17
Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!
Hallo!
Da mir letztens schonmal sehr kompetent hier geholfen wurde, versuche ich es erneut und hoffe auf zielführende Tipps.
Vorab: Ich habe bereits viel gegoogelt. Der Standard-Rat: "Registry-SID-Einträge (mit .bak) löschen" ist NICHT hilfreich, da es noch gar keine Einträge gibt!
Auch dieser Thread beschreibt ein ähnliches Problem, allerdings ohne Lösung und mit älteren Windows-Server-Versionen: Roaming Profiles mit Adminzugriff führt zu temporären Profilen bei Windows 7-Anmeldung
Problem - Kurzfassung:
Angelegten User (egal welchen, egal im welcher Gruppe "Domänen-Benutzer" bis "Domänen-Admin") auf Client-PC mit Windows 7 anmelden:
- Die Anmeldung dauert episch lange, es gibt nach der Anmeldung unten rechts den Balloon-Tipp, dass ein Temporäres Benutzer Profil angelegt wurde (standard Text).
- Es existiert nur ein \User\Temporär\...
- Von den zugewiesenen Laufwerken fehlen fast alle. Vor allem das Home-Laufwerk, auf dem eigentlich auch das Profil liegen sollte. Ausnahmen sind die Laufwerke, die auf Freigaben mit Berechtigung "Domänen-Benutzer" (also alle User der Domäne) verweisen.
- Die User-Kennung wird scheinbar nicht akzeptiert. Siehe UNTEN für Details.
GLEICHER User auf Client-PC mit Windows 10 anmelden:
- Alles i.O.. Alles funktioniert tadellos mit schneller Anmeldung.
- Alle Laufwerke sind vorhanden, Profil funktioniert, Home-Laufwerk ist vorhanden, alle Berechtigungen passen.
Folgendes Szenario:
Domäne, Windows Server 2016 DCs.
Es sind grob 20 User eingerichtet.
Diverse PCs mit unterschiedlichstem Software-Stand sollen in der neu geschaffenen Domäne aufgenommen werden.
Betriebssysteme der PCs (Clients): Windows 7 bis 10.
An den PCs war zuvor im Allgemeinen noch nie ein Domänen-User angemeldet.
Die PCs waren die letzten Jahre in keiner Domäne.
Bisherige Vorgehensweise:
- Alle Clients in der Domäne aufgenommen
- Clients werden am DC wunderbar aufgelistet
- Clients in die passende OU verschoben und GPOs zugewiesen.
- Neue User angelegt
- Profilpfad in den Konteneinstellungen auf einen Fileserver (Server 2016, Fileserver Rolle) gebogen, auf dem eine versteckte Freigabe Home$ exisitert.
\\[Fileserver]\Home$\[User]\Profile
Im gleichen Bildschirm noch Home-Laufwerk auf H: gelegt und zwar: \\[Fileserver]\Home$\[User]
- GPO für User: Profilordner werden auf den Fileserver umgebogen (Downloads, Eigene Dateien, usw)
Wie oben beschrieben, kann man sich nicht erfolgreich auf einem Windows 7 Client PC anmelden. Auf einem Windows 10 PC mit dem gleichen User allerdings schon.
=> Die Berechtigungen des Users im allgemeinen und auf dem Fileserver für das Home-Verzeichnis (werden eh vom Windows 2016 PDC gesetzt bei der Einstellung des Profil-Verzeichnisses) passen. => Der Fileserver ist erreichbar.
=> Das Problem muss Windows 7 spezifisch sein
Bereits probiert:
- User komplett aus der Domäne gelöscht und neu angelegt: Keine Veränderung.
- Andere neue User angelegt: Keine Veränderung
- Die Domäne mit dem PC verlassen, PC aus der Domäne gelöscht, der Domäne wieder beigetreten und wieder in die richtige OU verschoben: Keine Veränderung
ACHTUNG: Wenn ich mich mit dem Domänen-Admin an Windows 7 Client anmelde, wird problemlos das Profil für den (Domänen-)Administrator angelegt.
Wenn ich einen User in die Gruppe "Domänen-Admins" stecke und mich versuche anzumelden, funktioniert es NICHT.
Wenn ich den User lokal in die Gruppe der Lokalen Administratoren stecke, funktioniert es NICHT.
Die Berechtigungen auf c:\user\Default habe ich bereits versucht anzupassen / zu übernehmen. Weder "lesen/ausführen" noch schlimmeres hat geholfen (war ein Lösungsvorschlag im Netz)
Die Berechtigungen auf c:\user habe ich mal großzügig angepasst: Keine Verbesserung
Die Berechtigungen auf dem Fileserver für den User-Ordner habe ich mehrfach kontrolliert: Die werden bereits vom DC sehr großzügig für den User eingestellt: Freigabe Lesen/Screiben und Berechtigungen Vollzugriff.
ACHTUNG: Es fehlt die Möglichkeit mit dem User unter Windows 7 auf sein Home-Laufwerk zuzugreifen!
Effektive Berechtigungen auf dem File-Server sagen für das Home-Verzeichnis des Users und den passenden Domänen-User jedoch "Vollzugriff" - ohne Ausnahmen.
Auch das Verzeichnis habe ich bereits gelöscht und neu angelegt. Zusätzlich habe ich es gelöscht, den User gelöscht, den User neu angelegt und vom PDC das Verzeichnis neu anlegen lassen: Keine Veränderung.
Auf dem gleichen Server liegen diverse andere Laufwerke. ZWEI erlauben den Zugriff, die als Berechtigung "Domänen-Benutzer" haben - in das Home-Laufwerk sollen allerdings nicht alle Domänenbenutzer hineingucken können. Daher wäre das etwas viel des Guten.
Auch im Explorer kann ich nach dem Booten nicht auf die Freigaben zugreifen, für die der User (die Gruppen, in denen der User steckt) berechtigt wurde. Unter Windows 10 ist das mit dem gleichen User kein Problem!
Hier werde ich immer nach dem Kennwort gefragt. Selbst wenn ich dann als anderes Konto den Domänen-Admin wähle, komme ich nicht auf diese Freigabe! Es scheint so, als wenn der Client einfach nicht die "Rechte der Domänenuser" ordentlich weiterleiten würde.
Ich kann es nicht erklären, doch das sehe ich als die Ursache für das eigentliche Problem an: Es fehlen diverse Laufwerke, die per GPO (User, nicht PC) zugewiesen werden. Darunter auch das Home-Laufwerk, auf dem das Profil liegen sollte. Und das scheint irgendwie daran zu liegen, dass bei Windows 7 Clients die Berechtigungen der User TEILWEISE ignoriert werden.
Habt ihr eine Idee für mich?
In der Registry den Ast mit dem Profilpfad zu suchen und zu löschen: Habe ich gemacht. Den gab und gibt es nicht. Es sind keine alten User, die sich nicht mehr anmelden können, es sind neue User für den PC, die noch nie da waren.
Da mir letztens schonmal sehr kompetent hier geholfen wurde, versuche ich es erneut und hoffe auf zielführende Tipps.
Vorab: Ich habe bereits viel gegoogelt. Der Standard-Rat: "Registry-SID-Einträge (mit .bak) löschen" ist NICHT hilfreich, da es noch gar keine Einträge gibt!
Auch dieser Thread beschreibt ein ähnliches Problem, allerdings ohne Lösung und mit älteren Windows-Server-Versionen: Roaming Profiles mit Adminzugriff führt zu temporären Profilen bei Windows 7-Anmeldung
Problem - Kurzfassung:
Angelegten User (egal welchen, egal im welcher Gruppe "Domänen-Benutzer" bis "Domänen-Admin") auf Client-PC mit Windows 7 anmelden:
- Die Anmeldung dauert episch lange, es gibt nach der Anmeldung unten rechts den Balloon-Tipp, dass ein Temporäres Benutzer Profil angelegt wurde (standard Text).
- Es existiert nur ein \User\Temporär\...
- Von den zugewiesenen Laufwerken fehlen fast alle. Vor allem das Home-Laufwerk, auf dem eigentlich auch das Profil liegen sollte. Ausnahmen sind die Laufwerke, die auf Freigaben mit Berechtigung "Domänen-Benutzer" (also alle User der Domäne) verweisen.
- Die User-Kennung wird scheinbar nicht akzeptiert. Siehe UNTEN für Details.
GLEICHER User auf Client-PC mit Windows 10 anmelden:
- Alles i.O.. Alles funktioniert tadellos mit schneller Anmeldung.
- Alle Laufwerke sind vorhanden, Profil funktioniert, Home-Laufwerk ist vorhanden, alle Berechtigungen passen.
Folgendes Szenario:
Domäne, Windows Server 2016 DCs.
Es sind grob 20 User eingerichtet.
Diverse PCs mit unterschiedlichstem Software-Stand sollen in der neu geschaffenen Domäne aufgenommen werden.
Betriebssysteme der PCs (Clients): Windows 7 bis 10.
An den PCs war zuvor im Allgemeinen noch nie ein Domänen-User angemeldet.
Die PCs waren die letzten Jahre in keiner Domäne.
Bisherige Vorgehensweise:
- Alle Clients in der Domäne aufgenommen
- Clients werden am DC wunderbar aufgelistet
- Clients in die passende OU verschoben und GPOs zugewiesen.
- Neue User angelegt
- Profilpfad in den Konteneinstellungen auf einen Fileserver (Server 2016, Fileserver Rolle) gebogen, auf dem eine versteckte Freigabe Home$ exisitert.
\\[Fileserver]\Home$\[User]\Profile
Im gleichen Bildschirm noch Home-Laufwerk auf H: gelegt und zwar: \\[Fileserver]\Home$\[User]
- GPO für User: Profilordner werden auf den Fileserver umgebogen (Downloads, Eigene Dateien, usw)
Wie oben beschrieben, kann man sich nicht erfolgreich auf einem Windows 7 Client PC anmelden. Auf einem Windows 10 PC mit dem gleichen User allerdings schon.
=> Die Berechtigungen des Users im allgemeinen und auf dem Fileserver für das Home-Verzeichnis (werden eh vom Windows 2016 PDC gesetzt bei der Einstellung des Profil-Verzeichnisses) passen. => Der Fileserver ist erreichbar.
=> Das Problem muss Windows 7 spezifisch sein
Bereits probiert:
- User komplett aus der Domäne gelöscht und neu angelegt: Keine Veränderung.
- Andere neue User angelegt: Keine Veränderung
- Die Domäne mit dem PC verlassen, PC aus der Domäne gelöscht, der Domäne wieder beigetreten und wieder in die richtige OU verschoben: Keine Veränderung
ACHTUNG: Wenn ich mich mit dem Domänen-Admin an Windows 7 Client anmelde, wird problemlos das Profil für den (Domänen-)Administrator angelegt.
Wenn ich einen User in die Gruppe "Domänen-Admins" stecke und mich versuche anzumelden, funktioniert es NICHT.
Wenn ich den User lokal in die Gruppe der Lokalen Administratoren stecke, funktioniert es NICHT.
Die Berechtigungen auf c:\user\Default habe ich bereits versucht anzupassen / zu übernehmen. Weder "lesen/ausführen" noch schlimmeres hat geholfen (war ein Lösungsvorschlag im Netz)
Die Berechtigungen auf c:\user habe ich mal großzügig angepasst: Keine Verbesserung
Die Berechtigungen auf dem Fileserver für den User-Ordner habe ich mehrfach kontrolliert: Die werden bereits vom DC sehr großzügig für den User eingestellt: Freigabe Lesen/Screiben und Berechtigungen Vollzugriff.
ACHTUNG: Es fehlt die Möglichkeit mit dem User unter Windows 7 auf sein Home-Laufwerk zuzugreifen!
Effektive Berechtigungen auf dem File-Server sagen für das Home-Verzeichnis des Users und den passenden Domänen-User jedoch "Vollzugriff" - ohne Ausnahmen.
Auch das Verzeichnis habe ich bereits gelöscht und neu angelegt. Zusätzlich habe ich es gelöscht, den User gelöscht, den User neu angelegt und vom PDC das Verzeichnis neu anlegen lassen: Keine Veränderung.
Auf dem gleichen Server liegen diverse andere Laufwerke. ZWEI erlauben den Zugriff, die als Berechtigung "Domänen-Benutzer" haben - in das Home-Laufwerk sollen allerdings nicht alle Domänenbenutzer hineingucken können. Daher wäre das etwas viel des Guten.
Auch im Explorer kann ich nach dem Booten nicht auf die Freigaben zugreifen, für die der User (die Gruppen, in denen der User steckt) berechtigt wurde. Unter Windows 10 ist das mit dem gleichen User kein Problem!
Hier werde ich immer nach dem Kennwort gefragt. Selbst wenn ich dann als anderes Konto den Domänen-Admin wähle, komme ich nicht auf diese Freigabe! Es scheint so, als wenn der Client einfach nicht die "Rechte der Domänenuser" ordentlich weiterleiten würde.
Ich kann es nicht erklären, doch das sehe ich als die Ursache für das eigentliche Problem an: Es fehlen diverse Laufwerke, die per GPO (User, nicht PC) zugewiesen werden. Darunter auch das Home-Laufwerk, auf dem das Profil liegen sollte. Und das scheint irgendwie daran zu liegen, dass bei Windows 7 Clients die Berechtigungen der User TEILWEISE ignoriert werden.
Habt ihr eine Idee für mich?
In der Registry den Ast mit dem Profilpfad zu suchen und zu löschen: Habe ich gemacht. Den gab und gibt es nicht. Es sind keine alten User, die sich nicht mehr anmelden können, es sind neue User für den PC, die noch nie da waren.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339443
Url: https://administrator.de/contentid/339443
Ausgedruckt am: 19.11.2024 um 04:11 Uhr
17 Kommentare
Neuester Kommentar
Hi,
existiert bei deinen Windows 7-Clients \Users\Default User ?
Normalerweise müsste die Junction vorhanden sein.
Wenn's fehlt, anlegen:
Nur 'ne Idee, bin kein Server-Fuzzy. 
Gruß
existiert bei deinen Windows 7-Clients \Users\Default User ?
Normalerweise müsste die Junction vorhanden sein.
Wenn's fehlt, anlegen:
MKLINK /J "C:\Users\Default User" C:\Users\Default Gruß
Hallo!
Danke für das Feedback.
Ja, der Link exisitert.
Die Berechtigungen sind sehr leer...
Testweise habe ich das jetzt gerade versucht anzupassen: Jeder Lesen/Ausführen, System verändern, Administratoren Lesen/Ausführen - vererbt auf Unterordner: Keine Verbesserung.
Das war's also nicht. Schade. Ab ins Bett...
Danke für das Feedback.
Ja, der Link exisitert.
Die Berechtigungen sind sehr leer...
Testweise habe ich das jetzt gerade versucht anzupassen: Jeder Lesen/Ausführen, System verändern, Administratoren Lesen/Ausführen - vererbt auf Unterordner: Keine Verbesserung.
Das war's also nicht. Schade. Ab ins Bett...
Jeder und Benutzer Lesen/Ausführen/Ordnerinhalt anzeigen
System und Administratoren Vollzugriff
Alle: Geerbt von C:\Users Dieser Ordner, Unterordner und Dateien.
Das ist doch nicht leer.
System und Administratoren Vollzugriff
Alle: Geerbt von C:\Users Dieser Ordner, Unterordner und Dateien.
Das ist doch nicht leer.
Hallo,
Bei einem Domänen benutzer das Server gespeicherte Profil rausnehmen (Aus den benutzereinstellunegn) und das Profil selbst umbenennen. Dann erst den benutzer am PC anmelden lassen. Klappt das? Dann abmelden lassen, am Server in den benutzereigenschaften das Server gespeicherte Profil(Pfad) wieder eintragen, erneut anmelden lassen, steht in der lokalen benutzerprofil steuerung "Systemsteuerung - System - Erweiterte Systemeinstellungen - Reiter Erwitert - Eintrag Benutzerprofile und dort Einstellungen" das es sich um ein Lokales oder Server Profil handelt? Wenn Server, Benutzer abmelden lassen. Dadurch sollte das Server gespeicherte Profil erstellt werden. (Nein, nicht mit Windows 10 öffenen). Wenn nicht, apssen die NTFS Rechte nicht.
Gruß,
Peter
Zitat von @derGhostrider:
- Die Anmeldung dauert episch lange, es gibt nach der Anmeldung unten rechts den Balloon-Tipp, dass ein Temporäres Benutzer Profil angelegt wurde (standard Text).
Also Servergespeicherte Profile. Das Profil auf den Server ist irgendwo korrupt bzw. dein Windows 7 will es nicht. Ein und das gleiche Profil mit verschiedene windowsversionen gibt Müll.- Die Anmeldung dauert episch lange, es gibt nach der Anmeldung unten rechts den Balloon-Tipp, dass ein Temporäres Benutzer Profil angelegt wurde (standard Text).
- Es existiert nur ein \User\Temporär\...
Passiert dies auch wenn du einen lokalen Benutzer nimmst (neuen loakeln Benutzer anlegen) und anmelden lassen tust? kein Servergespeichertes Profil nehmen.- Von den zugewiesenen Laufwerken fehlen fast alle.
Nicht wundern wenn deine GPOs evtl nicht greifen....- Die User-Kennung wird scheinbar nicht akzeptiert. Siehe UNTEN für Details.
?!? Bitte erläutern bzw. erklären. Entweder wird er/sie angemeldet mit seinen Benutzernamen oder nicht. Entweder passt Passwort oder benutzername nicht. Da gibt es kein scheinbar.GLEICHER User auf Client-PC mit Windows 10 anmelden:
Mein Ferrari fährt nicht. Der Maserati vom Kumpel fährt aber, wo ist das Problem.....An den PCs war zuvor im Allgemeinen noch nie ein Domänen-User angemeldet.
Dann bekommst du selbstverständlich probleme mit deinen Server gespeicherten Profilen. Es braucht ein bisserl mehr als iregendetwas hin und her zu kopieren und ja, das nennt sich Aufwand.Wie oben beschrieben
habt ihr sehr viel gebogen, vielleicht auch verbogen, kann alles fehler auslösen, muss es aber nicht. Jedenfalls sind Server gespeicherte Profile wohl nicht deine grosse Erfahrung...kann man sich nicht erfolgreich auf einem Windows 7 Client PC anmelden
Wenns nur das temporäre Profil ist, ist das Profil auf den server irgendwie malle. Neu machen.Auf einem Windows 10 PC mit dem gleichen User allerdings schon.
Siehe Ferari... oder anders - Meiner Oma gehts gut, meinem Opa nicht. Der ist allerdings auch schon gestorben. Was ist da los?=> Das Problem muss Windows 7 spezifisch sein
Nein, Profilspezifisch.- User komplett aus der Domäne gelöscht und neu angelegt: Keine Veränderung.
Nö, warum auch.- Andere neue User angelegt: Keine Veränderung
Entweder ist DEFAULT lokal defekt oder auch dessen Server gespeichertes Profil ist malle, obwohl er sich noch nie angemeldet hat....ACHTUNG: Wenn ich mich mit dem Domänen-Admin an Windows 7 Client anmelde, wird problemlos das Profil für den (Domänen-)Administrator angelegt.
Hat der auch ein Server gespeichertes Profil der Adminstrator derHier werde ich immer nach dem Kennwort gefragt. Selbst wenn ich dann als anderes Konto den Domänen-Admin wähle, komme ich nicht auf diese Freigabe! Es scheint so, als wenn der Client einfach nicht die "Rechte der Domänenuser" ordentlich weiterleiten würde.
Du hast ein Temporäres Profil. Was wundert es dich da. Windows Tresor schon mal geflutet?Ich kann es nicht erklären, doch das sehe ich als die Ursache für das eigentliche Problem an
Der ist gut Es fehlen diverse Laufwerke, die per GPO (User, nicht PC) zugewiesen werden. Darunter auch das Home-Laufwerk, auf dem das Profil liegen sollte. Und das scheint irgendwie daran zu liegen, dass bei Windows 7 Clients die Berechtigungen der User TEILWEISE ignoriert werden.
Du hast ein Profil problem, was wundert dich alles weitere was entweder folgefehler sind oder du hast noch mehr Probleme Es sind keine alten User, die sich nicht mehr anmelden können, es sind neue User für den PC, die noch nie da waren.
Eine Lokalen benutzer anlegen und anmelden lassen. Klappt das wenigstens?Bei einem Domänen benutzer das Server gespeicherte Profil rausnehmen (Aus den benutzereinstellunegn) und das Profil selbst umbenennen. Dann erst den benutzer am PC anmelden lassen. Klappt das? Dann abmelden lassen, am Server in den benutzereigenschaften das Server gespeicherte Profil(Pfad) wieder eintragen, erneut anmelden lassen, steht in der lokalen benutzerprofil steuerung "Systemsteuerung - System - Erweiterte Systemeinstellungen - Reiter Erwitert - Eintrag Benutzerprofile und dort Einstellungen" das es sich um ein Lokales oder Server Profil handelt? Wenn Server, Benutzer abmelden lassen. Dadurch sollte das Server gespeicherte Profil erstellt werden. (Nein, nicht mit Windows 10 öffenen). Wenn nicht, apssen die NTFS Rechte nicht.
Gruß,
Peter
Hi,
erstens würde ich versuchen, die Domänenbenutzer ohne eingetragenen Profilpfad anzumelden. Wenn er jetzt mit einem nicht-temporären Profil angemeldet wird, dann wüsste ich schon mal, dass es am Profilpfad läge. Wenn doch, dann wüsste ich, dass es allein am Client liegt.
Zweitens mus man beachten, dass es sehr oft so ist, dass sich ein Computer merkt, dass ein Benutzer zuvor nur mit einem temporären Profil angemeldet wurde. Wenn der Benutzer dann bei einem weiteren Versuch immer noch kein vorhandenes Profil hat, weder lokal noch im Roaming Path, dann wird er "aus Prinzip" wieder mit einem temporären Profil angemeldet. Das habe ich oft so beobachtet. Erst wenn der Clienet durchgestartet wurde, dann "vergisst" er das. Ich boote also bei solchen Tests den Computer zwischendurch.
Drittens: Hast Du irgendeine GPO dabei, welche den Zugriff auf das Netzwerk einschränkt?
Erstelle einen neuen Benutzer und sorge dafür, dass keine GPO für ihn wirkt. Ändert das etwas?
Setze einen neuen Win7 auf (z.B. als VM). Nimm ihn in die Domäne auf und sorge dafür, dass keine GPO für ihn wirkt. Nimm den neuen Benutzer ohne GPO. Ändert das etwas?
E.
Edit:
Viertens: Haben die Win7 irgendeine Software drauf, welche die Win10 nicht haben? Irgend ne lokale Firewall oder sowas?
Edit 2:
Habe korrigiert: "... dass es nicht am Profilpfad läge."
erstens würde ich versuchen, die Domänenbenutzer ohne eingetragenen Profilpfad anzumelden. Wenn er jetzt mit einem nicht-temporären Profil angemeldet wird, dann wüsste ich schon mal, dass es am Profilpfad läge. Wenn doch, dann wüsste ich, dass es allein am Client liegt.
Zweitens mus man beachten, dass es sehr oft so ist, dass sich ein Computer merkt, dass ein Benutzer zuvor nur mit einem temporären Profil angemeldet wurde. Wenn der Benutzer dann bei einem weiteren Versuch immer noch kein vorhandenes Profil hat, weder lokal noch im Roaming Path, dann wird er "aus Prinzip" wieder mit einem temporären Profil angemeldet. Das habe ich oft so beobachtet. Erst wenn der Clienet durchgestartet wurde, dann "vergisst" er das. Ich boote also bei solchen Tests den Computer zwischendurch.
Drittens: Hast Du irgendeine GPO dabei, welche den Zugriff auf das Netzwerk einschränkt?
Erstelle einen neuen Benutzer und sorge dafür, dass keine GPO für ihn wirkt. Ändert das etwas?
Setze einen neuen Win7 auf (z.B. als VM). Nimm ihn in die Domäne auf und sorge dafür, dass keine GPO für ihn wirkt. Nimm den neuen Benutzer ohne GPO. Ändert das etwas?
E.
Edit:
Viertens: Haben die Win7 irgendeine Software drauf, welche die Win10 nicht haben? Irgend ne lokale Firewall oder sowas?
Edit 2:
Habe korrigiert: "... dass es
Aufgepasst, Windows 7 und Windows 10 können und dürfen nicht denselben User-Ordner auf dem Server benutzen!
V2 vs. V5
https://social.technet.microsoft.com/Forums/en-US/d16891e0-5d70-4e8f-bee ...
V2 vs. V5
https://social.technet.microsoft.com/Forums/en-US/d16891e0-5d70-4e8f-bee ...
Aufgepasst, Windows 7 und Windows 10 können und dürfen nicht denselben User-Ordner auf dem Server benutzen!
V2 vs. V5
Das kann ich so nicht bestätigen. Man muss den Ordner eh ohne die Versionskennung (".v2", ".v5") angeben, diese hängt Windows automatisch an. Somit werden im Roaming Profile Path automatisch je Version ein Ordner angelegt.V2 vs. V5
Das kann ich so nicht bestätigen. Man muss den Ordner eh ohne die Versionskennung (".v2", ".v5") angeben, diese hängt Windows automatisch an. > Somit werden im Roaming Profile Path automatisch je Version ein Ordner angelegt.
Automatisch passiert das nicht, die richtigen Reg-Einstellungen übernehmen das.
Automatisch passiert das nicht, die richtigen Reg-Einstellungen übernehmen das.
Mussten wir bei uns nicht.
@chgorges: Doch, doch: Das passiert automatisch. Außerdem ist die Endung ".v6" für Windows 10. Zumindest hier.
@Pjordorf:
Ein NEU angelegter User auf einem NEUEN PDC(!) in einer NEUEN Domäne(!) auf dem noch nichts "kaputtgespielt" wurde soll ein kaputtes Profil haben?
Das musst Du mir nochmal erklären, wie das funktioniert. Vielleicht habe ich ja einen Schritt übersehen zwischen: "Profil neu angelegt" und "direkt danach am PC angemeldet", in dem das Profil beschädigt werden kann.
Die Äpfel-Birnen-Vergleiche sind m.E. auch nicht hilfreich: Die fehlerfreie Anmeldung am Windows 10 PC sollte belegen (und tut es auch), dass die Berechtigungen des Users prinzipiell korrekt vergeben wurden und somit dieses nicht der Grund für die genannten Probleme ist.
Mehr nicht.
---
@alle:
Es scheint mir so, als ob ich mich unklar ausgedrückt hätte, was die Profile betrifft. Es werden keine bestehende Profile kopiert!
Es handelt sich um NEU angelegte Domänenuser! Völlig nackte und leere Profile, die noch nie zuvor verwendet wurden.
Lokale Profile funktionieren auf den PCs.
@Pjordorf:
Ein NEU angelegter User auf einem NEUEN PDC(!) in einer NEUEN Domäne(!) auf dem noch nichts "kaputtgespielt" wurde soll ein kaputtes Profil haben?
Das musst Du mir nochmal erklären, wie das funktioniert. Vielleicht habe ich ja einen Schritt übersehen zwischen: "Profil neu angelegt" und "direkt danach am PC angemeldet", in dem das Profil beschädigt werden kann.
Die Äpfel-Birnen-Vergleiche sind m.E. auch nicht hilfreich: Die fehlerfreie Anmeldung am Windows 10 PC sollte belegen (und tut es auch), dass die Berechtigungen des Users prinzipiell korrekt vergeben wurden und somit dieses nicht der Grund für die genannten Probleme ist.
Mehr nicht.
---
@alle:
Es scheint mir so, als ob ich mich unklar ausgedrückt hätte, was die Profile betrifft. Es werden keine bestehende Profile kopiert!
Es handelt sich um NEU angelegte Domänenuser! Völlig nackte und leere Profile, die noch nie zuvor verwendet wurden.
Lokale Profile funktionieren auf den PCs.
Hallo,
Was ist mit Domänen Benutzer die noch nie an einen Client sich angemeldet haben, auch keine Einstellungen für Server gespeicherte Profile haben, können die sich erfolgreich anmelden? Dabei wird natürlich Lokal ein benutzerprofil erstellt und im Profilpfad des Benutzers gespeichert.
Nebenbei, ein PDC gibt es seit Server 2000 nicht mehr. Es ist einfach ein DC.
1 - Domänen Benutzer ohne Pfad für Server gespeichrtes Profil kann sich nicht auf Client Anmelden weil Fehler kommt? Weder Erstanmeldung noch danach - immer Temporäres Profil?
2 - Domänen Benutzer mit Pfad für Server gespeichertes Profil kann sich nicht auf Client Anmelden weil Fehler kommt? Weder Erstnameldung noch danach -immer Temporäreres Profil?
Was davon geht oder geht nicht und welche meldungen kommen?
hast du nicht per Hand anglegt? Das macht der Client ganz alleine. Erst beim Abmelden werden dann (Benutzer) Daten dort abgelegt und beim nächsten Anmelden geschaut was davon geladen werden kann/muss. Kommt es beim Schreiben (Abmelden) oder Lesen (Anmelden) zu problemen wird im schlimmsten Fall eben ein temporäres Profil erzeugt damit der Benutzer sich zumindest anmelden kann.
Habt ihr versucht etwas mit Domänenweiten mandatory Profilen zu machen?
Gruß,
Peter
Zitat von @derGhostrider:
Ein NEU angelegter User auf einem NEUEN PDC(!) in einer NEUEN Domäne(!) auf dem noch nichts "kaputtgespielt" wurde soll ein kaputtes Profil haben?
Hast du nicht uns glauben lassen das alle Domänen-Benutzer beim Anmelden am Client ein "Temporäres Profil" erhalten? Das geht nur wenn du Server gespeicherte Profile nutzen tust.Ein NEU angelegter User auf einem NEUEN PDC(!) in einer NEUEN Domäne(!) auf dem noch nichts "kaputtgespielt" wurde soll ein kaputtes Profil haben?
Was ist mit Domänen Benutzer die noch nie an einen Client sich angemeldet haben, auch keine Einstellungen für Server gespeicherte Profile haben, können die sich erfolgreich anmelden? Dabei wird natürlich Lokal ein benutzerprofil erstellt und im Profilpfad des Benutzers gespeichert.
Die Äpfel-Birnen-Vergleiche sind m.E. auch nicht hilfreich:
Doch. Was an Windows XP geht muss bei Windows 7 nicht mehr gehen oder was bei Windows 10 geht muss beit Windows 7 nicht zwingend funktionieren. Generel zwar Ja, aber du willst einen Fehler finden.Nebenbei, ein PDC gibt es seit Server 2000 nicht mehr. Es ist einfach ein DC.
1 - Domänen Benutzer ohne Pfad für Server gespeichrtes Profil kann sich nicht auf Client Anmelden weil Fehler kommt? Weder Erstanmeldung noch danach - immer Temporäres Profil?
2 - Domänen Benutzer mit Pfad für Server gespeichertes Profil kann sich nicht auf Client Anmelden weil Fehler kommt? Weder Erstnameldung noch danach -immer Temporäreres Profil?
Was davon geht oder geht nicht und welche meldungen kommen?
Es handelt sich um NEU angelegte Domänenuser! Völlig nackte und leere Profile, die noch nie zuvor verwendet wurden.
Die Profile sind weder Nackt noch Leer wenn noch keine Profile im Profilpfad gespeichert sind - sie existieren ja noch gar nicht. Nur der Pfad für Server gespeicherte Profile ist in den Benutzereigenschaften eingetragen. Die Ordner für diese Benutzer Profile hast du nicht per Hand anglegt? Das macht der Client ganz alleine. Erst beim Abmelden werden dann (Benutzer) Daten dort abgelegt und beim nächsten Anmelden geschaut was davon geladen werden kann/muss. Kommt es beim Schreiben (Abmelden) oder Lesen (Anmelden) zu problemen wird im schlimmsten Fall eben ein temporäres Profil erzeugt damit der Benutzer sich zumindest anmelden kann.Habt ihr versucht etwas mit Domänenweiten mandatory Profilen zu machen?
Lokale Profile funktionieren auf den PCs.
OK.Gruß,
Peter
1
Aloha Peter,
zeitlich habe ich es nun endlich geschafft mal wieder am Profil rumzuschrauben. Schön, wenn die User zu Hause sind und man etwas Ruhe hat.
Veränderung unter dem Reiter "Profil":
Pfade rausgenommen, "Basisordner" auf "lokaler Pfad" umgestellt.
Effekt: Keine Fehlermeldung beim Anmelden. Es wird unter c:\User\ das lokale Profil angelegt.
Es ist leider immernoch nicht möglich mit dem User auf einige der Netzwerkfreigaben zuzugreifen (Zugriff verweigert). Werden auch beim Start nicht gemappt trotz erzwungener GPO.
Positiv für mich:
Der Client der Telefonanlage läuft, ein Netzwerkdrucker wird fehlerfrei zugewiesen (per GPO an die Maschine gehängt) und erlaubt das Drucken. Zugriff auf zwei Netzwerkfreigaben (eine Lesend für alle, eine ein temp-Ordner zum Austausch von Daten) funktionieren.
Sonstige Anwendungen funktionieren.
Das kann so trotzdem nicht bleiben, die Netzfreigaben möchte ich natürlich dem User bereitstellen können.
-
Frage von mir, da ich den kausalen Zusammenhang so nicht sehe oder Dich einfach falsch verstehe: Ob das lokal geschriebene Profil temporär ist oder nicht, dürfte doch nichts an den Berechtigungen des Users ändern.
Umgekert natürlich schon:
Der user kann das Home-Laufwerk mit dem Profil nicht erreichen, weder automatisch bei der Anmeldung noch manuell im Explorer. "Zugriff verweigert." => [Daraus folgt] Es fehlen Berechtigungen für den Zugriff auf die benötigten Freigaben => Es gibt ein Temporäres Profil.
Es ist aber nicht so, dass die Berechtigungen auf Freigaben nicht funktionieren, weil das lokal abgelegte Profil temporär ist. Die Reihenfolge lässt sich nicht umdrehen, da ein Temporäres Profil auch bei anderen Ursachen auftreten könnte und die Zugriffsberechtigungen für alle anderen Laufwerke trotzdem passen würden...
OT:
Zum Haarspalten über die Benennung des ersten DCs: Zur offiziellen Wandlung des Namens: Das weiß ich.
A-B-E-R: Der erste DC bekommt zwangsweise(!) die zusätzliche Funktion (oder Rolle, oder wie das auch immer gerade tituliert wird) des primären DCs zugewiesen. Somit ist der erste DC, auch wenn man es nicht speziell anklicken kann, der PDC. Halte es wirklich für Haarspalterei darauf rumzureiten, dass es keinen PDC mehr gibt, wenn es letztendlich "ein DC, der die primäre Rolle trägt" ist.
"Das ist kein rotes Auto. Es gibt keine roten Autos mehr. Das ist ein Auto mit roter Farbe!" ... Es mag ja durchaus sein, dass sich da einiges unter der Haube geändert hat. Letztendlich ist es trotzdem der erste, der primäre, DC. Und jeder andere DC ist eben nicht der primäre und hat auch nicht diese zusätzliche Rolle.
zeitlich habe ich es nun endlich geschafft mal wieder am Profil rumzuschrauben. Schön, wenn die User zu Hause sind und man etwas Ruhe hat.
Veränderung unter dem Reiter "Profil":
Pfade rausgenommen, "Basisordner" auf "lokaler Pfad" umgestellt.
Effekt: Keine Fehlermeldung beim Anmelden. Es wird unter c:\User\ das lokale Profil angelegt.
Es ist leider immernoch nicht möglich mit dem User auf einige der Netzwerkfreigaben zuzugreifen (Zugriff verweigert). Werden auch beim Start nicht gemappt trotz erzwungener GPO.
Positiv für mich:
Der Client der Telefonanlage läuft, ein Netzwerkdrucker wird fehlerfrei zugewiesen (per GPO an die Maschine gehängt) und erlaubt das Drucken. Zugriff auf zwei Netzwerkfreigaben (eine Lesend für alle, eine ein temp-Ordner zum Austausch von Daten) funktionieren.
Sonstige Anwendungen funktionieren.
Das kann so trotzdem nicht bleiben, die Netzfreigaben möchte ich natürlich dem User bereitstellen können.
-
Frage von mir, da ich den kausalen Zusammenhang so nicht sehe oder Dich einfach falsch verstehe: Ob das lokal geschriebene Profil temporär ist oder nicht, dürfte doch nichts an den Berechtigungen des Users ändern.
Umgekert natürlich schon:
Der user kann das Home-Laufwerk mit dem Profil nicht erreichen, weder automatisch bei der Anmeldung noch manuell im Explorer. "Zugriff verweigert." => [Daraus folgt] Es fehlen Berechtigungen für den Zugriff auf die benötigten Freigaben => Es gibt ein Temporäres Profil.
Es ist aber nicht so, dass die Berechtigungen auf Freigaben nicht funktionieren, weil das lokal abgelegte Profil temporär ist. Die Reihenfolge lässt sich nicht umdrehen, da ein Temporäres Profil auch bei anderen Ursachen auftreten könnte und die Zugriffsberechtigungen für alle anderen Laufwerke trotzdem passen würden...
OT:
Zum Haarspalten über die Benennung des ersten DCs: Zur offiziellen Wandlung des Namens: Das weiß ich.
A-B-E-R: Der erste DC bekommt zwangsweise(!) die zusätzliche Funktion (oder Rolle, oder wie das auch immer gerade tituliert wird) des primären DCs zugewiesen. Somit ist der erste DC, auch wenn man es nicht speziell anklicken kann, der PDC. Halte es wirklich für Haarspalterei darauf rumzureiten, dass es keinen PDC mehr gibt, wenn es letztendlich "ein DC, der die primäre Rolle trägt" ist.
"Das ist kein rotes Auto. Es gibt keine roten Autos mehr. Das ist ein Auto mit roter Farbe!" ... Es mag ja durchaus sein, dass sich da einiges unter der Haube geändert hat. Letztendlich ist es trotzdem der erste, der primäre, DC. Und jeder andere DC ist eben nicht der primäre und hat auch nicht diese zusätzliche Rolle.
Drittens: Hast Du irgendeine GPO dabei, welche den Zugriff auf das Netzwerk einschränkt?
Erstelle einen neuen Benutzer und sorge dafür, dass keine GPO für ihn wirkt. Ändert das etwas?
Setze einen neuen Win7 auf (z.B. als VM). Nimm ihn in die Domäne auf und sorge dafür, dass keine GPO für ihn wirkt. Nimm den neuen Benutzer ohne GPO. Ändert das etwas?
Dazu hast Du Dich noch nicht geäußert.Erstelle einen neuen Benutzer und sorge dafür, dass keine GPO für ihn wirkt. Ändert das etwas?
Setze einen neuen Win7 auf (z.B. als VM). Nimm ihn in die Domäne auf und sorge dafür, dass keine GPO für ihn wirkt. Nimm den neuen Benutzer ohne GPO. Ändert das etwas?
Hallo,
OK, so soll es sein, auch bei Server gespeicherten Profilen. Auf Windows arbeitet ein benutzer immer mit ein lokales Profil. Bei Server gespeicherten Profilen wird nur nach der Abmeldung eben das lokal vorhandene Profil auf den Server kopiert. Und beim Anmelden wird es eben von dort gelesen und geschaut was rüber muss (bei XP wurde einfach Stumpf kopiert). Passen die Rechte für den Benutzer und für den Computer nicht ergibt es beim Anmelden Temporäres Profil. Beim Abmelden gibts nur eine Fehlermeldung und wird auch im Ereignissprotokoll gespeichert. Beim Anmelden gibts auch eine Fehlermeldung (Ballon) wird auch im Ereignissprotokoll eingetragen, daneben aber halt auch Temporäres Profil. Egal aus welchem Grund, wenn irgend etwas nicht passt - Temporäres Profil.
Bedenke auch das es neben Freigabe Rechte auch noch NTFS Rechte gibt und beide müssen passen sonst zicken die Profile (Server gespeicherte) rum.
https://technet.microsoft.com/en-us/library/jj649079%28v=ws.11%29.aspx
Gruß,
Peter
OK, so soll es sein, auch bei Server gespeicherten Profilen. Auf Windows arbeitet ein benutzer immer mit ein lokales Profil. Bei Server gespeicherten Profilen wird nur nach der Abmeldung eben das lokal vorhandene Profil auf den Server kopiert. Und beim Anmelden wird es eben von dort gelesen und geschaut was rüber muss (bei XP wurde einfach Stumpf kopiert). Passen die Rechte für den Benutzer und für den Computer nicht ergibt es beim Anmelden Temporäres Profil. Beim Abmelden gibts nur eine Fehlermeldung und wird auch im Ereignissprotokoll gespeichert. Beim Anmelden gibts auch eine Fehlermeldung (Ballon) wird auch im Ereignissprotokoll eingetragen, daneben aber halt auch Temporäres Profil. Egal aus welchem Grund, wenn irgend etwas nicht passt - Temporäres Profil.
Es ist leider immernoch nicht möglich mit dem User auf einige der Netzwerkfreigaben zuzugreifen (Zugriff verweigert). Werden auch beim Start nicht gemappt trotz erzwungener GPO.
Anderes Problem. Mach bitte neuen Fred dazuOb das lokal geschriebene Profil temporär ist oder nicht, dürfte doch nichts an den Berechtigungen des Users ändern.
Nein, tut es auch nicht. Bedenke nur das dein Temporäres Profil nicht die sachen und einstellungen enthalten die dein reguläres Profil halt hat. Da sind folgefehler nicht auszuschliessen. Das temporäre Profil bietet ja nur das was dein Default aufm Rechner oder im LAN bieten.Der user kann das Home-Laufwerk mit dem Profil nicht erreichen
Er muss das aber können, Lesen, Schreiben, Ändern, Besitzer usw.Alles eben[Daraus folgt] Es fehlen Berechtigungen für den Zugriff auf die benötigten Freigaben => Es gibt ein Temporäres Profil.
SiEs ist aber nicht so, dass die Berechtigungen auf Freigaben nicht funktionieren, weil das lokal abgelegte Profil temporär ist.
SiDie Reihenfolge lässt sich nicht umdrehen, da ein Temporäres Profil auch bei anderen Ursachen auftreten könnte und die Zugriffsberechtigungen für alle anderen Laufwerke trotzdem passen würden...
SiZum Haarspalten über die Benennung des ersten DCs: Zur offiziellen Wandlung des Namens: Das weiß ich.
Si - Haarspalterei. zeigt uns aber das du wenigstens die Antworten liesst A-B-E-R: Der erste DC bekommt
Ja es gibt noch verschiedene zusätzliche Rollen die unterschiedlichst verteilt werden. Der PDC Emulator ist einer davon ."Das ist kein rotes Auto. Es gibt keine roten Autos mehr. Das ist ein Auto mit roter Farbe!" ...
Wenn aber genau die Farbe das ist um was es geht... Bedenke auch das es neben Freigabe Rechte auch noch NTFS Rechte gibt und beide müssen passen sonst zicken die Profile (Server gespeicherte) rum.
https://technet.microsoft.com/en-us/library/jj649079%28v=ws.11%29.aspx
Gruß,
Peter
Hallo emeriks,
Es exisitert bei uns keine GPO, die Zugriffsrechte einschränkt. Es gibt nur GPOs, die gewisse Rechte gewehren. Alle User haben bisher die gleichen GPOs zugewiesen. Die Zugehörigkeit zu Gruppen - entsprechend des Organigrams - regelt dann die Zugriffsrechte.
Auch wenn es ein interessanter Test wäre: Rechner werden von mir nicht mit veraltetem Win7 neu aufgesetzt. Einerseits exisitert dafür keine Infrastruktur / Automatisierung, andererseits ist Windows 7 tot. Für solche Versuche habe ich schlichtweg nicht die Zeit. Wenn ich einen Rechner neu aufsetze, dann nur mit Windows 10 - und dann weiß ich bereits, dass er funktionieren wird.
Die verbliebenen Rechner mit Windows 7 werden nach und nach auf 10 umgestellt werden. Start dafür in ein paar Monaten. Es gibt noch wichtigere Baustellen.
Es exisitert bei uns keine GPO, die Zugriffsrechte einschränkt. Es gibt nur GPOs, die gewisse Rechte gewehren. Alle User haben bisher die gleichen GPOs zugewiesen. Die Zugehörigkeit zu Gruppen - entsprechend des Organigrams - regelt dann die Zugriffsrechte.
Auch wenn es ein interessanter Test wäre: Rechner werden von mir nicht mit veraltetem Win7 neu aufgesetzt. Einerseits exisitert dafür keine Infrastruktur / Automatisierung, andererseits ist Windows 7 tot. Für solche Versuche habe ich schlichtweg nicht die Zeit. Wenn ich einen Rechner neu aufsetze, dann nur mit Windows 10 - und dann weiß ich bereits, dass er funktionieren wird.
Die verbliebenen Rechner mit Windows 7 werden nach und nach auf 10 umgestellt werden. Start dafür in ein paar Monaten. Es gibt noch wichtigere Baustellen.
Es ist leider immernoch nicht möglich mit dem User auf einige der Netzwerkfreigaben zuzugreifen (Zugriff verweigert). Werden auch beim Start nicht gemappt trotz erzwungener GPO.
Anderes Problem. Mach bitte neuen Fred dazuDas ist doch genau das Problem vom Anfang! Das temporäre Profil war/ist nur ein Symptom davon.
Bis jetzt wurde das ursprüngliche Problem NICHT gelöst.
Abschluss des Threads:
Die Ursache für das Problem lag in der Auswahl, dass der Zugriff nur verschlüsselt erfolgen sollte. Das bietet Windows Server 2016 an, Windows 7 aber nicht.
SMBv3 gibt es erst ab Windows 8, end-to-end Verschlüsselung ist eines der Features.
Die Ursache für das Problem lag in der Auswahl, dass der Zugriff nur verschlüsselt erfolgen sollte. Das bietet Windows Server 2016 an, Windows 7 aber nicht.
SMBv3 gibt es erst ab Windows 8, end-to-end Verschlüsselung ist eines der Features.
