GruRiLi wirkt sich nur auf Admins aus - was mache ich falsch?

Hi,

folgendes Problem:


ich habe in meinem AD eine OE namens Bibliothek - Benutzer. Für diese OE habe ich nun eine neue Gruppenrichtlinie erstellt, in der nur die Ausführung eines Batch-Scriptes beim Anmelden definiert ist.
Diese GruRiLi wirkt sich jedoch nur auf Admins aus, alle anderen Benutzer werden einfach ignoriert. Die Benutzer haben jedoch die nötigen Leserechte auf den Script (wenn ich ihn unter \\server-gss-bib\sysvol\bib-schinkel.de\Policies\{C57D4801-6D5A-4C4D-A3CA-0646F6F10717}\User\Scripts\Logon direkt ausführe, funktioniert er), und anscheinend haben sie auch die nötigen Rechte (sowohl Authentifizierter Benutzer als auch Domänen-Benutzer haben das Recht Gruppenrichtlinie übernehmen; nur einem Benutzer (dem Schüler-Konto für alle Schüler) wird dieses Recht explizit verweigert).

Es muss wohl ein (Berechtigungs-)Problem der GruRiLi sein, denn auch weitere Modifikationen, wie z. B. Nachricht beim Anmelden funktionieren nicht für die neue GruRiLi, nur in der für die gesamte Domäne. Soweit ich das sehe, sind die Berechtigungen für beide Richtlinien gleich.

Weiß jemand weiter?

MfG Martin

Hallo,


ich nehme an das Skript befindet sich auf einer Serverfreigabe. Möglicherweise haben zwar die User Rechte auf der Datei, nicht aber auf der Freigabe.
Außerdem würde ich empfehlen falls es das oben nicht wahr mal volle Rechte inkl. schreiben einzurichten und dann testen.

Gruß

Ralf

Prüfe mal die Sicherheitsfilterung, die auf dem GPO-Objekt liegt - das Recht, die GPO lesen zu dürfen ist die Grundvorraussetzung dafür, das diese GPO übernommen wird (explizit Haken setzen bei Gruppenrichtlinie übernehmen).
Desweiteren prüfe bitte, ob du dir mit der Vererbung in die Quere kommt.

Cheers,
Joshua

@cclight
Da es sich um die SYSVOL-Freigabe handelt, haben sowohl Jeder als auh Authentifizierter Benutzer Lesen-Rechte. Daran kann es wohl nicht liegen. Ich kann ja auch als normaler Benutzer das Script manuell ausführen. Trotzdem Danke für deine Hilfe!

@Joshua
Sowohl Authentifizierter Benutzer als auch Domänen-Benutzer haben das Lesen- und das Übernehmen-Recht. Vererbung scheint es bei Gruppenrichtlinien nicht zu geben, da unter Erweitet bei jeder Berechtigung <nicht geerbt> steht; auch die CheckBox, in der man bei anderen Objekten (bspw. Dateien) das Erben ein-/ausstellen kann, ist nicht vorhanden. Daher scheint das Problem auch dort nicht zu liegen.

@all
Was mir jetzt echt zu denken gibt, ist

1) Anfangs hatte ich eine neue Gruppenrichtlinie für eine einzelne OE erstellt. Diese Gruppenrichtlinie hat anscheinend garnicht funktioniert, da keine der Änderungen an der GPO zu irgendwelchen Änderungen bei den Benutzern geführt haben.
Daher habe ich dann die GPO gelöscht und den Script einfach in die Default Domain Policy gepackt. Die DDP enthält schon Richtlinien (STRG+ALT+ENTF nicht anzeigen, Letzten Benutzernamen nicht anzeigen, etc.), die auch alle funktionieren, nur dieser verdammte Script funktioniert wieder mal nicht.

2) In der Windows-Hilfe zu Scripts steht wortwörlich, dass Scripts nicht für Administratoren ausgeführt werden, sondern für Benutzer... bei mir scheint es genau umgekehrt zu sein ?!

Sonst bleibt mir nur als Lösung, den Script manuell für jeden Benutzer im AD-Profil einzutragen :-(

MfG Martin

Hast du es mal mit der GPMC versucht ?!?
Zwar ist die eigentlich für W2k3-Server, läuft aber -von einer XP-Workstation mit Domain-Adminrechten aus- auch prima mit W2k-Servern - damit wird das etwas sehr übersichtlicher ;-)

Cheers,
Joshua

nachdem es nun nach Ewigkeiten von Rumbastelein immer noch nicht läuft, hab ich jetzt erstmal manuell beim jedem Benutzer den Skript im AD-Profil eingetragen. Damit läuft es zumindest.
Das war bei grade mal 10 Benutzern auch nicht so der Aufwand, ich hab einfach nur gedacht, mit der GruRiLi wäre es besser/professioneller. Falls jemand noch einen Tipp für mich hat: immer her damit

Wenn ich etwas mehr Zeit habe, werde ich eine Test-OE erstellen und dann mal ein bisschen experimentieren.

MfG Martin