Domänengruppe lokaler Gruppe hinzufügen

[Robi-Wan 10]

Hallo,

 

ich hab hier folgende Aufgabenstellung:

 

Eine Domänengruppe (DOM_A) soll auf allen Servern (keine DCs) zu einer lokalen Gruppe (LOK_B) hinzugefügt werden.

 

Umgebung:

komplett Windows 2008 R2, Forestlevel ebenfalls W2k8R2, eine Domäne, eine OU mit allen Memberservern.

 

Normalerweise relativ einfach. Nicht hier jedoch.

 

Meine bisherigen Lösungsversuche:

1) Eingeschränkte Gruppen: in einer neuen GPO zu den eingeschränkten Gruppen gewechselt, DOM_A ausgewählt, LOK_B manuell eingetragen bei "ist Mitglied von". Alles auf die OU mit den Memberservern angewendet. Ergebnis: gpresult /h zeigt nur die SID der DOM_A an, in der MMC lokale Benutzer und Gruppen wird DOM_A nicht angezeigt, die Einstellung selbst greift nicht.

 

2) net localgroup LOK_B /ADD DOMÄNE\DOM_A: DIe Ergebnisse hier schwanken zwischen "Member existiert nicht" und "successful" (allerdings auch hier kein Eintrag in LOK_B, die Einstellung ist ohne Wirkung).

 

3) per vbs: hier sehe ich zwar keinen Fehler (mag auch am Script liegen, von einer der vielen Seiten nach Google'n kopiert, man möge mir meine mangelhaften Scriptkenntnisse verzeihen), aber ebenfalls kein Eintrag, keine Wirkung.

 

Ich bin ziemlich ratlos. In einer Testumgebung (1DC, 1Member) konnte ich dasselbe Phänomen beobachten.

 

Für Hinweise oder Anregungen bin ich sehr dankbar!

 

Grüße,

Robert

[NilsK 2.930]

Moin,

 

Namensauflösung funktioniert? Einträge im Eventlog?

 

Gruß, Nils

[Robi-Wan 10]

Hallo Nils,

 

Danke für Deine Antwort. Du hast genau ins Schwarze getroffen, was die Testumgebung betrifft. Das waren VMs mit differencing discs von einer ge-sysprep-den VM. Fehlermeldung war, dass der Memberserver die gleiche SID hatte wie die Domäne. Anscheinend hilft sysprep nicht mehr bei SIDs :shock:

 

Ich werde das in der anderen Umgebúng mir genauer ansehen und Feedback geben.

 

Grüße,

Robert

[NilsK 2.930]

Moin,

 

okay, also quasi ein Standardfehler.

 

Allerdings setzt sysprep sehr wohl einen neuen SID, da dürfte also wohl noch was anderes im Busch sein. Ich tippe mal auf die Differencing Disk. DCs haben denselben SID wie die Domäne, wenn also eine Maschine von einem DC abgeleitet wird, ist das genau das Problem.

 

Gruß, Nils

[Robi-Wan 10]

Hallo Nils,

 

nur zur Sicherheit: die Template-Maschine hat "nur" eine "normale" Windows Installation, keine Rollen oder Features, dafür aber ein sysprep. Die Konfiguration kommt erst nach der Erstellung der VMs.

 

Grüße,

Robert

[NilsK 2.930]

Moin,

 

vorweg: Das ist hoffentlich nur eine Testumgebung? In Produktion sind diese Mechanismen nicht supported.

 

Wie ist bzw. war denn das genaue Verfahren beim Aufbau des Templates und der VM - welche Schritte in welcher Reihenfolge? Dannst du mit PsGetSid (sysinternals) die lokalen SIDs nachvollziehen?

 

Gruß, Nils

[Dunkelmann 96]

Das Problem mit doppelten SIDs kenne ich auch aus meiner alten Testumgebung.

Die VMs habe ich mit "sysprep /generalize /oobe /shutdown" vorbereitet und geklont. Bei Windows 2003 und XP traten übrigens die gleichen Probleme auf.

 

Bei mir war das Problem VM Ware Workstation bzw. die Integration Tools. Anscheinend harmonierten diese nicht mit Microsofts sysprep.

Ich bin dann auf Hyper-V und SCVMM für meine Testumgebung umgestiegen und habe jetzt diese Probleme nicht mehr.

[Robi-Wan 10]

Hallo zusammen,

 

@Dunkelmann: ich nutze Hyper-V, darin trat das Problem mit den SIDs auf...

 

Ich habe heute nochmal die Verteilung über GPO und eingeschränkte Gruppen probiert und es funktioniert jetzt. KA warum jetzt und vorgestern ned, aber es läuft wunderprächtig!

 

Danke nochmal an alle Kopfzerbrechenden und Helfer :)

 

Grüße,

Robert