9
Problem mit dsadd user und Homeverzeichnis
Servus,
ich hab ms server 2008 aufgesetzt, domäne eingerichtet, Ordner für Profile und Homeverzeichnisse erstellt, freigegeben und Rechte so vergeben, das alles perfekt funktioniert, solange ich im AD einen Benutzer per Hand erstelle.
Da ich aber mehrere Benutzer einlesen will, habe ich mir eine kleine Batch-Datei geschrieben, die mir einen Benutzer mit Profilpfad, Loginsript und Homeverzeichnis erstellt. Diese funktioniert auch einwandfrei. Der Benutzer erscheint im AD an der richtigen Stelle. Die Einstellungen in Konto und Profil sind auch so, wie ich sie per Hand einstelle.
Jetzt das Problem: Erstelle ich den Benutzer per Hand, wird das Homeverzeichnis beim ersten Anmelden des Benutzers erstellt, lese ich ihn per Batchdatei ein, geht es nicht.
Vielen Dank für die hoffentlich zahlreichen Anregungen!
Hier meine Batchdatei:
@echo off
rem AD-Struktur: Anwender\Lehrer
rem Einstellungen
set server=\\192.168.100.200
set dc1=schule
set dc2=local
set profilpfad=\Profile\Lehrer\
set profil=Standardprofil
set loginscript=login.bat
set homelaufwerk=z:
set homepfad=\Home\Lehrer\
rem Erstellen
dsadd User "CN=%1,OU=Lehrer,OU=Anwender,DC=%dc1%,DC=%dc2% " -hmdir %server%%homepfad%%1 -profile %server%%profilpfad%%profil% -hmdrv %homelaufwerk% -loscr %loginscript% -upn %1 -pwd %2 -samid %1 -display %1 -mustchpwd yes -canchpwd yes -reversiblepwd no -pwdneverexpires no -disabled no
ich hab ms server 2008 aufgesetzt, domäne eingerichtet, Ordner für Profile und Homeverzeichnisse erstellt, freigegeben und Rechte so vergeben, das alles perfekt funktioniert, solange ich im AD einen Benutzer per Hand erstelle.
Da ich aber mehrere Benutzer einlesen will, habe ich mir eine kleine Batch-Datei geschrieben, die mir einen Benutzer mit Profilpfad, Loginsript und Homeverzeichnis erstellt. Diese funktioniert auch einwandfrei. Der Benutzer erscheint im AD an der richtigen Stelle. Die Einstellungen in Konto und Profil sind auch so, wie ich sie per Hand einstelle.
Jetzt das Problem: Erstelle ich den Benutzer per Hand, wird das Homeverzeichnis beim ersten Anmelden des Benutzers erstellt, lese ich ihn per Batchdatei ein, geht es nicht.
Vielen Dank für die hoffentlich zahlreichen Anregungen!
Hier meine Batchdatei:
@echo off
rem AD-Struktur: Anwender\Lehrer
rem Einstellungen
set server=\\192.168.100.200
set dc1=schule
set dc2=local
set profilpfad=\Profile\Lehrer\
set profil=Standardprofil
set loginscript=login.bat
set homelaufwerk=z:
set homepfad=\Home\Lehrer\
rem Erstellen
dsadd User "CN=%1,OU=Lehrer,OU=Anwender,DC=%dc1%,DC=%dc2% " -hmdir %server%%homepfad%%1 -profile %server%%profilpfad%%profil% -hmdrv %homelaufwerk% -loscr %loginscript% -upn %1 -pwd %2 -samid %1 -display %1 -mustchpwd yes -canchpwd yes -reversiblepwd no -pwdneverexpires no -disabled no
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137568
Url: https://administrator.de/contentid/137568
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
9 Kommentare
Neuester Kommentar
Ich begebe mich jetzt auf etwas dünnes Eis, aber ich glaube mich zu erinner, daß in der interaktiven Erstellung alle Grundrechte und Gruppenmitgliedschaften schon gesetzt werden, mit DSAdd jedoch nicht...und das Recht "darf sich ANMELDEN" (zumindest sinngemäss) muss erst noch vergeben werden bevor das alles hinhaut.
Hallo, wie kann man das Recht "darf sich anmelden" per Kommandozeile vergeben?
Zitat von @derlehrer:
Hallo, wie kann man das Recht "darf sich anmelden" per Kommandozeile vergeben?
Was denn nun? Wird beim Anmelden das Verzeichnis nicht erstellt oder kann sich der Benutzer gar nicht erst anmelden?Hallo, wie kann man das Recht "darf sich anmelden" per Kommandozeile vergeben?
Mahlzeit, ich schon wieder. Neue Erkenntnisse habe ich nicht, aber vielleicht einen Ansatz zur Fehlersuche. Ich habe mir mal deine Batch geklaut und ein bisschen getestet.
1. Meine Vermutung mit dem Recht anmelden ist es wahrscheinlich nicht, zumindest nicht direkt verantwortlich.
2. Ich hab mir für die per Kommandozeile erstellten Benutzer und für die per Assi erstellten Benutzer mal die erweiterten Zugriffsrechte angesehen. Die sind soweit identisch. Dabei ist mir allerdings aufgefallen, daß die Anmeldenamen unterschiedlich sind. Per DsAdd erstellte Benutzernamen tragen solch lustige Namen wie "ich(ich)", während ein über den Assi erstellter Benutzer den Anmeldenamen "du(du@huehnerstall.zuhause)" trägt. Aus irgendeinem Grund, bei dem ich noch am basteln bin, wird der Benutzerprinzipalname nicht im Konto eingetragen und somit können sich diese Benutzer nicht anmelden und die Verzeichnisse werden nicht erzeugt. Versuche, den Benutzer gleich mit korrektem UPN zu erzeugen, schlugen mit Fehlermeldung fehl.
PS: nicht wundern, musste deine Batch auf meine Test-Domäne umstricken, deswegen der komische Domänenname^^
1. Meine Vermutung mit dem Recht anmelden ist es wahrscheinlich nicht, zumindest nicht direkt verantwortlich.
2. Ich hab mir für die per Kommandozeile erstellten Benutzer und für die per Assi erstellten Benutzer mal die erweiterten Zugriffsrechte angesehen. Die sind soweit identisch. Dabei ist mir allerdings aufgefallen, daß die Anmeldenamen unterschiedlich sind. Per DsAdd erstellte Benutzernamen tragen solch lustige Namen wie "ich(ich)", während ein über den Assi erstellter Benutzer den Anmeldenamen "du(du@huehnerstall.zuhause)" trägt. Aus irgendeinem Grund, bei dem ich noch am basteln bin, wird der Benutzerprinzipalname nicht im Konto eingetragen und somit können sich diese Benutzer nicht anmelden und die Verzeichnisse werden nicht erzeugt. Versuche, den Benutzer gleich mit korrektem UPN zu erzeugen, schlugen mit Fehlermeldung fehl.
PS: nicht wundern, musste deine Batch auf meine Test-Domäne umstricken, deswegen der komische Domänenname^^
Servus,
danke für die vielen Antworten.
@RedRabbit: Danke für das Testen! Das mit dem upn ist mir auch aufgefallen und ich habe es in der Batch mit - upn %1@%dc1%.%dc2% gefixt. Brachte leider keine Verbesserung, außer dass im Konto nun Lehrerxy@schule.local steht.
Ich habe aber das Problem selbst gelöst, indem ich in der Batch mit md %server%%homepfad%%1 das Homeverzeichnis erstellen lasse und im login-Script mit net use z:[Pfad]\%username% mappe.
Nun funktioniert alles tadellos. Ich bin aber trotzdem nicht zufrieden, weil es ja das Problem nur umgeht. Aber in der Not frisst der Teufel Fliegen....
danke für die vielen Antworten.
@RedRabbit: Danke für das Testen! Das mit dem upn ist mir auch aufgefallen und ich habe es in der Batch mit - upn %1@%dc1%.%dc2% gefixt. Brachte leider keine Verbesserung, außer dass im Konto nun Lehrerxy@schule.local steht.
Ich habe aber das Problem selbst gelöst, indem ich in der Batch mit md %server%%homepfad%%1 das Homeverzeichnis erstellen lasse und im login-Script mit net use z:[Pfad]\%username% mappe.
Nun funktioniert alles tadellos. Ich bin aber trotzdem nicht zufrieden, weil es ja das Problem nur umgeht. Aber in der Not frisst der Teufel Fliegen....
Zitat von @derlehrer:
Ich habe aber das Problem selbst gelöst, indem ich in der Batch mit md %server%%homepfad%%1 das Homeverzeichnis erstellen
lasse und im login-Script mit net use z:[Pfad]\%username% mappe.
Ich habe aber das Problem selbst gelöst, indem ich in der Batch mit md %server%%homepfad%%1 das Homeverzeichnis erstellen
lasse und im login-Script mit net use z:[Pfad]\%username% mappe.
Äh, du hast das Problem selbst gelöst?
Nimm es mir nicht übel, aber es wäre schöner, bei der Wahrheit zu bleiben. Frank/Cybquest hat dir ja bereits am 04.03. dazu geraten.
Kopfschüttelnd
Stephan
@Stephan.Betken
Sei mir nicht böse, aber scheinbar treiben sich in diesen Foren außer RedRabbit (danke nochmals) nur irgendwelche Blender herum, die nichts tun außer komplizierte Behauptungen ohne Ahnung aufzustellen, um scheinbar Hilfesuchende als dumm, sich selbst als den Oberchecker hinzustellen. Zum Beweis der Dialog mit Frank/Cybquest aus einem anderen Forum, auf das du wohl anspielst:
Frank/Cybquest 4.3:
Hallo und Willkommen,
dsadd legt m.W. kein Verzeichnis an. D.h. das müsstest Du schon in der Batchdatei mit erledigen.
Mittels "md" Verzeichnis anlegen und mit "xcacls" entsprechende Berechtigungen setzen.
Alternativ würde sich anbieten, das Ganze mit Powershell zu machen.
Ich 4.3:
Man könnte in der Batch per md die Verzeichnisse anlegen und dann im login-script mappen. Nur ist dann der Ersteller - Besitzer nicht der User und somit wirds mit den Rechten ein Problem, wenn man haben will, das nur der User Zugriff auf sein Home haben soll.
Übrigens kann die Lösung eines Problems nicht sein, dass man das Problem umgeht und verdrängt.
Frank/Cybquest 4.3:
Entweder reden wir aneinander vorbei, oder ich versteh was falsch...
Dass dsadd die von Dir gewünschte Funktion eben einfach nicht hat, hat nix mit Problem umgehen zu tun.
Im Loginscript müssen die Laufwerke nicht gemappt werden. Nur das md vor dem dsadd ausführen.
Und, wie oben erwähnt, kannst Du die Berechtigungen mit xcalcs setzen.
Oder das Ganze, wie ebenfalls schon erwähnt, mit Powershell scripten.
Im weiteren Verlauf der Diskussion wurde sich nur noch über mich lustig gemacht....
Nachzulesen unter: http://www.mcseboard.de/windows-forum-scripting-71/problem-dsadd-user-h ...
Fakt ist:
Mir wurde nicht erklärt wie man die Verzeichnisse erzeugt.
Man braucht kein xcalcs, man kann die Rechte auch manuel setzen (wie werde ich nicht schreiben, da ich wieder beschuldigt werde, es nachgemacht zu haben).
Man braucht kein Powershell.
Man MUSS im loginscript die Laufwerke mappen.
Das musste ich mir von der Seele schreiben. Nur um mal wirklich bei der Wahrheit zu bleiben, lieber Stephan.
Sag deinem Kumpel Frank/Cybquest einen schönen Gruß und haltet euch halt einfach raus, wenn ihr nicht zur Lösung eines Problems beintragen wollt oder könnt.
Sei mir nicht böse, aber scheinbar treiben sich in diesen Foren außer RedRabbit (danke nochmals) nur irgendwelche Blender herum, die nichts tun außer komplizierte Behauptungen ohne Ahnung aufzustellen, um scheinbar Hilfesuchende als dumm, sich selbst als den Oberchecker hinzustellen. Zum Beweis der Dialog mit Frank/Cybquest aus einem anderen Forum, auf das du wohl anspielst:
Frank/Cybquest 4.3:
Hallo und Willkommen,
dsadd legt m.W. kein Verzeichnis an. D.h. das müsstest Du schon in der Batchdatei mit erledigen.
Mittels "md" Verzeichnis anlegen und mit "xcacls" entsprechende Berechtigungen setzen.
Alternativ würde sich anbieten, das Ganze mit Powershell zu machen.
Ich 4.3:
Man könnte in der Batch per md die Verzeichnisse anlegen und dann im login-script mappen. Nur ist dann der Ersteller - Besitzer nicht der User und somit wirds mit den Rechten ein Problem, wenn man haben will, das nur der User Zugriff auf sein Home haben soll.
Übrigens kann die Lösung eines Problems nicht sein, dass man das Problem umgeht und verdrängt.
Frank/Cybquest 4.3:
Entweder reden wir aneinander vorbei, oder ich versteh was falsch...
Dass dsadd die von Dir gewünschte Funktion eben einfach nicht hat, hat nix mit Problem umgehen zu tun.
Im Loginscript müssen die Laufwerke nicht gemappt werden. Nur das md vor dem dsadd ausführen.
Und, wie oben erwähnt, kannst Du die Berechtigungen mit xcalcs setzen.
Oder das Ganze, wie ebenfalls schon erwähnt, mit Powershell scripten.
Im weiteren Verlauf der Diskussion wurde sich nur noch über mich lustig gemacht....
Nachzulesen unter: http://www.mcseboard.de/windows-forum-scripting-71/problem-dsadd-user-h ...
Fakt ist:
Mir wurde nicht erklärt wie man die Verzeichnisse erzeugt.
Man braucht kein xcalcs, man kann die Rechte auch manuel setzen (wie werde ich nicht schreiben, da ich wieder beschuldigt werde, es nachgemacht zu haben).
Man braucht kein Powershell.
Man MUSS im loginscript die Laufwerke mappen.
Das musste ich mir von der Seele schreiben. Nur um mal wirklich bei der Wahrheit zu bleiben, lieber Stephan.
Sag deinem Kumpel Frank/Cybquest einen schönen Gruß und haltet euch halt einfach raus, wenn ihr nicht zur Lösung eines Problems beintragen wollt oder könnt.
Hallo,
es geht doch hier nicht um Anschuldigungen oder dergleichen. Aber leider empfand ich deine Aussage nur als die halbe Wahrheit. Es ging übrigens darum, dir auch andere Möglichkeiten aufzuzeigen. Denn, wie du ja jetzt gemerkt hast, hat es nicht so funktioniert wie von dir ursprünglich angedacht. Es geht darum, Lösungen zu finden, aber wenn du sowohl hier wie auch in dem anderen Forum die freiwilligen Helfer als Blender bezeichnest, dann solltest du mal darüber nachdenken, dass du kostenlose Hilfe erwartest. Es steht dir doch frei, einen kompetenten Dienstleister zu beauftragen. Der könnte dir dann auch erklären, warum die Aussage, dass die Laufwerke im Loginskript verbunden werden müssen falsch ist.
Übrigens sind zwei der "Blender" die an deinem Thread beteiligt waren langjährige MVPs. Und beim Thema Scripting ist Frank schon der richtige Ansprechpartner. Aber ich richte es ihm natürlich gerne aus.
Aber du solltest dabei nicht vergessen, dass du keinerlei Alternativvoschläge angenommen hast und selbst deine Sturheit eingeräumt hast.
Mehr zum Thema MVP:
http://de.wikipedia.org/wiki/Microsoft_MVP
http://mvp.support.microsoft.com/?ln=de
Ich glaube doch, dass du vielleicht etwas vorschnell urteilst. Wenn ein Nick zutreffen sollte, dann ist das etwas, was eigentlich nicht passieren dürfte!
es geht doch hier nicht um Anschuldigungen oder dergleichen. Aber leider empfand ich deine Aussage nur als die halbe Wahrheit. Es ging übrigens darum, dir auch andere Möglichkeiten aufzuzeigen. Denn, wie du ja jetzt gemerkt hast, hat es nicht so funktioniert wie von dir ursprünglich angedacht. Es geht darum, Lösungen zu finden, aber wenn du sowohl hier wie auch in dem anderen Forum die freiwilligen Helfer als Blender bezeichnest, dann solltest du mal darüber nachdenken, dass du kostenlose Hilfe erwartest. Es steht dir doch frei, einen kompetenten Dienstleister zu beauftragen. Der könnte dir dann auch erklären, warum die Aussage, dass die Laufwerke im Loginskript verbunden werden müssen falsch ist.
Übrigens sind zwei der "Blender" die an deinem Thread beteiligt waren langjährige MVPs. Und beim Thema Scripting ist Frank schon der richtige Ansprechpartner. Aber ich richte es ihm natürlich gerne aus.
Aber du solltest dabei nicht vergessen, dass du keinerlei Alternativvoschläge angenommen hast und selbst deine Sturheit eingeräumt hast.
Mehr zum Thema MVP:
http://de.wikipedia.org/wiki/Microsoft_MVP
http://mvp.support.microsoft.com/?ln=de
Ich glaube doch, dass du vielleicht etwas vorschnell urteilst. Wenn ein Nick zutreffen sollte, dann ist das etwas, was eigentlich nicht passieren dürfte!
Zum externen Dienstleiser: Ja, ich bin Lehrer. Leider weigert sich der Sachaufwandsträger einen kompetenten Dienstleiser zu beauftragen, da der zu viel Geld kostet. So muss ich das nebenbei umsonst machen.
Wenn ihr solche Fachmänner seid, wie ihr behauptet, warum muss dann ein kleiner unwissender Lehrer nun euch überzeugen, dass das Homelaufwerk bei meiner Lösung im Loginskript verbunden werden muss?
Ich kann leider nicht erkennen, wo ihr Fachmänner mir irgendeine kostenlose Hilfe gewesen seid.
Warum probiert ihr das Script nicht in einer Testumgebung aus, wie es ja RedRabbit getan hat? Sollte für einen Fachmann ein Zeitaufwand von 5 min sein. Dann würdet ihr erkennen, dass das Laufwerk gemappt werden muss....
Es ist ja in Ordnung, dass ihr das nicht könnt oder wollt. Aber haltet euch dann doch einfach raus. Und behauptet nicht, dass das Problem von einem anderen gelöst wurde.
Ich bin immer noch nicht zufrieden mit meiner Lösung, da ich die Batch vor etwa einem Jahr auf einem Testsystem mit Server 2003 entwickelt hatte. Dort lief sie einwandfrei. Leider habe ich zu diesem System keinen Zugang mehr. Ich programmierte schon auf einem zx81. Dort ging es nicht um die Funktion des Programms, sondern um das Programmieren an sich. Freilich hat meine Lösung die von mir gewünschte Funktion. Ich bin aber immernoch Idealist und nicht Pragmatiker. Ich möchte verstehen, warum die einfache Variante nicht funktioniert. Aber das verstehen wohl solche Fachmänner wie ihr nicht!
Wenn ihr solche Fachmänner seid, wie ihr behauptet, warum muss dann ein kleiner unwissender Lehrer nun euch überzeugen, dass das Homelaufwerk bei meiner Lösung im Loginskript verbunden werden muss?
Ich kann leider nicht erkennen, wo ihr Fachmänner mir irgendeine kostenlose Hilfe gewesen seid.
Warum probiert ihr das Script nicht in einer Testumgebung aus, wie es ja RedRabbit getan hat? Sollte für einen Fachmann ein Zeitaufwand von 5 min sein. Dann würdet ihr erkennen, dass das Laufwerk gemappt werden muss....
Es ist ja in Ordnung, dass ihr das nicht könnt oder wollt. Aber haltet euch dann doch einfach raus. Und behauptet nicht, dass das Problem von einem anderen gelöst wurde.
Ich bin immer noch nicht zufrieden mit meiner Lösung, da ich die Batch vor etwa einem Jahr auf einem Testsystem mit Server 2003 entwickelt hatte. Dort lief sie einwandfrei. Leider habe ich zu diesem System keinen Zugang mehr. Ich programmierte schon auf einem zx81. Dort ging es nicht um die Funktion des Programms, sondern um das Programmieren an sich. Freilich hat meine Lösung die von mir gewünschte Funktion. Ich bin aber immernoch Idealist und nicht Pragmatiker. Ich möchte verstehen, warum die einfache Variante nicht funktioniert. Aber das verstehen wohl solche Fachmänner wie ihr nicht!
