Just nu i M3-nätverket
Jump to content

GPO slår inte igenom för vissa användare


ninsulander

Recommended Posts

ninsulander

Hej, jag har ett jobbigt problem.

 

Har satt upp en terminalserver och skapat en loopbackpolicy för alla som loggar in på den.

Har hela tiden testat med en testanvändare som jag dock inte förrän nu på slutet har loggat in på vanligt sätt på domänen (har enbart kört mot TS). Det har fungerat som jag velat. Har också testat med en skarp användares konto och det har också fungerat bra.

 

PROBLEMET är att jag nu har upptäckt att inte alla skarpa användare får mina policy- inställningar. Dessa har jag inte testat mot och de har inte heller loggat in på TS förrän nu när min policy är klar. De är helt oberörda av min loopbackpolicy.

 

De policys som gäller vanlig domäninloggning slår dock igenom på dessa användares egna datorer.

 

Kör man gpresult ser allt ut som det ska. Det står att alla inställningar som ska slå igenom också gör det.

Kör man GPMC group policy modelling ser allt ut som det ska.

Kör man gpotool ger den inga felmeddelanden.

Replmon visar inte heller på några problem.

 

Kör man GPMC group policy results får man ett och endast ett fel:

 

“Folder redirection failed due to the error listed below.

 

Det går inte att hitta angivet miljöalternativ.

 

Additional information may have been logged between ….”

 

I loggen hittade jag följande:

 

Error ”Det gick inte att tillämpa en princip för mappomdirigering. Initieringen misslyckades.”

Source: folder redirection

Id 111

Och efter det (i tidsföljd):

 

Error ”Klientsidetillägget Folder Redirection för grupprinciper kunde inte köras. Se om några tidigare fel rapporterats av tillägget.”

Source: userenv

Id: 1085

 

I userenv hittar jag följande intressanta rader:

 

USERENV(f2c.17e0) 14:33:30:342 ProcessGPOs: Processing extension Registret

USERENV(f2c.17e0) 14:33:30:342 ReadStatus: Read Extension's Previous status successfully.

USERENV(f2c.17e0) 14:33:30:352 CompareGPOLists: The lists are the same.

USERENV(f2c.17e0) 14:33:30:352 CheckGPOs: No GPO changes but couldn't read extension Registret's status or policy time.

USERENV(f2c.17e0) 14:33:30:352 ProcessGPOList: Entering for extension Registret

USERENV(f2c.17e0) 14:33:30:352 UserPolicyCallback: Setting status UI to Registret-princip tillämpas...

USERENV(f2c.17e0) 14:33:30:352 ProcessGPOList: No changes. CSE will not be passed in the IwbemServices intf ptr

USERENV(f2c.17e0) 14:33:30:352 EnterCriticalPolicySectionEx: Entering with timeout 60000 and flags 0x2

USERENV(f2c.17e0) 14:33:30:352 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x350

USERENV(f2c.17e0) 14:33:30:352 EnterCriticalPolicySectionEx: Leaving successfully.

USERENV(f2c.17e0) 14:33:30:362 ResetPolicies: Entering.

USERENV(f2c.17e0) 14:33:30:362 SetRegPermissionsOnPoliciesKey: Resetting permission on the policy key

USERENV(f2c.17e0) 14:33:30:362 SetRegPermissionsOnPoliciesKey: Resetting permission on the policy key

USERENV(f2c.17e0) 14:33:30:362 ParseRegistryFile: Entering with <C:\Documents and Settings\rolf\ntuser.pol>.

USERENV(f2c.17e0) 14:33:30:362 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32\Placesbar\Place0

USERENV(f2c.17e0) 14:33:30:362 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32\Placesbar\Place1

USERENV(f2c.17e0) 14:33:30:372 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32\Placesbar\Place2

USERENV(f2c.17e0) 14:33:30:372 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32\Placesbar\Place3

USERENV(f2c.17e0) 14:33:30:372 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32\Placesbar\Place4

USERENV(f2c.17e0) 14:33:30:372 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisablePersonalDirChange

USERENV(f2c.17e0) 14:33:30:372 DeleteRegistryValue: Deleted Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

 

Osv osv osv (deletar alla mina inställningar)

 

Detta är den stora skillnaden i Userenv mot de användare där policyn slår igenom.

 

Jag är tyvärr inte tillräckligt bevandrad i userEnv eller GPO-felsökning för att förstå vad det är som går fel och varför.

 

Är det någon som ser vad problemet är??

 

Tacksam för tips

 

 

Link to comment
Share on other sites

ninsulander

Jag glömde förstås att säga att TS är en windows 2003 enterprice sp1. Domänkontrollanten är en windows 2003 SBS.

 

Ett märkligt sammanträffande (?) är att de användare som inte får de satta inställningarna på TS är de enda som sitter på Windows XP SP2 burkar. De andra har, av olika anledningar, win XP sp1 eller win 2000 sp4 burkar.

 

Jag har hittat lite nya symptom angående mitt problem. Eftersom det enda felet som GPMC gpresult upptäckte var folder redirection, tänkte jag att jag skulle titta närmare på det.

 

När jag tittade lite noggrannare på utskriften från gpresult /v såg jag att den kör folder redirection enligt en GPO som jag disablat sen gammalt. Denna GPO finns inte listad i listan över "applied GPOs".

 

Hur kan gpresult påstå att jag kör folder redirection från en GPO som inte ens är aktiv?

Folder redirection är hur som helst inte på.

 

Så jag tittade i C:\Documents and Settings\användare\Lokala inställningar\Application Data\Microsoft\Windows\File Deployment\{25537BA6-77A8-11D2-9B6C-0000F8080861}.ini där ju klientsidan cachar folder redirection info. File Deployment finns inte ens, det borde den väl inte heller då inte ens initieringen av fdeploy kommer igång.

 

Frågan är om någon vet om information sparas någon annanstans i profilen (gpresult måste ju få infon någonstans ifrån)?

 

 

Link to comment
Share on other sites

ninsulander

okej, jag har med uteslutningsmetoden kommit fram till att det är ntuser.dat som är boven i dramat (skapade ett nytt konto och kopierade över profilen för en av de drabbade användarna, en mapp i taget. Först när ntuser.dat kom på plats slutade GPO inställningarna att fungera).

 

Vet dock inte vad jag jag gör åt det. Hur ska jag komma till rätta med detta??

 

Link to comment
Share on other sites

ninsulander

Yes!!!!

 

Nu har det äntligen löst sig!!

 

Tänkte att det är lika bra att lägga upp lösningen här ifall någon skulle stöta på samma problem.

 

Helt riktigt låg problemet i ntuser.dat.

 

Nyligen har vi migrerat till w2k3 och också passat på att ändra domännamn.

Användarens Ntuser.dat laddar ju HKEY_CURRENT_USER vid inloggning. Eftersom jag nyligen hade kopierat profilerna från respektive dator till en central plats (roaming profiles) följde förstås ntuser.dat med. Med ntuser.dat följde den gamla SIDen och den användes i ACL för HKEY_CURRENT_USER. I min nya domän kändes inte denna SID igen och därför hade användaren inga rättigheter att skriva i HKEY_CURRENT_USER.

 

Jag gjorde användaren medlem i domain admin (domain admin har ju fulla rättigheter oavsett) och loggade in med denne. körde regedit och satte nya rättigheter på HKEY_CURRENT_USE, tog bort den gamla SID och la till användaren och gav honom fullständiga rättigheter, loggade ut och tog förstås bort honom ur domain admin. loggade in igen och hej hej nu var allt bra.

 

Har också sett att om jag använt ADMT för att migrera kontona och angett att SID history skulle tas med skulle det gått lika bra.

 

Förstår dock fortfarande inte varför allt fungerade när man loggade in på sin egen dator, samma profil och samma ntuser.dat användes ju.

 

 

Link to comment
Share on other sites

Vilken felsökare du är! Jag var också inne på rättigheter under HKCU men det kändes för långsökt så jag postade aldrig något...

 

Det hade nog räckt med att göra användaren till lokal administrtör för att komma åt och ändra behörigheterna.

 

Ett annat, rätt coolt sätt att meka med ntuser.dat-filer är att vara inloggad som sig själv som vanligt, men mounta ntuser.dat under HKLM och jobba med den därifrån.

 

Så här alltså:

 

reg load HKLM\temp "c:\documents and settings\user\ntuser.dat"

 

Sedan hittar du och kan ändra i innehållet under HKLM\temp. När du är klar är det viktigt att koppla loss filen, annars ligger den låst.

 

reg unload HKLM\temp

 

 

 

 

Link to comment
Share on other sites

ninsulander

Tack! Det tog sin lilla tid men det var ju desto skönare när man väl knäckte problemet :).

 

Tack för tipset att mounta ntuser.dat, det var nytt för mig.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...