golf4roy Geschrieben 14. März 2012 Teilen Geschrieben 14. März 2012 Hallo liebes Community, ich habe das folgende Problem. In unserer Domäne haben wir 5 OU Container. 1x Default Policy, und jeweils 4x Unter OU's. So, hier beginnt auch schon mein Problem. Der letzte sprich "Default policy" und der vorletzte "Testvorletzter" werden übernommen und mit Befehl "gpresult" sehe ich auch das nur diese zwei Gruppenrichtlinienobjekte übernommen werden. Sprich durch den User am Client angemeldet. Aber es sind ja wie gesagt noch 3 OU's enthalten, die aber nicht übernommen werden. gpupdate /force usw. hat nichts gebracht. Ich habe mich umgesehen, aber irgendwie nicht das gefunden was zu mir passt Über eure Anregungen freue ich mich und bedanke mich im voraus. MFg sezer1987 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
schepp Geschrieben 14. März 2012 Teilen Geschrieben 14. März 2012 Hallo, du sprichst in Rätseln... Aber es sind ja wie gesagt noch 3 OU's enthalten, die aber nicht übernommen werden. OUs sollen übernommen werden? Meinst du GPOs? Sortier mal die von dir benutzen Begriffe und zeig uns am besten einen Screenshot wie die Richtlinien mit den OUs verknüpft sind, dann versteh ich vielleich dein Problem Gruß Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nikomania Geschrieben 14. März 2012 Teilen Geschrieben 14. März 2012 Und schön wäre natürlich auch zu wissen von welchen Betriebssystem der Clients und von welchen Inhalt der GPO wir sprechen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 14. März 2012 Autor Teilen Geschrieben 14. März 2012 Hallo, du sprichst in Rätseln... OUs sollen übernommen werden? Meinst du GPOs? Sortier mal die von dir benutzen Begriffe und zeig uns am besten einen Screenshot wie die Richtlinien mit den OUs verknüpft sind, dann versteh ich vielleich dein Problem Gruß Bitte vielmals um Entschuldigung, vor lauter lauter. Ja genau, mit OU habe ich eigentlich die GPO's gemeint. Sprich es gibt insgesamt 5 OU's je 5 GPO's. Habe leider kein Screenshot parat, ist in der Firma. Ich versuchs mal zu erklären So sehen die gesamten GPO's von der Domäne xyz. 1.) Default Policy (GPO) 2.) Benutzer Policy (GPO) 3.0)Admin Policy (GPO) 3.1) Benutzer Policy (GPO) 3.2) Test Polify (GPO) Bei den OU's welche mit zwei GPO's verknüpft ist z.B. in der "Benutzer OU" (Benutzer GPO) ist eine "ADmin OU". Und die "User-ADmins" welche in der "Admin OU" sind erben ja dementsprechend: 1. ) Admin Policy (GPO) 2.) Benutzer Policy (GPO) 3. ) Default Policy (GPO) Naja, so siehts zumindest aus bei den "Verknüpfungen" (zumindest in der Liste, weiß nicht genau ob jetzt bei den Verknüpfungen war). Alsooo wenn ich beim Client z.B. ein "ADmin-User" den Befehl "gpresult" eingibt, steht in der Liste das "nur" die Default Policy und die Benutzer Policy angewendet werden. D.H. Admin Policy wurde nicht angewendet, obwohl eigentlich dieser Aktiv sein sollte. Ich hoffe ich konnte es etwas besser erklären. Server : Windows 2008 R2 64-Bit (Virtualisiert) Clients : Windows 7 Prof 32 u. 64 Bit Vielen Dankkk euch allen im voraus. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 14. März 2012 Teilen Geschrieben 14. März 2012 Loopback bzw. Leseberechtigung für den Server/Client in der OU eingetragen? Ohne eines von beidem wird die OU generell nicht übernommen. Siehe: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Welche Benutzer bekommen die OU nicht? In den erweiterten Optionen der Richtlinie kann ein Haken "Diese Richtlinie übernehmen" gesetzt werden. Bei Domänen-Admins fehlt dieser Haken. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 14. März 2012 Autor Teilen Geschrieben 14. März 2012 Loopback bzw. Leseberechtigung für den Server/Client in der OU eingetragen? Ohne eines von beidem wird die OU generell nicht übernommen. Siehe: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Welche Benutzer bekommen die OU nicht? In den erweiterten Optionen der Richtlinie kann ein Haken "Diese Richtlinie übernehmen" gesetzt werden. Bei Domänen-Admins fehlt dieser Haken. Vielen Dank erstmal für deine Antwort. Ich dachte den Loopback brauche ich nicht?! o.O Leseberechtigung sagt mir auf Anhieb nichts. Bsp. Alle "User" in der "Benutzer OU" sprich hans.maier,petra.müller usw. sollen die GPO von der oberigen sprich "Benutzer GPO" übernehmen. Genau das ist mein Problem. Kannst du mir vielleicht ein Screenshot machen bzgl. der Leseberichtung? Mit erweitererte Option ist "wahrscheinlich" das SNAP-IN gemeint ?:confused: Tausend Dank im voraus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 14. März 2012 Teilen Geschrieben 14. März 2012 Ich kann dir morgen gerne ein paar Screenshots davon machen, die Einstellungen stehen allerdings auch alle in dem Link. Computerkonfiguration \ Administrative Vorlagen \ System \ Gruppenrichtlinien Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie = aktiviert Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 15. März 2012 Autor Teilen Geschrieben 15. März 2012 Ich kann dir morgen gerne ein paar Screenshots davon machen, die Einstellungen stehen allerdings auch alle in dem Link. Das wäre super nett. Ich probier aber schnell einmal den Loopbackverarbeitungsmodus und sag spätestens heute Abend bescheid. Viele Grüße sezer1987 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 15. März 2012 Teilen Geschrieben 15. März 2012 http://img560.imageshack.us/img560/822/gpo.png Das ist halt die Einstellung, damit werden auch die Benutzerrichtlinien übernommen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 15. März 2012 Autor Teilen Geschrieben 15. März 2012 http://img560.imageshack.us/img560/822/gpo.png Das ist halt die Einstellung, damit werden auch die Benutzerrichtlinien übernommen. Habs vorhin bereits aktiviert. "gpupdate /force" wurde bereits durchgeführt. Ich muss doch bestimmt noch einiges Anpassen? Tausend dank...! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 15. März 2012 Autor Teilen Geschrieben 15. März 2012 So in Etwa siehts aus (Siehe Screenshot). Wie gesagt mit dem Befehl "gpresult" werden nur die Default Policy sowie benutzer Policy übernommen, alle anderen werden erst garnicht verwendet. Tausend Dank im voraus. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 15. März 2012 Teilen Geschrieben 15. März 2012 Was hast du in den jeweiligen Richtlinien konfiguriert? Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt? Welche Berechtigung hat der Benutzer mit dem du den Test durchführst? Wie ist der genaue Inhalt vom gpresult? Es gibt viele Fehlerquellen, daher wäre es gut die Konfiguration möglichst genau zu beschreiben (am besten mit Screenshots). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 15. März 2012 Autor Teilen Geschrieben 15. März 2012 Was hast du in den jeweiligen Richtlinien konfiguriert? Bei GPO wurden u.a. Sachen wie Kennwortrichlinien Beispielsweise "Minimal Länge 8" usw. oder eben "komplexe Passwörter" aktiviert . Also nichts unbedingt weltbewegendes. Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt? Wie ist die Berechtigung innerhalb der jeweiligen Richtlinie gesetzt? Ich glaube das könnte mein Problem sein. Die Berechtigung innerhalb der Richtlinie ist nach wie vor unverändert. Dort wurde nichts geändert. Ich habe nur einen User mit in die Berechtigung (Registerkarte "Deligierung") miteinbezogen. Könntest du mir evtl. hier einen Screenshot zukommen lassen? Die Sache ist ja auch die, wenn beispielsweise der "User" sich anmeldet an einem Computer namens "xyz", so soll die Richtlinie selbstverständlich nicht die dasselbe sein wie die für den "Admin-user" ( ist ja klar denke ich ). Wäre Super wenn du mir da irgendwie helfen könntest. Welche Berechtigung hat der Benutzer mit dem du den Test durchführst? Wie ist der genaue Inhalt vom gpresult?Es gibt viele Fehlerquellen, daher wäre es gut die Konfiguration möglichst genau zu beschreiben (am besten mit Screenshots). Der Benutzer ist ein Test Account welche sich in der "Test OU" befindet. Also definitiv kein "Admin". Befehl "gpresult" sagt aus das "default" und "benutzer" Policy angewendet werden. Beim Rest steht "wird nicht angewendet" und eine zwischenbemerkung (bin mir nicht ganz sicher" mit "empty"?!. Ich hab das ganze mal beim TS- Server mit Computerkontos + Terminalservergruppen (Gruppe) gemacht, sprich über die Sicherheitsfilterung in der jeweiligen GPO + Loopbackverarbeitungsmodus aktiviert. Damals hat es prima geklappt. Aber dieses mal sind es ja insgesamt 4 OU's und 4 GPO's. Habs heute nochmal mit LBVM probiert mehr mal "gpupdate /force" ausgeführt und neugestartet usw. -> leider ohne Erfolg. Tausend Dank nochmal für deine Beiträge. Viele Grüße sezer1987 :old:old:old Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 16. März 2012 Teilen Geschrieben 16. März 2012 Anhand der jetzigen Informationen kann man nur schwer sagen woran es liegt. Ich erwarte hier keine Firmenspezifischen Informationen, aber allgemeine Dinge zur Konfiguration wären schon hilfreich. Bei deinem Screenshot oben ist die Struktur kaum zu erkennen: Wo befindet sich die "Test OU"? Bitte zeige den Inhalt des gpresults, da können Hinweise drin sein die vllt. schon auf das Problem schließen lassen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 16. März 2012 Autor Teilen Geschrieben 16. März 2012 Anhand der jetzigen Informationen kann man nur schwer sagen woran es liegt. Ich erwarte hier keine Firmenspezifischen Informationen, aber allgemeine Dinge zur Konfiguration wären schon hilfreich. Bei deinem Screenshot oben ist die Struktur kaum zu erkennen: Wo befindet sich die "Test OU"? Bitte zeige den Inhalt des gpresults, da können Hinweise drin sein die vllt. schon auf das Problem schließen lassen. Bitte vielmals um Entschuldigung. Es ist die Gruppenrichtlinie mit der Bezeichnung "GPO" sprich vom Rang her die Nr. 1 usw. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 16. März 2012 Teilen Geschrieben 16. März 2012 Die anderen angefragten Informationen ignorierst du einfach mal wieder... So kann ich dir einfach nicht ordentlich helfen. Leg eine GPO in der Test OU nur mit dem Loopback-Eintrag an und probier es dann erneut. Wenn es damit weiterhin nicht geht liefer endlich Screenshots von allen relevanten Konfigurationen, sowie den Inhalt des gpresults. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
pantsoff Geschrieben 16. März 2012 Teilen Geschrieben 16. März 2012 Vererbung aktiviert? Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 16. März 2012 Autor Teilen Geschrieben 16. März 2012 Vererbung aktiviert? Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen. Hi Pantsoff, vielen Dank für deine Antwort. Kannste mir vielleicht sagen wo ich die Vererbung aktiviere bzw. aktivieren kann ? Tausend Dank. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 16. März 2012 Autor Teilen Geschrieben 16. März 2012 (bearbeitet) Die anderen angefragten Informationen ignorierst du einfach mal wieder... So kann ich dir einfach nicht ordentlich helfen. Leg eine GPO in der Test OU nur mit dem Loopback-Eintrag an und probier es dann erneut. Wenn es damit weiterhin nicht geht liefer endlich Screenshots von allen relevanten Konfigurationen, sowie den Inhalt des gpresults. So hab nun paar Screenshots eingefügt, hoffe das bringt etwas Klarheit. Vielen Dank für eure Hilfe Bearbeitet 16. März 2012 von sezer1987 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 16. März 2012 Teilen Geschrieben 16. März 2012 In deiner gpresult Abfrage steht dein Benutzer ist in der Gruppen Domänen-Administratoren. Guck dir die Delegierung an und schau bei der Gruppe Domänen-Administratoren, dort steht vermutlich der Haken auf "Diese Richtlinie übernehmen" = verweigern. So war es zumindest bei unseren Domänen-Administratoren. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
EdwinMosesPray Geschrieben 17. März 2012 Teilen Geschrieben 17. März 2012 (bearbeitet) ..... sorry, vertan Bearbeitet 17. März 2012 von EdwinMosesPray Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 17. März 2012 Autor Teilen Geschrieben 17. März 2012 In deiner gpresult Abfrage steht dein Benutzer ist in der Gruppen Domänen-Administratoren. Guck dir die Delegierung an und schau bei der Gruppe Domänen-Administratoren, dort steht vermutlich der Haken auf "Diese Richtlinie übernehmen" = verweigern. So war es zumindest bei unseren Domänen-Administratoren. Morgen, alles schon bereits gemacht. Kannst du mir vielleicht ein Beispiel Screenshot von der Registerkarte "Delegierung" zukommen lassen ? Das ich dort genau sehen könnte welche Gruppen, welche Berechtigungen zugewiesen werden sollen. Tausend Dank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Servior Geschrieben 17. März 2012 Teilen Geschrieben 17. März 2012 Genau das hast du eben nicht gemacht, denn sonst würde bei "Security Filtering" (letzter Screenshot) nicht nur Authenticated Users, sondern auch Domänen-Admins stehen. Den Haken für den Eintrag Domänen-Admins bei verweigert rausnehmen und bei Zulassen reinsetzen, oder alternativ einfach mal einen neuen Benutzer zum testen nehmen. Der braucht bis auf die Domänen-Benutzer Gruppe auch nichts anderes. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 17. März 2012 Autor Teilen Geschrieben 17. März 2012 Genau das hast du eben nicht gemacht, denn sonst würde bei "Security Filtering" (letzter Screenshot) nicht nur Authenticated Users, sondern auch Domänen-Admins stehen. Den Haken für den Eintrag Domänen-Admins bei verweigert rausnehmen und bei Zulassen reinsetzen, oder alternativ einfach mal einen neuen Benutzer zum testen nehmen. Der braucht bis auf die Domänen-Benutzer Gruppe auch nichts anderes. Ich hab mal das ganze so wie du es mir gesagt hast bei mir auf der virtuellen Platte erstellt sprich das selbe Szenario. Auf Anhieb super funktioniert. Müsste jetzt noch einiges ausprobieren und würde mich dann nochmal melden. Es würde mich sehr freuen wenn du mir weiterhelfen könntest. Tausend Dank und ein schönes vor allem sonniges Wochenende.^^ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
golf4roy Geschrieben 17. März 2012 Autor Teilen Geschrieben 17. März 2012 Hab nun das ganze auf der virtuellen Maschine eingerichtet, siehe da irgendwie funktionierts. Bin erst einmal super happy und bedanke mich über eure Hilfe vor allem an Servior für seine großartige Unterstützung. Das ganze natürlich noch in der Firma probieren und melde mich wieder zurück. Schönes WE an alle )) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.