"User Rights Assignment" setzt sich nicht ueberall durch

28/10/2009 - 15:40 von Daniel Meyer | Report spam
Hallo zusammen,

wir haben in unserer Domaene einige Einstellungen unter Local Policies /
User Rights Assignment definiert. Mittels "Log on locally" schraenken wir
ein, wer sich bei uns einloggen darf und mit "Deny log on locally" sperren
wir aus den berechtigten Gruppen nochmals einzelne User bei Bedarf aus.

Diese Regeln wurden vor einige Zeit mal umfassend geaendert und sie setzen
sich auf einem Grossteil der Rechner auch ohne Probleme durch. Ueberpruefen
tue ich dies zum einen durch praktisches Ausprobieren :-) und zum anderen
mit gpedit.msc: Es sind nur die Werte vorhanden, die ich auch setze und
sonst nichts. Mit einigen PCs haben wir jedoch massive Probleme:

Auf einem Rechner ist nach wie vor die uralte Richtlinie gueltig und wird
nicht von den neuen Einstellungen ueberschrieben.

Auf weiteren ca. 30 Rechnern vermischen sich die GPO-Regeln mit den lokalen
Regeln, die von Windows standardmaessig dabei sind (Power Users, Users etc.
in "Log on locally"). Wenn ich in dem GPO neue User hinzufuege, werden die
auch brav auf diesen 30 Rechnern sichtbar, aber halt zusaetzlich zu den
unerwuenschten Eintraegen <g> In der Folge darf sich jeder User des Uni-AD
an diesen PCs einloggen :-)

Updates der Gruppenrichtlinie mit gpupdate bringen leider keine Besserung.
gpresult zeigt auch an, dass das betreffende GPO abgearbeitet wird, unter
"Resultant Set Of Policies for Computer" steht dann auch alles korrekt
drin. Leider haelt sich der Rechner nicht daran <g>

Ich wuerde von Kollegen bereits auf
http://www.microsoft.com/germany/te...865_3.mspx
hingewiesen und auch sie secedit.sdb bereits neu erstellt, wie dort
erklaert. Brachte leider alles nichts.

Kann mir jemand weitere Hinweise geben, wie ich dieses Verhalten reparieren
kann?

Danke,
Daniel
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
28/10/2009 - 17:11 | Warnen spam
Hi

Am 28.10.2009 15:40, schrieb Daniel Meyer:
[...] Auf einem Rechner ist nach wie vor die uralte Richtlinie gueltig und wird
nicht von den neuen Einstellungen ueberschrieben.



Spontaner Schuss ins Blaue:
Du hast scecli 1202 und 0x4b8 Fehlermeldungen?
Lösche die secedit.sdb auf diesen Rechnern, sie ist korrupt.
SIe wird bei der erneuten Übernahme der GPOs wieder erstellt
und dann stimmen auch die Berechtigungen.

Oder welche Fehler tauchen im Eventlog auf?

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen