AlSharif 10 Geschrieben 6. August 2008 Melden Teilen Geschrieben 6. August 2008 Hallo, ich habe folgendes Szenario: Eine Gruppenrichtlinie 1 gilt für die gesamte Domäne. Sie setzt eine Registry-Einstellung an den Clients auf AKTIV. Nun soll eine Art Gruppe o.ä. existieren, in die der Administrator ganz einfach Computer ziehen kann. Für diese Gruppe soll Gruppenrichtlinie 2 gelten, die die Einstellung auf DEAKTIVIERT setzt. Nun habe ich also eine Sicherheitsgruppe erstellt, die Gruppenrichtlinie 2 in der Domäne erstellt (also an der Wurzel) und unter Sicherheit nur die Gruppe ausgewählt, die diese Einstellung beziehen soll. Analog habe ich bei der Gruppenrichtlinie 1 das Beziehen für die Gruppe explizit verweigert. Ich habe also einen Client "PC 1" als Mitglied der Gruppe gesetzt. Leider bezieht er aber trotzdem nicht die GPO, dass er die Einstellung DEAKTIVIERT setzt. Kann mir jemand helfen? Bei Verständnisproblemen, was ich eigentlich will meldet euch ;) Danke schonmal!! MfG Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 6. August 2008 Melden Teilen Geschrieben 6. August 2008 Eine Gruppenrichtlinie 1 gilt für die gesamte Domäne. Sie setzt eine Registry-Einstellung an den Clients auf AKTIV. [/Quote] OK Nun soll eine Art Gruppe o.ä. existieren, in die der Administrator ganz einfach Computer ziehen kann. Für diese Gruppe soll Gruppenrichtlinie 2 gelten, die die Einstellung auf DEAKTIVIERT setzt. OK. Nun habe ich also eine Sicherheitsgruppe erstellt, die Gruppenrichtlinie 2 in der Domäne erstellt (also an der Wurzel) und unter Sicherheit nur die Gruppe ausgewählt, die diese Einstellung beziehen soll. OK. Analog habe ich bei der Gruppenrichtlinie 1 das Beziehen für die Gruppe explizit verweigert. Überflüssig. Sortier die Gruppenrichtlinie 2 einfach höher in der Prioriät als Gruppenrichtlinie 1. Ich habe also einen Client "PC 1" als Mitglied der Gruppe gesetzt. Leider bezieht er aber trotzdem nicht die GPO, dass er die Einstellung DEAKTIVIERT setzt. Was sagt denn RSOP? Bye Norbert Zitieren Link zu diesem Kommentar
AlSharif 10 Geschrieben 6. August 2008 Autor Melden Teilen Geschrieben 6. August 2008 Hi, ich habe mal gpresult /s PC 1 am Client ausgeführt und kam zu folgendem Ergebnis: (PC 1 ist in Gruppe 1, die GPO 2 beziehen soll, nicht GPO 1) Computereinstellungen: Gruppenrichtlinie 1: Verweigert (Sicherheit) :thumb1: Gruppenrichtlinie 2: Nicht angewendet (leer) :thumb2: Lokale Richtlinie: Nicht angewendet (leer) :thumb1: Benutzereinstellungen Gruppenrichtlinie 1: Nicht angewendet (leer) :thumb1: Gruppenrichtlinie 2: Verweigert (Sicherheit) :thumb1: Lokale Richtlinie: Nicht angewendet (leer) :thumb1: Die Einstellungen die ich in GPO 1&2 jeweils aktiv/deaktiviert setze sind Computereinstellungen. Allein der Fakt, dass GPO 2 Computereinst. leer sein soll passt nicht, denn da hab ich auf jeden Fall was eingestellt, nämlich per ADM. Vielleicht erkennt er DAS nicht!? Keine Ahnung :o/ Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 6. August 2008 Melden Teilen Geschrieben 6. August 2008 Hi, ich habe mal gpresult /s PC 1 am Client ausgeführt und kam zu folgendem Ergebnis: (PC 1 ist in Gruppe 1, die GPO 2 beziehen soll, nicht GPO 1) Computereinstellungen: Gruppenrichtlinie 1: Verweigert (Sicherheit) :thumb1: Gruppenrichtlinie 2: Nicht angewendet (leer) :thumb2: Lokale Richtlinie: Nicht angewendet (leer) :thumb1: Benutzereinstellungen Gruppenrichtlinie 1: Nicht angewendet (leer) :thumb1: Gruppenrichtlinie 2: Verweigert (Sicherheit) :thumb1: Lokale Richtlinie: Nicht angewendet (leer) :thumb1: Die Einstellungen die ich in GPO 1&2 jeweils aktiv/deaktiviert setze sind Computereinstellungen. Allein der Fakt, dass GPO 2 Computereinst. leer sein soll passt nicht, denn da hab ich auf jeden Fall was eingestellt, nämlich per ADM. Vielleicht erkennt er DAS nicht!? Keine Ahnung :o/ Hmm merkwürdig. Kannst du die GPO nochmal neu erstellen? Wie sehen die Berechtigungen genau aus im Moment? Be Norbert Zitieren Link zu diesem Kommentar
AlSharif 10 Geschrieben 7. August 2008 Autor Melden Teilen Geschrieben 7. August 2008 Okay, es hat gereicht einmal die GPO zu deaktivieren, neuzustarten, aktivieren, neustarten... schon klappt es ;) Weisst du vielleicht eine Möglichkeit über die Konsole in die Gruppenrichtlinienverwaltung der Domäne zu kommen? gpedit.msc führt mich ja auch am Server nur zu den lokalen Richtlinien... Danke! Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 Weisst du vielleicht eine Möglichkeit über die Konsole in die Gruppenrichtlinienverwaltung der Domäne zu kommen? gpedit.msc führt mich ja auch am Server nur zu den lokalen Richtlinien... Mit der GPMC: Downloaddetails: Gruppenrichtlinien-Verwaltungskonsole mit SP1 Zitieren Link zu diesem Kommentar
AlSharif 10 Geschrieben 7. August 2008 Autor Melden Teilen Geschrieben 7. August 2008 Und parametermäßig über die gpedit geht es nicht? Ich würde gern ohne Nicht-Standard-Komponenten auskommen :) Ich arbeite damit am Server, nicht am Client. Da muss doch was gehen ... Danke schonmal, ein super Support hier von euch !! Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 Und parametermäßig über die gpedit geht es nicht? Nein, GPEDIT.MSC geht immer auf die LOKALEN Richtlinien des Client/Servers, auf dem Du gerade bist. Ich würde gern ohne Nicht-Standard-Komponenten auskommen :) Dann schau dir den Artikel an: Gruppenrichtlinien wieder mit ADUC (dsa.msc) editieren Willst Du wirklich so umständlich die GPOs in der Domain bearbeiten? Glaubs mir, die GPMC ist genau dafür gemacht und IMHO bei W2K8 sogar Standard. Ich arbeite damit am Server, nicht am Client. Da muss doch was gehen ... Na klar geht was, installiere die GPMC und freu dich. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 Und parametermäßig über die gpedit geht es nicht? Ich würde gern ohne Nicht-Standard-Komponenten auskommen :) GPMC als Nicht-Standard-Komponente zu klassifizieren ist "unsinnig". Denn ohne die GPMC kommst du meiner Meinung nach heute nicht sinnvoll an die Bearbeitung der GPOs. Ich arbeite damit am Server, nicht am Client. Installier die GPMC auf dem Server. Und wenn du das nicht willst, dann mußt du eben über dsa.msc gehen. Ist nur total sinnfrei wenn du mich fragst. Bye Norbert Zitieren Link zu diesem Kommentar
AlSharif 10 Geschrieben 7. August 2008 Autor Melden Teilen Geschrieben 7. August 2008 dsa.msc. Das ist das wonach ich suchte ;) Mein Problem ist, dass ich es nicht für die eigene Umgebung brauche, sondern eventuell in SW einbette (Ja, im Grunde nur ein 1-Klick-Komfort, den man einem Admin nicht unbedingt anbieten muss, ich weiß :D)und nicht annehmen kann, dass der Anwender dann gpmc installiert hat . Danke euch beiden! Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 einem Admin nicht unbedingt anbieten muss, ich weiß :D)und nicht annehmen kann, dass der Anwender dann gpmc installiert hat . Es gibt Admins die die GPMC nicht installiert haben? Dann solltest du das ändern. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 Mein Problem ist, dass ich es nicht für die eigene Umgebung brauche, sondern eventuell in SW einbette (Ja, im Grunde nur ein 1-Klick-Komfort, den man einem Admin nicht unbedingt anbieten muss, ich weiß :D) Ich möchte ohne die GPMC nicht mehr arbeiten, das ist eines der ersten Zusätze, die ich auf einem DC gleich installiere. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 7. August 2008 Melden Teilen Geschrieben 7. August 2008 Ich möchte ohne die GPMC nicht mehr arbeiten, das ist eines der ersten Zusätze, die ich auf einem DC gleich installiere. ;) Und der auf SBS 2003 R2 per default mit dabei ist. Endlich mal ene "sinnvolle" Funktion des SBS. :D Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.