Gruppenrichtlinien rechte auf Gruppen verteilen

Hallo Zusammen,

ich habe ein klitzekleines Problem und komme einfach nicht weiter.

Ich habe in einer VM einen Server 2008 als DC installiert.
Inkls User und Gruppen etc. Dazu 2mal XP als Client.

Nun habe ich ein Paar OUs erstellt:
ALL_USER: dieser hat folgende Unterordner (OU)
- XP_KLASSIK
- NO_INTERNET

Unter XP_KLASSIK habe ich eine GPO erstellt ( rechte Maustaste auf die OU und GPO erstellen und Verknüpfen geklickt) die das klassische Startmenü und Desing (<- Wobei hier nur das Startmenü funktioniert) forcieren soll.

Wenn ich nun einen User in die OU XP_KLASSIK verschiebe und diesen an einem Client anmelde erhält dieser das klassische Startmenü (Taskleiste ist immer noch bunt).

Wenn ich aber den User wieder zurück in "ALL_USER" verschiebe, eine Gruppe (GROUP_KLASSIK) erstelle und diese dann in die OU "XP_KLASSIK" verschiebe funktioniert es nicht.

Wo liegt hier mein Fehler?
schon mal danke. Wenn ich was wichtiges vergesen habe zu erwähnen bitte darauf aufmerksam machen. Bin noch ein Neuling bezüglich GPO's

danke und Gruß

GPOs ziehen nur auf Benutzer und Computer Objekte und nicht auf Gruppen. Das ist der Fehler.

greetz
nubi

ich kenn mich mit der AD zwar nicht sehr gut aus, aber versuch mal am client folgenden befehl, damit der die GPO neu zieht:

gpupdate /force /target:computer

danach neu einloggen. evtl hilfts.

Hi,

Gruppenrichtlinien greifen nicht sofort, nach 1-2 Reboots sollten sie vom Client aber übernommen worden sein. Evtl. einfach neustarten? Es gibt auch noch einen Befehl, um die Richtlinien zur Übername zu zwingen, fällt mir ATM nicht ein...

Greetz

EDIT: Nubi hat Recht, jetzt klingelt es bei mir auch wieder... Danke nubi -)

Der Befehl lautet:

gpupdate /force

um alle Richtlinien abzuarbeiten.

gpupdate /force /target:computer bringt bei einer Benutzerrichtlinie einfach gar nix.
Wenn dann bitte:

gpupdate /force /target:user

greetz
nubi

hm, den thread richtig lesen hilft

naja, wenigstens war ein ansatz da *räusper* Oo

nubi80 schrieb:

GPOs ziehen nur auf Benutzer und Computer Objekte und nicht auf Gruppen. Das ist der Fehler.

greetz
nubi

Zum Vergrößern anklicken....

hm, das ist ja doof. Wenn ich 2 User habe und beide sollen klassik View haben und nur einer soll ne I-Net Sperre bekommen, kann ich das ja garnicht realisieren.
/EDIT: Bzw. wenn dann nicht so komfortable

Aber trotzdem danke für eure Hilfe.

Du mußt das Anwenden der Policy über die Berechtigungen ändern:
Verknüpfe die Policies mit der OU 'ALL_USER' und gib die Rechte, die jeweilige Richtlinie anwenden zu dürfen, den entsprechenden Gruppen.

kannst auch eine OU anlegen - da eine gruppe erzeugen - user der gruppe hinzufügen - darauf die GPO anwenden (auf die OU anwenden !")

ahcja wie wahr das noch *g*

user in eine "lokale Gruppe" - die lokale Gruppe in eine "Globale Gruppe" - die Rechte an eine "Globale Gruppe" - wenn ich mich nicht alzusehr täusche

A G DL P

Account --> Global Group --> Domain Local Group--> Permission

So geht das, das bezieht sich allerdings nur auf NTFS Berechtigungen und hat mit der GPO nichts zu tun.

Wie oben schon erwähnt ziehen GPOs NICHT auf Gruppen, man kann lediglich die Berechtigung eine GPO zu lesen und zu übernhmen an eine Gruppe binden, was allerdings nichts daran ändert, das der jeweilige User / Computer auch in der entsprechenden OU sein muss auf der die GPO sitzt.

so long
nubi

@nubi80
Genau, deswegen müßte man die Policy auf einer höheren 'OU-Ebene' verlinken, so daß sich die Policy auf jeden Fall die User auswirken würde. Ob sie dies tut muß man dann - wie von Dir auch erwähnt - per Berechtigungen steuern.

@systemkiller
Genau falschrum

Mit Universal Groups wäre es dann AGUDLA

eh ok.. moment.. ich muss mir alles nochmal durchlesen
ich teste das am WE und gebe dann feedback.. schönes WE