Problem mit Organization Units und deren Policies...HELP

Hallo

...1 DNS-Server mit AD als DC und mit RIS

....1 DHCP-Server mit sonst nix...

alles läuft gut, auch die roaming profiles und scripts funktionieren auf den Win2k-CLIENTS UND SERVERN

nun erstellte ich ne Organization Unit, wie auf nem anderen bereits funktionierendem Domain Controller in nem anderen Netzwerk und stellte die gleichen Policies ein.


bisher stellte ich immer bspweise ein: remove shutdown command from startmenu

und das wurde dann auch gemacht.,... wenn sich en user(dieser ou) an der domain von ner win2k-ws her anmeldet...


neuer User in dieser OU erstellt.....allesy geht...


wenn ein user in der ou XY mit einem roaming profile erstellt wird, erscheint der shutdown button, obwohl er disabled in der group policy der ou XY ist...

...wird der user aber mit nem lokalen profil an die domain angemeldet, verschwindet der shutdown.button, also, die gpo der ou XY zieht dann....


...aber wieso???

der administrator wird also als beispielsprofil angesehen oder wie ist das zu verstehen...?

hat ev. jemand ne idee, wie hier trotzdem grad auch mit roaming profiles die user so ihre gpo der ou XY berücksihtigen...

dass die zieht..?

gruss&merci (froh um antworten, wirklich)
pablo

Ich habe das mal nachgestellt:
W2k SP3 DC, verschiedene OUs angelegt und mit drei Testusern und Roaming Profiles ans Werk - leider konnte ich dein Problem nicht reproduzieren, bei meinem Versuch hat jeder User immer die GPO der jeweiligen OU, in der er sich befindet, vollständig übernommen.

Nachdem ich dann noch ein wenig die Nase in Dokus zum Thema gesteckt habe:
Innerhalb der OUs muss die Vererbung der GPOs deaktiviert werden, sonst gilt die Default Domain Policy ebenfalls - und wenn zwei entgegengesetzte Policy-Anweisungen geladen werden, wir diese Anweisung negiert.

Beim lokalen Anmelden ziehen deine User keine Domain Policy, sondern nur die Policy der OU, daher klappt es also dann.
Beim Anmelden in der Domain wird aber auch die Default Domain Policy geladen und die Werte dort stimmen nicht mit den Werten der Policy auf der OU überein, daher dann die Probleme.

Hoffe, das hilft dir weiter.

Cheers,
Joshua

Beim lokalen Anmelden ziehen deine User keine Domain Policy, sondern nur die Policy der OU, daher klappt es also dann.
Beim Anmelden in der Domain wird aber auch die Default Domain Policy geladen und die Werte dort stimmen nicht mit den Werten der Policy auf der OU überein, daher dann die Probleme.

Zum Vergrößern anklicken....

easy, merci....aber eben...

bei mir wird bei lokaler anmeldung(an der domain) die ou der domain nicht übernommen, das ist es ja...

...danke trotzdem

gruss
pablo

pablovschby schrieb:

easy, merci....aber eben...

bei mir wird bei lokaler anmeldung(an der domain) die ou der domain nicht übernommen, das ist es ja...

...danke trotzdem

gruss
pablo

Zum Vergrößern anklicken....

???
Lokales Anmelden an der Domäne - was soll das denn sein ?

Entweder du meldest dich lokal an deinem Rechner an und greifst auf Ressourcen der Domäne zu, die für Nicht-Domänen-User freigegeben sind oder aber du meldest dich in der Domäne an - beides gleichzeitig geht nicht.

Folgendes:
Beim Anmelden an der Domäne werden die GPOs geladen, und zwar alle, die definiert sind. Diese bleiben auch eine vorgegebene Anzahl von Neuanmeldungen lang lokal auf jedem Rechner gespeichert - bis auf die Default Domain Policy, diese wird bei jeder Anmeldung überschrieben.

Bei einer lokalen Anmeldung am Rechner wird diese aber _nicht_ neu übertragen, die bei einer vorherigen Domänenanmeldung übertragene GPO einer OU ist aber noch vorhanden - entsprechend wird diese dann auch benutzt.

Um es nochmal klarzustellen:
Bei einer Domänenanmeldung werden -sofern innerhalb der OUs die Vererbung nicht deaktiviert ist- die GPO der OU UND die Default Domain Policy geladen.
Wenn Kein Vorrang nicht aktiviert ist und in beiden GPOs derselbe Wert mit unterschiedlichen Parametern definiert ist, wird diese einzelne Richtlinie nicht ausgeführt.

Beispiel Anmeldung an Domäne:
- Beide GPOs (DDP und OU) werden geladen.
- Default Domain Policy: Beenden ausblenden deaktiviert/nicht konfiguriert
- OU: Beenden ausblenden aktiviert
- Ergebnis: Beenden ist auf den Clients vorhanden

Beispiel lokale Anmeldung am Rechner:
- Keine GPO wird neu geladen
- GPO aus der OU ist auf dem Rechner noch vorhanden
- Ergebnis: Beenden ist bei den Clients nicht vorhanden

Ich hoffe, das ist noch einigermassen verständlich und hilft dir weiter. Es gibt auch eine interessante Website zu dem Thema:
www.gruppenrichtlinien.de

Cheers,
Joshua

Beispiel Anmeldung an Domäne:
- Beide GPOs (DDP und OU) werden geladen.
- Default Domain Policy: Beenden ausblenden deaktiviert/nicht konfiguriert
- OU: Beenden ausblenden aktiviert
- Ergebnis: Beenden ist auf den Clients vorhanden

Zum Vergrößern anklicken....

ja, wir haben uns schon richtig verstanden...

wenn ich mich nömlich an der domain anmelde, keine vererbung NICHT aktiv habe (engl. version)

.....----> ist das ergebnis in diesem fall beenden ist auf den clients nicht vorhanden


gruss&danke
pablo


p.s: ich meinte an der domain anmelden

übrigens:

mit dem roaming profile, ....

...ich versuchs jetzt noch 1mal

Hallo

...1 DNS-Server mit AD als DC und mit RIS

....1 DHCP-Server mit sonst nix...

alles läuft gut, auch die roaming profiles und scripts funktionieren auf den Win2k-CLIENTS UND SERVERN

nun erstellte ich ne Organization Unit, wie auf nem anderen bereits funktionierendem Domain Controller in nem anderen Netzwerk und stellte die gleichen Policies ein.

die policy dieser ou hat also disable shutdown command from startmenu auf enabled sowie auch show log off in startmenu....auf enabled[/b ]


dieses phänomen:

testuser1 mit roaming profile aufm server
testuser2 mit lokalem profile aufm win2prof

beide habe keine logoff-schalter im startmenu und beide haben den shutdown-command im startmenu...

dann wählte ich bei der ou: block policy inheritance

dann 2 neue user erstellt in der ou:
testuser3 mit roaming profile
testuser4 mit lok. profil


so.... dann dc neu gestartet

dann:

testuser3 wie testuser4 hatten beide kein logoff-schlater im startmenu und auch beide hatten einen shutdown-command im startmenü...


....kann mir das ev. jemand erklären...?

bin am limit

gruss&danke
pablo

Ich konnte den Fehler immer noch nicht reproduzieren
Aber was sagt denn dein Ereignisprotokoll dazu ?

Aktiviere doch in der GPO innerhalb der OU mal das Logging....

Cheers,
Joshua