Jump to content

Gruppenrichtlinien werden nicht übernommen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo klausk,

 

könntest du was testen? Ich vermute es liegt daran, dass die Gruppe, in der die Computer Mitglied sind, in einer anderen OU als die Computer selber sind, und der/die Computer keine Leseberechtigung auf der OU haben. Damit könnten sie meiner Meinung nach die Gruppe nicht sehen und darin nicht Mitglied werden???

 

gruß

 

grizzly999

Link zu diesem Kommentar

Hmm, auch wenn der PC keine Berechtigung auf die OU hat (Berechtigungen für das Computerkonto "Vollzugriff verweigert") wird mit gpresult trotzdem die Gruppenzugehörigkeit angezeigt und die Gruppenrichtlinie geladen.

 

Kann mir das nur so erklären, dass ich als Admin die Gruppe (SID) dem Computerkonto hinzufüge und ich die entsprechenden Rechte auf DC habe. Beim Anmelden überprüft wiederum der DC in welchen Gruppen der Computer enthalten ist und generiert dementsprechend das Ticket ... Und wenn ich als Admin mit gpresult prüfe, habe ich auch wieder mehr Rechte als der Computer ... es tun sich Abgründe auf :cry:

Link zu diesem Kommentar

Jüngste Testergebnisse:

Alles auf Anfang, OU gelöscht, neue Gruppe in "Computers" angelegt, Host "foo" dieser Gruppe hinzugefügt, keine GPO angelegt, "foo" gebootet und gpresult meldet: "foo" ist Mitglied der eben angelegten Gruppe.

 

Aha. Also so ganz vermurkst ist mein System wohl doch nicht.

 

Also noch mal probiert: Die Gruppe von oben wieder entfernt, die Gruppenzugehörigkeit von "foo" überprüft ( nix drin- OK).

 

Jetzt muss ich hier noch ein Detail nennen, was ich bisher nicht genannt habe: Das Anlegen von Gruppen, Mitglieder bestimmen, User anlegen, das Erstellen von GPOs und das Linken der GPO an einen Ort und eben alle Arbeiten im Active Directory, die mit meinem Problem hier zu tun haben, mache ich nicht von Hand, sondern mit einem Programm, welches ich dafür geschrieben habe. Das Programm nutzt die LDAP Zugriffsmöglichkeit auf das AD um so Gruppen und User anzulegen und Mitgliedschaften zu bestimmen. GPOs verwalte ich durch Aufrufe von Scripten, die der GPMC beigelegt waren.

 

Also nach Aufruf meines Programmes bis zu dem Punkt, an dem der Host der Gruppe hinzugefügt wurde, habe ich das Programm noch mal laufen lassen und siehe:

Die automatisch angelegte Gruppe wurde von GPResult NICHT in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt. Noch mal alles gelöscht und die gleichen Schritte von Hand durchgeführt und: Die von Hand angelegte Gruppe wurde von GPResult _korrekt_ in der Liste der Gruppen, in denen der Host Mitglied ist, aufgeführt.

Der Rest war eine Kleinigkeit. Noch schnell eine GPO eingefügt und die Sicherheitseinstellungen angepasst. Und: GPO wird korrekt übernommen.

 

So. Jetzt haben wir zumindest die Ursache gefunden.

 

Einer der 3 gescripteten Schritte:

-neue OU erstellen

-Gruppe in der OU anlegen

-Computerkonto der Gruppe hinzufügen

funktioniert nicht so, wie er sollte. Das Problem ist, dass augenscheinlich kein Unterschied festzustellen ist. Die per Script angelegten Objekte sehen genau so aus, wie die von Hand angelegten.

 

Jetzt ist die Frage, wie ich bei diesem Problem weiter komme. Ich zweifle daran, dass ich hier in diesem Forum weiterhin so tolle Hilfe finde, wie bisher, da sich das Problem nun darauf verlagert, was beim den o.g. Schritten falsch laufen könnte.

 

Ich habe hier mal die Prozeduren eingepastet, vielleicht habe ich ja Glück und jemand erkennt da einen Fehler. Falls nicht, würde ich mich aber um Rückmeldung freuen, die mir sagt, wohin ich mich wenden könnte.

 

Für eure bisherige Hilfe, Klaus und Grizzly, jedenfalls schon mal ganz herzlichen Dank! Ohne euch wäre ich nicht bis hierhin gekommen!

 

T.

 

Ab hier für Leute, die sich das im Detail antun wollen:

 

Es gibt 3 Schritte, die die Ursache des Problems sein könnten:

- Anlegen einer OU

- Erstellen einer Gruppe in der OU

- Festlegen der Mitgliedschaft eines Computerkontos in der Gruppe

 

Ich halte es für am wahrscheinlichsten, dass das Problem im Erstellen der Gruppe liegt. Hier mal die Funktion, mit der ich die Gruppe erstelle:

 

Private Function GruppeAnlegen(ByVal Gruppe As String, ByVal Ort As String) As Boolean

Dim OU, grp As IADs

On Error GoTo Err

 

Set OU = GetObject("LDAP://" & Ort)

Set grp = OU.Create("group", Gruppe)

grp.Put "samAccountName", Mid(Gruppe, 4)

grp.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED

grp.SetInfo

GruppeAnlegen = True

Exit Function

 

Err:

GruppeAnlegen = False

End Function

 

' Aufruf:

if GruppeAnlegen("CN=GR test", "OU=MyOU, DC=test1, DC=testdomain, DC=de") then debug.print "OK"

 

Torsten

Link zu diesem Kommentar

Ich habe ein Code Snipplet von

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/netdir/adsi/ads_group_type_enum.asp

benutzt, und nun taucht die Gruppe auf. Die GPO wird scheinbar auch übernommen. Es scheint, als käme ich meinem Ziel näher. Wir können diesen Thread erst mal als gegessen betrachten.

 

Tausen Dank an Euch!

 

T.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...