10
Benutzer bekommen Gruppenrecht nicht - W2K3
Hallo zusammen,
In den nächsten Tagen werden wir ein RollOut von neuen Druckern in der gesamten Firma machen.
Dazu haben wir ein Script geschrieben, welches den Benutzern anhand von Gruppenzugehörigkeiten die passenden Drucker zuweisst.
Um einem User einen neuen Drucker zuweisen zu können, muss er eigentlich nur in die passende Gruppe geschoben werden, das ganze über die verschiedenen DC repliziert werden und er sich ab und anmelden. Und schon sollte der Drucker da sein.
Soweit die Theorie...
Sehe ich das soweit richtig?
Was soweit alles klappt ist das zuweisen in die Gruppe, das replizieren auf alle DCs aber dann fängt es an.
Der Benutzer bekommt die neue Gruppenzugehörigkeit nach der Neuanmeldung nicht.
Hat jemand eine Idee woran das liegen kann?
Habe ich einen Schritt vergessen?
Alle DCs W2K3-Server.
Verschiedene Clientsysteme: WinXP und Win7...!
Gruss Stefan
In den nächsten Tagen werden wir ein RollOut von neuen Druckern in der gesamten Firma machen.
Dazu haben wir ein Script geschrieben, welches den Benutzern anhand von Gruppenzugehörigkeiten die passenden Drucker zuweisst.
Um einem User einen neuen Drucker zuweisen zu können, muss er eigentlich nur in die passende Gruppe geschoben werden, das ganze über die verschiedenen DC repliziert werden und er sich ab und anmelden. Und schon sollte der Drucker da sein.
Soweit die Theorie...
Sehe ich das soweit richtig?
Was soweit alles klappt ist das zuweisen in die Gruppe, das replizieren auf alle DCs aber dann fängt es an.
Der Benutzer bekommt die neue Gruppenzugehörigkeit nach der Neuanmeldung nicht.
Hat jemand eine Idee woran das liegen kann?
Habe ich einen Schritt vergessen?
Alle DCs W2K3-Server.
Verschiedene Clientsysteme: WinXP und Win7...!
Gruss Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185311
Url: https://administrator.de/contentid/185311
Ausgedruckt am: 23.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Moin.
Ohne Adminrechte (xp: Hauptbenutzer- oder Adminrechte) funktioniert weder auf 7, noch auf xp eine nutzeregebundene Zuweisung mit den Defaulteinstellungen. Ergo: weise die Drucker Rechnergruppen zu, dann läuft es.
Willst Du unbedingt Nutzergruppen, dann teile mit, wie Du feststellst, dass der Nutzer nicht die Gruppenzugehörigkeit übernimmt.
Ohne Adminrechte (xp: Hauptbenutzer- oder Adminrechte) funktioniert weder auf 7, noch auf xp eine nutzeregebundene Zuweisung mit den Defaulteinstellungen. Ergo: weise die Drucker Rechnergruppen zu, dann läuft es.
Willst Du unbedingt Nutzergruppen, dann teile mit, wie Du feststellst, dass der Nutzer nicht die Gruppenzugehörigkeit übernimmt.
Also das ganze läuft über ein LoginScript was mehrstufig abläuft.
An einer Stelle kommt die Abfrage ob der/die Anmeldende in der Gruppe "Druckerzuweisung" zuweisung ist.
%logonserver%\netlogon\ifmember Druckerzuweisung
if errorlevel 1 goto Printer
:Printer
%logonserver%\netlogon\printer.kix
Ist die Abfrage zur Ersten Gruppenmitgliedschaft.
Das läuft soweit auch problemlos...Wenn ich nen Tag warte.
in der printer.kix sind weitere Abfragen...Das ganze klappt soweit auch.
Was einfach nicht läuft ist die Umsetzung "In neue Gruppe, neu anmelden und es geht" und das asap...
An einer Stelle kommt die Abfrage ob der/die Anmeldende in der Gruppe "Druckerzuweisung" zuweisung ist.
%logonserver%\netlogon\ifmember Druckerzuweisung
if errorlevel 1 goto Printer
:Printer
%logonserver%\netlogon\printer.kix
Ist die Abfrage zur Ersten Gruppenmitgliedschaft.
Das läuft soweit auch problemlos...Wenn ich nen Tag warte.
in der printer.kix sind weitere Abfragen...Das ganze klappt soweit auch.
Was einfach nicht läuft ist die Umsetzung "In neue Gruppe, neu anmelden und es geht" und das asap...
Achja... und die Zuweisung über Rechner funktioniert nicht.
Die meisten Nutzer arbeiten über Metaframe und haben daher nur die MetaFrameserver als Computernamen.
Die Zuweisung klappt auch ohne Adminrechte...nur wenn der Nutzer mal eben schnell nen anderen Drucker brauch und in die dementsprechende Gruppe kommt, wird nicht erkannt das er in der Gruppe ist
ifmember /list habe ich zwischendrin eingebaut um zu sehen ob die neue Gruppe zugewiesen wird...Und da hakt es... nicht an der eigentlichen Druckerzuweisung
Die meisten Nutzer arbeiten über Metaframe und haben daher nur die MetaFrameserver als Computernamen.
Die Zuweisung klappt auch ohne Adminrechte...nur wenn der Nutzer mal eben schnell nen anderen Drucker brauch und in die dementsprechende Gruppe kommt, wird nicht erkannt das er in der Gruppe ist
ifmember /list habe ich zwischendrin eingebaut um zu sehen ob die neue Gruppe zugewiesen wird...Und da hakt es... nicht an der eigentlichen Druckerzuweisung
Du gehst auf den Vorschlag nicht ein. Aber gut: es sollte gehen. Sobald man einen Nutzer anmeldet, werden dessen Gruppenmitgliedschaften eingelesen. Einen Tag zu warten brauchst Du bestimmt nicht. Lass Dir testhalber mal die Gruupenmitgliedschaften ausgeben über gpresult /r in einem Anmeldeskript, welches auf den Userdesktop in eine Textdatei schreibt und dann teste genauer, wann die Mitgliedschaft nun übernommen wird. Du kannst natürlich mit
gpresult /r |findstr Gruppenname
die Übersicht verbessern.
gpresult /r |findstr Gruppenname
die Übersicht verbessern.
Auf welchen Vorschlag soll ich denn eingehen?
Das mit den Rechnergruppen? Geht nicht siehe zweites Posting von mir.
Und die Ausgabe mit gpresult /r ist ähnlich der Ausgabe im scirpt ifmember /list...zeigen beide das gleiche Resultat.
Das mit den Rechnergruppen? Geht nicht siehe zweites Posting von mir.
Und die Ausgabe mit gpresult /r ist ähnlich der Ausgabe im scirpt ifmember /list...zeigen beide das gleiche Resultat.
Dein zweites Posting war noch nicht sichtbar, sorry.
Wenn ifmember /list nicht angibt, dass er in der Gruppe ist, dann wurde eben noch nicht repliziert. Prüfe also erneut auf %logonserver%, ob dort repliziert wurde, in welcher Gruppe der Nutzer ist.
Zur Rechnerzuweisung: sind die Drucker nicht Rechnern zuzuordnen? Ein Rechner soll also abhängig vom Nutzer verschiedene Drucker haben?
Zu den Rechten: Doch, glaub mir ruhig, Adminrechte/Hauptbenutzerrechte sind erforderlich. Nur wenn der Treiber schon auf dem Rechner ist (vorinstalliert, also recycelt wird), dann nicht.
Wenn ifmember /list nicht angibt, dass er in der Gruppe ist, dann wurde eben noch nicht repliziert. Prüfe also erneut auf %logonserver%, ob dort repliziert wurde, in welcher Gruppe der Nutzer ist.
Zur Rechnerzuweisung: sind die Drucker nicht Rechnern zuzuordnen? Ein Rechner soll also abhängig vom Nutzer verschiedene Drucker haben?
Zu den Rechten: Doch, glaub mir ruhig, Adminrechte/Hauptbenutzerrechte sind erforderlich. Nur wenn der Treiber schon auf dem Rechner ist (vorinstalliert, also recycelt wird), dann nicht.
Also wir arbeiten bis auf wenige Bereiche mit ThinClients. Die melden sich an ner MetaFrame-Farm an...
Und wir haben auch an einander vorbei geredet. Zum eigentlichen installieren der Treiber brauch der Benutzer natürlich Admin-Rechte. Dies wird aber umgangen indem vorweg ein Script läuft das alle Druckertypen einmal auf den Metaframeserver installiert... mit Adminrechten.
Und bei jeder Anmeldung wird abgefragt welchen Gruppen der benutzer hinzugehört... Und darauf hin bekommt er seine Drucker....bzw sind teilweise ein und der Selbe Drucker aber zum Beispiel einmal Schwarz Weiss oder Farbe oder Papierfach 3 statt 2... also muss schon wirklich auf den Benutzer hin zugeschnitten sein.
Auf den %logonserver% sind alle neuigkeiten repliziert.... das ist ja das was mich erstaunt.
Die Replikate und dementsprechend die Gruppen sind auf den DCs so wie sie sein sollen.
Nach nem Neustart sollte die Workstation/ThinClient ja eigentlich auch die neuen Gruppenrechte kennen... aber nix da
Und wir haben auch an einander vorbei geredet. Zum eigentlichen installieren der Treiber brauch der Benutzer natürlich Admin-Rechte. Dies wird aber umgangen indem vorweg ein Script läuft das alle Druckertypen einmal auf den Metaframeserver installiert... mit Adminrechten.
Und bei jeder Anmeldung wird abgefragt welchen Gruppen der benutzer hinzugehört... Und darauf hin bekommt er seine Drucker....bzw sind teilweise ein und der Selbe Drucker aber zum Beispiel einmal Schwarz Weiss oder Farbe oder Papierfach 3 statt 2... also muss schon wirklich auf den Benutzer hin zugeschnitten sein.
Auf den %logonserver% sind alle neuigkeiten repliziert.... das ist ja das was mich erstaunt.
Die Replikate und dementsprechend die Gruppen sind auf den DCs so wie sie sein sollen.
Nach nem Neustart sollte die Workstation/ThinClient ja eigentlich auch die neuen Gruppenrechte kennen... aber nix da
Nach nem Neustart sollte die Workstation/ThinClient ja eigentlich auch die neuen Gruppenrechte kennen
Gruppenmitgliedschaftsveränderungen werden nach Anmeldung des Nutzers eingelesen, Neustart nicht erforderlich.Verstehe nicht, was bei Dir passiert. ifmember /list muss das ausgeben, was der jeweilige Logonserver auch sagt. Komisch.
Sollte es das nicht tun, stimmt etwas mit der Netzwerkkonnektivität zum DC nicht, schätze ich mal stark. gpresult /r zeigt zum Beispiel AUCH OFFLINE ANGEMELDET die Gruppenmitgliedschaften an - welche gecacht wurden. Somit können die Ergebnisse (sicher auch bei ifmember /list) nicht stimmen.
Eben das verstehe ich halt auch nicht... 
Da is ja mein Problem und ich finde einfach die Lösung nicht.
Wenn ich mich morgen anmelde, habe ich auch die Gruppen plötzlich da...also irgendwann kommen sie ja an.
Und normal würde ich sagen das ist ein Problem der Replikation. Aber wenn ich die verschiedenen DCs durchschaue, sehe ich das dort überall die Gruppen hinterlegt sind.
Komischer Weise....!
Da is ja mein Problem und ich finde einfach die Lösung nicht.Wenn ich mich morgen anmelde, habe ich auch die Gruppen plötzlich da...also irgendwann kommen sie ja an.
Und normal würde ich sagen das ist ein Problem der Replikation. Aber wenn ich die verschiedenen DCs durchschaue, sehe ich das dort überall die Gruppen hinterlegt sind.
Komischer Weise....!
Setz mal am Client die Policy Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon auf aktiviert und starte neu und teste wieder.
