Server 2003 - XP Clients - Servergespeicherte Profile
Guten Tag!
- ich habe folgende Probleme mit einem WIN Server2003 + XP Prof. Clients:
1) Wie kann ich festlegen, dass sich eine bestimmte Nutzergruppe nur an ganz bestimmten XP-Clients anmelden darf? Was ich bisher ausprobierte, funktionierte irgendwie nicht...
a) per Gruppenrichtlinie definieren? (da habe ich nichts gefunden > o. etwas übersehen?)
b) per Group Policy Management (Bereich)
c) per Group Policy Management (Delegierung)
Die Clients habe ich schon in eine Gruppe gesteckt, jedoch nichts finden können, was mir weiterhilft. Unter NT Server gabe es glaube ich die Option "Anmelden an" und dann konnte man in der Benutzerverwaltung mit Namen die Rechner bzw. Clients eintragen, an welchen sich der Benutzer anmelden durfte.
2) Für die Benutzer habe ich meine gewünschten Gruppenrichtlinien definiert (inkl. darin enthaltener Anweisung für die Abarbeitung eines Anmeldeskripts für das Verbinden mehrerer Netzlaufwerke). Das funktioniert auch alles hervorragend...
Wenn ich nun in den Eigenschaften des Testusers (Active Directory - Benutzer u. Computer) einen Profilpfad für das servergespeicherte Benutzerprofil (ein einziges Profil für mehrere Nutzer!) eintrage (\\Servername\Profilfreigabeverzeichnis$\Profilordnername) wird das Profil NICHT geladen. Statt dessen wird der Client lokal angemeldet. Das Anmeldeskript (Netzlaufwerke) aus der Gruppenrichtlinie wird NICHT abgearbeitet, d.h. die gesamte Gruppenrichtlinie wird nicht angewendet und die Tastaturbelegung wird auf englische Tastatur umgestellt. Das Freigabevz. für die Profile auf dem Server haben unter Freigabe und Sicherheit für JEDER sogar Vollzugriff. Trotzdem fkt. es nicht.
Was habe ich übersehen?
Vielen Dank für schnelle hilfreiche Antworten!!!
rené
1) Wie kann ich festlegen, dass sich eine bestimmte Nutzergruppe nur an ganz bestimmten XP-Clients anmelden darf? Was ich bisher ausprobierte, funktionierte irgendwie nicht...
a) per Gruppenrichtlinie definieren? (da habe ich nichts gefunden > o. etwas übersehen?)
b) per Group Policy Management (Bereich)
c) per Group Policy Management (Delegierung)
Die Clients habe ich schon in eine Gruppe gesteckt, jedoch nichts finden können, was mir weiterhilft. Unter NT Server gabe es glaube ich die Option "Anmelden an" und dann konnte man in der Benutzerverwaltung mit Namen die Rechner bzw. Clients eintragen, an welchen sich der Benutzer anmelden durfte.
2) Für die Benutzer habe ich meine gewünschten Gruppenrichtlinien definiert (inkl. darin enthaltener Anweisung für die Abarbeitung eines Anmeldeskripts für das Verbinden mehrerer Netzlaufwerke). Das funktioniert auch alles hervorragend...
Wenn ich nun in den Eigenschaften des Testusers (Active Directory - Benutzer u. Computer) einen Profilpfad für das servergespeicherte Benutzerprofil (ein einziges Profil für mehrere Nutzer!) eintrage (\\Servername\Profilfreigabeverzeichnis$\Profilordnername) wird das Profil NICHT geladen. Statt dessen wird der Client lokal angemeldet. Das Anmeldeskript (Netzlaufwerke) aus der Gruppenrichtlinie wird NICHT abgearbeitet, d.h. die gesamte Gruppenrichtlinie wird nicht angewendet und die Tastaturbelegung wird auf englische Tastatur umgestellt. Das Freigabevz. für die Profile auf dem Server haben unter Freigabe und Sicherheit für JEDER sogar Vollzugriff. Trotzdem fkt. es nicht.
Was habe ich übersehen?
Vielen Dank für schnelle hilfreiche Antworten!!!
rené
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 17162
Url: https://administrator.de/contentid/17162
Ausgedruckt am: 29.03.2024 um 07:03 Uhr
9 Kommentare
Neuester Kommentar
Moin René,
1) Das gibt es immer noch. In den Usereigenschaften > Reiter 'Konto' > Button 'Anmelden' kannst du Rechner angeben an denen sich dieser User anmelden darf.
Wenn du mehrere User gleichzeitig ändern willst heißt der Eintrag im Reiter 'Konto' 'Computereinschränkunen' und der Button wie früher 'Anmelden an'
2) Bist du sicher, dass sich der Testuser auch an der Domäne anmeldet?
Wenn ja: Ist der User überhaupt von der Policy betroffen? Gib in der Kommandozeile auf dem Client ein und danach . Ersteres erzwingt die Anwendung der Policies, zweiteres gibt das Ergebnis derselben aus.
Hope this helps
gemini
1) Das gibt es immer noch. In den Usereigenschaften > Reiter 'Konto' > Button 'Anmelden' kannst du Rechner angeben an denen sich dieser User anmelden darf.
Wenn du mehrere User gleichzeitig ändern willst heißt der Eintrag im Reiter 'Konto' 'Computereinschränkunen' und der Button wie früher 'Anmelden an'
2) Bist du sicher, dass sich der Testuser auch an der Domäne anmeldet?
Wenn ja: Ist der User überhaupt von der Policy betroffen? Gib in der Kommandozeile auf dem Client
gpupdate
gpresult
Hope this helps
gemini
Kann sein, dass es damit zusammenhängt, dass der User profiltechnisch schon einiges mitgemacht hat
Bei der Domänenanmeldung werden, sofern angegeben, verschiedene Verzeichnisse nach Profilen abgegrast.
1. Der in den Usereigenschaften angegebene Pfad
2. Der lokale Profilpfad
3. Das Share \\<<a>DC<a>>\NETLOGON
4. Das lokale Default User Verzeichnis
Ein HowTo für Mandatory-Profile
http://support.microsoft.com/kb/307800/en-us
Bei der Domänenanmeldung werden, sofern angegeben, verschiedene Verzeichnisse nach Profilen abgegrast.
1. Der in den Usereigenschaften angegebene Pfad
2. Der lokale Profilpfad
3. Das Share \\<<a>DC<a>>\NETLOGON
4. Das lokale Default User Verzeichnis
Ein HowTo für Mandatory-Profile
http://support.microsoft.com/kb/307800/en-us
Was meinst Du mit "sofern angegeben"?
Wenn in den Usereigenschaften unter Profil nichts angegeben ist, wird versucht ein Profil vom nächsten Pfad zu laden.2. der lokale Profilpfad für den Benutzer existiert nicht, da er nach jeder
Abmeldung vom System gelöscht wird (Gruppenrichtlinie) - C:\ soll ja
einigermaßen frei bleiben
Evtl. erstmal die Policy deaktivieren.Abmeldung vom System gelöscht wird (Gruppenrichtlinie) - C:\ soll ja
einigermaßen frei bleiben
3. im Policies-Vz stehen auch Profilverweise? Wie komme ich da ran (ich
weiß WO die stehen) bzw. wie kann ich dortige Verweise/ Verknüpfungen
löschen?
Kein Verweis auf ein Profil sondern das Profilweiß WO die stehen) bzw. wie kann ich dortige Verweise/ Verknüpfungen
löschen?
Die Policies liegen in \\<<a>DC<a>>\SYSVOL\<<a>domäne<a>>\Policies
Gemeint ist die Freigabe \\<<a>DC<a>>\NETLOGON
Damit könnte man ein Default Profil für neue User domänenweit festlegen
4. im lokalen Default User Vz.?
C:\Dokumente und Einstellungen\Default User wird bspw. bei der ersten Anmeldung eines Users geladen. Zu diesem Zeitpunkt existiert ja noch kein Profil, also muss es irgendwo hergezaubert werden.3. und 4. greifen wenn KEIN Profil existiert (neuer Userr), imo jedoch nicht wenn ein vorhandenes Profil beschädigt ist.
Erstell mal einen neuen User in einer OU für die keine Policies gelten und trag den Profilpfad ein (\\Servername\Profilfreigabeverzeichnis$\%USERNAME%).
Verschieb den Rechner ebenfalls in diese OU.
Lösche ein evtl. in NETLOGON vorhandenes Profil.
Melde dich als dieser User an diesem Computer an.
Windows erzeugt nun ein Standardprofil für diesen User auf Basis des Default User Profils.
Windows (auf der grünen Wiese sozusagen )
Konfiguriere dieses Profil wie gewünscht und melde dich ab.
Unter \\Servername\Profilfreigabeverzeichnis$\ befindet sich nun ein Verzeichnis mit dem Namen des Users.
Das nur um zu sehen ob es mit generell klappt.
Wenn das funktioniert, trag als Profilpfad \\Servername\Profilfreigabeverzeichnis$\Profilordnername ein, ohne den Ordner zu erstellen.
Melde dich als o.g. User an, es wird die lokal zwischengespeicherte Kopie des Profils geladen.
Melde dich ab, das Profil wird nach \\Servername\Profilfreigabeverzeichnis$\Profilordnername zurückgeschrieben
Wenn das alles funktioniert kannst du mit Policies, Mandatory und löschen der lokalen Kopie anfangen.
HTH
gemini
tag gemini! ich habe also alle deine ratschläge befolgt und bis dato scheint
es zu funktionieren.
Ich fasse das als Lob auf. Danke! es zu funktionieren.
computerkonfiguration. da habe ich ein bisschen angst vor, dass sich darin eine
Nur Mut!!!Bau dir ein Testlab auf, mit TestOU, TestUser, TestRechner etc.
Auf dieser Spielwiese kannst du dich dann austoben ohne Gefahr zu laufen, im laufenden System was zu versaubeuteln. Günstigstenfalls hast du dafür sogar echte (physikalische) Rechner zur Verfügung
mittlerweile habe ich jedoch ein neues problem: autocad2005
Wenn etwas schon mit Auto anfängt und NICHT mit fahren aufhört; das kann nichts gutes bedeuten