Hallo an alle,
wir haben ein W2k SP4 AD und einen Exchange 2003 SP2 Server. Ich habe die Gruppenrichtlinieverwaltungskonsole auf einem XP Client installiert und dort eine OU angelegt, eine Gruppenrichtlinie erstellt auf die OU gesetzt einen PC über das AD auf dem W2k DNS Server in die OU verschoben (und wieder zurück), da auf der Gruppenrichtlinieverwaltungskonsole nur die Richtlinien zu sehen sind, nicht die Users, Computers usw... Kann mir jemand eine Erklärung abgeben?
Ich habe die Knowledgebase untersucht und eine FEhlerbehebung gefunden, jedoch muss ich das Konto finden, welches für den Fehler verantwortlich ist. Handelt es sich hierbei um den Domaineaccount xyz den ich auf die OU gesetzt habe und anschliessend wieder verschoben habe??
Nun kommen alle 5 min Fehler im Anwendungsprotokoll.
Ereignistyp: Warnung
Ereignisquelle: SceCli
Ereigniskategorie: Keine
Ereigniskennung: 1202
Datum: 17.10.2006
Zeit: 19:06:45
Benutzer: Nicht zutreffend
Computer: SVKOM01
Beschreibung:
Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
Um die besten Lösungen zur Behebung dieses Problems zu erhalten, melden Sie mit einem Nicht-Administratorkonto an und durchsuchen Sie die englische Knowledge Base unter http://support.microsoft.com nach "Troubleshooting 1202 events".
Ein Benutzerkonto konnte in einem oder mehreren Gruppenrichtlinienobjekten nicht in eine SID aufgelöst werden. Dieser Fehler wurde möglicherweise durch ein falsch geschriebenes oder gelöschtes Benutzerkonto, bzw. ein nicht verfügbares Konto, das in den Gruppenrichtlinienobjektzweigen "Benutzerrechte" oder "Eingeschränkte Gruppen" referenziert ist, verursacht. Zur Behebung dieses Problems wenden Sie sich an einen Administrator und führen Sie folgende Schritte aus:
1. Identifizieren Sie Konten, für die keine SID aufgelöst werden konnte. Geben Sie dazu folgendes ein: FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log
Die Ausgabe des FIND-Befehls enthält jeweils den problematischen Kontonamen.
Beispiel: JoergFrey wurde nicht gefunden.
In diesem Fall konnte die SID für den Benutzernamen "JoergFrey" nicht ermittelt werden. Dies kann vor allem dann geschehen, wenn das Konto gelöscht oder umbenannt wurde, oder wenn es unterschiedlich geschrieben wird (z.B. JoergFrei).
2.Identifizieren Sie alle Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontonamen enthalten.
Geben Sie in der Eingabeaufforderung folgendes ein FIND /I "JoergFrey" %SYSTEMROOT%\Security\templates\policies\gpt*.*
Die Ausgabe des FIND-Befehls ähnelt der Folgenden:
---------- GPT00000.DOM
---------- GPT00001.DOM
SeRemoteShutdownPrivilege=JoergFrey
Dies indiziert, dass von allen Gruppenrichtlinienobjekten, die auf den Computer angewendet wurden, nur eins das nicht aufgelöste Konto enthält. Speziell das zwischengespeicherten Gruppenrichtlinienobjekt GPT00001.DOM.
Im nächsten Schritt wird der Anzeigename des Gruppenrichtlinienobjekts ermittelt.
3. Identifizieren Sie die Anzeigenamen aller Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontennamen enthalten. Diese Gruppenrichtlinienobjekte wurden im vorherigen Schritt identifiziert.
Geben Sie in der Eingabeaufforderung folgendes ein: FIND /I "[Zuordnung]" %SYSTEMROOT%\Security\Logs\winlogon.log
Die auf "[Zuordnung] gpt0000?.dom =" folgende Zeichenfolge in der Ausgabe von FIND identifiziert die Anzeigenamen für alle Gruppenrichtlinienobjekte, die auf diesen Computer angewendet werden.
Beispiel: [Zuordnung] gpt00001.dom = Benutzerrechterichtlinie
In diesem Fall hat das Gruppenrichtlinienobjekt, das das nicht aufgelöste Konto (gpt00001.dom) enthält, den Anzeigenamen "Benutzerrechterichtlinie".
4. Löschen Sie nicht aufgelöste Konten aus allen Gruppenrichtlinienobjekten, die ein solches Konto enthalten.
a. Start -> Ausführen -> MMC.Exe
b. Wählen Sie im Menü "Datei" den Eintrag "Snap-In hinzufügen/entfernen..."
c. Klicken Sie auf dem Dialogfeld "Snap-In hinzufügen/entfernen" auf die Schaltfläche "Hinzufügen...".
d. Wählen Sie auf dem Dialogfeld "Eigenständiges Snap-In hinzufügen" den Eintrag "Gruppenrichtlinie" aus und klicken Sie auf "Hinzufügen".
e. Klicken Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt auswählen" auf die Schaltfläche "Durchsuchen..."
f. Wählen Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt suchen" die Registerkarte "Alle" aus.
g. Klicken Sie mit der rechten Maustaste auf die erste in Schritt 3 identifizierte Richtlinie und wählen Sie "Bearbeiten"
h. Überprüfen Sie all Einstellungen unter Computerkonfiguration/ Windows-Einstellungen/ Sichterheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten
bzw. Computerkonfiguration/ indows-Einstellungen/ Sichterheitseinstellungen/ Eingeschränkte Gruppen für die in Schritt 1 identifizierten Konten
i. Wiederholen Sie die Schritte 4g und 4h für alle folgenden Gruppenrichtlinienobjekte, die in Schritt 3 identifiziert wurden.