5
Probleme bei Benutzerprofilen
Hallo! hab einige probleme bei meiner Konfiguration des Windows 2003 servers:
1.)
Ich habe für eine bestimmte gruppe im AD ein sehr eingeschränktes, mandatory profil erstellt, und jedem user dieses auch in den properties bei profil eingetragen.
Stimmt das eh, dass ich ein Profil auf den Server bekomme, indem ich mich an der client maschine lokal als admin anmelde, bei System under erweitert -> Profile das gewünschte profil auswähle und dann "kopieren nach" clicke?
Das problem ist nämlich, dass nur der user, dessen profil ich so kopiert habe, das profil auch korrekt laden kann. alle anderen user laden irgendein profil (nicht einmal die richtlinien greifen mehr). ich könnte mir vorstellen, dass hier das default user profil des servers geladen wird...?
Muss ich da wirklich für jeden user diese prozedur mit "kopieren nach" durchlaufen?
Ich finde einfach keine passende lösung die funktioniert!
2.)
eine Richtlinie soll die anzahl der Fehlversuche beim login limitieren. wenn diese anzahl überschritten wird, möchte ich das konto sperren.
was gibt es da für eine richtlinie? ich finde sie einfach nicht
grüße michael
1.)
Ich habe für eine bestimmte gruppe im AD ein sehr eingeschränktes, mandatory profil erstellt, und jedem user dieses auch in den properties bei profil eingetragen.
Stimmt das eh, dass ich ein Profil auf den Server bekomme, indem ich mich an der client maschine lokal als admin anmelde, bei System under erweitert -> Profile das gewünschte profil auswähle und dann "kopieren nach" clicke?
Das problem ist nämlich, dass nur der user, dessen profil ich so kopiert habe, das profil auch korrekt laden kann. alle anderen user laden irgendein profil (nicht einmal die richtlinien greifen mehr). ich könnte mir vorstellen, dass hier das default user profil des servers geladen wird...?
Muss ich da wirklich für jeden user diese prozedur mit "kopieren nach" durchlaufen?
Ich finde einfach keine passende lösung die funktioniert!
2.)
eine Richtlinie soll die anzahl der Fehlversuche beim login limitieren. wenn diese anzahl überschritten wird, möchte ich das konto sperren.
was gibt es da für eine richtlinie? ich finde sie einfach nicht
grüße michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33483
Url: https://administrator.de/contentid/33483
Printed on: April 16, 2024 at 10:04 o'clock
5 Comments
Latest comment
Hi m1cha3l, wenn ich dich richtig verstehe, möchtest du ein Default User Profil auf dem Server ablegen, dass für jedes Benutzerkonto als Referenz gezogen wird. In diesem Fall dürfen die Benutzer über kein Profil verfügen, bis dies eingespielt wurde. Erst dann kannst du den Benutzer anmelden um sein Profil erstellen zu lassen mit der Referenz auf das Default User Profil in der Domäne.
Stelle eine administrative Verbindung mit dem Domänencontroller her.
Um dies zu erstellen solltest du dich mit einem x-beliebigen Benutzernamen an einem Client anmelden. Dieses Profil wird nach deinen Vorgaben abgeändert. Melde dich ab und unter dem Administratorkonto an. Dort gehst du auf
Markiere den Benutzer mit dem geänderten Profil und sage
Wichtig ist die zusätzliche Angabe des Ordners
Somit hast du nun in der Freigabe
Stelle eine administrative Verbindung mit dem Domänencontroller her.
Um dies zu erstellen solltest du dich mit einem x-beliebigen Benutzernamen an einem Client anmelden. Dieses Profil wird nach deinen Vorgaben abgeändert. Melde dich ab und unter dem Administratorkonto an. Dort gehst du auf
Arbeitsplatz -> Eigenschaften -> Erweitert -> Benutzerprofile (Einstellungen).Markiere den Benutzer mit dem geänderten Profil und sage
Kopieren nach (\\servername\NETLOGON\Default User). Zusätzlich vergibst du die Berechtigung für die Gruppe Jeder.Wichtig ist die zusätzliche Angabe des Ordners
Default User, da nur der Inhalt des Profils kopiert wird.Somit hast du nun in der Freigabe
NETLOGON das Verzeichnis Default User. Diese Freigabe dient immer als Referenz für Profile an den Clients.
Hallo
Zu der Richtlinie, die du brauchst: Diese heisst "Kontensperrungsschwelle", diese musst du in der Default Domain Policy unter Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Kontorichtlinien --> Kontosperrungsrichtlinien definieren.
Wegen dem Mandatory Profil: Wenn du das allen Benutzern richtig eingerichtet hast, und alle auch mind. Leserechte auf das Profil-Verzeichnis haben, müsste es eigentlich gehen. Wie ein Profil auf den Server kopiert wird, wurde hier ja schon erwähnt...
greetz
whitefox
Zu der Richtlinie, die du brauchst: Diese heisst "Kontensperrungsschwelle", diese musst du in der Default Domain Policy unter Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Kontorichtlinien --> Kontosperrungsrichtlinien definieren.
Wegen dem Mandatory Profil: Wenn du das allen Benutzern richtig eingerichtet hast, und alle auch mind. Leserechte auf das Profil-Verzeichnis haben, müsste es eigentlich gehen. Wie ein Profil auf den Server kopiert wird, wurde hier ja schon erwähnt...
greetz
whitefox
aber wenn ich das profil in den netlogon ordner kopiere, dann wird es ja für jeden user der domäne geladen oder?
es soll aber nur für eine OU in der domäne gelten, die anderen OUs sollen davon nicht betroffen sein. Oder geht es, wenn ich einfach nur für die gruppen in der entsprechenden OU Leseberechtiung einstelle und die anderen OUs nicht lesen dürfen?
es soll aber nur für eine OU in der domäne gelten, die anderen OUs sollen davon nicht betroffen sein. Oder geht es, wenn ich einfach nur für die gruppen in der entsprechenden OU Leseberechtiung einstelle und die anderen OUs nicht lesen dürfen?
Das Default User Profil im Netlogon ist für alle Domänen-Benutzer, die kein serverbasiertes Profil definiert haben. Es ist ähnlich wie Default User lokal auf dem Client, aber das Default User im Netlogon gilt VOR dem lokalen, zumindest für Domänen-Benutzer.
Das hat also nix mit OUs zu tun. Kopier doch das Profil, welches du willst, in eine Freigabe (am besten unsichtbar mit $ am schluss) auf dem Server, und gib diesen Pfad bei allen Benutzern an (Profilpfad in den Konto-Eigenschaften), dann sollten diese in Zukunft dieses Profil verwenden. Wie schon erwähnt sind die Berechtigungen auf die Freigabe (natürlich auch NTFS Berechtigungen) entscheidend, sonst kann das Profil nicht geladen werden, und es wird wieder vom Default User ein Profi erstellt...
whitefox
Das hat also nix mit OUs zu tun. Kopier doch das Profil, welches du willst, in eine Freigabe (am besten unsichtbar mit $ am schluss) auf dem Server, und gib diesen Pfad bei allen Benutzern an (Profilpfad in den Konto-Eigenschaften), dann sollten diese in Zukunft dieses Profil verwenden. Wie schon erwähnt sind die Berechtigungen auf die Freigabe (natürlich auch NTFS Berechtigungen) entscheidend, sonst kann das Profil nicht geladen werden, und es wird wieder vom Default User ein Profi erstellt...
whitefox
Verwende einfach die entsprechende Gruppe beim Kopiervorgang anstatt
Jeder