g-ka
Goto Top

Frage zur Benutzerkontenerstellung bei Windows XP bei Domänenanmeldung

Hallo!

Wenn ich auf einem Windows-XP Prof.-PC, der sich in einem Netzwerk mit einem Windowsserver befindet, neue Benutzerkonten in der Form anlegen möchte, dass man beim gleichen Benutzernamen sowohl in der Arbeitsgruppe, als auch in der Domäne den gleichen Benutzerordner hat (Zweck: identischer Desktop), habe ich mitunter - also nicht generell - das Problem, dass ein zweiter Benutzerordner mit der Endung ".Domänenname" erstellt wird, was äußerst nervig ist.

Wie lässt sich dies vermeiden, sodass der Benutzerordner pro Benuternamen immer der gleiche ist, egal ob man nun an der Domäne oder an der Arbeitsgruppe angemeldet ist?
In welchen Fällen erstellt Windows überhaupt den zweiten Benutzerordner mit der genannten Endung und wozu soll das gut sein bzw. welchen Sinn macht das?

Content-ID: 128778

Url: https://administrator.de/forum/frage-zur-benutzerkontenerstellung-bei-windows-xp-bei-domaenenanmeldung-128778.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

maretz
maretz 06.11.2009 um 07:24:08 Uhr
Goto Top
Moin,

erstmal: Warum erstellst du in einer Domäne lokale Benutzerkonten?!? Muss man das verstehen?

Dann: Die unterschiedlichen Ordner haben einen guten Grund: Nehmen wir an du hast auf dem Server nen User "G-KA". Jetzt legst du den auch auf dem/jeden Client nochmal lokal an - jeder PC hat also auch nen lokalen User "G-KA". Dummerweise haben die verschiedene Security-IDs und sind für Windows völlig unterschiedliche User! Daher hat auch jeder User dann sein eigenes "Eigene Dateien" usw. -> was dazu führt das du natürlich auch unter Users/Dokumente und Einstellungen jeweils einen Ordner für den User haben musst...

Wenn es sich also um feste PCs handelt dann kille die lokalen User und stelle einfach die benötigten Rechte auf dem Client für den Domänen-Benutzer "G-KA" ein (z.B. wenn du für irgendwas lokale Adminrechte benötigst kannst du auch der lokalen Benutzergruppe "Administratoren" auf dem Client den Domänen-User "G-KA" hinzufügen). DANN hast du auch immer dieselbe SID -> und somit nur noch einen Ordner "G-KA" (und nicht mehr "G-KA", "G-KA.Domain",...)
SamTrex
SamTrex 06.11.2009 um 07:29:47 Uhr
Goto Top
Guten Morgen G-KA,
bist aber "schon"/"noch" früh zugange ...

Windows identifiziert seine Benutzer nicht über den Namen, sondern über SID's - kannst du ja mal Googlen. Sprich jeder User hat eine eigene ID unabhängig vom Namen. Wenn du nun als erstes z.B. User ALF auf der lokalen Maschine erstellst und anmeldest, und danach den gleichen User in der Domäne erstellst und anmeldest bekommt der Domönenalf den Anhang an den Namen, - weil - sind halt 2 User.

Welchen höheren Sinn hat denn der lokale User? In einem Domänennetzwerk sollte es (laut unserer IT) keine lokalen User geben.
Und mit einem Domänenkonto kannst du ja auch ohne Domäne arbeiten - sofern der User sich einmal auf der Maschine angemeldet hat.

MfG Sam
G-KA
G-KA 06.11.2009 um 15:14:55 Uhr
Goto Top
Erstmal Danke für die Rückmeldungen!

Also ich möchte zwei Benutzerkontotypen auf einer Workstation einrichten.

Benutzerkontotyp A soll nur eine Nutzung des PCs innerhalb der Domäne ermöglichen.
Benutzerkontotyp B soll sowohl eine Nutzung innerhalb der Domäne ermöglichen, als auch für administrative Zwecke innerhalb der Arbeitsgruppe erreichbar sein, wobei für diesen Benutzerkontotyp dann logischerweise nur EIN Benutzerkontoordner pro Benutzer angelegt werden soll und NICHT zwei (einen ohne .Domänenname-Endung und einen mit .Domänenname-Endung).

Kann es eventuell sein, dass Typ B nur in geringer Anzahl auf dem Rechner einrichtbar ist?
dog
dog 06.11.2009 um 17:59:02 Uhr
Goto Top
Wie lässt sich dies vermeiden, sodass der Benutzerordner pro Benuternamen immer der gleiche ist, egal ob man nun an der Domäne oder an der Arbeitsgruppe angemeldet ist?

Ganz einfach: Geht nicht.

Wie SamTrex schon geschrieben hat sind die SIDs unterschiedlich, selbst wenn du beide Benutzer auf das selbe Profil mappen würdest, würde auf kurz oder lang deswegen alles implodieren face-smile
mrtux
mrtux 07.11.2009 um 02:09:47 Uhr
Goto Top
Hi !

Zitat von @dog:
würdest, würde auf kurz oder lang deswegen alles implodieren

Eine typische Henne-Ei-Frage....Oder können zwei Benutzer gleichzeitig in das gleiche Word-File schreiben? face-wink

mrtux
maretz
maretz 07.11.2009 um 09:25:35 Uhr
Goto Top
Joar - können die... Nen Sharepoint-Server vorrausgesetzt (oder falls Word sowas wie ne Arbeitsgruppen-Funktion ähnlich die von Excel hat ...)

Ok, das ist jetzt Wortklauberei :P
mrtux
mrtux 07.11.2009 um 18:13:18 Uhr
Goto Top
Hi !

Zitat von @maretz:
Joar - können die... Nen Sharepoint-Server vorrausgesetzt (oder
falls Word sowas wie ne Arbeitsgruppen-Funktion ähnlich die von
Excel hat ...)

Stimmt natürlich! Das Word Beispiel ist ein ppplödes Beispiel aber bei manch haarstäubender Frage, kommt es auf ein blödes Beispiel (von mir) mehr oder weniger auch nicht mehr an :-P.

Aber auf die Frage der Profile bezogen, hat es ja einen guten Grund, warum das so nicht klappt und ein neuer Profilordner angelegt wird, wie dog es schon erwähnt hatte...

mrtux
G-KA
G-KA 08.11.2009 um 21:01:31 Uhr
Goto Top
ok, und genau diesen guten Grund würde ich gerne erfahren.

Bei mir ist es nämlich so, dass bei dem Rechner, den ich neu aufgesetzt habe (allerdings nun Vista-Business statt XP), zuerst nur ein User-Ordner mit der Namensgebung "Benutername" vorhanden war, der zuerst in der Arbeitsgruppe angelegt wurde und mit dem dann der Wechsel von der Arbeitsgruppe zur Domäne vollzoge wurde. Und etwa 25 Stunden nach der Einbindung in die Domäne kam dann ein zweiter Benutzerordner mit der Namensgebung "Benutername.Domänenname" hinzu. Das müsste zeitlich in etwa mit der Installation eines Virenscanners zusammenlaufen.

Und die Frage ist nun, wie kann man das wieder rückgängig machen, sodass man nur einen Benuterordner für beides hat: Arbeitsgruppe und Domäne

Und außerdem kommt noch hinzu, dass bei Systemsteuerung -> Benutzerkonten -> * Benutzerkonten verwalten* etwas anderes steht, als man erwarten würde, nämlich

vorzufinden ist:
Headline: Benutzername I Domäne
Vorname des Benuterkontos I Computername
Nachname des Benutzerkontos I Computername

richtig wäre aber vermutlich wohl eher dies:
Headline: Benutername I Domäne
Nachname des Benutzerkontos I Computername
Nachname des Benutzerkontos I Domänenname

Bei Systemsteuerung -> System -> Systemeigenschaften -> Benutzerprofile erscheinen dageben beide korrekt:
Headline: Name
Domänenname\Benutzername
Computername\Benutzername

Wie lässt sich das ganze ordnen bzw. korrigieren? Gibt es für das Management von Benuterordnern eventuell eine spezielle Software?
TatzeBerlin
TatzeBerlin 15.02.2012 um 10:51:05 Uhr
Goto Top
Wenn es sich also um feste PCs handelt dann kille die lokalen User und stelle einfach die benötigten Rechte auf dem Client
für den Domänen-Benutzer "G-KA" ein (z.B. wenn du für irgendwas lokale Adminrechte benötigst kannst
du auch der lokalen Benutzergruppe "Administratoren" auf dem Client den Domänen-User "G-KA"
hinzufügen). DANN hast du auch immer dieselbe SID -> und somit nur noch einen Ordner "G-KA" (und nicht mehr
"G-KA", "G-KA.Domain",...)

Danke für den Hinweis! Toller Tipp! Werde ich heute noch ausprobieren.
• Was passiert, wenn der DC nicht mehr vorhanden ist?
• Wird das Domänen-Konto mit den lokalen Admin-Rechten dann noch funktionieren?
TatzeBerlin
TatzeBerlin 15.02.2012 um 10:55:46 Uhr
Goto Top
erstmal: Warum erstellst du in einer Domäne lokale Benutzerkonten?!? Muss man das verstehen?

Unser AD/DC spinnt seit einiger Zeit. Auch Firmen mit 95 EUR Stundensatz konnten das Problem nicht lösen und empfehlen eine Neuinstallation des DC.
Bei der Gelegenheit würde ich gern 12 Clients aus der Domäne herausnehmen, mir aber die Mühe sparen, die User auf den Clients neu einzurichten: die User sollen ihre bisherigen Konten möglichst weiterverwenden (vor allem Outlook mit seinen nicht wiederholbaren Einstellungen, Historys, div. PST-Dateien etc.). Ich habe schon probiert, die Daten aus dem Konto des AD-Users einfach in den Ordner des lokalen Users zu kopieren, aber das funktioniert nicht, Windows legt dann nochmals einen neuen User-Ordner an.
TatzeBerlin
TatzeBerlin 15.02.2012 um 10:58:27 Uhr
Goto Top
Und mit einem Domänenkonto kannst du ja auch ohne Domäne arbeiten - sofern der User sich einmal auf der Maschine
angemeldet hat.

Ach so? Das wusste ich nicht. Das ist ja interessant!
• Gilt das auch noch, wenn man den Rechner aus der Domäne herausnimmt?
• Funktioniert das auch dauerhaft? Also wenn der Client nie wieder Verbindung mit dem AD/DC bekommt? Zum Beispiel, weil der Computer an einen anderen Standort ohne Anbindung an die Domäne?
SamTrex
SamTrex 15.02.2012 um 12:49:09 Uhr
Goto Top
Soweit mir bekannt ist nur solange der Rechner in der Domäne ist.
Allerdings brauchst du keinen Kontakt zum DC.
Einfachstes Beispiel sollte wohl ein Notebook sein das mit Netzwerk und Domäne läuft.
Ein einmal angemeldeter User kann das Notebook logischer Weise auch ohne Netzwerk nutzen.
Die User/Passwörter werden ja bei jedem Kontakt mit dem DC abgeglichen. So ist eine ständige Verbindung nicht nötig.

Was mit dem Konto geschieht wenn der Rechner aus der Domäne genommen wird kann ich nicht sagen.
Könnte mir aber vorstellen das der User den Rechner entweder:
  • nicht mehr nutzen kann
  • oder ihn nutzen kann aber auf alle Freigaben die zur Domäne gehören nicht mehr zugreifen kann.
  • anderer Seits kann ein User welcher im AD registriert ist ja uU. auch auf eine Domänenfreigabe zugreifen - selbst wenn der Rechner nicht in der Domäne ist...

MfG Sam