thafrog
Goto Top

Server 2003 - XP Clients - Servergespeicherte Profile

Guten Tag!

- ich habe folgende Probleme mit einem WIN Server2003 + XP Prof. Clients:

1) Wie kann ich festlegen, dass sich eine bestimmte Nutzergruppe nur an ganz bestimmten XP-Clients anmelden darf? Was ich bisher ausprobierte, funktionierte irgendwie nicht...
a) per Gruppenrichtlinie definieren? (da habe ich nichts gefunden > o. etwas übersehen?)
b) per Group Policy Management (Bereich)
c) per Group Policy Management (Delegierung)

Die Clients habe ich schon in eine Gruppe gesteckt, jedoch nichts finden können, was mir weiterhilft. Unter NT Server gabe es glaube ich die Option "Anmelden an" und dann konnte man in der Benutzerverwaltung mit Namen die Rechner bzw. Clients eintragen, an welchen sich der Benutzer anmelden durfte.

2) Für die Benutzer habe ich meine gewünschten Gruppenrichtlinien definiert (inkl. darin enthaltener Anweisung für die Abarbeitung eines Anmeldeskripts für das Verbinden mehrerer Netzlaufwerke). Das funktioniert auch alles hervorragend...

Wenn ich nun in den Eigenschaften des Testusers (Active Directory - Benutzer u. Computer) einen Profilpfad für das servergespeicherte Benutzerprofil (ein einziges Profil für mehrere Nutzer!) eintrage (\\Servername\Profilfreigabeverzeichnis$\Profilordnername) wird das Profil NICHT geladen. Statt dessen wird der Client lokal angemeldet. Das Anmeldeskript (Netzlaufwerke) aus der Gruppenrichtlinie wird NICHT abgearbeitet, d.h. die gesamte Gruppenrichtlinie wird nicht angewendet und die Tastaturbelegung wird auf englische Tastatur umgestellt. Das Freigabevz. für die Profile auf dem Server haben unter Freigabe und Sicherheit für JEDER sogar Vollzugriff. Trotzdem fkt. es nicht.

Was habe ich übersehen?

Vielen Dank für schnelle hilfreiche Antworten!!!

rené

Content-Key: 17162

Url: https://administrator.de/contentid/17162

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: gemini
gemini 04.10.2005 um 19:15:55 Uhr
Goto Top
Moin René,

1) Das gibt es immer noch. In den Usereigenschaften > Reiter 'Konto' > Button 'Anmelden' kannst du Rechner angeben an denen sich dieser User anmelden darf.
Wenn du mehrere User gleichzeitig ändern willst heißt der Eintrag im Reiter 'Konto' 'Computereinschränkunen' und der Button wie früher 'Anmelden an'

2) Bist du sicher, dass sich der Testuser auch an der Domäne anmeldet?
Wenn ja: Ist der User überhaupt von der Policy betroffen? Gib in der Kommandozeile auf dem Client
gpupdate
ein und danach
gpresult
. Ersteres erzwingt die Anwendung der Policies, zweiteres gibt das Ergebnis derselben aus.

Hope this helps
gemini
Mitglied: thafrog
thafrog 05.10.2005 um 10:42:41 Uhr
Goto Top
Hallo gemini,
besten Dank für die Antworten.

1) Da hätte ich wohl selbst drauf kommen müssen - wer lesen kann, ist klar im Vorteil.

2) Die Anwendung von gpupdate (/force) und dann gpresult bringen sowohl mit Angabe eines Profilpfades im Eigenschaftenfenster von Testuser als auch ohne, die Erkenntnis, dass die vorgschriebenen Benutzer-Gruppenrichtlinie bzw. Computer-Gruppenrichtlinie angewendet werden: Die folgenden Gruppenrichtlinien wurden nicht angewendet, da sie herausgefiltert wurden: Richtlinien der lokalen Gruppe - Filterung: Nicht angewendet (Leer).

etwas ratlos
rené
Mitglied: thafrog
thafrog 05.10.2005 um 10:43:38 Uhr
Goto Top
vergessen hatte ich:

2) der Testuser wurde am Server/ Domäne angemeldet, nicht lokal!
Mitglied: thafrog
thafrog 05.10.2005 um 11:29:24 Uhr
Goto Top
Hallo gemini,

ich habe noch einmal einen anderen Weg probiert und im Profil-Reiter für den Profilpfad angegeben: \\SERVERNAME\Profilfreigabeverzeichnis$\%USERNAME% und wollte erst einmal schauen, ob überhaupt ein Profil angelegt werden würde, welches ich dann konfigurieren und als .man definieren könnte. Unter dieser Voraussetzung bringt das System bei der Anmeldung des Testuser am Server folgende Meldung:

Benutzerumgebung
Das servergespeicherte Profil wurde nicht gefunden. Sie werden mit dem lokalen Profil angemeldet. Änderungen des Profils werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.

Details - Das System kann die angegebene Datei nicht finden.

Meine Frage ist nun, welche Datei damit gemeint ist? Wie schon beschrieben, hat der Testuser als Mitglied der Gruppe Domänen-Benutzer Vollzugriff auf den freigegebenen Ordner der für die Profile vorgesehen ist.

dank + gruß
rené
Mitglied: gemini
gemini 05.10.2005 um 12:26:02 Uhr
Goto Top
Kann sein, dass es damit zusammenhängt, dass der User profiltechnisch schon einiges mitgemacht hat face-wink

Bei der Domänenanmeldung werden, sofern angegeben, verschiedene Verzeichnisse nach Profilen abgegrast.
1. Der in den Usereigenschaften angegebene Pfad
2. Der lokale Profilpfad
3. Das Share \\<<a>DC<a>>\NETLOGON
4. Das lokale Default User Verzeichnis

Ein HowTo für Mandatory-Profile
http://support.microsoft.com/kb/307800/en-us
Mitglied: thafrog
thafrog 06.10.2005 um 09:11:55 Uhr
Goto Top
Die Anleitung habe ich nun wiederholt ausprobiert und es fkt. immer noch nicht. D.h. die Fehlermeldung bzw. das Laden des Profils ohne Anwendung der Gruppenrichtlinie findet immer noch statt.

Ich habe das Ganze mit einem völlig neuen Profil, welches vom Client in ein völlig neues Profilfreigabeverzeichnis auf den Server kopiert wurde und einem völlig neuen Test-Benutzer abgespult. Ich habe immer noch die gleichen Probleme wie im Start-Threat beschrieben.

Was meinst Du mit "sofern angegeben"?

1. in den Usereigenschaften befindet sich die Pfadangabe, die auf den Server verweist (Profilfreigabevz. mit dem Test-Benutzerprofil mit der ntuser.man) - in der Tat
2. der lokale Profilpfad für den Benutzer existiert nicht, da er nach jeder Abmeldung vom System gelöscht wird (Gruppenrichtlinie) - C:\ soll ja einigermaßen frei bleiben
3. im Policies-Vz stehen auch Profilverweise? Wie komme ich da ran (ich weiß WO die stehen) bzw. wie kann ich dortige Verweise/ Verknüpfungen löschen?
4. im lokalen Default User Vz.?

ratloser als zuvor
r.
Mitglied: gemini
gemini 06.10.2005 um 10:55:36 Uhr
Goto Top
Was meinst Du mit "sofern angegeben"?
Wenn in den Usereigenschaften unter Profil nichts angegeben ist, wird versucht ein Profil vom nächsten Pfad zu laden.

2. der lokale Profilpfad für den Benutzer existiert nicht, da er nach jeder
Abmeldung vom System gelöscht wird (Gruppenrichtlinie) - C:\ soll ja
einigermaßen frei bleiben
Evtl. erstmal die Policy deaktivieren.

3. im Policies-Vz stehen auch Profilverweise? Wie komme ich da ran (ich
weiß WO die stehen) bzw. wie kann ich dortige Verweise/ Verknüpfungen
löschen?
Kein Verweis auf ein Profil sondern das Profil
Die Policies liegen in \\<<a>DC<a>>\SYSVOL\<<a>domäne<a>>\Policies
Gemeint ist die Freigabe \\<<a>DC<a>>\NETLOGON
Damit könnte man ein Default Profil für neue User domänenweit festlegen

4. im lokalen Default User Vz.?
C:\Dokumente und Einstellungen\Default User wird bspw. bei der ersten Anmeldung eines Users geladen. Zu diesem Zeitpunkt existiert ja noch kein Profil, also muss es irgendwo hergezaubert werden.

3. und 4. greifen wenn KEIN Profil existiert (neuer Userr), imo jedoch nicht wenn ein vorhandenes Profil beschädigt ist.

Erstell mal einen neuen User in einer OU für die keine Policies gelten und trag den Profilpfad ein (\\Servername\Profilfreigabeverzeichnis$\%USERNAME%).
Verschieb den Rechner ebenfalls in diese OU.
Lösche ein evtl. in NETLOGON vorhandenes Profil.
Melde dich als dieser User an diesem Computer an.
Windows erzeugt nun ein Standardprofil für diesen User auf Basis des Default User Profils.
Windows (auf der grünen Wiese sozusagen face-wink)
Konfiguriere dieses Profil wie gewünscht und melde dich ab.
Unter \\Servername\Profilfreigabeverzeichnis$\ befindet sich nun ein Verzeichnis mit dem Namen des Users.
Das nur um zu sehen ob es mit generell klappt.

Wenn das funktioniert, trag als Profilpfad \\Servername\Profilfreigabeverzeichnis$\Profilordnername ein, ohne den Ordner zu erstellen.
Melde dich als o.g. User an, es wird die lokal zwischengespeicherte Kopie des Profils geladen.
Melde dich ab, das Profil wird nach \\Servername\Profilfreigabeverzeichnis$\Profilordnername zurückgeschrieben

Wenn das alles funktioniert kannst du mit Policies, Mandatory und löschen der lokalen Kopie anfangen.

HTH
gemini
Mitglied: thafrog
thafrog 11.10.2005 um 11:08:56 Uhr
Goto Top
tag gemini! ich habe also alle deine ratschläge befolgt und bis dato scheint es zu funktionieren. was fehlt ist nun noch die anwendung der gruppenrichtlinie mit der computerkonfiguration. da habe ich ein bisschen angst vor, dass sich darin eine einstellung verbirgt, die den vz-zugriff auf das servergespeicherte benutzerprofil wieder einschränkt. mal gugg'n. vielleicht lag es aber auch - und das hoffe ich sehr - an unzureichenden zugriffsrechten, die bei der besitzübernahme nach JEDER, nicht korrrekt gesetzt wurden. da kenne ich mich scheinbar noch nicht gut genug aus. however. ich versuch jetzt einmal die computerkonfig-gpos.

mittlerweile habe ich jedoch ein neues problem: autocad2005 - dazu jedoch ein neuer baum...

gruß + dank
rené
Mitglied: gemini
gemini 11.10.2005 um 12:27:28 Uhr
Goto Top
tag gemini! ich habe also alle deine ratschläge befolgt und bis dato scheint
es zu funktionieren.
Ich fasse das als Lob auf. Danke! face-smile

computerkonfiguration. da habe ich ein bisschen angst vor, dass sich darin eine
Nur Mut!!!
Bau dir ein Testlab auf, mit TestOU, TestUser, TestRechner etc.
Auf dieser Spielwiese kannst du dich dann austoben ohne Gefahr zu laufen, im laufenden System was zu versaubeuteln. Günstigstenfalls hast du dafür sogar echte (physikalische) Rechner zur Verfügung face-wink

mittlerweile habe ich jedoch ein neues problem: autocad2005
Wenn etwas schon mit Auto anfängt und NICHT mit fahren aufhört; das kann nichts gutes bedeuten face-wink