bindermichi 10 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Hallo, hab ein klitzekleines Problem bei einer AD migration. Ich versuche mit ADMT Computer von der Source in die Target Domäne zu verschieben. Klappt nur, wenn der User, der ADMT ausführt auch Admin auf dem Computer ist. Also wollte ich die TARGET\Domain Admins über eine Restricted Groups GPO zu Mitgliedern von Builtin\Administrators machen. Nur - sobald die GPO aktiv ist habe ich folgeden Text in der Netlogon.log stehn: No system mapping was found for TARGET\Domain Admins. Group Membership configuration was completed with one or more errors. Ausserdem läuft das Appication Eventlog mit SceCli Events voll: Security policies wrere propergated with warning 0xd. The data is invalid. Ok, kann das system also die TARGET\Domain Admins Gruppe nicht auslösen...Denkste! Wenn ich die per Hand auf dem Computer eintrage geht das ohne Probleme. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Servus, ja, dass Benutzerkonto mit dem das ADMT ausgeführt wird, braucht lokale Admin Rechte um den Agenten installieren zu können der die lokalen Berechtigungen (Registry) neu setzt. Für die Migration würde ich die Gruppe "Domänen-Admins" der Domäne A in die Gruppe "BUILTIN\Administratoren" der Domäne B einfügen. Wenn du fertig bist, dass dann rückgängig machen. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Nun, so hat er das ja versucht, wenn ich es richtig sehe. Laufen da unterschieldiche Sprachversionen in den Domänen? grizzly999 Zitieren Link zu diesem Kommentar
bindermichi 10 Geschrieben 28. Juni 2007 Autor Melden Teilen Geschrieben 28. Juni 2007 @grizzly999: die Server sind alle English, die Computer lokalisiert. Da das aber alles über die SIDs läuft und die Builtin Gruppen immer gleich heissen sollte das nix ausmachen. @Daim: Yep, genau das steht auch in meiner Beschreibung. Kleines Update: Die beiden Fehler hab ich wegbekommen. sieht wohl so aus, als ob ich keine Restricted Groups in die Default Domain Policy einbauen sollte. Hab einfach eine neue GPO mit den gleichen werten gebaut. Funktioniert aber genauso wenig... dafür aber diesmal ohne Einträge im Eventlog oder Winlogon.log. Nochwas komisches Hab einen Rechner manuell übernommen, und hier werden die Restricted Groups auch nicht angewendet!? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 @grizzly999: die Server sind alle English, die Computer lokalisiert. Da das aber alles über die SIDs läuft und die Builtin Gruppen immer gleich heissen sollte das nix ausmachen. Restricted Groups gehen nicht über die SID (sonst könnte man auch nie erfolgreich die Hauptbenutzergruppe mit dieser Policy beschicken) grizzly999 Zitieren Link zu diesem Kommentar
bindermichi 10 Geschrieben 28. Juni 2007 Autor Melden Teilen Geschrieben 28. Juni 2007 OK, gewonnen :wink2: Erklärt trotzdem nicht, warum die TARGET\Domain Admins nicht in die BUILTIN\Administrators aufgenommen werden :( ... und vor allem, warum das auch nicht in der neuen Domäne klappt... und das nur bei Rechnern aus dieser SOURCE Domäne? (Hab jetzt schon 3 Domänen so ohne Probleme in die TARGET aufgenommen) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.