kirschi68 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Hallo, bin nur mäßig vertraut mit GPO, mein Problem (W2K3 mit XP-Clients): die GPO werden beim einen PC des Benutzers ordnungsgemäß angewendet (Ergebnis geprüft mit gpresult), meldet sich der Benutzer am anderen PC an, so werden einige Richtlinien nicht angewendet, -> Filterung Zugriff verweigert Sicherheit. Im Beispiel "Druckerbenachrichtigung abschalten" Die Sicherheitsfilterung greift auf "authentifizierte Benutzer". Was mir noch auffällt, daß der andere, problematische, "gleiche Benutzer" in mehr Sicherheitsgruppen Mitglied ist, als der funktionierende Benutzer/PC, sowohl im Ergebnis bei Computereinstellungen, als auch bei Benutzereinstellungen. Beispiel bei Benutzereinstellungen: SBS Report Users, Web Workplace Users, Domänen-Admins Gibt es die Möglichkeit irgendwelche Caches o.ä. zu löschen, oder einen Reset der Gruppenrichtlinien lokal, ich will nicht unbedingt neu installieren. Wo könnte ich sonst noch nachschauen? Gruß Andreas Zitieren Link zu diesem Kommentar
Monarch 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Schau mal in der GPMC bei dem entsprechenden GPO unter Delegierung / Erweitert. Sind dort irgendwelche der genannten Gruppen vom Zugriff bzw. der Anwendung der Richtlinie ausgeschlossen? Wenn ja, ist dies die Ursache des Problems. mfg Monarch Zitieren Link zu diesem Kommentar
Mulle2105HH 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Gibt es die Möglichkeit irgendwelche Caches o.ä. zu löschen, oder einen Reset der Gruppenrichtlinien lokal, ich will nicht unbedingt neu installieren. Wo könnte ich sonst noch nachschauen? Mit gpupdate oder gpupdate /force kannst du die GPO´s im laufenden Betrieb neu für den betroffenen Client ziehen. Es kommt hin und wieder vor, dass die einige GPO´s erst nach mehrmalige Neuanmeldung gezögen werden. Aber es liest sich als ob der betroffene Benutzer in zuvielen Sicherheitsgruppen ist (Domänen-Admins) und einige GPO´s werden nicht auf die Domänen Admins angewandt. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 und einige GPO´s werden nicht auf die Domänen Admins angewandt. Welche da wären.....?? :suspect: Also, da bleiben wir mal bei den Tatsachen, die Standardberechtigungen für neue GPOs ist Authentifizierte Benutzer -> Lesen+GPO übernehmen. Und das gilt auch für Domänen-Admins. Immer. Erster Ansatz der von Monarch. Am besten aber mal mit der GPMC auf dem SBS den Gruppenrichtlinienergebnissatz für den User auf diesem PC genauer anschauen. grizzly999 Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 @Monarch nein, nichts verweigert, authentifizierte Benutzer haben Lesen- und GPO Übernehmen-Rechte @Mulle2105HH gpupdate /force habe ich schon mehrfach probiert. Es muß ein lokales Problem sein, denn der Benutzer ist ja der gleiche?! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Wo steht die von dir oben zitierte Meldung Filterung Zugriff verweigert Sicherheit genau? Was ist, wenn sich eine anderer Benutzer an genau diesem PC anmeldet? grizzly999 Zitieren Link zu diesem Kommentar
Mulle2105HH 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 GPOs ist Authentifizierte Benutzer -> Lesen+GPO übernehmen. Und das gilt auch für Domänen-Admins. Immer.grizzly999 @grizzly999! Entschuldige bitte, das habe ich grad überlesen. Erst richtig lesen und dann posten. Werd in Zukunft versuchen solche Fehler zu vermeiden. :) Aber du passt gut auf und das ist auch gut so. Das ist jetzt kein böse gemeinter Spruch oder so. Bitte nicht falsch verstehen, ist positive gemeint. @All! Dann würde ich, genauso wie es grizzly999 schon vorgeschlagen hat es mit einem anderen Benutzer an dem betroffenen Computer probieren. Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 Ja, mit dem anderen Benutzer funktioniert es tadellos. nicht funktionierender Benutzer (Fehler steht in der Ausgabe von gpresult): COMPUTEREINSTELLUNGEN ---------------------- Angewendete Gruppenrichtlinienobjekte -------------------------------------- Small Business Server-Dom„nenkennwortrichtlinie Small Business Server-Windows-Firewall Small Business Server-Clientcomputer Small Business Server-Remoteuntersttzungsrichtlinie Small Business Server-Kontosperrungsrichtlinie Default Domain Policy Windowsupdate Client Anpassung Internet Explorer Anpassung Clientanpassungen AVG Firewallanpassung Barcode-Schriftart Microsoft Office Compatibility Pack 2007 Richtlinien der lokalen Gruppe Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------------------- Adobe Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Small Business Server - Windows Vista-Richtlinie Filterung: Verweigert (WMI-Filter) WMI-Filter: Vista Druckerbenachrichtigung Filterung: Nicht angewendet (Leer) Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder Debugger Users Debuggerbenutzer Benutzer NETZWERK Authentifizierte Benutzer WS25$ Dom„nencomputer BENUTZEREINSTELLUNGEN ---------------------- Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Internet Explorer Anpassung Clientanpassungen Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------------------- Windowsupdate Server Anpassung Filterung: Verweigert (Sicherheit) Small Business Server-Dom„nenkennwortrichtlinie Filterung: Nicht angewendet (Leer) Small Business Server-Windows-Firewall Filterung: Nicht angewendet (Leer) Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Small Business Server-Clientcomputer Filterung: Nicht angewendet (Leer) Small Business Server-Remoteuntersttzungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Small Business Server-Kontosperrungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Windowsupdate Client Anpassung Filterung: Verweigert (Sicherheit) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Dom„nen-Benutzer Jeder Administratoren Benutzer INTERAKTIV Authentifizierte Benutzer LOKAL Dom„nen-Admins Web Workplace Users SBS Report Users firmaGmbH Remoteuntersttzungsanbieter Die Fehler, um die es geht sind hier Windowsupdate Client und die Druckeranpassung. Gruß Andreas Zitieren Link zu diesem Kommentar
Monarch 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 @Monarchnein, nichts verweigert, authentifizierte Benutzer haben Lesen- und GPO Übernehmen-Rechte Davon gehe ich aus, sonst würde die Richtlinie bei niemandem funktionieren. Ich meinte eher, ob für eine andere Gruppe als die "Authentifizierten Benutzer" irgendwas verweigert wird, bekanntlich überschreiben Verweigerungen durch andere Mitgliedschaften gewährte Rechte wieder. mfg Monarch Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 nein, es ist nirgendwo ein "verweigert" zu sehen. :confused: Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Im Beispiel "Druckerbenachrichtigung abschalten" Die Sicherheitsfilterung greift auf "authentifizierte Benutzer". Was mir noch auffällt, daß der andere, problematische, "gleiche Benutzer" in mehr Sicherheitsgruppen Mitglied ist, als der funktionierende Benutzer/PC, sowohl im Ergebnis bei Computereinstellungen, als auch bei Benutzereinstellungen. Servergespeichertes oder lokales Profil? Erstell doch mal für den betroffenen User ein neues Profil. Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 Guten Morgen, es ist (m)ein lokales Profil. Werde sichern und ein neues erstellen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 es ist (m)ein lokales Profil. Werde sichern und ein neues erstellen. Schon gemacht? Wenn ja, war es von Erfolg gekrönt? Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 Ja, also neues Profil -> neues Glück ;) es funktioniert, auch alle "roten Kreuze" bei rsop.msc sind verschwunden, keine Zugriffsverletzungen mehr. Muß ich in dem Atemzug auf dem DC noch irgendwas bereinigen? Schönes WE Andreas Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 Ja, also neues Profil -> neues Glück ;) es funktioniert, auch alle "roten Kreuze" bei rsop.msc sind verschwunden, keine Zugriffsverletzungen mehr. Dann installier ganz schnell UPHC auf allen Clients/Servern im Netz. Der Dienst verhindert recht zuverlässig defekte Profile: Download details: User Profile Hive Cleanup Service Muß ich in dem Atemzug auf dem DC noch irgendwas bereinigen? IMHO nein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.