Gruppenrichtlinien werden nicht übernommen

[torstenv 10]

Ich bin dankbar für deine Versuche, mir zu helfen. Leider kann ich keine Workarounds benutzen.

 

Ich muss das Problem lösen. Mir ist absolut nicht klar, wieso er Computerkonten innerhalb einer Gruppe nicht erkennt. Das klingt für mich nicht so, als hätte ich einen Fehler beim Setup gemacht.

 

Was soll ich denn jetzt machen?

[grizzly999 11]

Ich habe eben nochmal nachgeschaut (nur um mich zu vergewissern), es ist definitiv möglich, Gruppenrichtlinien für Computergruppen zu filtern (http://support.microsoft.com/default.aspx?scid=kb;en-us;320187#22)

Ich weiss, es ist eine blöde Frage, aber bist du sicher, dass der/die Computer in der Gruppe Mitglied sind. Ist die Gruppe vom Typ Sicherheit? Was für ein Gruppenbereich?

 

grizzly999

[torstenv 10]

>Ich habe eben nochmal nachgeschaut (nur um mich zu

>vergewissern), es ist definitiv möglich, Gruppenrichtlinien für

>Computergruppen zu filtern

 

Da sind wir schon mal einig! :-)

 

>Ich weiss, es ist eine blöde Frage,

 

Och... Man weiß ja nie. Fragen kann man.

 

>aber bist du sicher, dass der/die Computer in der Gruppe

>Mitglied sind.

 

Ja. ;-) Wäre das jetzt die Ursache gewesen, hätte ich auch eine Steinigung verdient! ;-)

 

>Ist die Gruppe vom Typ Sicherheit?

 

Ja.

 

>Was für ein Gruppenbereich?

 

Lokale Domäne

 

In meinen Augen alles korrekt.

[grizzly999 11]

Sieht so aus. Aber: mach mal zu Testzwecken eine globale Gruppe mit den Computerkonten und probiere es mit dieser. geht es dann. Würde helfen den Fehler einzuschränken...

 

grizzly999

[torstenv 10]

Nope. Keine Änderung.

[grizzly999 11]

Shit, habe keine weitere Idee mehr...

 

Wie gesagt, eigene Tests kann ich im Moment nicht durchführen, setze gerade meine Domäne, mein Exchange und ISA neu auf.

 

Wenn du es sofort funktionierend benötigst, empfehle ich, die Konten einzeln in die ACL einzutragen

 

Aber ich bleibe am Ball.... :)

 

grizzly999

[torstenv 10]

Hmm. Ja, danke erst mal. Jedenfalls heißt das für mich, dass ich mich sooo doof gar nicht angestellt habe. Ich poste parallel mal in microsoft.public.de.german.gruppen_richtlinien, aber ich zweifle daran, dass ich da noch Hilfe bekomme.

 

Freue mich jedenfalls, wenn ich wieder was von dir höre. Wenn ich selbst was rausfinde, werde ich es hier posten.

 

Gruß,

Torsten

[klausk 10]

Hab das mal kurz für grizzly999 getestet - habe eine Domänenlokale Gruppe angelegt, einen PC hizugefügt, dann direkt unter der Domäne eine neue Richtlinie erstellt, unter Sicherheitseinstellungen allerdings für Authentifizierte User nur den Haken bei "anwenden" und nicht den Haken bei "lesen" entfernt und die neue Gruppe hizugefügt mit Rechten "Lesen" und "anwenden". Hat ohne Probleme und auf Anhieb geklappt, die Richtlinie wurde für diesen einen PC übernommen.

 

Setz doch mal testhalber den Haken bei "lesen" für Authentifizierte User und poste das Ergebnis.

[grizzly999 11]

klaus, danke dir :)

 

habe das Ergebnis erwartet, da auch schon diverse male so gemacht habe.

 

ich habe mir gerade nochmal das lange Posting mit dem Ergebnis des gpresult von torsten angesehen (hatte ich gestern nicht mehr gesehen, sich wunder). Da sieht man es sehr schön das Problem: Computer ist Mitglied foldender Gruppen...Aufzähl... Aber die Gruppe, in der der Computer drin sein sollte, taucht nicht auf.

Die weiteren Tests von torsten haben das bestätigt. Stellt sich die Frage, warum der Computer nicht da drin ist, wo er sein sollte........

 

Jemand Ideen?

 

grizzly999

[klausk 10]

@grizzly999

Gern geschehen, habe damit nebenbei einem PC das SP4 zum Testen verpaßt :)

 

Das mit der Gruppenzugehörigkeit ist mir auch aufgefallen, habe mich aber auf die Aussage von torstenv verlassen, dass der PC in der Gruppe ist... Wenn der PC definitiv in der Gruppe ist ;) würde ich eine neue Gruppe neu erstellen (vielleicht mit einem anderen Namen?) das Computerkonto hinzufügen und das gleiche Prozedere wie bisher durchspielen.

[torstenv 10]

@Grizzkly UND Klaus:

 

Jungs, ich schnalls nicht. Inzwischen bin ich auch zu Eurer Überzeugung gekommen, dass das Problem darin liegt, dass der DC den entsprechenden Host nicht als Mitglied der Gruppe betrachtet. Aber ich habe wirklich schon alles versucht. Den Host wieder rausgenommen und neu hinzugefügt. Noch mal die Gruppe geöffnet und dort unter "Mitglieder" hinzugefügt, dann noch mal den Computer geöffnet und dort unter "Mitglied von" die Gruppe hinzugefügt. Ich kapiere es nicht. Es ist immer das gleiche Spiel. Ich kann Euch Screenshots von der MMC-Konsole schicken, in der der Host klar und eindeutig Mitglied der entsprechenden Gruppe ist. Das ist unzweifelhaft. Und dennoch.

 

Randbemerkung:

Da ich inzwischen anfange Knöchelchen zu werfen und im Kaffesatz zu lesen, weil mich diese Problem verrückt macht, greife ich nach jedem Strohhalm. Also die Gruppe, um die es geht, liegt in einer OU, die ich eigens für meinen Zweck angelegt habe. Ich ging bisher davon aus, dass das egal sein dürfte.

 

Wenn ich nicht eh schon ne Glatze hätte, hätte ich mir heute die Haare ausgerauft.

 

Aber ich danke Euch auf jeden Fall für euren Tapferen Beistand!

;-)

 

T.

[grizzly999 11]

Randbemerkung:

Da ich inzwischen anfange Knöchelchen zu werfen und im Kaffesatz zu lesen, weil mich diese Problem verrückt macht, greife ich nach jedem Strohhalm. Also die Gruppe, um die es geht, liegt in einer OU, die ich eigens für meinen Zweck angelegt habe. Ich ging bisher davon aus, dass das egal sein dürfte.

Wirf mal das Knöchelchen nicht zu weit ;)

Hat denn der PC oder wenigstens die Gruppe authentifizierte Benutzer Leseberechtigung auf diese OU?

 

grizzly999

[torstenv 10]

Ja, ich teste ja die ganze Zeit während wir uns hier austauschen fleissig weiter. Ich habe auch schon ausprobiert, die Gruppe "Authentifizierte Benutzer" drin zu lassen und nur das "Anwenden" Flag zu entfernen.

Aber ich glaube das Problem liegt eigentlich darin, dass, wie Klaus richtig bemerkt hat, der Host selbst gar nicht als Mitglied der Gruppe benannt wird, wenn ich auf dem Host selbst GPresult aufrufe. Also ich vermute hier die Ursache des Problems. Warum taucht in der Liste der Gruppen, in denen der Host ist, nicht die Gruppe auf, um die es geht?

[grizzly999 11]

Antworte...Schnell.....Ich kann's nicht erwarten..... :eek:

 

Sie haben nicht??!! :suspect:

 

grizzly999

[klausk 10]

Bei meinem Test-PC wird die Zugehörigkeit des Test-PCs zur Testgruppe mit gpresult angezeigt.

 

Eine etwas abwegige Frage aber trotzdem der Vollständigkeit halber: Startest Du den PC nach dem Ändern der Gruppenzugehörigkeit auch neu? Die Änderung der Gruppen wird erst bei einer Neu-Anmeldung übernommen, bei einem PC AFAIK also erst nach einem Neustart ...