kosta88 2 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) Hallo zusammen, Ich stehe ein wenig an. Habe hier ein SBS2011 und versuche die Benutzer via OU und Gruppe die richtige Skripte zuzuweisen. Diese Skripte soll gewisse Laufwerke einbinden. Situationsbeschreibung: Im SBS AD ist ein Ordner MyBusiness\Users\SBSUsers - hier sind die Benutzer angelegt. Zusätzlich habe ich eine weitere OU MEINEOU in MyBusiness\Users erstellt. In der OU MEINEOU ist eine Gruppe MEINEGRUPPE. Die Mitglieder der Guppe MEINEGRUPPE sind alle Benutzer denen ich die Skripte zuweisen will, zzgl. Domänen-Admins Gruppe und Administrator-Konto auch. In der GPO habe ich dann unter MEINEOU ein neues Gruppenrichtlinienobjekt erstellt und verlinkt. Diese Objekt habe ich dann Bearbeitet und unter Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Skripts unter Anmelden eine logon.cmd mit üblichen NET USE Befehlen geschrieben. Wenn ich das GPO-Objekt anklicke, auf der linken Seite steht: Verknüpfungen MEINEOU Sicherheitsfilterung:Authetifizierte Benutzer Delegierung: (unter anderem) Domänen-Admins Wenn man sich mit dem Domänen-Admin Konto anmeldet, werden die Laufwerke nicht verbunden. Die Skripte funktioniert wenn sie manuell ausgeführt wird, sie funktioniert auch bei den Benutzern wenn sie in Autostart gelegt wird. gpupdate /force habe ich bereits versucht. Eine Idee warum es nicht funkt, was vergesse ich denn? bearbeitet 21. Januar 2015 von kosta88 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Hi, schau dir das mal an: http://www.gruppenrichtlinien.de/artikel/fast-logon-schnelles-anmelden-asynchrones-startverhalten-ehemals-faq-36/ Es wäre vermutlich viel einfacher, das Laufwerksmapping über die GPP Laufwerkszuordnung zu machen. Da kannst du direkt mit einer Zielgruppenadressierung auf deine Gruppen filtern. Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) Moin Meine bevorzugte Hauptverdächtige: GPO "....immer auf das Netzwerk warten." bearbeitet 21. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Situationsbeschreibung: Im SBS AD ist ein Ordner MyBusiness\Users\SBSUsers - hier sind die Benutzer angelegt. Zusätzlich habe ich eine weitere OU MEINEOU in MyBusiness\Users erstellt. In der OU MEINEOU ist eine Gruppe MEINEGRUPPE. Sind denn in dieser OU MEINEOU auch die Benutzerobjekte? Wenn nein, dann ist alles klar. Gruppenrichtlinien greifen nicht auf Gruppen, nur auf Gruppen von Objekten. ;) Es müssen die Benutzerobjekte im Verwaltungsbereich des GPO liegen, die Gruppe kannst Du ablegen wo Du möchtest, nur die Objekte eben nicht. Die Mitglieder der Guppe MEINEGRUPPE sind alle Benutzer denen ich die Skripte zuweisen will, zzgl. Domänen-Admins Gruppe und Administrator-Konto auch. In der GPO habe ich dann unter MEINEOU ein neues Gruppenrichtlinienobjekt erstellt und verlinkt. Diese Objekt habe ich dann Bearbeitet und unter Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Skripts unter Anmelden eine logon.cmd mit üblichen NET USE Befehlen geschrieben. Du hast die Sicherheitsgruppe als Sicherheitsfilterung verwendet, dann könntest Du das GPO auch viel weiter oben in der Hierarchie ablegen. Wenn man sich mit dem Domänen-Admin Konto anmeldet, werden die Laufwerke nicht verbunden. Die Skripte funktioniert wenn sie manuell ausgeführt wird, sie funktioniert auch bei den Benutzern wenn sie in Autostart gelegt wird. gpupdate /force habe ich bereits versucht. Eine Idee warum es nicht funkt, was vergesse ich denn? Zusätzlich ist deine erste Anlaufstelle immer das Ereignisprotokoll auf den Clients. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 21. Januar 2015 Autor Melden Teilen Geschrieben 21. Januar 2015 Sind denn in dieser OU MEINEOU auch die Benutzerobjekte? Wenn nein, dann ist alles klar. Gruppenrichtlinien greifen nicht auf Gruppen, nur auf Gruppen von Objekten. ;) Es müssen die Benutzerobjekte im Verwaltungsbereich des GPO liegen, die Gruppe kannst Du ablegen wo Du möchtest, nur die Objekte eben nicht. Du hast die Sicherheitsgruppe als Sicherheitsfilterung verwendet, dann könntest Du das GPO auch viel weiter oben in der Hierarchie ablegen. Zusätzlich ist deine erste Anlaufstelle immer das Ereignisprotokoll auf den Clients. Nein, sind sie nicht. Die Benutzerobjekte befinden sich in der SBSUsers OU, daher ist wohl deine Erklärung sinnvoll (Gruppen von Objekten). Wozu ist dann eine Gruppe gut? Die Gruppe befindet sich schon in der OU (MEINEOU). Nur die Benutzer sind woanders. Werde auf jeden Fall testen. Dazu zu sagen, ich habe die "Default Domain Policy" auch geskriptet, und die greift auch nicht. Sollte sie nicht? Werde mir auch das Ereignisprotokoll ansehen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) Hallo Kosta, ich denke, Du unterliegst einen im deutschen Sprachraum wohl verbreiteten Irrtum: Aber Gruppenrichtlinien haben nichts mit Sicherheitsgruppen zu tun. Falls Du also ein Startskript im Kontext von Benutzern starten willst, dann die Benutzerkonten in die OU die verlinkt mit der Richtlinie. Wesentlich, die Anmeldung des Benutzers darf erst nach dem Bereitstellen des Netzwerkes geschehen, GPO ".... immer auf das Netzwerk warten." bearbeitet 21. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 21. Januar 2015 Autor Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) Also ich habe alle Benutzer, inkl. den Administrator in die OU verschoben, und trotzdem greift die Gruppenrichtlinie nicht. Wesentlich, die Anmeldung des Benutzers darf erst nach dem Bereitstellen des Netzwerkes geschehen, GPO ".... immer auf das Netzwerk warten. Werde das noch untersuchen... nun sehe ich nicht ganz warum das ein Problem darstellen sollte. Warum: Wenn ich die Tests durchführe, mache ich das i.d.R. via RDP vom Server aus. Ich arbeite immer mit An- bzw. Abmelden, und gpupdate inzwischen. Hier ist das Netzwerk bereits die ganze Zeit verfügbar, es gibt keinen Neustart. Natürlich wenn der Rechner neugestartet wird, kann ich das dann untersuchen falls hier Probleme auftreten. EDIT: Das interessante aber, jetzt habe den Benutzer gewechselt und es hat funktioniert. Muss ich also weiter untersuchen und werde das Thema mit dem verfügbaren Netzwerk untersuchen. bearbeitet 21. Januar 2015 von kosta88 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Nein, sind sie nicht. Die Benutzerobjekte befinden sich in der SBSUsers OU, daher ist wohl deine Erklärung sinnvoll (Gruppen von Objekten). Wozu ist dann eine Gruppe gut? Für die Sicherheitsfilterung zum Beispiel. Die Gruppe befindet sich schon in der OU (MEINEOU). Nur die Benutzer sind woanders. Werde auf jeden Fall testen. Dazu zu sagen, ich habe die "Default Domain Policy" auch geskriptet, und die greift auch nicht. Sollte sie nicht? Die DDP nicht anfassen! Erstell eigene GPOs, die kannst Du dann weiter oben positionieren. Auf jeden Fall müssen die Benutzerobjekte *unterhalb* des GPO liegen. Die Gruppen kannst Du ablegen wo Du willst. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 (bearbeitet) @Kosta, langsam empfinde ich es schon schwierig mit dir. Wie wäre es die Bedingungen zu beschreiben? In der Eröffnung steht kein Wort von RDP, kein Wort vom Terminalservice. Ich gehe vom Client aus, Start des Clients, Anmeldung des Users am Client. Nun, wa solls. bearbeitet 21. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 22. Januar 2015 Autor Melden Teilen Geschrieben 22. Januar 2015 (bearbeitet) Die DDP nicht anfassen! Erstell eigene GPOs, die kannst Du dann weiter oben positionieren. Auf jeden Fall müssen die Benutzerobjekte *unterhalb* des GPO liegen. Die Gruppen kannst Du ablegen wo Du willst. In Ordnung, habe ich rausgenommen. Die eigene GPO ist, bereits wie oben erwähnt bereits erstellt, nur weil es nicht funktioniert hat, habe ich mit DDP versucht. @Kosta, langsam empfinde ich es schon schwierig mit dir. Wie wäre es die Bedingungen zu beschreiben? In der Eröffnung steht kein Wort von RDP, kein Wort vom Terminalservice. Ich gehe vom Client aus, Start des Clients, Anmeldung des Users am Client. Nun, wa solls. Ich habe ganz oben die Bedingungen mMn. sehr gut beschrieben. Was RDP betrifft, es wurde sowohl mit RDP wie auch mit dem Neustart versucht. Aus Erfahrung die ich bis dato gemacht habe, ist es so gewesen dass wenn es via Abmeldung und erneuten Anmeldung via RDP nicht funktioniert, funktioniert es beim Neustart auch nicht (vorausgesetzt man nutzt die Anmeldung in GPO und nicht den Rechnerstart). Deswegen habe ich es nicht für ausschlaggebend gehalten. Terminalserver gibt es auch keins. Es ist ein stinknormales Client-Server-System, 1x SBS2011 als DC und 3x Client. Damit ich nicht umadum rennen muss, verbinde ich mich mit RDP. Wenn du aber mit Terminalservice die erlaubte RDP-Verbindung verstehst, dann ja, das ist eingeschaltet. bearbeitet 22. Januar 2015 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. Januar 2015 Melden Teilen Geschrieben 22. Januar 2015 Und was soll "an DDP" anders sein als an eigenem GPO? :rolleyes: Hauptsache mal rumgeklickt? ;) Bye Norbert Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. Januar 2015 Melden Teilen Geschrieben 22. Januar 2015 Du gehst also per RDP auf den Client und meldest dich dort an? Und erfährt der Client die Gruppenrichtlinie ".... immer auf das Netzwerk warten."? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. Januar 2015 Melden Teilen Geschrieben 22. Januar 2015 EDIT: Das interessante aber, jetzt habe den Benutzer gewechselt und es hat funktioniert. Muss ich also weiter untersuchen und werde das Thema mit dem verfügbaren Netzwerk untersuchen. War der zuvor verwendete Benutzer denn lokaler Admin? Und ist der jetzt verwendete Benutzer kein lokaler Admin? Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 22. Januar 2015 Autor Melden Teilen Geschrieben 22. Januar 2015 Du gehst also per RDP auf den Client und meldest dich dort an? Und erfährt der Client die Gruppenrichtlinie ".... immer auf das Netzwerk warten."? Ich glaube das war wohl die Lösung. Mal beobachten morgen aber schaut daweil gut aus! Danke! Ich habe soeben in der Ereignisanzeige nachgesehen und dort ist ein Eintrag dass die GPO nicht geladen werden konnte... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.