Discussion:
- die lokale Richtlinie erlaubt ...
(zu alt für eine Antwort)
Joachim Botsch
2007-08-08 07:28:45 UTC
Permalink
Hallo,

ich brauche dringend Hilfe.
Ich habe hier eine AD-Domäne mit zwei Servern (W2K SP4). Einer davon ist
als Betriebsmaster überall eingetragen. Dazu etwa 30 WS (W2k prof, XP
prof und ein Vista Business).
Als Richtlinien werden geladen:
Richtlinie für Domänen,
Richtlinien für Domänencontroller, und
WSUS-Richtlinien
Seit etwa zwei Wochen bekommen einige dieser WS beim einloggen (nicht
lokal, sondern auf die Domäne) die Fehlermeldung 'die lokale Richtlinie
erlaubt es nicht sich interaktiv anzumelden'.
Bei den W2k-WS ist mir aufgefallen, daß die Rechner beim Boot nicht die
Sicherheitsrichtlinien übernehmen. Erst wenn die Rechner für eine
Zeitland (etwa 10-15 Min.) ausgeschaltet werden, werden diese
Richtlinien beim Boot wieder übernommen, dann können sich die User
wieder einloggen. Ein größeres Problem stellen die XP-Notebooks dar.
Hier muss ich den Rechner in eine Arbeitsgruppe schieben, den
Computeraccount auf der Domäne löschen und nach einiger Zeit den Rechner
wieder neu anmelden, dann funzt wieder alles.
Dieses Spiel mache ich seither jeden morgen für einige Rechner. Ein
große Anzahl anderer Rechner hatte noch nie Probleme. Es sind auch nicht
täglich die gleichen Rechner die dieses Problem haben.

Was wurde gemacht, verändert:

Mir war aufgefallen, daß bei einem der Server (nicht beim
Betriebsmaster), im Ereignisprot. -Anwendungen laufend Fehler ID 1000
Userenv (fehlende gpt.ini) waren.
Ich habe danach gesucht und keine richtige Lösung gefunden. Die
Richtlinieneinträge zu entfernen und nach einiger Zeit wieder
hinzuzufügen brachte kein dauerhaftes Ergebnis, die Fehler kamen dann
immer wieder.
Auf einer Webseite (eventid.net) fand ich dann einen Hinweis, die Server
im Sysvol zu vergleichen und fehlende ini-files nachträglich vom
anderen Server zu kopieren.
Ich hatte auch beim Betriebsmaster drei Ordner mit einer gpt.ini, und
bei dem Problenmserver nur zwei.
Also habe ich den fehlenden Ordner komplett rüberkopiert. Seitdem sind
die Fehlermeldungen verschwunden, allerdings habe ich seitdem auch das
Problem mit der Anmeldung.
Ich habe dann nach der Fehlermeldung mit der Anmeldung gesucht, und
mehrere Hinweise gefunden, mann müsse in den Richtlinien die lokale
Anmeldung für die entsprechenden User erlauben, dies habe ich auch in
allen Richtlinien gemacht, leider keine Besserung.

Auch das Löschen des kopierten Ordners brachte nur wieder die 1000er
Fehlermeldung, abner keine Besserung beim Anmelden.
User mit Adminrechten hatten noch nie Probleme, aber es gibt, wie
bereits erwähnt auch User ohne admin-Rechte die noch nie Probleme hatten.

Wer kann mir hier weiterhelfen ?

Bin dankbar für jede Idee.

Gruss,
Joachim
Mark Heitbrink [MVP]
2007-08-08 14:08:44 UTC
Permalink
Hi,

Joachim Botsch schrieb:
[viele Fehler anhand von usernev 1000]

setze erst mal deine Default Richtlinien wieder den orginal Zustand
nach Installation
Es waren 2K DCs? -> recreatedefpol.exe (DL bei MS,
bei 2003 ist dcgpofix schon dabei)
http://www.gruppenrichtlinien.de/HowTo/Default_Richtlinien_wiederherstellen.htm
BEachte evtl. den Hinweis auf Exchange, falls installiert.

Dann korriegiere die SMB Signing Einstellungen, da diese je nach OS
und darin je nach ServicePack Stand von MS unterschiedlich definiert
wurden, definiere es in beiden Def Richtlinien nach BestPractise:
http://www.gruppenrichtlinien.de/HowTo/SMB_Signing.htm

Nach dem Neustart der DC´s solltest du an jedem Rechner einmalig ein
Force der GPO Übernahme initieren.
2K: secedit /refreshpolicy machine_policy /enforce
XP: gpupdate /force

Danach alle Rechner neustarten und schauen was passsiert.


Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-09 06:59:10 UTC
Permalink
Hallo Mark,

erstmal Danke für deine schnelle Reaktion.

Ich werde das mit dem Zurücksetzen auf die default-Richtlinien Woche
gemäß deiner Beschreibung durchführen (da sind viele Kollegen im Urlaub,
da ist es dann einfacher), und danach alle Rechner rebooten.
Zusatzfrage: Soll ich den von mir händisch kopierten Ordner (68FD....;
ist wohl der für die WSUS-Richtlinien) vorher wieder löschen ?

Das mit den SMBs hatte ich gestern in einer früheren Antwort von dir zu
einem ähnlichen Problem gelesen und ausgeführt.
Außerdem habe ich gestern noch einen weiteren Fehler festgestellt und
beseitigt. Beim Betriebsmaster war eine falsche IP für den DNS-Server
eingetragen.
War wohl mein Fehler (peinlich ..), ich hatte vergessen, als ich damals
einen Server (den ich für die Migration von NT temporär eingerichtet
hatte) wieder entfernt hatte, hier die IP zu ändern.
Heute morgen habe ich, bis jetzt, noch keine Fehlermeldung bekommen
(bzw. nur eine, der Rechner hatte aber dann nach einem direkten Neustart
die Richtlinie übernommen). Ich hoffe, das bleibt so.


Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
[viele Fehler anhand von usernev 1000]
setze erst mal deine Default Richtlinien wieder den orginal Zustand
nach Installation
Es waren 2K DCs? -> recreatedefpol.exe (DL bei MS,
bei 2003 ist dcgpofix schon dabei)
http://www.gruppenrichtlinien.de/HowTo/Default_Richtlinien_wiederherstellen.htm
BEachte evtl. den Hinweis auf Exchange, falls installiert.
Dann korriegiere die SMB Signing Einstellungen, da diese je nach OS
und darin je nach ServicePack Stand von MS unterschiedlich definiert
http://www.gruppenrichtlinien.de/HowTo/SMB_Signing.htm
Nach dem Neustart der DC´s solltest du an jedem Rechner einmalig ein
Force der GPO Übernahme initieren.
2K: secedit /refreshpolicy machine_policy /enforce
XP: gpupdate /force
Danach alle Rechner neustarten und schauen was passsiert.
Tschö
Mark
Joachim Botsch
2007-08-09 07:04:55 UTC
Permalink
Post by Joachim Botsch
Hallo Mark,
erstmal Danke für deine schnelle Reaktion.
Ich werde das mit dem Zurücksetzen auf die default-Richtlinien NÄCHSTE Woche
gemäß deiner Beschreibung durchführen (da sind viele Kollegen im Urlaub,
da ist es dann einfacher), und danach alle Rechner rebooten.
Zusatzfrage: Soll ich den von mir händisch kopierten Ordner (68FD....;
ist wohl der für die WSUS-Richtlinien) vorher wieder löschen ?
Das mit den SMBs hatte ich gestern in einer früheren Antwort von dir zu
einem ähnlichen Problem gelesen und ausgeführt.
Außerdem habe ich gestern noch einen weiteren Fehler festgestellt und
beseitigt. Beim Betriebsmaster war eine falsche IP für den DNS-Server
eingetragen.
War wohl mein Fehler (peinlich ..), ich hatte vergessen, als ich damals
einen Server (den ich für die Migration von NT temporär eingerichtet
hatte) wieder entfernt hatte, hier die IP zu ändern.
Heute morgen habe ich, bis jetzt, noch keine Fehlermeldung bekommen
(bzw. nur eine, der Rechner hatte aber dann nach einem direkten Neustart
die Richtlinie übernommen). Ich hoffe, das bleibt so.
Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
[viele Fehler anhand von usernev 1000]
setze erst mal deine Default Richtlinien wieder den orginal Zustand
nach Installation
Es waren 2K DCs? -> recreatedefpol.exe (DL bei MS,
bei 2003 ist dcgpofix schon dabei)
http://www.gruppenrichtlinien.de/HowTo/Default_Richtlinien_wiederherstellen.htm
BEachte evtl. den Hinweis auf Exchange, falls installiert.
Dann korriegiere die SMB Signing Einstellungen, da diese je nach OS
und darin je nach ServicePack Stand von MS unterschiedlich definiert
http://www.gruppenrichtlinien.de/HowTo/SMB_Signing.htm
Nach dem Neustart der DC´s solltest du an jedem Rechner einmalig ein
Force der GPO Übernahme initieren.
2K: secedit /refreshpolicy machine_policy /enforce
XP: gpupdate /force
Danach alle Rechner neustarten und schauen was passsiert.
Tschö
Mark
Mark Heitbrink [MVP]
2007-08-09 08:31:23 UTC
Permalink
Hi,
Post by Joachim Botsch
Zusatzfrage: Soll ich den von mir händisch kopierten Ordner (68FD....;
ist wohl der für die WSUS-Richtlinien) vorher wieder löschen ?
Die Kopie kannst du vergessen, da du sie nur mit etwas Aufwand
zurückkopiert kriegst. Installiere dir lieber die GPMC auf einer
XP/2003 Workstation.
Damit kannst du viel bequemer einzelne Richtlinien und auch alle
sichern/wiederherstellen/importieren etc.
Post by Joachim Botsch
Das mit den SMBs hatte ich gestern in einer früheren Antwort von dir zu
einem ähnlichen Problem gelesen und ausgeführt.
Außerdem habe ich gestern noch einen weiteren Fehler festgestellt und
beseitigt. Beim Betriebsmaster war eine falsche IP für den DNS-Server
eingetragen.
War wohl mein Fehler (peinlich ..), ich hatte vergessen, als ich damals
einen Server (den ich für die Migration von NT temporär eingerichtet
hatte) wieder entfernt hatte, hier die IP zu ändern.
Heute morgen habe ich, bis jetzt, noch keine Fehlermeldung bekommen
(bzw. nur eine, der Rechner hatte aber dann nach einem direkten Neustart
die Richtlinie übernommen). Ich hoffe, das bleibt so.
Wenn der DNS falsch war, dann denke ich, daß dein Problem jetzt behoben
ist. Wenn die SMB Einstellungen übergeben werden, bist du eigentlich
auf der sicheren Seite und weisst, daß es wieder geht.
Dann würde ich jetzt die Def Richtlinien auch nicht mehr zurücksetzen,
es sei denn du möchtest es, weil du sie editiert hast ;-)

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-09 13:22:28 UTC
Permalink
Hallo Mark,
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
Zusatzfrage: Soll ich den von mir händisch kopierten Ordner (68FD....;
ist wohl der für die WSUS-Richtlinien) vorher wieder löschen ?
Die Kopie kannst du vergessen, da du sie nur mit etwas Aufwand
zurückkopiert kriegst. Installiere dir lieber die GPMC auf einer
XP/2003 Workstation.
Damit kannst du viel bequemer einzelne Richtlinien und auch alle
sichern/wiederherstellen/importieren etc.
Werde ich bei Gelegenheit tun.
Post by Mark Heitbrink [MVP]
Post by Joachim Botsch
Das mit den SMBs hatte ich gestern in einer früheren Antwort von dir zu
einem ähnlichen Problem gelesen und ausgeführt.
Außerdem habe ich gestern noch einen weiteren Fehler festgestellt und
beseitigt. Beim Betriebsmaster war eine falsche IP für den DNS-Server
eingetragen.
War wohl mein Fehler (peinlich ..), ich hatte vergessen, als ich damals
einen Server (den ich für die Migration von NT temporär eingerichtet
hatte) wieder entfernt hatte, hier die IP zu ändern.
Heute morgen habe ich, bis jetzt, noch keine Fehlermeldung bekommen
(bzw. nur eine, der Rechner hatte aber dann nach einem direkten Neustart
die Richtlinie übernommen). Ich hoffe, das bleibt so.
Wenn der DNS falsch war, dann denke ich, daß dein Problem jetzt behoben
ist. Wenn die SMB Einstellungen übergeben werden, bist du eigentlich
auf der sicheren Seite und weisst, daß es wieder geht.
Dann würde ich jetzt die Def Richtlinien auch nicht mehr zurücksetzen,
es sei denn du möchtest es, weil du sie editiert hast ;-)
Nicht unbedingt, ich musste sie editieren, wegen SOX-Password-Restrictions.
Post by Mark Heitbrink [MVP]
Tschö
Mark
Nochmal vielen Dank für deine Hilfe,

Servus,
Joachim
Joachim Botsch
2007-08-10 06:54:30 UTC
Permalink
Hallo,

leider zu früh gefreut, heute morgen wieder das gleiche Spiel.
Also ist mein Problem nach wie vor nicht gelöst.
Werde nächste Woche die def. Richtlinien zurücksetzen.
Muss ich das an beiden Servern durchführen, oder nur beim Betriebsmaster ?

Gruss,
Joachim
Post by Joachim Botsch
Hallo Mark,
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
Zusatzfrage: Soll ich den von mir händisch kopierten Ordner
(68FD....; ist wohl der für die WSUS-Richtlinien) vorher wieder
löschen ?
Die Kopie kannst du vergessen, da du sie nur mit etwas Aufwand
zurückkopiert kriegst. Installiere dir lieber die GPMC auf einer
XP/2003 Workstation.
Damit kannst du viel bequemer einzelne Richtlinien und auch alle
sichern/wiederherstellen/importieren etc.
Werde ich bei Gelegenheit tun.
Post by Mark Heitbrink [MVP]
Post by Joachim Botsch
Das mit den SMBs hatte ich gestern in einer früheren Antwort von dir
zu einem ähnlichen Problem gelesen und ausgeführt.
Außerdem habe ich gestern noch einen weiteren Fehler festgestellt und
beseitigt. Beim Betriebsmaster war eine falsche IP für den DNS-Server
eingetragen.
War wohl mein Fehler (peinlich ..), ich hatte vergessen, als ich
damals einen Server (den ich für die Migration von NT temporär
eingerichtet hatte) wieder entfernt hatte, hier die IP zu ändern.
Heute morgen habe ich, bis jetzt, noch keine Fehlermeldung bekommen
(bzw. nur eine, der Rechner hatte aber dann nach einem direkten
Neustart die Richtlinie übernommen). Ich hoffe, das bleibt so.
Wenn der DNS falsch war, dann denke ich, daß dein Problem jetzt behoben
ist. Wenn die SMB Einstellungen übergeben werden, bist du eigentlich
auf der sicheren Seite und weisst, daß es wieder geht.
Dann würde ich jetzt die Def Richtlinien auch nicht mehr zurücksetzen,
es sei denn du möchtest es, weil du sie editiert hast ;-)
Nicht unbedingt, ich musste sie editieren, wegen SOX-Password-Restrictions.
Post by Mark Heitbrink [MVP]
Tschö
Mark
Nochmal vielen Dank für deine Hilfe,
Servus,
Joachim
Mark Heitbrink [MVP]
2007-08-10 10:31:16 UTC
Permalink
Hi,
Post by Joachim Botsch
Muss ich das an beiden Servern durchführen, oder nur beim Betriebsmaster ?
Einer reicht, wenn der andere die Einstellungen dann durch die
Replikation mitkriegt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-13 06:28:53 UTC
Permalink
Hallo Mark,

nur nochmal zur Sicherheit, damit ich nichts Wichtiges vergesse:

Ich werde morgen abend alle Rechner herunterfahren (bis auf die 2
W2k-Server). Macht es Sinn die Rechner von der Domäne abzumelden und die
Kontos zu löschen, damit ich sie nachher komplett neu anmelden kann ?

Am Mittwochmorgen fahre ich dann noch den zweiten Server runter und
setze danach die default-Richtinien am Betriebsmaster zurück.
Dann korrigiere ich in den Sicherheitsrichtlinien die Einstellungen
Clientkommunikation und Serverkommunikation digital signieren (wenn
möglich) auf aktivieren (bei den Richtlinien für Domänen und DCs).
Dann reboote ich sicherheitshalber den Betriebsmaster und fahre dann
auch den zweiten Server wieder hoch, damit er über die Replikation alle
Einstellungen übernimmt.

Dann fahre ich alle Rechner wieder hoch (melde sie evtl. neu an der
Domäne an) und führe an jedem Rechner einen Force der GPO durch und
reboote sie nochmal.


Noch eine Zusatzfrage, unter den Eigenschaften der Domäne stehen die
Richtlinien aufgelistet nach Priorität. Welche Reihenfolge ist hier die
sinnvollste ?
Momentan habe ich
Default Domain Policy
Default Domain Controllers Policy
WSUS-Domaene

Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
Muss ich das an beiden Servern durchführen, oder nur beim Betriebsmaster ?
Einer reicht, wenn der andere die Einstellungen dann durch die
Replikation mitkriegt.
Tschö
Mark
Mark Heitbrink [MVP]
2007-08-13 10:25:18 UTC
Permalink
Hi,
Post by Joachim Botsch
Ich werde morgen abend alle Rechner herunterfahren (bis auf die 2
W2k-Server). Macht es Sinn die Rechner von der Domäne abzumelden und die
Kontos zu löschen, damit ich sie nachher komplett neu anmelden kann ?
Nein. Nicht notwendig.
Post by Joachim Botsch
Am Mittwochmorgen fahre ich dann noch den zweiten Server runter und
setze danach die default-Richtinien am Betriebsmaster zurück.
Dann korrigiere ich in den Sicherheitsrichtlinien die Einstellungen
Clientkommunikation und Serverkommunikation digital signieren (wenn
möglich) auf aktivieren (bei den Richtlinien für Domänen und DCs).
Dann reboote ich sicherheitshalber den Betriebsmaster und fahre dann
auch den zweiten Server wieder hoch, damit er über die Replikation alle
Einstellungen übernimmt.
Hört gut an, ist aber eigentlich zu viel des guten. Die Übernahme
sollte auch in Laufenden Bertieb möglich sein und dann spätestens
nach Neustart von allen übernommen werden.
Post by Joachim Botsch
Noch eine Zusatzfrage, unter den Eigenschaften der Domäne stehen die
Richtlinien aufgelistet nach Priorität. Welche Reihenfolge ist hier die
sinnvollste ?
Momentan habe ich
Default Domain Policy
Default Domain Controllers Policy
WSUS-Domaene
Die Reihenfolge ist durch die normale Vererbung bestimmt und passt idR.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-15 07:09:52 UTC
Permalink
Hallo Mark,

alles so dutrchgeführt, aber das gleiche Problem wie vorher !

Ich weiß nun nicht mehr, was ich noch machen soll. So ist ein arbeiten
unmöglich.
Ich kann nicht jeden morgen zwei Stunden darauf verwenden die Kollegen
ins Netz zu bringen !

Hast du noch eine Idee ?

Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
Ich werde morgen abend alle Rechner herunterfahren (bis auf die 2
W2k-Server). Macht es Sinn die Rechner von der Domäne abzumelden und die
Kontos zu löschen, damit ich sie nachher komplett neu anmelden kann ?
Nein. Nicht notwendig.
Post by Joachim Botsch
Am Mittwochmorgen fahre ich dann noch den zweiten Server runter und
setze danach die default-Richtinien am Betriebsmaster zurück.
Dann korrigiere ich in den Sicherheitsrichtlinien die Einstellungen
Clientkommunikation und Serverkommunikation digital signieren (wenn
möglich) auf aktivieren (bei den Richtlinien für Domänen und DCs).
Dann reboote ich sicherheitshalber den Betriebsmaster und fahre dann
auch den zweiten Server wieder hoch, damit er über die Replikation alle
Einstellungen übernimmt.
Hört gut an, ist aber eigentlich zu viel des guten. Die Übernahme
sollte auch in Laufenden Bertieb möglich sein und dann spätestens
nach Neustart von allen übernommen werden.
Post by Joachim Botsch
Noch eine Zusatzfrage, unter den Eigenschaften der Domäne stehen die
Richtlinien aufgelistet nach Priorität. Welche Reihenfolge ist hier die
sinnvollste ?
Momentan habe ich
Default Domain Policy
Default Domain Controllers Policy
WSUS-Domaene
Die Reihenfolge ist durch die normale Vererbung bestimmt und passt idR.
Tschö
Mark
Joachim Botsch
2007-08-15 08:54:37 UTC
Permalink
Mark,

so wie es aussieht, habe ich jetzt erst ein richtiges Problem. Nun
können sich user ohne admin-Rechte gar nicht mehr anmelden. Die Meldung
der ... lokalen Richtlinie .... erscheint immer !
Auch wenn beim Boot die Sicherheitsrichtlinien übernommen werden.
Folgendes ist mir aufgefallen:

Vor dem recreate:

Wenn eine W2k-WS die meldung - Sicherheitsrichtline übernehmen - nicht
bekam, kam der Fehler
Wenn die Rcihtlinie übernommen wurde, konnten die user sich einloggen.

Nach dem recreate:
Jetzt kommt zwar jedesmal die Meldung der Übernahme der
Sicherheitsrichtline, aber danach kommt jetzt immer noch einmal die
Meldung - Computereinstellungen werden übernommen - , die kommt auch vor
den Sicherheitseinst. schon, und dann bekommen die User immer die
Fehlermeldung !

Brauche jetzt dringend Hilfe, da ich sonst morgen früh ca. 20 Kollegen
hier stehen habe, die sich nicht einloggen können !!!

Ich hatte auch nach dem recreate eine Menge Fehlermeldungen in den
Ereignisprotokollen. Habe dann die WSUS neu installiert, danach waren
die wieder weg.

Auch mit dem Kaspersky habe ich jetzt ein Problem, die Clients finden
den Server nicht mehr und starten daher den Agent nicht.
Werde auch den neu installieren müssen.

Gruss,
Joachim
Post by Joachim Botsch
Hallo Mark,
alles so dutrchgeführt, aber das gleiche Problem wie vorher !
Ich weiß nun nicht mehr, was ich noch machen soll. So ist ein arbeiten
unmöglich.
Ich kann nicht jeden morgen zwei Stunden darauf verwenden die Kollegen
ins Netz zu bringen !
Hast du noch eine Idee ?
Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
Ich werde morgen abend alle Rechner herunterfahren (bis auf die 2
W2k-Server). Macht es Sinn die Rechner von der Domäne abzumelden und
die Kontos zu löschen, damit ich sie nachher komplett neu anmelden
kann ?
Nein. Nicht notwendig.
Post by Joachim Botsch
Am Mittwochmorgen fahre ich dann noch den zweiten Server runter und
setze danach die default-Richtinien am Betriebsmaster zurück.
Dann korrigiere ich in den Sicherheitsrichtlinien die Einstellungen
Clientkommunikation und Serverkommunikation digital signieren (wenn
möglich) auf aktivieren (bei den Richtlinien für Domänen und DCs).
Dann reboote ich sicherheitshalber den Betriebsmaster und fahre dann
auch den zweiten Server wieder hoch, damit er über die Replikation
alle Einstellungen übernimmt.
Hört gut an, ist aber eigentlich zu viel des guten. Die Übernahme
sollte auch in Laufenden Bertieb möglich sein und dann spätestens
nach Neustart von allen übernommen werden.
Post by Joachim Botsch
Noch eine Zusatzfrage, unter den Eigenschaften der Domäne stehen die
Richtlinien aufgelistet nach Priorität. Welche Reihenfolge ist hier
die sinnvollste ?
Momentan habe ich
Default Domain Policy
Default Domain Controllers Policy
WSUS-Domaene
Die Reihenfolge ist durch die normale Vererbung bestimmt und passt idR.
Tschö
Mark
Norbert Fehlauer [MVP]
2007-08-15 09:11:05 UTC
Permalink
Joachim Botsch wrote:
Hi,
Post by Joachim Botsch
Brauche jetzt dringend Hilfe, da ich sonst morgen früh ca. 20 Kollegen
hier stehen habe, die sich nicht einloggen können !!!
Dafür ist die Newsgroup dann ein ungeeignetes Medium. Ruf ein Systemhaus
deines Vertrauens an und laß das Problem vor Ort beheben.

Bye
Norbert
Joachim Botsch
2007-08-15 09:24:19 UTC
Permalink
Norbert,

ich habe das gemacht, was Mark mir geraten hat und habe jetzt erst ein
riesiges Problem !
Da ist deine Antwort nicht so richtig eine Hilfe, zumal heute Feiertag
ist und ich sowieso niemand erreiche !

Joachim
Post by Norbert Fehlauer [MVP]
Hi,
Post by Joachim Botsch
Brauche jetzt dringend Hilfe, da ich sonst morgen früh ca. 20 Kollegen
hier stehen habe, die sich nicht einloggen können !!!
Dafür ist die Newsgroup dann ein ungeeignetes Medium. Ruf ein Systemhaus
deines Vertrauens an und laß das Problem vor Ort beheben.
Bye
Norbert
Norbert Fehlauer [MVP]
2007-08-15 09:32:49 UTC
Permalink
Joachim Botsch wrote:
Hi,
Post by Joachim Botsch
ich habe das gemacht, was Mark mir geraten hat und habe jetzt erst ein
riesiges Problem !
Da ist deine Antwort nicht so richtig eine Hilfe, zumal heute Feiertag
ist und ich sowieso niemand erreiche !
Das mag ja sein, aber dringende Hilfe in einer Newsgroup zu erwarten ist,
sagen wir mal, sehr blauäugig. :) Aber vielleicht meldet sich Mark ja
nochmal.

Bye
Norbert
Joachim Botsch
2007-08-15 11:10:19 UTC
Permalink
Norbert,
Post by Norbert Fehlauer [MVP]
Hi,
Post by Joachim Botsch
ich habe das gemacht, was Mark mir geraten hat und habe jetzt erst ein
riesiges Problem !
Da ist deine Antwort nicht so richtig eine Hilfe, zumal heute Feiertag
ist und ich sowieso niemand erreiche !
Das mag ja sein, aber dringende Hilfe in einer Newsgroup zu erwarten
ist, sagen wir mal, sehr blauäugig. :)
ich denke, du weißt genau wie dies 'dringend' gemeint war.
Ich weiß auch, daß ich in einer Newsgroup nicht innerhalb einer Stunde
eine Lösung bekomme !

Ich habe jetzt alle user in der Sicherheitsrichtlinie für Domäne bei
lokal anmelden eingetragen, jetzt habe ich quasi wieder den Zustand von
gestern. Also W2k user können sich nach längerer Pause anmelden,
XP-Rechner muss ich aus der Domäne löschen und nach einiger Zeit wieder
hinzufügen, bevor sich die user anmelden können.
Aber vielleicht meldet sich Mark
Post by Norbert Fehlauer [MVP]
ja nochmal.
Bye
Norbert
Norbert Fehlauer [MVP]
2007-08-15 12:34:47 UTC
Permalink
Joachim Botsch wrote:
Joachim,
Post by Joachim Botsch
ich denke, du weißt genau wie dies 'dringend' gemeint war.
Nö, wenn jemand seit mehreren Tagen an einem Problem sitzt und dann mit
dringend und x Ausrufezeichen postet, dann gehe ich schon davon aus, dass
auch dringend gemeint ist.
Post by Joachim Botsch
Ich weiß auch, daß ich in einer Newsgroup nicht innerhalb einer Stunde
eine Lösung bekomme !
Gut zu wissen.
Post by Joachim Botsch
Ich habe jetzt alle user in der Sicherheitsrichtlinie für Domäne bei
lokal anmelden eingetragen,
Was aber eigentlich per Default gestattet ist. Wenn dies nicht so ist, dann
wurde vorher daran rumgebaut. Aber ok.
Post by Joachim Botsch
jetzt habe ich quasi wieder den Zustand
von gestern. Also W2k user können sich nach längerer Pause anmelden,
XP-Rechner muss ich aus der Domäne löschen und nach einiger Zeit
wieder hinzufügen, bevor sich die user anmelden können.
Hmm. Heißt, dein XP Kisten übernehmen die Richtlinie nicht korrekt? Sachen
wie "Immer aufs Netzwerk warten" hast du schonmal eingestellt?

Bye
Norbert
Joachim Botsch
2007-08-15 13:44:40 UTC
Permalink
Norbert,
Post by Norbert Fehlauer [MVP]
Joachim,
Post by Joachim Botsch
ich denke, du weißt genau wie dies 'dringend' gemeint war.
Nö, wenn jemand seit mehreren Tagen an einem Problem sitzt und dann mit
dringend und x Ausrufezeichen postet, dann gehe ich schon davon aus,
dass auch dringend gemeint ist.
Post by Joachim Botsch
Ich weiß auch, daß ich in einer Newsgroup nicht innerhalb einer Stunde
eine Lösung bekomme !
Gut zu wissen.
Post by Joachim Botsch
Ich habe jetzt alle user in der Sicherheitsrichtlinie für Domäne bei
lokal anmelden eingetragen,
Was aber eigentlich per Default gestattet ist. Wenn dies nicht so ist,
dann wurde vorher daran rumgebaut. Aber ok.
Genau dies wundert mich ja, früher stand da immer nicht definiert und es
hat trotzdem funktioniert und jetzt muss ich es erst aktivieren, damit
überhaupt einer reinkommt.
Post by Norbert Fehlauer [MVP]
Post by Joachim Botsch
jetzt habe ich quasi wieder den Zustand
von gestern. Also W2k user können sich nach längerer Pause anmelden,
XP-Rechner muss ich aus der Domäne löschen und nach einiger Zeit
wieder hinzufügen, bevor sich die user anmelden können.
Hmm. Heißt, dein XP Kisten übernehmen die Richtlinie nicht korrekt?
Sachen wie "Immer aufs Netzwerk warten" hast du schonmal eingestellt?
Wo kann man das einstellen, auch bei den Richtlinien (GPO)? Ich möchte
jetzt natürlich nicht an einer falsche Stelle was verändert und dann
evtl. wieder ein noch größeres Problem haben.
Post by Norbert Fehlauer [MVP]
Bye
Norbert
Norbert Fehlauer [MVP]
2007-08-15 14:39:42 UTC
Permalink
Joachim Botsch wrote:
Hi,
Post by Joachim Botsch
Post by Norbert Fehlauer [MVP]
Was aber eigentlich per Default gestattet ist. Wenn dies nicht so
ist, dann wurde vorher daran rumgebaut. Aber ok.
Genau dies wundert mich ja, früher stand da immer nicht definiert und
es hat trotzdem funktioniert und jetzt muss ich es erst aktivieren,
damit überhaupt einer reinkommt.
Naja wenns einmal komplett "verkonfiguriert" wurde, dann ist das logisch. :)
Post by Joachim Botsch
Post by Norbert Fehlauer [MVP]
Hmm. Heißt, dein XP Kisten übernehmen die Richtlinie nicht korrekt?
Sachen wie "Immer aufs Netzwerk warten" hast du schonmal eingestellt?
Wo kann man das einstellen, auch bei den Richtlinien (GPO)?
Ja. Computereinstellungen/Administrative Vorlagen/System/Anmeldung/Beim
Start immer auf das Netzwerk warten aktiviert?
Post by Joachim Botsch
Ich möchte
jetzt natürlich nicht an einer falsche Stelle was verändert und dann
evtl. wieder ein noch größeres Problem haben.
Damit sicher nicht. Setzt natürlich sowieso voraus, dass die
Gruppenrichtlinien von deinen PCs überhaupt übernommen werden. Falls nicht,
dann mußt du das mal an einem PC manuell per gpedit.msc eintragen.

Bye
Norbert
Joachim Botsch
2007-08-15 14:53:05 UTC
Permalink
Norbert,

erstmal Danke.
Werde jetzt mal abwarten, was morgen früh passiert.
Hab jetzt alle am Netz.

Gruss,
Joachim
Post by Norbert Fehlauer [MVP]
Hi,
Post by Joachim Botsch
Post by Norbert Fehlauer [MVP]
Was aber eigentlich per Default gestattet ist. Wenn dies nicht so
ist, dann wurde vorher daran rumgebaut. Aber ok.
Genau dies wundert mich ja, früher stand da immer nicht definiert und
es hat trotzdem funktioniert und jetzt muss ich es erst aktivieren,
damit überhaupt einer reinkommt.
Naja wenns einmal komplett "verkonfiguriert" wurde, dann ist das logisch. :)
Post by Joachim Botsch
Post by Norbert Fehlauer [MVP]
Hmm. Heißt, dein XP Kisten übernehmen die Richtlinie nicht korrekt?
Sachen wie "Immer aufs Netzwerk warten" hast du schonmal eingestellt?
Wo kann man das einstellen, auch bei den Richtlinien (GPO)?
Ja. Computereinstellungen/Administrative Vorlagen/System/Anmeldung/Beim
Start immer auf das Netzwerk warten aktiviert?
Post by Joachim Botsch
Ich möchte
jetzt natürlich nicht an einer falsche Stelle was verändert und dann
evtl. wieder ein noch größeres Problem haben.
Damit sicher nicht. Setzt natürlich sowieso voraus, dass die
Gruppenrichtlinien von deinen PCs überhaupt übernommen werden. Falls
nicht, dann mußt du das mal an einem PC manuell per gpedit.msc eintragen.
Bye
Norbert
Mark Heitbrink [MVP]
2007-08-15 17:04:36 UTC
Permalink
Hi,
Post by Joachim Botsch
so wie es aussieht, habe ich jetzt erst ein richtiges Problem. Nun
können sich user ohne admin-Rechte gar nicht mehr anmelden. Die Meldung
der ... lokalen Richtlinie .... erscheint immer !
Ich bin mir gerade ziemlich sicher, daß du die Default Domänen
Controllers Policy auf deine Clients anwendest.

Öffne die GPMC und kontrolliere die 3 vorhandenen GPO.
DDP - darf nur auf Domänen Ebene Verlinkt sein
DDCP - darf nur auf Domänen Controller verlinkt sein
WSUS - wird bei dir sicherlich auf Dom-Ebene liegen, die macht
aber keinen Fehler, wenn man da nur WSUS Einstellungen drin hat.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-16 06:22:26 UTC
Permalink
Hallo Mark,

ich habe jetzt mal nachgeschaut,
unter 'Active Directory-Benutzer und -Computer' mit der rechten
Maustaste auf die Domäne - Eigenschaften; dann auf Gruppenrichtlinien
und bei den einzelnen Richtlinen auf Eigenschaften; unter Link steht bei
allen dreien oben meine Domäne, das Feld darunter ist leer. Wenn ich auf
suchen klicke, wird unten im Feld sowohl die Domäne, wie auch die
Domäne/domänen Controller eingetragen. Ich kann da aber weder was
ändern, noch löschen. Auch der Button übernehmen bleibt ausgegraut ?

Heute morgen ist bis jetzt noch keine Fehlermeldung gekommen, aber ich
will den Tag nicht vor dem Abend loben.

Kurz noch, was ich gestern gemacht habe:

Nachdem ich beim ersten recreate alles nur verschlimmbessert habe, hab
ich dann doch auf meinem zweiten Server im Sysvol den Ordner, den ich
ehemals reinkopiert hatte wieder komplett gelöscht. Dann habe ich den
recreate nochmal durchgeführt und, nachdem ich dann immer noch Probleme
hatte, alle user bei der GPO in lokal Anmelden zulassen eingetragen.
Danach konnten sich alle einloggen.
Der Fehler 1000 userenv ist nicht mehr aufgetaucht, lediglich im
Dateirep.-Ereignisprot. hatte ich nach dem Reboot der Server eine
warnung NtFrs 13565 bezügl. Initialisierung, die dann aber nach etwa
einer Minute durch das Infoereignis 13516, Heraufstufung des zweiten
Servers zum DC wird nicht mehr verhindert .. abgelöst wurde. Ich denke
das ist so OK.
Sonst finde ich weiter keine Fehlermeldungen in den events der Server.

Gruss,
Joachim
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
so wie es aussieht, habe ich jetzt erst ein richtiges Problem. Nun
können sich user ohne admin-Rechte gar nicht mehr anmelden. Die Meldung
der ... lokalen Richtlinie .... erscheint immer !
Ich bin mir gerade ziemlich sicher, daß du die Default Domänen
Controllers Policy auf deine Clients anwendest.
Öffne die GPMC und kontrolliere die 3 vorhandenen GPO.
DDP - darf nur auf Domänen Ebene Verlinkt sein
DDCP - darf nur auf Domänen Controller verlinkt sein
WSUS - wird bei dir sicherlich auf Dom-Ebene liegen, die macht
aber keinen Fehler, wenn man da nur WSUS Einstellungen drin hat.
Tschö
Mark
Mark Heitbrink [MVP]
2007-08-16 09:50:03 UTC
Permalink
Hi,
Post by Joachim Botsch
ich habe jetzt mal nachgeschaut,
unter 'Active Directory-Benutzer und -Computer' mit der rechten
Maustaste auf die Domäne - Eigenschaften;
Hast du dir imme rnoch nicht die GPMC installiert? Mach es bitte,
es wird massiv übersichtlicher, wenn man sie anstelle von dsa.msc
verwendet.
Post by Joachim Botsch
dann auf Gruppenrichtlinien und bei den einzelnen Richtlinen auf
Eigenschaften;
Siehste? Und an der Stelle dürfte NUR die Default Domain Policy auftauchen,
denn nur sie ist auf Domänen Ebene verlinkt.

Lösche den Link der Default Domain Controllers Policy an dieser Stelle.
Noch besser: Installiere die GPMC! und schau dir das Ganze im TreeView
an. Dann siehst du was ich meine.

Damit erklärt sich auch ganz klar dein Problem.

An einem DC dürfen sich nur Admins und Operatoren anmelden, aber keine
Benutzer. Die DCs haben deswegen eine eigene GPO, die dieses Recht der
Lokalen Anmeldung definiert. Du definierst es jetzt aber schon für die
normalen Workstations.

Wie gesagt: Installiere die GPMC, schau dir die Reihenfolge genau an,
dann erkennst du den Fehler.

Tschö
MArk
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-16 11:06:34 UTC
Permalink
Hallo Mark,
Post by Mark Heitbrink [MVP]
Hi,
Post by Joachim Botsch
ich habe jetzt mal nachgeschaut,
unter 'Active Directory-Benutzer und -Computer' mit der rechten
Maustaste auf die Domäne - Eigenschaften;
Hast du dir imme rnoch nicht die GPMC installiert? Mach es bitte,
es wird massiv übersichtlicher, wenn man sie anstelle von dsa.msc
verwendet.
sorry, bin bis dato wirklich noch nicht dazu gekommen, werde es aber machen.
Post by Mark Heitbrink [MVP]
Post by Joachim Botsch
dann auf Gruppenrichtlinien und bei den einzelnen Richtlinen auf
Eigenschaften;
Siehste? Und an der Stelle dürfte NUR die Default Domain Policy auftauchen,
denn nur sie ist auf Domänen Ebene verlinkt.
Lösche den Link der Default Domain Controllers Policy an dieser Stelle.
Noch besser: Installiere die GPMC! und schau dir das Ganze im TreeView
an. Dann siehst du was ich meine.
Damit erklärt sich auch ganz klar dein Problem.
An einem DC dürfen sich nur Admins und Operatoren anmelden, aber keine
Benutzer. Die DCs haben deswegen eine eigene GPO, die dieses Recht der
Lokalen Anmeldung definiert. Du definierst es jetzt aber schon für die
normalen Workstations.
Das hört sich auch absolut logisch an. Ich frage mich allerdings nur,
wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da schon lange.
Ich habe allerdings eine Vermutung, Vor etwa eineinhalb Jahren hatte ich
Symantec CE im Einsatz und habe auf Anraten von Symantec damals die
neueste Version installiert. Danach hatte ich viele Probleme im Netz
(u.a. mit der Replication) und erst nach diversen removable-Tools von
Symantec und dem restore der vorherigen Version verschwanden die
Probleme wieder.
Symantec hat mir dann später eine 'verbesserte' Version der CE gegeben,
die nach der Insatllation (und einigen Anpassungsarbeiten) dann lief.
Mittlerweile habe ich komplett auf Kaspersky umgestellt.
Vielleicht ist das Chaos der GPOs noch eine Spätfolge.

Ich habe die Verknüpfung jetzt entfernt, gebe hier wieder Bescheid,
sobald ich mehr sagen kann.
Post by Mark Heitbrink [MVP]
Wie gesagt: Installiere die GPMC, schau dir die Reihenfolge genau an,
dann erkennst du den Fehler.
Werde ich tun, nochmal vielen Dank für die Hilfe !
Post by Mark Heitbrink [MVP]
Tschö
MArk
Gruss, Joachim
Norbert Fehlauer [MVP]
2007-08-16 11:17:44 UTC
Permalink
"Joachim Botsch" <***@bbns.nospam.de> schrieb:
Hi,
Post by Joachim Botsch
Das hört sich auch absolut logisch an. Ich frage mich allerdings nur,
wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da schon lange.
dann steht sie da aber schon lange falsch. ;)

Bye
Norbert
Mark Heitbrink [MVP]
2007-08-16 12:13:51 UTC
Permalink
Moin,
Post by Joachim Botsch
Das hört sich auch absolut logisch an. Ich frage mich allerdings nur,
wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da schon lange.
Weil du sicherlich mal in dieser das Recht "Lokale Anmeldung" editiert
hast und die Benutzer hinzugefügt hast. Somit konnte sich wieder jeder
anmelden.
Jetzt hast du aber per dcgpofix/recreatedefpol die GPO in den OrgZustand
gesetzt, somit dürfen sich keine Benutzer mehr anmelden ... logisch ;-)

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Joachim Botsch
2007-08-16 13:36:28 UTC
Permalink
Mark,

Joo, das leuchtet mir ein.

Danke,
Joachim
Post by Mark Heitbrink [MVP]
Moin,
Post by Joachim Botsch
Das hört sich auch absolut logisch an. Ich frage mich allerdings nur,
wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da schon lange.
Weil du sicherlich mal in dieser das Recht "Lokale Anmeldung" editiert
hast und die Benutzer hinzugefügt hast. Somit konnte sich wieder jeder
anmelden.
Jetzt hast du aber per dcgpofix/recreatedefpol die GPO in den OrgZustand
gesetzt, somit dürfen sich keine Benutzer mehr anmelden ... logisch ;-)
Tschö
Mark
Joachim Botsch
2007-08-21 07:07:47 UTC
Permalink
Hallo Mark,

es sah erst sehr gut aus, bis heute morgen.
Ich habe wieder einen Rechner, der mit der Fehlermeldung kommt und das
Einloggen des users verhindert.
Und die Richtlinie für die DC ist nicht mehr mit der Domäne verlinkt ?

Gruss,
Joachim
Post by Joachim Botsch
Mark,
Joo, das leuchtet mir ein.
Danke,
Joachim
Post by Mark Heitbrink [MVP]
Moin,
Post by Joachim Botsch
Das hört sich auch absolut logisch an. Ich frage mich allerdings nur,
wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da schon lange.
Weil du sicherlich mal in dieser das Recht "Lokale Anmeldung" editiert
hast und die Benutzer hinzugefügt hast. Somit konnte sich wieder jeder
anmelden.
Jetzt hast du aber per dcgpofix/recreatedefpol die GPO in den OrgZustand
gesetzt, somit dürfen sich keine Benutzer mehr anmelden ... logisch ;-)
Tschö
Mark
Joachim Botsch
2007-08-21 07:36:41 UTC
Permalink
Entwarnung !

mein schlauer User hatte versucht sich während des Serverreboots
(Updates) anzumelden. Es wurde ein temp. User-Profile erstellt, das
keine Einloggrechte auf der Domäne hat. Nach Löschen des temp. lokalen
Profiles gehts wieder.

Gruss, Joachim
Post by Joachim Botsch
Hallo Mark,
es sah erst sehr gut aus, bis heute morgen.
Ich habe wieder einen Rechner, der mit der Fehlermeldung kommt und das
Einloggen des users verhindert.
Und die Richtlinie für die DC ist nicht mehr mit der Domäne verlinkt ?
Gruss,
Joachim
Post by Joachim Botsch
Mark,
Joo, das leuchtet mir ein.
Danke,
Joachim
Post by Mark Heitbrink [MVP]
Moin,
Post by Joachim Botsch
Das hört sich auch absolut logisch an. Ich frage mich allerdings
nur, wieso ich dann vorher nie Probleme hatte, die DC-GPO steht da
schon lange.
Weil du sicherlich mal in dieser das Recht "Lokale Anmeldung" editiert
hast und die Benutzer hinzugefügt hast. Somit konnte sich wieder jeder
anmelden.
Jetzt hast du aber per dcgpofix/recreatedefpol die GPO in den OrgZustand
gesetzt, somit dürfen sich keine Benutzer mehr anmelden ... logisch ;-)
Tschö
Mark
Lesen Sie weiter auf narkive:
Loading...