torstenv 10 Geschrieben 29. Juni 2003 Melden Teilen Geschrieben 29. Juni 2003 Folgendes Problem: Ein Win2k-Server verwaltet mehrere XP Clients. Ich füge der Domain (also nicht einer OU) ein neues GPO hinzu und modifiziere die Sicherheitseinstellungen der GPO dergestalt, dass "Authentifizierte Benutzer" die Schalter "Anwenden" und "Lesen" entfernt haben (also sind in dieser Gruppe nun keine Schalter an, auch nicht "verweigern"). Dann füge ich den Sicherheitseinstellungen eine neue Gruppe (eine selbst angelegte) hinzu und wähle für diese die Sicherheitseinstellungen "Lesen" und "Anwenden" an. Mache ich das oben formulierte von Hand auf dem DC, so wird die GPO irgendwann übernommen. Mache ich das aber von einem anderen Host aus (XP-SP1) über die GPMC, so wird die GPO scheinbar nicht übernommen, obwohl augenscheinlich bei der Ansicht der GPO und deren Einstellungen direkt vom DC aus betrachtet, alle Einstellungen die selben sind, wie bei der von Hand angelegten GPO. Wie finde ich heraus, warum die eine GPO nicht angewendet wird? Danke! T. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 29. Juni 2003 Melden Teilen Geschrieben 29. Juni 2003 bin mir nicht sicher, aber setz "domain computers" read and apply dazu cu blub Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 29. Juni 2003 Autor Melden Teilen Geschrieben 29. Juni 2003 Wenn ich das täte, würde die GPO auf alle Computer in der Domain angewendet. Das will ich nicht. Ich will, dass die GPO nur auf Mitglieder der von mir erstellten Gruppe angewendet wird. T. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 29. Juni 2003 Melden Teilen Geschrieben 29. Juni 2003 du hast mit den "authenticated users" auch die "domain computers" rausgeschmissen aus der Berechtigung. Daran musst du halt denken bzw. darauf wollte ich dich hinweisen cu blub Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 29. Juni 2003 Autor Melden Teilen Geschrieben 29. Juni 2003 Sorry, das kapiere ich nicht. Die Besonderheit ist ja, dass ich die GPO an die Domain binde, aber NICHT will, dass sie für jeden Host in der Domain gültig ist. Darum entferne ich ja extra die Berechtigung "Anwenden" von der Gruppe "Authentifizierte Benutzer". Ich möchte die Menge der Hosts, die diese GPO anwenden sollen, über die Mitgliedschaft einer bestimmten, vorher von mir angelegten Gruppe festlegen. Dazu habe ich also eben dieser Gruppe das "Anwenden" und "Lesen" Recht gegeben. Aber die Mitglieder dieser Gruppe wenden die GPO nicht an, wenn ich das automatisiert über GPMC-Scripts laufen lasse. Lege ich jedoch, wie schon beschrieben, diese Konstellation von Hand an, was im Endergebnis keinen Unterschied macht (und man kann nacher nicht mehr feststellen, ob eine GPO nun von Hand oder über die GPMC-Scripte angelegt wurde), dann jedenfalls wird die GPO einwandfrei angewandt, so scheint es. Deinen Hinweis auf die Domain Computer habe ich nicht nachvollziehen können. T. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. Juni 2003 Melden Teilen Geschrieben 29. Juni 2003 Hi torstenv ich habe es gerade eben bei mir probiert. Beide Male - GPO auf DC interaktiv geändert und von XP aus geändert - werden die Gruppenrichtlinien samt Filterung sauber übernommen. Ich vermute dein Fehler liegt an anderer Stelle. Vielleicht steht die Sicherheitseinstellung der GPO für die betreffende Gruppe doch nicht auf "Richtlinie übernehmen", oder...?? grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. Juni 2003 Melden Teilen Geschrieben 30. Juni 2003 vielleicht wars unklar.. Wenn du die authenticated users entfernst, entfernst du auch die Domain computers. Wenn du statt dessen eine eigene Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als auch die Computer, für die diese Policy gelten soll, "read" und " apply" haben. Ob du die Policys am Client, oder am DC einträgst, ist völlig wurscht, wenn dein Netz sauber konfiguriert ist. Installier dir die Supporttools, dort gibt es zwei Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst meistens, wo es hakt. cu blub Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 30. Juni 2003 Autor Melden Teilen Geschrieben 30. Juni 2003 >vielleicht wars unklar.. Sorry, es ist _mir_ immer noch unklar... :-( >Wenn du die authenticated users entfernst, entfernst du auch >die Domain computers. Wenn du statt dessen eine eigene >Gruppe anlegst, müssen in dieser Gruppe sowohl die User, als >auch die Computer, für die diese Policy gelten soll, "read" und " >apply" haben. Read und Apply _WO_ haben? Ich will ja erreichen, dass ich die Hosts, die die GPO übernehmen sollen, durch die Mitgliedschaft in meiner Gruppe ("GR-Test") festlegen kann. Dazu habe ich bei den Sicherheitseinstellungen der GPO "GR-Test" mit Read und Apply hinzugefügt, damit nicht alle anderen Hosts auch die GPO bekommen, habe ich "Authenticated Users" entfernt (bzw. nicht wirklich entfernt, sondern nur "read und Apply" abgehakt, sodass weder erlauben noch verweigern an ist). In der Policy selbst sind nur Einstellungen in der Computerkonfiguration, also sind Benutzereinstellungen egal. Die Hosts, mit denen ich teste SIND nun Mitglieder von "GR-Test". Damit, so fand ich zumindest, sollte doch klar definiert sein, auf welchen Hosts die GPO zur Anwendung kommen sollte. >Ob du die Policys am Client, oder am DC einträgst, ist völlig >wurscht, wenn dein Netz sauber konfiguriert ist. Ja, das scheint mir auch so. Es scheint, als wäre es nicht das Problem, welches ich im Ausgangsposting beschrieben habe. >Installier dir die Supporttools, dort gibt es zwei >Tools "netdiag /v" und "dcdiag /v". Ruf die mal auf, dann siehst >meistens, wo es hakt. Auf meinem Win2k Server waren die schon drauf und liefen beide ohne Fehlermeldungen durch. Ich nehme die Beschreibung mit den Domain Computern sehr ernst, habe das aber noch nicht wirklich verstanden, wo ich jetzt noch etwas ändern müsste. T. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Juni 2003 Melden Teilen Geschrieben 30. Juni 2003 @torstenv: So wie es aussieht, hast du es völlig korrekt verstanden und völlig korrekt eingerichtet. Wenn du das Resource Kit hast, überprüfe mal mit gpresult.exe, welche GPOs für den Computer übernommen werden. Ansonsten gibt es das Tool auch hier zum Download: http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp Teile uns doch dann mit, wie das Ergebnis aussieht. grizzly999 Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 30. Juni 2003 Autor Melden Teilen Geschrieben 30. Juni 2003 Ups, noch mal alles zurück, ich musste mein Posting noch mal übereditieren, weil ich etwas zu voreilig war. Hier also der Output von GPResult. Hier ist der springende Punkt, dass das Tool zeigt, dass die GPO mit Namen "MyGPO Install Client" nicht übernommen wird. Begründung: Filterung: Verweigert (Sicherheit). (s.u.) Die Sicherheitseinstellungen dieser GPO sind wie folgt: (Uneingeschränkter Zugriff = UEZ, Lesen=R, Schreiben=W, Alle untergeordneten Objekte erstellen=AUOE, Alle untergeordneten Objekte löschen=AUOL, Gruppenrichtlinie übernehmen=A) - "Authentifizierte Benutzer" Zulassen: - , Verweigern: - - "Domänen Admins" Zulassen: R/W/AUOE/AUOL, Verweigern: - -"Ersteller-Besitzer": Zulassen: - , Verweigern: - -"MyGroup":Zulassen: R/A , Verweigern: - -"Organisations-Admins": Zulassen: R/W/AUOE/AUOL, Verweigern: - -"System": Zulassen: R/W/AUOE/AUOL, Verweigern: - Die Gruppe "MyGroup" hat nur ein Mitglied, nämlich den Rechner VMXPT2, und das ist der Rechner, auf dem ich hier das GPresult ausgeführt habe. Ich bin echt ratlos. C:\Dokumente und Einstellungen\Administrator.TEST1>gpresult Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0 Copyright © Microsoft Corp. 1981-2001 Am 30.06.2003 um 18:24:28 erstellt RSOP-Ergebnisse für TEST1\Administrator auf VMXPT2 : Protokollierungsmodus --------------------------------------------------------------------------- Betriebssystemtyp: Microsoft Windows XP Professional Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe Betriebssystemversion: 5.1.2600 Domänenname: TEST1 Domänentyp: Windows 2000 Standortname: Standardname-des-ersten-Standorts Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\Administrator.TEST1 Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------- CN=VMXPT2,CN=Computers,DC=test1,DC=Test,DC=de Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:24:16 Gruppenrichtlinie wurde angewendet von: srvtest1.test1.Test.de Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Aktivierungsintervall auf 8 Sek Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden. ---------------------------------------------------------------------------- ------------ MyGPO Install Client Filterung: Verweigert (Sicherheit) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Computer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Administratoren Jeder Benutzer VMXPT2$ Domänencomputer NETZWERK Authentifizierte Benutzer BENUTZEREINSTELLUNGEN ---------------------- CN=Administrator,CN=Users,DC=test1,DC=Test,DC=de Zeit der letzten Gruppenrichtlinienanwendung: 30.06.2003 at 18:23:38 Gruppenrichtlinie wurde angewendet von: Nicht zutreffend Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps Angewendete Gruppenrichtlinienobjekte -------------------------------------- Default Domain Policy Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt ert wurden. ---------------------------------------------------------------------------- ------------ MyGPO Install Client Filterung: Verweigert (Sicherheit) MyGPO UnInstall Client Filterung: Verweigert (Sicherheit) Aktivierungsintervall auf 8 Sek Filterung: Nicht angewendet (Leer) Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen: ----------------------------------------------------------- Domänen-Benutzer Jeder Benutzer Administratoren Domänen-Admins Schema-Admins Organisations-Admins Richtlinien-Ersteller-Besitzer LOKAL INTERAKTIV Authentifizierte Benutzer C:\Dokumente und Einstellungen\Administrator.TEST1> Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Juni 2003 Melden Teilen Geschrieben 30. Juni 2003 Möglichkeiten des Herausfilterns sind u.a.: Unterbrechung der Vererbung Verweigern der Übernahme Deaktivieren der Computer oder Benutzerkonfiguration (ob Überschreiben durch eine spätere Richtlinie auch darunter fällt weiss ich nicht) und das, was ich noch vergessen habe. Solltest mal alles in dieser richtung checken. grizzly999 Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 1. Juli 2003 Autor Melden Teilen Geschrieben 1. Juli 2003 Hi! Das ist ja gerade das Problem: Es ist alles Default, ich habe im Grunde keine Änderungen gemacht, außer denen, die ich hier schon dokumentiert habe. Aber im Einzelnen: >Unterbrechung der Vererbung GPO ist direkt an die Domain gebunden. Vererbung ist nicht abgeschaltet. >Verweigern der Übernahme Das würde heißen, dass ich irgendwo einen Verweigern -Schalter an hätte. Habe ich auch schon dokumentiert, du kannst ja unten die gesetzten Berechtigungen sehen, da ist nichts auf Verweigern gestellt. >Deaktivieren der Computer oder Benutzerkonfiguration Wenn ich mir die GPO per GPMC ansehe, sieht die ganz normal aus, keine Deaktivierungen. >und das, was ich noch vergessen habe. Ja, möglicherweise findet sich hier der Grund ! ;-) Der Trick ist ja, dass, wenn ich die Gruppe "GR-Test" wieder aus den Sicherheitseinstellungen der GPO entferne, und stattdessen wieder die Gruppe "Authentifizierte Benutzer" hinzufüge und dieser die Rechte "Read and Apply" gebe, dann wird die GPO korrekt angewandt. Kehre ich den Prozess dann um, entferne also "Authentifizierte Benutzer" wieder und füge wieder meine Gruppe "GR-Test" in den Sicherheitseinstellungen hinzu und gebe dieser Gruppe die Rechte "Read and Apply", dann wird die GPO wieder nicht angewandt und es GPResult meldet wieder "Filterung: Verweigert (Sicherheit)". Dabei ist der Host, auf dem ich das Teste, definitiv Mitglied der Gruooe "GR-Test". Noch eine Idee? T. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Juli 2003 Melden Teilen Geschrieben 1. Juli 2003 Teste doch mal die GPO, indem du die auth. Benutzer entfernst, und den Client (Computername) direkt mit apply einträgst. Übernimmt er dann die GPO? grizzly999 Zitieren Link zu diesem Kommentar
torstenv 10 Geschrieben 1. Juli 2003 Autor Melden Teilen Geschrieben 1. Juli 2003 >Teste doch mal die GPO, indem du die auth. Benutzer entfernst, >und den Client (Computername) direkt mit apply einträgst. >Übernimmt er dann die GPO? Ja. Hatte ich auch erwartet, weil er die ja auch übernimmt, wenn die Authentifizierten Benutzer eingetragen sind. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Juli 2003 Melden Teilen Geschrieben 1. Juli 2003 Dann ist der Fehler klar, wenn ich auch im Moment keine Erklärung dafür habe, aber er erkennt die Computerkonten als Gruppenmitglieder nicht, wohl aber direkt und natürlich als authentifizierte Benutzer. Als Workaround würde ich empfehlen, die Computerkonten direkt einzutragen. Vielleicht finde ich was dazu. Selber testen kann ich erst später.... ;) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.