strade 0 Geschrieben 25. September 2013 Melden Teilen Geschrieben 25. September 2013 Hallo zusammen! Jedes halbe Jahr aufs neue ärgere ich mich mit dem selben Problem rum. Ich hoffe wirklich, dass mir vlt. hier jmd. helfen kann oder mir zumindest mit Sicherheit sagen kann, dass es nicht geht :( Für die Verwaltung und Konfiguration meiner 100 Clients setze ich ein AD ein (jetzt auf einem 2012 Standard) und möchte gerne Gruppenrichtlinien nutzen, um gewisse Einschränkungen zu setzen. Das funktioniert auch einwandfrei für den Teil der Computerkonfiguration; die Benutzerkonfiguration allerdings bereitet schreckliche Probleme. Grund dafür ist wahrscheinlich unsere Struktur: Die User sind nicht in meinem AD, sondern werden immer auf einer Unix Maschine erzeugt. Über einen One-Way-Trust zu der Samba Domäne auf dieser Maschine (emuliert eine alte NT4 Domäne), können sich die User ohne Probleme auf meinen Maschinen einloggen. Um es genauer zu sagen, melden sie sich an der Samba-Domäne an über meine Rechner, die in meinem AD hängen. Daher möchte ich auch, dass für diese Nutzer gewisse Benutzerkonfigurationen gelten, die ich über die GPO einstelle. Und das bekomme ich einfach nicht hin :( Es hat den Anschein, als ob Benutzerkonfigurationen über das AD auch einzig und allein auf User in dem AD angewendet werden können. Ich möchte das Anlegen von lokalen Richtlinien eigentlich vermeiden, da diese dann ja leider für wirklich jeden gelten.. Es wäre echt super, wenn hier jemand Rat wüsste! Grüße, strade Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. September 2013 Melden Teilen Geschrieben 25. September 2013 Hallo, eher aus dem Bauch heraus fiel mir ein das Stichwort: Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie. Ob es hilft? Ich weiß es nicht. Viel Erfolg. Zitieren Link zu diesem Kommentar
strade 0 Geschrieben 25. September 2013 Autor Melden Teilen Geschrieben 25. September 2013 Hallo, ja das habe ich auch schon versucht. Leider kein Erfolg; auch nicht in Verbindung mit dem "Allow Cross Forest Roaming Profiles and Group Policies" Setting. Auf lokale Nutzer und leider auch die User aus der vertrauenden Domäne wird einfach nichts angewendet. Warum das so ist, kann ich leider auch nicht einsehen. GPResult führt die entsprechende Richtlinie nicht auf und die Ereignisanzeige bleibt auch leer. Scheinbar ist es so gewollt, aber es muss doch einen Weg, diese Einstellung zu umgehen. Lokale Richtlinien funktionieren ja auch nicht nur bei lokalen Nutzern -.- Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. September 2013 Melden Teilen Geschrieben 25. September 2013 Ich muss schon gestehen, dein Build erscheint mir sehr ungewöhnlich. :) Ich nehme an, es ist eine Schulumgebung (Jedes halbe Jahr aufs neue). Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 25. September 2013 Melden Teilen Geschrieben 25. September 2013 (bearbeitet) Wenn Du schon ein AD hast, weshalb bringst Du die Benutzer nicht auch gleich ins AD? EDIT: Du kannst natürlich die Registry Keys per Script manuell importieren. bearbeitet 25. September 2013 von Sunny61 Zitieren Link zu diesem Kommentar
strade 0 Geschrieben 26. September 2013 Autor Melden Teilen Geschrieben 26. September 2013 Ja....die Infrastruktur ist nicht optimal...oder anders gesagt, Windows möchte sich nicht so einfach intigrieren^^ Wir werden ein Identiy Management einführen, dass dann auch mein AD befüllen kann, bis es aber soweit ist, steht mir leider nur der Trust zu Verfügung. Die User kann ich leider nicht importieren. Registry Keys möchte ich auch nicht setzen...bislang mache ich es so, dass ich für die Benutzerkonfig die lokale GPO verwende (was ja so ziemlich das selbe ist), aber das hat natürlich den Nachteil, dass sie zum einen für jeden gilt und das ich sie nur noch an jedem Rechner einzelnd änder kann -.- Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 26. September 2013 Melden Teilen Geschrieben 26. September 2013 Du kannst natürlich den Admin von den lokalen GPOs ausnehmen. Steht bei Mark in diesem Artikel: http://www.gruppenrichtlinien.de/artikel/gpeditmsc-multi-lokale-richtlinien-standalone-ohne-server-ohne-ad/ Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. September 2013 Melden Teilen Geschrieben 26. September 2013 (bearbeitet) ......Wir werden ein Identiy Management einführen, dass dann auch mein AD befüllen kann, ....... INES? bearbeitet 26. September 2013 von lefg Zitieren Link zu diesem Kommentar
strade 0 Geschrieben 26. September 2013 Autor Melden Teilen Geschrieben 26. September 2013 (bearbeitet) Danke Sunny für den Link! Den Admin hatte ich schon immer rausgenommen, indem ich ihm die Leserechte genommen habe...leider bekommt er nach jedem Deployment eine neue SID und konnte dann leider doch wieder lesen :( Das es seit Vista aber jetzt auch anders geht, wusste ich noch nicht. Schau ich mir mal an! INES? Unsere Taskforce hat sich für OpenIDM entschieden und entwickelt entsprechend dafür. kA wie es wird. Mich interessiert eigentlich nur, dass ich meine Nutzer und Gruppenzugehörigkeit importiert bekomme und die Daten auch entsprechend mit dem IDM synchronisiert werden. UPDATE: Habe die SID S-1-5-32-545 als neuen Freund kennengelernt. Frage: Kennt jemand eine Möglichkeit, ob und wie ich im AD eine GPO an eine spezielle SID delegieren kann? Das würde meine Probleme auf einen Schlag lösen :) Darf auch Powershell sein... bearbeitet 26. September 2013 von strade Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.