none
Windows 7, 2008-AD, Nicht alle Gruppen RRS feed

  • Frage

  • Moin moin!

    Folgendes Problem: Wir haben einen Windows Server 2008 (Nicht R2!) als DC in der Firma am Laufen. Das Netzwerk besteht zum größten teil aus Windows 7-Pro-PCs und zu etwa gleichen Teilen Macs, die jedoch nicht in die Domäne integriert sind. Zusätzlich gibt es noch ein paar wenige XP-Rechner.

    Aus Mitarbeiter der EDV brauche ich einen Mac um alle notwendigen Programme und Dienste verwalten bzw. nutzen zu können. Entsprechend liegt es dann nahe ein Windows parallel auf dem Mac zu betreiben um nicht immer zwei Rechner zu benötigen. Gesagt, getan: Windows per Bootcamp auf dem Mac installiert, Treiber drauf und ab in die Domäne, funktionierte alles wunderbar.

    Was hingegen nicht funktioniert: Wir haben diverse Benutzer, die Administratoren-Rechte haben, indem sie der Gruppe "Administratoren" angehören, wenn man sich mit einem dieser Benutzer an der Domäne anmeldet erhält man alle sonstigen Gruppen (z.B. auch die Gruppe "Firmenname Mitarbeiter"), aber eben die Administratoren-Gruppe nicht. Entsprechend hat man auch keine Administratoren-Rechte.

    Die Ereignisanzeige ist hier hilfreich wie ein Kropf und die Suche im Internet gestaltet sich ohne gewisse Anhaltspunkte als eher schwierig. Ich habe mittlerweile etliche Stunden damit zugebracht den Fehler zu finden, aber selbst der vielversprechendste Hinweis, dass es die Zeit hätte sein können verlief leider im Sande. Das Problem tritt auch nur an meinem Mac auf, mein Vorgesetzter hat sein Windows ebenfalls über Parallels installiert und da funktioniert alles wie erwartet.

    Was mich vor Allem wundert: Alles Andere funktioniert! Ich kann ins Internet, die Freigaben sind da und erreichbar, die GPOs werden übernommen (mit Ausnahme des Windows-Updates, was mir sagt es gäbe keine Updates; Das kann eigentlich nicht sein!? Aber vorerst sind die Admin-Rechte das wichtigste) und mit gpresult /r angezeigt, aber das muss ich ja auch schon als Administrator explizit ausführen, weil der Benutzer dazu ja keine Rechte hat.

    Ich bin langsam mit meinem Latein am Ende und habe schon etliche Male versucht den Rechner wieder aus der Domäne zu schmeißen und neu einzubinden, alles ohne Erfolg. Selbst eine Neuinstallation hat nicht geholfen und es ist auch egal, ob man es über Bootcamp gebootet versucht oder als VM über Parallels. Auf dem DC steht im Übrigen auch nichts in den Logs, was einem einen Hinweis geben könnte...

    Was aber noch auffällig ist: Wenn ich als Benutzer auf dem Windows im Mac gpresult /r aufrufe steht dort "Standortname: nicht zutreffend", wohingegen beim Administrator und auch mit meinem Benutzer an einem "normalen" Windows-PC hier "Standortname: Default-First-Site-Name" steht, könnte das noch ein Hinweis darauf sein, wo der Fehler liegt?

    Danke schonmal für jeden Hinweis!

    MfG
    Lutz

    Montag, 4. Juni 2012 10:52

Antworten

  • Danke schonmal für die Antworten,

    heute habe ich die Lösung präsentiert bekommen. Die Firma, die hier alle Rechner installiert und aufgestellt hat gab mir vorab die Information, dass nur Windows installiert wird, danach in die Domäne gebracht wird und sonst rein garnichts eingestellt oder installiert werden muss.

    Heute war dann jemand da von der Firma, dem ich das Thema dann mal aufs Auge gedrückt hat und siehe da: Fehler behoben! Warum? Ganz einfach! Anstatt - wie es sich eigentlich gehören würde - GPOs zu verwenden, um die Einstellungen auf den Clients zu verwalten, wurde manuell bei einer Installation für die EDV-Abteilung der lokalen Gruppe "Administratoren" eine Domänen-Gruppe als Mitglied hinzugefügt.

    Das soll man dann von alleine ohne diese Info finden? Wie denn? gpresult /r gibt einem ja nicht die Quelle der Gruppen an, sondern nur die nackten Gruppennamen!?

    Ich könnte echt so durchdrehen, kaum hatte ich die Gruppe entsprechend in die lokale Gruppe integriert, funktionierte alles wie gewünscht...

    Aber eine Frage bleibt - weshalb ich auf soetwas umständliches garnicht gekommen bin - war bei früheren Windows-Versionen nicht mal so, dass die Gruppe "Administratoren" zugewiesen wurde, wenn man in der Domänen-Gruppe "Administratoren" war? Ich meine, dass das mal so war!?

    Danke wie gesagt nochmal für die Hilfe-Versuche, aber als Opfer von Fehlinformationen kam ich hier echt nicht weiter...

    MfG
    Lutz

    • Als Antwort markiert L. Mahlstedt Dienstag, 5. Juni 2012 11:50
    Dienstag, 5. Juni 2012 11:50

Alle Antworten

  • Hallo,

    um das mal kurz zusammen zu fassen.

    Die Gruppenrichtlinie mit der Ihr die Administratoren auf den Rechnern kontrolliert, gehe von "Restricted Groups" aus, wird als übernommen angezeigt, ist allerdings nur teilweise übernommen? http://technet.microsoft.com/de-de/library/cc756802(v=ws.10).aspx

    Mit rsop.msc wird auch nichts anderes angezeigt, sondern die kompletten Einstellungen?

    Habt Ihr vielleicht das Loopback Processing eingeschaltet http://technet.microsoft.com/de-de/library/cc757424(WS.10).aspx und dadurch eventuell die Unterschiede?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Montag, 4. Juni 2012 11:17
  • Am 04.06.2012 schrieb L. Mahlstedt:

    Was hingegen nicht funktioniert: Wir haben diverse Benutzer, die Administratoren-Rechte haben, indem sie der Gruppe "Administratoren" angehören, wenn man sich mit einem dieser Benutzer an der Domäne anmeldet erhält man alle sonstigen Gruppen (z.B. auch die Gruppe "/Firmenname/ Mitarbeiter"), aber eben die Administratoren-Gruppe nicht. Entsprechend hat man auch keine Administratoren-Rechte.

    Habt ihr das per GPO so geregelt, wie in diesem HowTo angegeben?
    http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 4. Juni 2012 17:52
  • Danke schonmal für die Antworten,

    heute habe ich die Lösung präsentiert bekommen. Die Firma, die hier alle Rechner installiert und aufgestellt hat gab mir vorab die Information, dass nur Windows installiert wird, danach in die Domäne gebracht wird und sonst rein garnichts eingestellt oder installiert werden muss.

    Heute war dann jemand da von der Firma, dem ich das Thema dann mal aufs Auge gedrückt hat und siehe da: Fehler behoben! Warum? Ganz einfach! Anstatt - wie es sich eigentlich gehören würde - GPOs zu verwenden, um die Einstellungen auf den Clients zu verwalten, wurde manuell bei einer Installation für die EDV-Abteilung der lokalen Gruppe "Administratoren" eine Domänen-Gruppe als Mitglied hinzugefügt.

    Das soll man dann von alleine ohne diese Info finden? Wie denn? gpresult /r gibt einem ja nicht die Quelle der Gruppen an, sondern nur die nackten Gruppennamen!?

    Ich könnte echt so durchdrehen, kaum hatte ich die Gruppe entsprechend in die lokale Gruppe integriert, funktionierte alles wie gewünscht...

    Aber eine Frage bleibt - weshalb ich auf soetwas umständliches garnicht gekommen bin - war bei früheren Windows-Versionen nicht mal so, dass die Gruppe "Administratoren" zugewiesen wurde, wenn man in der Domänen-Gruppe "Administratoren" war? Ich meine, dass das mal so war!?

    Danke wie gesagt nochmal für die Hilfe-Versuche, aber als Opfer von Fehlinformationen kam ich hier echt nicht weiter...

    MfG
    Lutz

    • Als Antwort markiert L. Mahlstedt Dienstag, 5. Juni 2012 11:50
    Dienstag, 5. Juni 2012 11:50
  • Hallo,

    danke für Deine Informationen über die Gruppenzugehörigkeit. Das was dort gemacht wurde habe ich bis heute auch noch nicht gehört und ist obwohl so einfach, sehr schwer zu finden.

    Als Grundeinstallung sind die Domänen Administratoren immer Mitglied der lokalen Adminstratoren auf den Domänen Computern, falls das Deine Frage ist?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 5. Juni 2012 12:01
  • Danke für die Info, dann habe ich das also falsch in Erinnerung gehabt, die Benutzer sind nämlich "nur" Mitglied in "Administratoren" nicht in "Domänen-Admins".

    Und ja: Das ist eigentlich GARNICHT zu finden. Ich ging bis vorhin davon aus, dass alles über GPOs gemacht wird und beide Rechner und Benutzer waren in den selben OUs... Achja, würden doch nur alle GPOs konsequent einsetzen...

    Dienstag, 5. Juni 2012 12:35
  • Am 05.06.2012 schrieb L. Mahlstedt:

    heute habe ich die Lösung präsentiert bekommen. Die Firma, die hier alle Rechner installiert und aufgestellt hat gab mir vorab die Information, dass nur Windows installiert wird, danach in die Domäne gebracht wird und sonst*rein garnichts* eingestellt oder installiert werden muss.

    Ist ja nicht verkehrt.

    Heute war dann jemand da von der Firma, dem ich das Thema dann mal aufs Auge gedrückt hat und siehe da: Fehler behoben! Warum? Ganz einfach! Anstatt - wie es sich eigentlich gehören würde - GPOs zu verwenden, um die Einstellungen auf den Clients zu verwalten, wurde manuell bei einer Installation für die EDV-Abteilung der lokalen Gruppe "Administratoren" eine Domänen-Gruppe als Mitglied hinzugefügt.

    Igitt, wer macht denn sowas? Nur für die Zukunft, ein gpresult /v oder
    ein RSOP.MSC zeigt die GPOs mit den Einstellungen an, die am Client
    ankommen. Ist da in Sachen Gruppen nichts dabei, dann kann es nur
    manuell am Client eingestellt worden sein. Und da kannst Du mit
    GPEDIT.MSC nachsehen. Eigentlich sollte dort alles auf Nicht
    Konfiguriert stehen, wenn nichts verändert wurde.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 6. Juni 2012 18:41