich fast fertig mit dem Projekt und bemerke plötzlich, daß der Administrator sein im Active Directory hinterlegtes Home-Mapping nicht mehr bekommt, und auch sein Login-Script nicht ausgeführt wird. Manuell aus dem Sysvol-Ordner läßt es sich aber ausführen. Fehlermeldungen gibt es nicht. Der "Administrator"-User steht mit dieser Gruppenrichtlinie eigentlich gar nicht in Verbindung - er wohnt noch in der "Users"-OU wie es default ist. Alle anderen limitierten User sind in anderen OUs. Was kann das sein? Tausend Dank sagt der Ralph Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 24. Juni 2007 Melden Teilen Geschrieben 24. Juni 2007 Das liegt am loop-back Modus - der zeiht auf alle User, egal in welcher OU. Deswegen gibt's diesen Modus ja auch. Du kannst aber in dieser GPO das 'Lesen' und 'Anwenden' für diese Gruppe 'Administratoren', egal wie sie auch heissen mag, entfernen. Bin nicht ganz sicher ob das mit dem loop-back, da auf Computereben angewandt, zum gewünschten Ergebnis führt. Einfach mal versuchen.... Zitieren Link zu diesem Kommentar
trotzdemgrins 10 Geschrieben 24. Juni 2007 Autor Melden Teilen Geschrieben 24. Juni 2007 Hallo Velius, das habe ich getan. Die Gruppenrichtline gilt nur von die OU mit dem Terminalserver drin. Mein Problem tritt aber auch auf, wenn sich der Admin, der außerhalb dieser OU wohnt, an einem normalen Domänencomputer oder einem anderen Server, ebenfalls außerhalb dieser OU, anmeldet. ? Ralph Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 24. Juni 2007 Melden Teilen Geschrieben 24. Juni 2007 Du hast doch gesagt, du hast den loop-back Modus für diese GPO eingerichtet, oder? Bist du dir dessen eigentlich bewusst, was der bewirkt?:suspect: Verwende mal die Boardsuche sollten da Unklarheiten herrschen. EDIT: Mein Problem tritt aber auch auf, wenn sich der Admin, der außerhalb dieser OU wohnt, an einem normalen Domänencomputer oder einem anderen Server, ebenfalls außerhalb dieser OU, anmeldet. Ok, hab's jetzt... Keine Ahnung, aber da muss etwas im Eventlog stehen, zumindest zum Homedrive Mapping Problem. Etwas mit Event-Typ 'User32' oder so.... Wie gesagt, da muss(!) was im Eventlog stehen. P.S.: Das hat IMHO nix mit der Terminal-Server GPO und dem loop-back zu tun - ist eher reiner Zufall. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 24. Juni 2007 Melden Teilen Geschrieben 24. Juni 2007 Wenn das im AD hinterlegte Homedrive nicht gemapped werden kann sieht das auf dem Angemeldeten Rechner wie folgt aus: ------------- Ereignistyp: Fehler Ereignisquelle: MsGina Ereigniskategorie: Keine Ereigniskennung: 1010 Datum: Zeit: Benutzer: Nicht zutreffend Computer: Beschreibung: Failed to set the user's home directory (Drive P: connected to Share \\server\share). Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search. Daten: 0000: 2e 05 00 00 .... ------------- Zitieren Link zu diesem Kommentar
trotzdemgrins 10 Geschrieben 24. Juni 2007 Autor Melden Teilen Geschrieben 24. Juni 2007 Hallo, danke für den Tipp. Daran hatte ich auch schon gedacht. Tatsächlich ist es so, daß im Ereignsiprotokoll für eine Anmeldung des Benutzers "Administrator" rein gar nichts geloggt wird. Bei einem der regulären TS-Benutzer, die die Gruppenrichtline bekommen, meldet er diverse Folder Redirections und die Gruppenrichtlinie selbst. Beim Admin kommt NICHTS. Er versucht also nicht einmal, die Skripte auszuführen. Noch zwei Informationen: - Die Domäne kommt von einem Small-Business-Server, der fragliche Server ist aber ein Standard-Server, der als zusätzlicher Member-Server in die Domäne eingebunden ist. - Ich habe wie in dem Artikel zur Loopback-Verarbeitung und GPOs auf TS beschrieben den Admin aus der Gruppe Remotedesktopbenutzer entfernt, damit er die Gruppenrichtline nicht bekommt. Das hat zunächst auch funktioniert. Aufgefallen ist mir der Fehler erst, nachdem ich die beiden Server rebooten mußte... Gruß, Ralph Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 24. Juni 2007 Melden Teilen Geschrieben 24. Juni 2007 - Ich habe wie in dem Artikel zur Loopback-Verarbeitung und GPOs auf TS beschrieben den Admin aus der Gruppe Remotedesktopbenutzer entfernt, damit er die Gruppenrichtline nicht bekommt. Äh wie? :suspect: Ich glaube, du verwechselst da MÄCHTIG was. Nur weil du einen Account/Gruppe aus den 'Remotedesktopbenutzern' entfernst, wird nicht plötzlich eine GPO angewandt oder nicht, jedenfalls bei weitem nicht default. Vor allem, welchen Artikel sprichst du an? Zum Rest: Folder Redirections und Home Drive sind sowas von verschieden, das glaubst du gar nicht. Das eine benutzt GPOs, das andere nicht - wenn DER Admin noch im CONTAINER (das ist keine OU) Users ist, dann ist klar wieso da nicht klappt. Auf Containern können keine GPOs verlinkt werden - das würde auch das Problem mit dem loop-back erklären. Schieb den Admin doch ein eine neue OU (sollte man sowieso tun) und berichte.;) cheers Velius Zitieren Link zu diesem Kommentar
trotzdemgrins 10 Geschrieben 25. Juni 2007 Autor Melden Teilen Geschrieben 25. Juni 2007 Hallo. Oha - klare Sprache war noch nie meine Stärke. Ich kann Dich aber beruhigen; außer den Begriffen Container und OU, die ich wirklich verwechselt habe, ist das was ich da mache soweit ich blicken kann kein grober Unfug. Also: Ich habe eine OU mit den Usern. Der Admin war noch im Default-Container "User" - als einziger Benutzer - und ich habe ihn jetzt wie angeraten in eine eigene OU geschoben (ohne Veränderung des Fehlers). Dann habe ich noch eine OU angelegt, in der der TS wohnt. Die hat die GPO, und das funktioniert auch. Die restlichen Domänencomputer sind im Container Computers. Das mit den Remotedesktopbenutzern bezieht sich auf den GPO an der OU des Terminalservers. Ich habe den Administratoren das Schreib- und Änder-Recht auf das Gruppenrichtlinie gegeben, ihnen aber nicht gestattet, sie zu übernehmen. Die Remotedesktopbenutzer dürfen sie lesen und übernehmen, aber nicht verändern. Das funktioniert auch soweit. Vergiß' das mit der Loopbacksache - das hat hiermit nix zu tun sondern bezieht sich nur auf die restlichen Benutzer. Daß Login-Skripte aus dem Sysvol-Share und Homdrive zwei verschiedene Sachen sind ist mir klar. Wenn ich mich mit einem der Benutzer aus der Users-OU irgendwo anmelde, bekommen die User sowohl Homedrive als auch Login Script. Wenn ich mich mit dem Administrator aus seiner eigenen gerade frisch angelegten OU irgendwo anmelde, dann bekommt er weder login-Script noch Homedrive. Wenn ich in der Admin-OU einen neuen User anlege, bekommt der ebenso keine login-Scripte und kein Homedrive. Offenbar erschlägt irgendwas auf Domänenebene die Ausführung von beidem. Wo muß ich suchen? Es dankt der Ralph Zitieren Link zu diesem Kommentar
trotzdemgrins 10 Geschrieben 25. Juni 2007 Autor Melden Teilen Geschrieben 25. Juni 2007 Hui - neue Erkenntnis: Wenn im Active Directory ein Homelaufwerk angegeben ist, wird das Login-Script nicht ausgeführt. Wenn das Homelaufwerk auf lokalen Pfad gestellt wird, geht das Loginscript wieder. komisch findet das der Ralph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.