peter007
Goto Top

Gruppen für Benutzerprofile im Profil-Manager hinzufügen

Hallo zusammen,

ich versuche aktuell superverbindliche bzw. Verbindliche erforderliche Benutzerprofile auf Server 2012 R2 anzulegen. Mein Problem ist, das ich im Profil-Manager für Benutzerprofile immer nur ein Objekt für einen Ordner freigeben kann wenn ich das Menü "Kopieren nach" verwende.

Leider funktioniert das manuelle hinzufügen der NTFS-Berechtigungen für eine Globale Gruppe selbst mit Vollzugriff für einen Ordner auch nicht. Prompt bekomme ich sonst die Fehlermeldung beim anmelden eines Benutzers "Fehler bei der Anmeldung des Diensts Gruppenrichtlinienclient Zugriff verweigert".

Nun meine Frage, besteht die Möglichkeit mehrere Gruppen dem Profilordner über die grafische Oberfläche zu vergeben. Oder muss ich jetzt jede einzelne Gruppe in eine weitere Gruppe verschachteln um diese dann freizugeben?


Gruß Peter

Content-ID: 294092

Url: https://administrator.de/contentid/294092

Ausgedruckt am: 26.11.2024 um 07:11 Uhr

Winary
Lösung Winary 25.01.2016, aktualisiert am 02.02.2016 um 20:11:48 Uhr
Goto Top
Zitat von @Peter007:
Mein Problem ist, das ich im Profil-Manager für Benutzerprofile immer nur ein Objekt für einen Ordner freigeben kann wenn ich das Menü "Kopieren nach" verwende.

Profilmanager? Kenn ich nur von OS X Server. Meinst du die Eigenschaften des Benutzerprofils im AD (dsa.msc)?
Was bedeutet "nur ein Objekt für einen Ordner freigeben"? Gruppenmitgliedschaften? Oder meinst du den Basisordner?

Leider funktioniert das manuelle hinzufügen der NTFS-Berechtigungen für eine Globale Gruppe selbst mit Vollzugriff für einen Ordner auch nicht. Prompt bekomme ich sonst die Fehlermeldung beim anmelden eines Benutzers "Fehler bei der Anmeldung des Diensts Gruppenrichtlinienclient Zugriff verweigert".

Normalerweise nimmt man auch eine Gruppe vom Typ "Lokal (Domäne)", deren Mitglieder Gruppen vom Typ "Global" sind, in denen wiederum die Benutzerkonten sind -> A-G-DL-P-Prinzip.

Kommt die Fehlermeldung nur bei dem einem Nutzer? Ansonsten ist der Regkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gpsvc schrott und muss gelöscht und neu angelegt werden (Für Windows 7 Client: http://download.bleepingcomputer.com/win-services/7/gpsvc.reg)

Nun meine Frage, besteht die Möglichkeit mehrere Gruppen dem Profilordner über die grafische Oberfläche zu vergeben. Oder muss ich jetzt jede einzelne Gruppe in eine weitere Gruppe verschachteln um diese dann freizugeben?

Unter dem Reiter "Mitglied" kann man einen Benutzer mehreren Gruppen zuweisen. Alternativ geht das auch über Gruppenrichtlinien, aber das ist zu granular. Oder was meinst du?

Kannst du das Problem bebildern?

Grüße Winary
Peter007
Peter007 30.01.2016 um 14:17:49 Uhr
Goto Top
Ich meine den Benutzerprofil-Manager bei den erweiterten Systemeinstellungen, in dem man das lokale Standardprofil in einen Pfad kopieren kann.

Aber ich denke ich muss dann wohl eher mit A-G-DL-P arbeiten.
Peter007
Peter007 30.01.2016 um 14:22:51 Uhr
Goto Top
Kommt die Fehlermeldung nur bei dem einem Nutzer? Ansonsten ist der Regkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gpsvc schrott und muss gelöscht und neu angelegt werden (Für Windows 7 Client: http://download.bleepingcomputer.com/win-services/7/gpsvc.reg)

Die Fehlermeldung kommt bei allen Benutzern der manuell hinzugefügten Gruppen bei den Sicherheitsfreigaben im Profilordner "Test.man.v2".
Winary
Winary 30.01.2016 um 20:02:06 Uhr
Goto Top
Zitat von @Peter007:
Ich meine den Benutzerprofil-Manager bei den erweiterten Systemeinstellungen, in dem man das lokale Standardprofil in einen Pfad kopieren kann.

Achso, lokale Profile auf dem Server. Dein Default-Profil liegt sicher in C:\Users. Da gibt es Berechtigungsprobleme. Ändere das mal auf eine neu erstellte Partition:

Leg ein neues Laufwerk (z.B. K: ) an und kopiere alle Profile von C:\Users (auch versteckte) als Administrator nach K:\Users. Danach schreibst du in der Registry den Pfad zum Default-Profil um:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Profilelist\
Die drei Schlüssel ändern (Im Idealfall nur den Buchstaben ändern bzw. %SystemDrive% durch Buchstaben ersetzen - z.B. K:\Users\Default für den Default-Schlüssel):

Default
ProfilesDirectory
Public

Neustart und nochmal probieren.