9
Probleme beim Anlegen eines Benutzers in einer Samba 4 Domäne mit Windows 10 Clients
Hi,
ich habe ein Problem. Ich betreue eine Domäne in der ein Samba 4.2.10 auf einem Debian als DC fungiert. Die Clients wurden vor kurzem alle von Windows 7 auf Windows 10 aktualisiert und es werden Roaming Profiles verwendet. Jetzt habe ich aber ein Problem mit einem neuen Benutzer.
Der Benutzer wurde von mir über den Befehl samba-tools in Samba 4 angelegt. Des weiteren habe ich einen gleichnamigen Benutzer für den User im Debian erstellt und beide miteinander verknüpft.
Hier einmal die Schritte die ich ausgeführt habe um den User in Samba und Debian zu erstellen.
Wenn dieser Benutzer sich jetzt zum ersten mal an einem Windows 10 Client anmeldet, bekommt dieser die Fehlermeldung, dass das Userprofil nicht erstellt werden konnte, da angeblich die Berechtigungen fehlen. Navigiere ich jedoch über den Explorer zum Pfad des Roaming Profiles, zeigt mir das Windows das der Besitzer für diesen Ordner der Benutzer ist. Ich habe alle Rechte auf den Ordner und alles funktioniert; bis auf das laden des Profils.
Die Fehlermeldung in der Ereignisanzeige zeigt mehrere Fehler wie diesen:
Bekommt der Benutzer Adminrechte, lädt er sich das Profil ohne Fehler. Ich kann dem Benutzer dann auch ohne Probleme die Adminrechte wieder wegnehmen und das Profil synchronisiert sich bei an- und abmeldung.
ich habe ein Problem. Ich betreue eine Domäne in der ein Samba 4.2.10 auf einem Debian als DC fungiert. Die Clients wurden vor kurzem alle von Windows 7 auf Windows 10 aktualisiert und es werden Roaming Profiles verwendet. Jetzt habe ich aber ein Problem mit einem neuen Benutzer.
Der Benutzer wurde von mir über den Befehl samba-tools in Samba 4 angelegt. Des weiteren habe ich einen gleichnamigen Benutzer für den User im Debian erstellt und beide miteinander verknüpft.
Hier einmal die Schritte die ich ausgeführt habe um den User in Samba und Debian zu erstellen.
1.
#samba-tool user create USER--userou 'ou=USERS' --profile-path='\\SERVER\profile\USER' --home-drive 'Z:' --home-directory '\\SERVER\home\USER'
2.
adduser USER --home /home/USER
gid 1036
uid 1051
3.
wbinfo --name-to-sid USER
S-1-5-21-...
4.
ldbedit -e nano -H /var/lib/samba/private/sam.ldb objectsid=S-1-5-21-...
Hinzufügen von:
uidNumber: 1051
gidNumber: 1036Wenn dieser Benutzer sich jetzt zum ersten mal an einem Windows 10 Client anmeldet, bekommt dieser die Fehlermeldung, dass das Userprofil nicht erstellt werden konnte, da angeblich die Berechtigungen fehlen. Navigiere ich jedoch über den Explorer zum Pfad des Roaming Profiles, zeigt mir das Windows das der Besitzer für diesen Ordner der Benutzer ist. Ich habe alle Rechte auf den Ordner und alles funktioniert; bis auf das laden des Profils.
Die Fehlermeldung in der Ereignisanzeige zeigt mehrere Fehler wie diesen:
Die Datei \\?\UNC\SERVER\profile\USER.V6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.ini konnte nicht nach \\?\C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.ini kopiert werden. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.
Details - Zugriff verweigertBekommt der Benutzer Adminrechte, lädt er sich das Profil ohne Fehler. Ich kann dem Benutzer dann auch ohne Probleme die Adminrechte wieder wegnehmen und das Profil synchronisiert sich bei an- und abmeldung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 422104
Url: https://administrator.de/contentid/422104
Printed on: April 27, 2024 at 14:04 o'clock
9 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @os-benji:
Wenn dieser Benutzer sich jetzt zum ersten mal an einem Windows 10 Client anmeldet, bekommt dieser die Fehlermeldung, dass das Userprofil nicht erstellt werden konnte
Auf diesen Win 10 Rechner, in deiner Samba Domäne? Bedenke, der Benutzer meldet sich das allererste mal an. Da existiert dann noch nichts.Wenn dieser Benutzer sich jetzt zum ersten mal an einem Windows 10 Client anmeldet, bekommt dieser die Fehlermeldung, dass das Userprofil nicht erstellt werden konnte
da angeblich die Berechtigungen fehlen
Lokale Platte C:\ oder dein Speicherort aufm Server?konnte nicht nach \\?\C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Desktop.ini kopiert werden.
Woher stammen diese Daten und welche Rechte haben die, sowohl aufm Server als auch später im lokalen Benutzerprofil?Bekommt der Benutzer Adminrechte, lädt er sich das Profil ohne Fehler. Ich kann dem Benutzer dann auch ohne Probleme die Adminrechte wieder wegnehmen und das Profil synchronisiert sich bei an- und abmeldung.
Ja klar. Von welchem Rechner wurde das Roaming Profil angelegt?Gruß,
Peter
Zitat von @Pjordorf:
Auf diesen Win 10 Rechner, in deiner Samba Domäne? Bedenke, der Benutzer meldet sich das allererste mal an. Da existiert dann noch nichts.
Das ist unerheblich. Sobald sich der Benutzer an einer Windows 10 Maschine in der Domäne anmeldet welche noch keine lokale Kopie des Profils hat, schlägt dies mit besagter Fehlermeldung fehl.Auf diesen Win 10 Rechner, in deiner Samba Domäne? Bedenke, der Benutzer meldet sich das allererste mal an. Da existiert dann noch nichts.
Lokale Platte C:\ odein Speicherort aufm Server?
Das läst sich nicht genau sagen. Die Wahrscheinlichkeit liegt dabei eher auf Laufwerk C:\.Woher stammen diese Daten und welche Rechte haben die, sowohl aufm Server als auch später im lokalen Benutzerprofil?
Das sind die Profildaten des Benutzers. Der Benutzer ist Besitzer dieser Daten.Ja klar. Von welchem Rechner wurde das Roaming Profil angelegt?
Das Roaming Profil stammt von einem anderen User. Dieses wurde kopiert, umbenannt und der Besitz rekursiv an den neuen Benutzer übergeben. Der Rechner der das Profil erstellt hat, ist einer der Windows 10 Clients.
Moin,
Dann habt Ihr dabei vermutlich was falsch gemacht. Darauf reagiert Windows sehr empfindlich, wenn die Rechte nicht korrekt gesetzt sind.
<edit>Interessant wäre, was getfacl zu den Dateien sagt.</edit>
Liebe Grüße
Erik
Zitat von @os-benji:
Das Roaming Profil stammt von einem anderen User. Dieses wurde kopiert, umbenannt und der Besitz rekursiv an den neuen Benutzer übergeben. Der Rechner der das Profil erstellt hat, ist einer der Windows 10 Clients.
Das Roaming Profil stammt von einem anderen User. Dieses wurde kopiert, umbenannt und der Besitz rekursiv an den neuen Benutzer übergeben. Der Rechner der das Profil erstellt hat, ist einer der Windows 10 Clients.
Dann habt Ihr dabei vermutlich was falsch gemacht. Darauf reagiert Windows sehr empfindlich, wenn die Rechte nicht korrekt gesetzt sind.
<edit>Interessant wäre, was getfacl zu den Dateien sagt.</edit>
Liebe Grüße
Erik
Folgendes Ergebnis für das Profilverzeichnis
root@SERVER:/# getfacl /home/shares/profile/USER.V6/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: home/shares/profile/USER.V6/
# owner: USER
# group: users
user::rwx
user:USER:rwx
user:3000002:rwx
group::---
group:users:---
group:3000002:rwx
mask::rwx
other::---
default:user::rwx
default:user:USER:rwx
default:user:3000002:rwx
default:group::---
default:group:users:---
default:group:3000002:rwx
default:mask::rwx
default:other::---Als Vergleich der Desktop Folder des Benutzers
# file: Desktop
# owner: USER
# group: users
user::rwx
user:3000002:rwx
group::---
group:users:---
group:3000002:rwx
group:3000040:rwx
mask::rwx
other::---
default:user::rwx
default:user:3000002:rwx
default:user:3000040:rwx
default:group::---
default:group:users:---
default:group:3000002:rwx
default:group:3000040:rwx
default:mask::rwx
default:other::---
Moin,
Wie habt Ihr denn die Rechte rekursiv gesetzt? Mit setfacl oder mit Windows Klicki-Klicki? Mir scheint, dass die Rechte so nicht stimmen und es deshalb gegen die Wand läuft. Setze mal zum Vergleich ein getfacl bei einem User ab, bei dem es keine Probleme gibt.
Liebe Grüße
Erik
Zitat von @os-benji:
Folgendes Ergebnis für das Profilverzeichnis
Als Vergleich der Desktop Folder des Benutzers
Folgendes Ergebnis für das Profilverzeichnis
root@SERVER:/# getfacl /home/shares/profile/USER.V6/
> getfacl: Entferne führende '/' von absoluten Pfadnamen
> # file: home/shares/profile/USER.V6/
> # owner: USER
> # group: users
> user::rwx
> user:USER:rwx
> user:3000002:rwx
Welcher User ist das? Eigentlich darf nur der User, dem das Profil gehört, Rechte haben und die Gruppe der Administratoren, sofern das in den GPOs so konfiguriert wurde.
> group::---
> group:users:---
> group:3000002:rwx
Welche Gruppe ist das? Die der Admins? Aber eigentlich steht die da im Klartext.
> mask::rwx
> other::---
> default:user::rwx
> default:user:USER:rwx
> default:user:3000002:rwx
Hier auch wieder der unbekannte User.
> default:group::---
> default:group:users:---
> default:group:3000002:rwx
Und die unbekannte Gruppe.
> default:mask::rwx
> default:other::---
> Als Vergleich der Desktop Folder des Benutzers
# file: Desktop
> # owner: USER
> # group: users
> user::rwx
> user:3000002:rwx
Hier wieder.
> group::---
> group:users:---
> group:3000002:rwx
> group:3000040:rwx
Hier gleich zwei Gruppen, die Rechte haben.
> mask::rwx
> other::---
> default:user::rwx
> default:user:3000002:rwx
> default:user:3000040:rwx
Sieht richtig komisch aus, da hier defaults für einen User gesetzt werden, der oben nicht auftaucht.
> default:group::---
> default:group:users:---
> default:group:3000002:rwx
> default:group:3000040:rwx
Hier wieder die beiden Gruppen.
> default:mask::rwx
> default:other::---
> Wie habt Ihr denn die Rechte rekursiv gesetzt? Mit setfacl oder mit Windows Klicki-Klicki? Mir scheint, dass die Rechte so nicht stimmen und es deshalb gegen die Wand läuft. Setze mal zum Vergleich ein getfacl bei einem User ab, bei dem es keine Probleme gibt.
Liebe Grüße
Erik
Profilordner
Desktop
Die Rechte habe ich rekursiv mit Winscp vererbt.
3000040 ist die uid des Samba 4 Users von dem ich das Profil kopiert habe.
# file: user2.V6
# owner: user2
# group: users
user::rwx
user:user2:rwx
user:3000002:rwx
group::---
group:users:---
group:3000002:rwx
mask::rwx
other::---
default:user::rwx
default:user:user2:rwx
default:user:3000002:rwx
default:group::---
default:group:users:---
default:group:3000002:rwx
default:mask::rwx
default:other::---Desktop
# file: Desktop/
# owner: user2
# group: users
user::rwx
user:user2:rwx
user:3000002:rwx
group::---
group:users:---
group:3000002:rwx
mask::rwx
other::---
default:user::rwx
default:user:user2:rwx
default:user:3000002:rwx
default:group::---
default:group:users:---
default:group:3000002:rwx
default:mask::rwx
default:other::---Die Rechte habe ich rekursiv mit Winscp vererbt.
3000040 ist die uid des Samba 4 Users von dem ich das Profil kopiert habe.
Ooops, meine Kommentare zu dem ersten Ergebnis von getfacl sind in den Code mit reingerutscht. Macht aber auch nichts. 
Wie Du siehst, sind bei dem User, der funktioniert, folgende Einträge nicht vorhanden:
Das wird es wahrscheinlich sein. Nimm die mal raus und probiere, ob es dann geht.
Das solltest Du nicht machen. Da die Linux-ACLs nicht komplett identisch sind mit den NTFS-ACLs, gibt das immer wieder Ärger, weil irgendwelche Einträge nicht richtig gesetzt oder nicht entfernt werden. Deshalb setzen wir die Rechte hier grundsätzlich nur mit setfacl und nie mit Windows-Bordmitteln bzw. Windows-Tools.
Wie Du siehst, sind bei dem User, der funktioniert, folgende Einträge nicht vorhanden:
group:3000040:rwx
default:user:3000040:rwx
default:group:3000040:rwxDas wird es wahrscheinlich sein. Nimm die mal raus und probiere, ob es dann geht.
Die Rechte habe ich rekursiv mit Winscp vererbt.
Das solltest Du nicht machen. Da die Linux-ACLs nicht komplett identisch sind mit den NTFS-ACLs, gibt das immer wieder Ärger, weil irgendwelche Einträge nicht richtig gesetzt oder nicht entfernt werden. Deshalb setzen wir die Rechte hier grundsätzlich nur mit setfacl und nie mit Windows-Bordmitteln bzw. Windows-Tools.
Hallo,
Das ist nicht gut, gar nicht gut. Benutzergespeicherte Profile (Roamin Profile) ist einem Benutzer zugeordnet, nicht einem Rechner oder einer Gruppe von Benutzern. MS nimmt keine Rücksicht darauf ob du einen Windows Server oder eine Samba Installation hast. Im Benutzerprofil, Lokal auf den Client, ist alles was zum Profil gehört drin. Dazu zählen nicht nur Daten, Dateien, sondern auch die Benutzereinstellungen welche sich in der Windows Registrierung befinden. Und nicht nur dort befinden sich Daten, Einstellungen welche sich auf ganz bestimmte Pfade usw. beziehen. Wenn also der Benutzer sich Rudolf benennt, ist selbst nach einen Benutzerrename (aus Rudolf wird Paul) immer noch sein Profil in C:\Users\Rudolf zu finden. Und wenn jetzt dieses Profil für Maria kopiert und abgelegt wird, versucht Maria eben einiges in Rudolf zu Öffnen, Lesen, Löschen usw. Nun frag dich wer welche Rechte wo hat? Vielleicht hilft dir ja dies hier?
PS: Weil Benutzerprofile eben soooo einfach sind, kann MS die bis heute nicht Reparieren
Gruß,
Peter
Das ist nicht gut, gar nicht gut. Benutzergespeicherte Profile (Roamin Profile) ist einem Benutzer zugeordnet, nicht einem Rechner oder einer Gruppe von Benutzern. MS nimmt keine Rücksicht darauf ob du einen Windows Server oder eine Samba Installation hast. Im Benutzerprofil, Lokal auf den Client, ist alles was zum Profil gehört drin. Dazu zählen nicht nur Daten, Dateien, sondern auch die Benutzereinstellungen welche sich in der Windows Registrierung befinden. Und nicht nur dort befinden sich Daten, Einstellungen welche sich auf ganz bestimmte Pfade usw. beziehen. Wenn also der Benutzer sich Rudolf benennt, ist selbst nach einen Benutzerrename (aus Rudolf wird Paul) immer noch sein Profil in C:\Users\Rudolf zu finden. Und wenn jetzt dieses Profil für Maria kopiert und abgelegt wird, versucht Maria eben einiges in Rudolf zu Öffnen, Lesen, Löschen usw. Nun frag dich wer welche Rechte wo hat? Vielleicht hilft dir ja dies hier?
Dieses wurde kopiert, umbenannt und der Besitz rekursiv an den neuen Benutzer übergeben
Da sind deine Probleme noch viel größer...PS: Weil Benutzerprofile eben soooo einfach sind, kann MS die bis heute nicht Reparieren
Gruß,
Peter
Ich habe das Profil jetzt einfach einmal neu aufgesetzt und darauf geachtet das die ACLs passen, das ist einfacher. Die Benutzerbezogenen Daten werde ich einfach ganz klassisch per USB übertragen.