Systemrichtlinie funktioniert nicht

25/09/2007 - 12:47 von Alexandros Gougousoudis | Report spam
Hi,

ich habe eine Systemrichtlinie im netlogontconfig.pol stehen, die
heißt "Namen des zuletzt angemeldeten Benutzers nicht anzeigen" (unter
Windows NT-System/Anmeldung).

Die Richtlinie wird auch gelesen, aber die Clients interessiert diese
Einstellung nicht. Die Anmeldenamen erscheinen weiter.

In unserer Samba-Domàne haben wir Win 2000/XP Pro Clients.

Ich vermute mein ADM ist zu alt, aber unter gruppenrichtlinien.de gibt
es neuere ADM Templates, aber dort gibt es diese Option nicht.

Wie bekomme ich es hin, das der die nicht mehr anzeigt? Nötigenfalls per
direktem Registryhack.

Im Gruppenrichtlinien Editor von 2000 taucht diese Option auch auf, die
aber deaktiviert ist, obwohl es im Policy Editor aktiviert ist. Also
scheinen die nicht das gleiche Merkmal zu beschreiben.

Reboot bracht natürlich auch nichts.

Über einen Tipp wàre ich dankbar.

TIA
Dros
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
25/09/2007 - 13:23 | Warnen spam
Hi,

Alexandros Gougousoudis schrieb:
ich habe eine Systemrichtlinie im netlogontconfig.pol stehen, die
heißt "Namen des zuletzt angemeldeten Benutzers nicht anzeigen" (unter
Windows NT-System/Anmeldung).
Die Richtlinie wird auch gelesen, aber die Clients interessiert diese
Einstellung nicht. Die Anmeldenamen erscheinen weiter.



Es ist für den "Standard Computer" definiert?

In unserer Samba-Domàne haben wir Win 2000/XP Pro Clients.
Ich vermute mein ADM ist zu alt, aber unter gruppenrichtlinien.de gibt
es neuere ADM Templates, aber dort gibt es diese Option nicht.



Richtig, weil es jetzt nicht mehr im Bereich der ADMs definiert ist,
sondern in den Sicherheitsrichtlinien (Computerkonfiguration)
untergebracht ist.

Es ist aber immer noch der gleiche eintrag in der Registry.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Jetzt hast du aber ein Problem:
Die Sicherheitsrichtlinien werden _nach_ den Systemrichtlinien
(ntconfig.pol) geladen, sodass die "neuen" Einstellungen IMMER
gewinnen, was unter normalen Bedingungen auch Sinn macht.

Ablauf bei dir:
1. ntconfig.pol (Computer Einstlelungen) wird eingelesen
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"DontDisplayLastUserName" wird auf "1" gesetzt
2. die LGPO (Local Group Policy Object) des Systems wird geladen
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"DontDisplayLastUserName" wird auf "0" gesetzt, diese Eisntellung
ist per Default auf "Deaktiviert" ->der Name wird angezeigt.

An dieser Reihenfolge (erst POL, dann LGPO) kannst du nicht rütteln.

Wie bekomme ich es hin, das der die nicht mehr anzeigt? Nötigenfalls per
direktem Registryhack.



Denn nimmst du schon per ntconfig.pol vor ... nur zum falschen Zeitpunkt.

Im Gruppenrichtlinien Editor von 2000 taucht diese Option auch auf, die
aber deaktiviert ist, obwohl es im Policy Editor aktiviert ist. Also
scheinen die nicht das gleiche Merkmal zu beschreiben.



Yepp. siehe oben.
Böse betrachtet hast du jetzt ein Problem: Du verwendest einen NT4
(Samba) PDC zum Verwalten und das ist eine der unglücklicheren
Konstellationen.

Stelle den Wert in den Systemrichtlinien von Deaktiviert auf Aktiviert.
Anders ist es leider nicht möglich. Dummerweise musst du dafür an jeden
Rechner ran, da dir leider ein ComputerStartup Script mangels AD und
"echten" GPOs nicht zur Verfügung steht, musst du alternative Script
Möglichkeiten suchen, zB psexec.

Die Konfiguration erfolge am einfachsten mit dem Import einer eigenen
Sicherheitsvorlage.
http://www.gruppenrichtlinien.de/se...er_CMD.htm
http://www.gruppenrichtlinien.de/se...mplate.htm
... bis Punkt 3, dann hast du ie INF DAtei, die du per CMD integrierst.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Ähnliche fragen