goscho 11 Geschrieben 9. September 2008 Melden Teilen Geschrieben 9. September 2008 Hallo Leute, ich habe folgendes Problem: In einer SBS-Domäne habe ich einen zusätzlichen Dc mit Server 2008 an einem 2. Standort eingerichtet. AD repliziert sauber. Auf diesem muss der Administrator folgendes, lokales Recht haben: "Anmelden als Stapelverarbeitungsauftrag". Dieses habe ich in der Default Domain Controller Policy gesetzt. Auf dem 2003 SBS wird diese Richtlinie auch gezogen, auf dem Server 2008 leider nicht. Muss ich dort irgend etwas zusätzlich installieren, damit diese Richtlinie angewendet wird? – Habe jetzt erneut nachgeschaut und gesehen, dass die "Default Domain Controller Policy" jetzt auf dem W2K8 DC gezogen wird. Allerdings habe ich jetzt ein anderes Problem: Auf einem Vista Business Client wird ebenfalls die "Default Domain Controller Policy" angewendet. Dadurch ist eine Anmeldung an diesem PC nur noch remote oder für lokale Admins möglich. Wie kann dies sein? Hat hier einer eine Idee? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. September 2008 Melden Teilen Geschrieben 9. September 2008 Hi goscho, wenn die "Default Domain Controllers Policy" auch für einen Client zieht, wurde der GPO-Link von der Domain Controllers OU entweder verschoben (oder auf mehrere OUs verlinkt) oder der Client liegt in dieser OU. Vielleicht kannst Du das einmal gegenprüfen oder eine konkrete Fehlerbeschreibung geben. Viele Grüße olc Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 9. September 2008 Autor Melden Teilen Geschrieben 9. September 2008 Danke für deinen Tipp. Leider finde ich dort keinen Fehler. Die Vista-Clients sind alle in der OU Computers. Die Default Domain Controller Policy ist nur mit der OU Domain Controllers verknüpft. Folgende Konfiguration besteht: - SBS 2003 Domäne mit zusätzlichem W2K8 DC an einem 2. Standort - AD repliziert sich sauber - die Default Domain Controller Policy ist von mir angepasst worden -> ich habe den Administrator hinzugefügt bei "Anmeldung als Stapelverarbeitungsauftrag" - sonst nichts - diese Richtlinie wird von beiden DCs (SBS 2003 und W2K8) korrekt gezogen - der besagte Vista Client lässt keine lokale Anmeldung von Nichtadmins zu, Fehler: sie können sich nicht anmelden, da die verwendete Anmeldemethode auf diesem Computer nicht zugelassen ist. - remote Anmeldung klappt - mit RSOP kann ich sehen, dass unter lokaler Anmeldung die Default Domain Controller Policy als angewendet steht -> aber nicht in der Version, die auf dem DC angewendet wird - es gibt eine Small Business Server - Windows Vista-Richlinie, welche auf den DCs nicht bearbeitet werden kann, weil ein "unbekannter Fehler" aufgetreten ist Ich ahbe aktuell keine Ahnung, befürchte aber, dass morgen alle Client-PCs des Standortes mit dem W2K8-Dc die lokale Anmeldung verweigern werden - alles Vista Clients.:o Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. September 2008 Melden Teilen Geschrieben 9. September 2008 ...und es ist sicher die "Default Domain Controllers" Policy und nicht die "Default Domain Policy"? Es würde dann natürlich im Normalfall für alle Clients greifen und nicht nur für die Vista Clients. Wie hast Du die Verlinkung gegengeprüft? Über die GPMC? Um kurzfristige Probleme zu vermeiden könntest Du theoretisch eine weitere Policy erstellen, das entsprechende Setting setzen und diesem dann eine höhere Priorität geben als allen anderen Policies. Aber das wäre natürlich nur eine Notlösung. Viele Grüße olc Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 9. September 2008 Autor Melden Teilen Geschrieben 9. September 2008 Ja es ist die default Domain Controller Policy. Ich habe jetzt nochmal genau nachgeschaut und folgendes gefunden: Wenn ich in der Serververwaltungskonsole ein Gruppenrichtlinienergebnis für den betreffenden Vista-Client erzeuge, kann ich erkennen, dass die Default Domain Controller Policy mit dem Standort verknüpft ist. Ich weiß aber nicht wieso. Egal - ich habe genau diese Verknüpfung entfernt. Jetzt sollte ja eigentlich alles wieder o.k. sein - doch es wird nach wie vor die Default Domain Controller Policy von diesem Client gezogen. Dabei fand die Replizierung zwischen den DCs schon statt. Edit: Problem scheint gelöst, ich habe jetzt nochmal auf dem Client RSOP ausgeführt und es wird nicht mehr die Deafult Domain Controller Policy angezeigt. endgültig kann ich es aber erst morgen sagen, wenn ich von dem Mitarbeiter angerufen werde und er sich lokal anmelden konnte. Trotzdem erstmal vielen Dank olc. Du hast mir den richtigen Weg gezeigt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.