losh 10 Geschrieben 5. Oktober 2003 Melden Teilen Geschrieben 5. Oktober 2003 Hi Forum, habe folgendes Problem mit Win2k Server: Für verschiedene Bentzer sollen verschiedene Gruppenrichtlinien angewendet werden. Unter anderen eine namens "Benutzerrichtlinie", die für alle gelten soll (Alle Benutzer sind in einem Container "Benutzer"). Diese wird auch für alle angewendet (gut sichtbar durch ein Login-Script) für alle Domänen-Admins. Für alle anderen nicht. Jetzt fehlt mir da aber eine Menge an Wissen: a) Wo ist der Unterschied zwischen Domänen-Admins und normalen Admins (bei denen funzen die Gruppenrichtlinien nämlich nicht) b) Wie kann ich die Gruppenrichtlinien für alle übernehmen (natürlich ohne alle zu Domänen-Admins zu machen)? Ich geh´ noch kaputt damit und ich brauch das Zeug dringend, weils nicht mein Netzwerk ist. Gruß LoSh Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 5. Oktober 2003 Autor Melden Teilen Geschrieben 5. Oktober 2003 Am Login-Script liegt es glaube ich nicht, weil ich alle Freigaben und alle Sicherheitseinstellungen für einen Testuser auf "Vollzugriff" gestellt habe. Ich habe aber noch ein paar Ereignisprotokoll-Einträge anzubieten, falls die weiterhelfen: ===========Beginn Ereignisprotokoll=========== Ereignistyp: Fehler Ereignisquelle: Winlogon Ereigniskategorie: Keine Ereigniskennung: 1012 Datum: 05.10.2003 Zeit: 18:54:30 Benutzer: LAN\testuser Computer: HERAKLIT Beschreibung: Das Untersystem für die automatische Zertifikatsregistrierung konnte nicht auf die für die Registrierung erforderlichen lokalen Ressourcen zugreifen. Die Registrierung wird nicht ausgeführt. (0x80070005) Zugriff verweigert Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 05.10.2003 Zeit: 18:53:52 Benutzer: NT-AUTORITÄT\SYSTEM Computer: HERAKLIT Beschreibung: Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie empfing Flags (0) und hat einen Fehlerstatuscode (203) zurückgegeben. Ereignistyp: Fehler Ereignisquelle: Folder Redirection Ereigniskategorie: Keine Ereigniskennung: 111 Datum: 05.10.2003 Zeit: 18:53:52 Benutzer: LAN\testuser Computer: HERAKLIT Beschreibung: Die Ordnerumleitungsrichtlinie konnte nicht angewendet werden. Die Initialisierung ist fehlgeschlagen. ======================================== Diese Einträge sagen mir natürlich auch verdammt wenig. Das Problem muss doch bekannt sein oder??? *mitleiderregendguck* Vielen Dank für eure Hilfe im Vorraus Zitieren Link zu diesem Kommentar
T0M 10 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 Hallo Losh, es gibt eine lokale Gruppe Administratoren, die stehen unter Builtin und eine globale Gruppe Domänenadmins, stehen unter Users. Wenn eine Richtlinie für alle gelten soll, musst Du die Richtlinie auf die Domäne anwenden. Du hast sie vermutlich auf den Container Users angewendet. Also einen rechten Mausclick auf die Domäne dann auf Eigenschaften und im Register Gruppenrichtlinien deine Richtlinie "Benutzerrichtlinie" hinzufügen. Bei dem Container entfernen. Viel Erfolg, Tom Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Hi TOM, die Struktur sieht folgendermaßen aus: Builtin Users Benutzer ->Administratoren ->Mitarbeiter ->Besucher ->->Internet ->Computer ... Das sind meine Container. Die eingerückten stehen jeweils unter den vorherigen nicht eingerückten. Jetzt habe ich also dem Container "Benutzer" eine GruRiLi zugewiesen namens "Benutzerrichtlinie", dem Container "Administratoren" "Administratorenrichtlinie" ... Auf einen Nutzer in der Gruppe Benutzer/Besucher/Internet werden also die "Benutzerrichtlinie", die "Besucherrichtlinie" und die "Internetrichtlinie" angewendet. Das funktioniert auch, solange der Nutzer Domänen-Admin ist, wenn nicht, dann eben nicht. Das ist das Problem. Mein Testnutzer liegt jetzt direkt auf der zweitobersten Ebene, also in "Benutzer" (dadrüber ist ja nocht die Domäne) auf den wird die Benutzerrichtlinie aber eben auch nur angewendet, wenn er Domänen-Admin ist. Unabhängig davon ob ich ihn in einen anderen Container verschiebe (natürlich immer unterhalb der Benutzerrichtlinie). Ist mein Problem klarer geworden? Gruß Alex Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 Wie sind die Berechtigungen der Gruppenrichtlinie(n) gesetzt, also wer hat die Berechtigung "Gruppenrichtlinie übernehmen"? Im Resource Kit gibt außerdem ein Tool gpresult.exe, das bei der Fehlersuch auf Seiten des Clients helfen kann. grizzly999 Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Hi Grizzly999, Normalerweise haben die User nur Lese- und Übernahme-Recht. Aber dem Test-User habe ich Vollzugriff gegeben. Sicherheitshalber habe ich ihm auch Vollzugriff in den Sicherheitseinstellungen des Containers gegeben, damit es daran schon mal nicht liegen kann. geholfen hat das aber auch nicht. Gruß LoSh Zitieren Link zu diesem Kommentar
T0M 10 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 Hallo Losh, das hört sich tatsächlich nach einem Berechtigungsproblem an. Überprüfe es und melde dich wieder. Gruss Tom Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Hi TOM, das glaube ich ja auch, ich weiß nur nicht wo ich noch schauen könnte. Ich habe dem testuser auf alle Platten, Freigaben, soweit mir irgendwie einleuchtend Unterverzeichnisse, alle Container, einfach alles was mir einfiel Vollzugriff gegeben. Ich wüsste nicht was ich ihm noch gestatten könnte. CU LoSh PS: gpresult spuckt eine Fehlermeldung aus: "unable to open key with 2" und es werden keine Sicherheitsgruppen angezeigt. Ich kann gerne mal die Log-Dateien posten, falls euch das was bringt. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 Die hilft es wirlich, die abgerufenen Richtlinien für einen Domänen-Admin und einen normalen User mittels gpresult.exe zu überprüfen, wenn sich beide an derselben Workstation anmelden, und dann weiter zu forschen. Es ist aber definitv kein "Bug" oder so was von W2k. grizzly999 Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Das ist die Ausgabe von gpresult, wenn der Testuser (jetzt wirds kompliziert) "Sabine" sich vom Rechner "Aristoteles" an den Server "Sokrates" einloggt. (Ohne Domänen-Admin-Rechte) Microsoft ® Windows ® 2000 Operating System Group Policy Result tool Copyright © Microsoft Corp. 1981-1999 Created on Montag, 6. Oktober 2003 at 20:26:56 Operating System Information: Operating System Type: Professional Operating System Version: 5.0.2195.Service Pack 4 Terminal Server Mode: Not supported ############################################################### User Group Policy results for: CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts Roaming profile: \\sokrates\sabine\ Local profile: C:\Dokumente und Einstellungen\Sabine The user is a member of the following security groups: ############################################################### Failed to open key with 2 ############################################################### Computer Group Policy results for: CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts The computer is a member of the following security groups: VORDEFINIERT\Administratoren \Jeder VORDEFINIERT\Benutzer LAN\ARISTOTELES$ LAN\Domänencomputer NT-AUTORITÄT\NETZWERK NT-AUTORITÄT\Authentifizierte Benutzer ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:26:55 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The computer received "Registry" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Benutzerrichlinie Computer-Richtlinie =============================================================== The computer received "Security" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy =============================================================== The computer received "EFS recovery" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 The user is a member of the following security groups: ############################################################### Failed to open key with 2 ############################################################### Da ist der Fehler, aber ich weiss im Moment nicht welcher. Auf jeden Fall sollten da die Gruppenmitgliedschaften und geladene Benutzer GPOs aufgeführt werden. grizzly999 Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Jupp, das meinte ich ja (hatte ich ins PS von einer Antwort an TOM geschrieben) Das Problem ist, dass ich zu dem Fehler keine Lösung finde. In irgendeinem MS-Win2k-Forum habe ich einmal eine Fragestellung nach dem Fehler gefunden aber ohne Antwort seit März. In den Knowledge-Bases habe ich auch nichts ordentliches gefunden und in der Event-ID-Datenbank habe ich die Fehler (die aus dem Ereignisprotokoll) auch nicht gefunden. Aber irgendwer muss sich ja was bei der Fehlermeldung gedacht haben oder? Ich könnte schreien! CU LoSh PS: Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2003 Melden Teilen Geschrieben 7. Oktober 2003 Bei Bedarf kann ich auch noch die analoge Ausgabe für den gleichen Nutzer aber mit Mitgliedschaft in den Domänen-Admins posten Ich mache ne Wette, da steht alles richtig drin :suspect: Vielleicht verhindern irgendwelche Sicherheitseinstellungen den Abruf. Der Domänen-Admin-test hat aber auch an dieser WS stattgefunden? grizzly999 Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 7. Oktober 2003 Autor Melden Teilen Geschrieben 7. Oktober 2003 Jupp, das war die gleiche WS. Hier, der Vollständigkeit halber. Login des gleichen Nutzers (Sabine), an gleichem Rechner (Aristoteles) und gleichem Server (Sokrates) allerdings mit Mitgliedschaft bei Domänen-Admins Microsoft ® Windows ® 2000 Operating System Group Policy Result tool Copyright © Microsoft Corp. 1981-1999 Created on Montag, 6. Oktober 2003 at 20:29:05 Operating System Information: Operating System Type: Professional Operating System Version: 5.0.2195.Service Pack 4 Terminal Server Mode: Not supported ############################################################### User Group Policy results for: CN=Sabine Rückert,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts Roaming profile: \\sokrates\sabine\ Local profile: C:\Dokumente und Einstellungen\Sabine The user is a member of the following security groups: LAN\Domänen-Benutzer \Jeder VORDEFINIERT\Benutzer VORDEFINIERT\Administratoren NT-AUTORITÄT\INTERAKTIV NT-AUTORITÄT\Authentifizierte Benutzer \LOKAL LAN\testsicherheitsgruppe LAN\Domänen-Admins ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:29:02 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The user received "Registry" settings from these GPOs: Default Domain Policy Benutzerrichlinie =============================================================== The user received "Folder Redirection" settings from these GPOs: Benutzerrichlinie =============================================================== The user received "Skripts" settings from these GPOs: Benutzerrichlinie =============================================================== The user received "Internet Explorer Branding" settings from these GPOs: Benutzerrichlinie ############################################################### Computer Group Policy results for: CN=ARISTOTELES,OU=Computer,OU=Benutzer,DC=lan,DC=buecherei-march,DC=de Domain Name: LAN Domain Type: Windows 2000 Site Name: Standardname-des-ersten-Standorts The computer is a member of the following security groups: VORDEFINIERT\Administratoren \Jeder VORDEFINIERT\Benutzer LAN\ARISTOTELES$ LAN\Domänencomputer NT-AUTORITÄT\NETZWERK NT-AUTORITÄT\Authentifizierte Benutzer ############################################################### Last time Group Policy was applied: Montag, 6. Oktober 2003 at 20:28:57 Group Policy was applied from: sokrates.lan.buecherei-march.de =============================================================== The computer received "Registry" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Benutzerrichlinie Computer-Richtlinie =============================================================== The computer received "Security" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy =============================================================== The computer received "EFS recovery" settings from these GPOs: Richtlinien der lokalen Gruppe Default Domain Policy Zitieren Link zu diesem Kommentar
losh 10 Geschrieben 23. Oktober 2003 Autor Melden Teilen Geschrieben 23. Oktober 2003 Hi Forum, inzwischen habe ich den Fehler (nur falls mal jemand nach der Lösung suchen sollte): Einfach einen neuen Container erstellen (direkt unter dem Domainnamen), dann einen User erstellen, ihm eine GruRiLi zuweisen, schauen ob es funktioniert. Nun immer nur diesen Nutzer kopieren (Rechtsklick und Kopieren). hat bei mir zumindest geholfen, wenns auch eine richtig blöde Variante ist. Gruß LoSh Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.