Problem mit Gruppenverschachtelung ??

08/09/2009 - 11:08 von Dennis Haschke | Report spam
Hallo,
ich habe eine W2K3 SP2 Domàne mit mehreren untergeordneten Domànen.
In meiner Root Domàne "ssishop.net" gibt es versch. Service-Kennungen, die
Mitglied der universal Gruppe "Service-ALG" der Domàne "ssihop.net" sind.
In der ALG (Domàne strassburg.ssishop.net) gibt es eine GPO "Eingeschrànkte
Gruppen".
Dort ist die Gruppe "Strassburg/lokaler Administrator" Mitglied von
"Administrateurs"
In der universal Gruppe "lokaler Administrator" der Domàne
"strassburg.ssishop.net" ist die universal Gruppe "Service-ALG" der Domàne
"ssishop.net" Mitglied
und auch die universal Gruppe "Service-ALG" der Domàne "ssishop.net" ist
Mitglied von der Gruppe "lokaler Administrator" der Domàne
"strassburg.ssishop.net".
Wenn ich mich jetzt mit einer Service Kennung der Domàne "ssishop.net" an
einem Rechner in Strassburg anmelde, der Mitglied der Domàne
"strassburg.ssishop.net" ist, wird die
Gruppe "Service-ALG" nicht der lokalen Gruppe "Administrateurs" hinzugefügt.
Warum nicht?
Manuell kann ich das setzen, dann geht auch alles so wie ich es möchte.
Möchte das aber gerne automatisiert über eine GPO hàndeln.
In unserer Root Domàne funktioniert das auch.

Ich hoffe, dass es so halbwegs verstàndlich ist.

Dennis
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
08/09/2009 - 13:55 | Warnen spam
Hi,

Dennis Haschke schrieb:
[...] Dort ist die Gruppe "Strassburg/lokaler Administrator" Mitglied von
"Administrateurs" [...] Wenn ich mich jetzt mit einer Service Kennung der
Domàne "ssishop.net" an einem Rechner in Strassburg anmelde, der Mitglied
der Domàne "strassburg.ssishop.net" ist, wird die Gruppe "Service-ALG"
nicht der lokalen Gruppe "Administrateurs" hinzugefügt. Warum nicht?



Klassisches Lokalisierungsproblem.
In deiner gpttmpl.inf im SYSVOL steht nicht die Wellknown SIDs der
Adminstratoren drin, sondern der STRING "Administratoren".

Das passiert immer, wenn du mit XP oder einem 2003 MemberServer die
Richtlinie bearbeitest und die Gruppe nicht über "Durchsuchen" integriert
hast.

Verwende zum editieren der Richtlinie entweder:
- nur einen DC in einer RDP Session
- oder editiere eine Kopie der gpttmpl.inf per Hand und importiere sie
dann per GPEditor

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen