neobender 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Server: MS Windows Server 2003 SBS Clients: Windows XP Professional. Waren vor der Einführung einer Domäne in einer Arbeitsgruppe und i.d.R. mit Administrator rechten versehen Meine bisherige Konfiguration: Ich habe auf dem Server im Active Directory Benutzer angelegt und diesen Nutzern habe ich eine Gruppe zugeordnet („Testgruppe“). Die neuen Benutzer und neuen Gruppen befinden sich in der Organisationseinheit „Benutzer“. In der Gruppenrichtlinienverwaltung habe ich in der Organisationseinheit ein neues Gruppenrichtlinienobjekt erstellt („XP-Benutzer“). In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen. Im Gruppenrichtlinien-Editor habe ich unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung“ alle drei Hauptschlüssel hinzugefügt. Dabei habe ich auch die „Testgruppe“ ausgewählt und Vollzugriff vergeben, und danach die Option „Vererbbare Berechtigung an alle Unterschlüssel übermitteln“ ausgewählt. Außerdem habe ich unter „Benutzerkonfiguration\Windows-Einstellungen\Skripts (Start/Herunterfahren)“ ein Skript unter Starten eingestellt. „\\[servername]\NETLOGON\Test.bat“. Nun zu meinem Problem: Leider musste ich feststellen, das die Clients keinen Zugriff auf die Registrierungsdatenbank haben, und mein Testskript wurde auch nicht ausgeführt. Ich habe den Eindruck, dass die Gruppenrichtlinien, die ich einstelle nicht berücksichtigt werden. Was ich eigentlich erwarte/möchte: Nun eigentlich ganz einfach. Meine Benutzer sollen uneingeschränkt zugriff auf die Registrierungsdatenbank (regedit) haben und auf ihre C:\ Partition. Wobei ich letzeres noch nicht eingestellt habe. Zu meiner Person Ich bin absoluter Anfänger auf diesem Gebiet. Scheut euch aber trozdem nicht zu Posten Zitieren Link zu diesem Kommentar
McMurphy 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 ... vielleicht hast du es auch nur vergessen mit dazu zu schreiben, aber hast du dein Gruppenrichtlinienobjekt auch den entsprechenden Usern/Computern zugewiesen oder hast du es nur erstellt? Trotzdem: willkommen an Board Murphy Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Der Container Benutzer ist keine OU. GPO's lassen sich nur auf OU's anwenden Zitieren Link zu diesem Kommentar
neobender 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 @McMurphy Ich habe dem Gruppenrichtlinienobjekt eine Gruppe zugeordnet Zitat: "...In dem Gruppenrichtlinienobjekt habe ich als einzige Gruppe die „Testgruppe“ eingetragen..." Ich hoffe das ist so richtig @Hirgelzwift sry aber ich verstehe die Abkürzungen nicht, jedenfalls noch nicht ;-) Zitieren Link zu diesem Kommentar
neobender 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 So nach meinen recherchen scheint ein OU eine Organisationeinheit zu sein. Jedoch habe ich die "Organisationseinheit-Benutzer" mit einem "rechtsklick -> neu -> Organisationseinheit" auf dem Active Directory erstellt. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 OU= Organisations Einheit (Unit) GPO= Group Policy Objekt, also eine Gruppenrichtlinie Es gibt OU's und Container. Wenn du dir das AD anschaust wirst du zwei unterschiedliche Icons feststellen. Die die aussehen wie ein normaler Windowsordner sind "nur" Container, auf die kannst du keine GPO's anwenden. Um GPO's zuweisen zu können musst du eine eine GPO erzeugen und dann eine OU erzeugen oder mit einer vorhandenen OU die erzeugte GPO verlinken. Je nachdem ob du dir den GPO Editor installiert hast oder nicht kannst du das entweder in GPO Editor machen oder im AD Benutzer & Computer - bei Gruppenrichtlinen Natürlich musst du dann auch noch die Objekte, also Computer und oder Benutzer, in diese OU verschieben. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Und natürlich wirken Gruppenrichtlinien auf Computer- oder Benutzerobjekte, nicht auf Gruppen. Das heisst, dass Objekte in der OU oder einer darunter liegenden OU liegen müssen, mit der das auf sie anzuwendende GPO (Gruppenrichtlinien-Objekt) verknüpft ist. Ein Objekt kann also immer nur in einer OU sein. Im Grundsatz gilt: Computereinstellungen im GPO wirken auf Computerobjekte, Benutzereinstellungen auf Benutzerobjekte. Mehr Grundsatzliteratur gibt es unter: http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx http://www.gruppenrichtlinien.de Das spart uns längere Erklärungen, auch weil vieles davon hier im Board schon geschrieben steht und durch die Boardsuche auch auffindbar ist. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Ich bin halt eine Plaudertasche ;) :D Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hallo, hat der TO sich denn schon mal von dem Funktionieren der Namensauflösung per DNS überzeugt? Ohne Arme keine Kekse. ;) Gruß Edgar Zitieren Link zu diesem Kommentar
neobender 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 Also ich weis jetzt wo die Sachen gespeichert werden und konfiguriert werden. Aber wie kann ich den überprüfen ob eine Richtlinie übernommen wurde oder nicht?? Denn wenn ich mir auf dem Client die adm files (C:\Windows\Inf) ansehe bzw. das Änderungsdatum mit der auf dem Server vergleiche dann sehe ich es sind nicht die selben sondern die alten, die von anfang an drauf waren. Also irgenswas stimmt nicht Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Zum Überprüfen kannst Du entweder GPRESULT (mit diversen Schaltern) benutzen oder Du öffnest eine leere MMC-Konsole (mmc.exe) und fügst das Snapin Richtlinienergebnissatz zu. Du kannst auf dem zu überprüfenden Client ebenso RSOP.MSC ausführen. Zitieren Link zu diesem Kommentar
neobender 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 Folgenden Befehl habe ich ausgeführt: gpresult /USER go-S3\Administrator und lieferte folgendes Ergebnis: Betriebssystem Microsoft ® Windows ® Gruppenrichtlinienergebnis-Tool v2.0 Copyright © Microsoft Corp. 1981-2001 Am 06.01.2006, um 22:17:14 erstellt RSOP-Daten fr GO-S3\Administrator auf DATENSERVER: Protokollmodus ------------------------------------------------------------------- Betriebssystemtyp: Microsoft® Windows® Server 2003 fr Small Business Server Betriebssystemkonfiguration: Prim„rer Dom„nencontroller Betriebssystemversion: 5.2.3790 Terminalservermodus: Remoteverwaltung Standortname: Standardname-des-ersten-Standorts Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\Administrator Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------- CN=DATENSERVER,OU=Domain Controllers,DC=go-S3,DC=Datenserver Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 22:13:35 Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver Schwellenwert fr langsame Verbindung:500 kbps Dom„nenname: GO-S3 Dom„nentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------- Small Business Server-šberwachungsrichtlinie Default Domain Controllers Policy Small Business Server-Clientcomputer Small Business Server-Remoteuntersttzungsrichtlinie Small Business Server-Kontosperrungsrichtlinie Small Business Server-Dom„nenkennwortrichtlinie Default Domain Policy Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ---------------------------------------------------------------------- Small Business Server-Windows-Firewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PostSP2 Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Computer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------- Administratoren Jeder Benutzer Windows-Autorisierungszugriffsgruppe NETZWERK Authentifizierte Benutzer Diese Organisation DATENSERVER$ Dom„nencontroller DOMŽNENCONTROLLER DER ORGANISATION RAS- und IAS-Server [...] Zitieren Link zu diesem Kommentar
neobender 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 [...] BENUTZEREINSTELLUNGEN ---------------------- CN=Administrator,CN=Users,DC=go-S3,DC=Datenserver Letzte Gruppenrichtlinienanwendung: 06.01.2006, um 20:47:35 Gruppenrichtlinieanwendung von: datenserver.go-S3.Datenserver Schwellenwert fr langsame Verbindung:500 kbps Dom„nenname: GO-S3 Dom„nentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ---------------------------------------------------------------------- Small Business Server-Kontosperrungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Small Business Server-Clientcomputer Filterung: Nicht angewendet (Leer) Small Business Server-Windows-Firewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PostSP2 Small Business Server-Remoteuntersttzungsrichtlinie Filterung: Deaktiviert (Gruppenrichtlinienobjekt) Small Business Server-Dom„nenkennwortrichtlinie Filterung: Nicht angewendet (Leer) Small Business Server-Internetverbindungsfirewall Filterung: Verweigert (WMI-Filter) WMI-Filter: PreSP2 Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------- Dom„nen-Benutzer Jeder Administratoren Benutzer INTERAKTIV Authentifizierte Benutzer Diese Organisation LOKAL Dom„nen-Admins Richtlinien-Ersteller-Besitzer Organisations-Admins SBS Mobile Users SBS Report Users Schema-Admins ORA_DBA Mache ich das jedoch mit dem neu eingerichteten Benutzern: gpresult /USER go-S3\Testuser so kommt folgendes Ergebnis: INFORMATION: Benutzer "go-S3\Testuser" hat keine RSOP-Daten. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hast Du dich mit dem Test-User schon mal angemeldet? Wenn nicht, funktioniert das mit RSOP nicht. Christoph Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Wo führst Du GPRESULT denn durch, auf dem DC (steht ja oben :rolleyes: ) ? Wenn der User, den Du testen möchtest, dort noch nicht angemeldet war (was auf einem DC sehr wahrscheinlich ist), existiert kein Benutzerprofil für diesen User und Du bekommst diese Meldung . Melde Dich an dem Computer mit dem entsprechenden Benutzer an, an dem letztlich gearbeitet wird und führe dort GPRESULT durch. Wenn Du prüfen möchtest, was passiert, wenn sich ein Objekt in einer bestimmten OU z.B. befindet, solltest Du den Richtlinienergebnissatz im Planungsmodus verwenden. Dazu gibst Du in Start - Ausführen - MMC ein, dann navigierst Du zu Datei - Snapin hinzufügen - Hinzufügen - Richtlinienergebnissatz markieren - Hinzufügen - Schliessen - OK Dann hast Du in dem verbliebenen Fenster den Richtlinienergebnissatz stehen, den Du mit rechts anklickst, um einen Richtlinienergebnissatz zu generieren. Im weiteren Verlauf kannst Du definieren, für welchen Benutzer oder Computer Du den Satz erstellen möchtest, wo die Objekte sich befinden (oder befinden werden) usw. Ist der Satz generieren, kannst Du die Einstellungen kontrollieren. edit: zu lange geschrieben :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.