3
GPO - Domain-Admin zu Sicherheitsoperatoren hinzufügen bringt Fehler für User
Hallo an die Community von Administrator.de ...
meine 1ste Anfrage dreht sich um die hinzufügbaren Poweruserrechte für Domain-Admins auf DCs auf einem Win2k3-DC mit SP2.
Umgebung schematisch für das meinige Problemkind:
1x Windows 2003 Server R2 SP2
n mal Clients (frisch inst. XP Pro SP3)
gpmc:
domain: xyz.firmenname
#default domain policy (unverändert)
ou: user
- Benutzer: Willi
ou: computer
#GPO-Verlinkung zu GPO-PC (siehe unten)
- Computer: WilliPC
Das Profil von Willi ist servergespeichert, wie auch sein Homeordner. Damit ich für etwaige Supportdienste als Admin später ohne die u.U. fehleranfälligen Besitztümeränderungen in das Profil schauen kann, habe ich das GPO "GPO-PC". Dieses Richtlinienobjekt halt als einzigsten veränderten Richtlinienpunkt, dass Administratoren zu den Sicherheitsoperatern eingegliedert werden und somit Zugriff auf die sonst gesperrten Profilordner haben.
GPMC - GPO Bearbeiten -> Computerrichtlinien -> ADM (Vorlagen) -> Zuweisung von Benutzerrechten (so etwa war glaub der Weg .. leider grad nicht zum Abgleich vor mir)
Sobald dies auf die PCs als Richtlinie angewendet ist, können sich Domain-User nicht mehr anmelden und bekommen als Hinweis:
"Die lokalen Richtlinien erlauben es Ihnen nicht sich interakiv anzumelden".
habe schon fleißig Bücher geblättert und gegoogelt .. alles ohne Erfolg nach zig Tests
Hat jemand eine Idee woran das liegen könnte? Irgendwie ist das manchmal wie mit'm Brett vorm Kopf ...
meine 1ste Anfrage dreht sich um die hinzufügbaren Poweruserrechte für Domain-Admins auf DCs auf einem Win2k3-DC mit SP2.
Umgebung schematisch für das meinige Problemkind:
1x Windows 2003 Server R2 SP2
n mal Clients (frisch inst. XP Pro SP3)
gpmc:
domain: xyz.firmenname
#default domain policy (unverändert)
ou: user
- Benutzer: Willi
ou: computer
#GPO-Verlinkung zu GPO-PC (siehe unten)
- Computer: WilliPC
Das Profil von Willi ist servergespeichert, wie auch sein Homeordner. Damit ich für etwaige Supportdienste als Admin später ohne die u.U. fehleranfälligen Besitztümeränderungen in das Profil schauen kann, habe ich das GPO "GPO-PC". Dieses Richtlinienobjekt halt als einzigsten veränderten Richtlinienpunkt, dass Administratoren zu den Sicherheitsoperatern eingegliedert werden und somit Zugriff auf die sonst gesperrten Profilordner haben.
GPMC - GPO Bearbeiten -> Computerrichtlinien -> ADM (Vorlagen) -> Zuweisung von Benutzerrechten (so etwa war glaub der Weg .. leider grad nicht zum Abgleich vor mir)
Sobald dies auf die PCs als Richtlinie angewendet ist, können sich Domain-User nicht mehr anmelden und bekommen als Hinweis:
"Die lokalen Richtlinien erlauben es Ihnen nicht sich interakiv anzumelden".
habe schon fleißig Bücher geblättert und gegoogelt .. alles ohne Erfolg nach zig Tests
Hat jemand eine Idee woran das liegen könnte? Irgendwie ist das manchmal wie mit'm Brett vorm Kopf ...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 96630
Url: https://administrator.de/contentid/96630
Ausgedruckt am: 15.11.2024 um 09:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
hast Du mal ein Gruppenrichtlinien Ergebnis erstellt? Oder Deine GPO mal deaktiviert?
hast Du mal ein Gruppenrichtlinien Ergebnis erstellt? Oder Deine GPO mal deaktiviert?
Moin,
wenn ich die GPO deaktiviere, dann funkt. die Anmeldung nach dem nächsten GPO-Update vom Client. Es funkt. nicht, wenn ich diese aktiviere.
Ein Ergebnissatz werd ich dann gleich mal auf Arbeit machen, wenn ich dann gleich da bin.
Sage dann bescheid was raus gekommen ist .
Gruß HelgeSchneider ;)
wenn ich die GPO deaktiviere, dann funkt. die Anmeldung nach dem nächsten GPO-Update vom Client. Es funkt. nicht, wenn ich diese aktiviere.
Ein Ergebnissatz werd ich dann gleich mal auf Arbeit machen, wenn ich dann gleich da bin.
Sage dann bescheid was raus gekommen ist .
Gruß HelgeSchneider ;)
Tach,
also der GPO Ereignis meint, dass alles akt. ist. Sonst sagt es nicht viel mehr aus.
Nirgends ein Hinweis, dass nun für "normale" Domain-Benutzer, die interakt. Anmeldung verwehrt ist ...
also der GPO Ereignis meint, dass alles akt. ist. Sonst sagt es nicht viel mehr aus.
Nirgends ein Hinweis, dass nun für "normale" Domain-Benutzer, die interakt. Anmeldung verwehrt ist ...
