viper-berlin
Goto Top

Profiles default Berechtigungen Freigabe und NTFS für W2K Server Adv

Also wir haben einen neuen W2K Server und wollen auf D:\Profiles$ die Benutzerprofiele ablegen
so das kein User in den Userprofilen des anderen rumschmaddern kann zur zeit ist das noch ein leeres Verzeichnis

wie sind die default Berechtigungen für dieses Verzeichnis D:\Profiles$ ? ich weis nicht ob die stimmen

NTFS: ? + Vererbung ?

Freigabeberechtigung: ?

Gibt es irgend wo Tabellen von MS wo man schauen kann ???

Danke

Content-ID: 105497

Url: https://administrator.de/contentid/105497

Ausgedruckt am: 25.11.2024 um 15:11 Uhr

eicky2007
eicky2007 08.01.2009 um 21:59:00 Uhr
Goto Top
Hi Viper,

ich arbeite mit folgenden Settings auf der obersten Ebene für servergespeicherte Benutzerprofile:

Administratoren und SYSTEM: Vollzugriff für diesen Ordner, Unterordner und Dateien...
Domänen-Benutzer: Lesen und Ausführen + Ordner erstellen für "Nur diesen Ordner"

So kannst du als Admin bzw. als System die Profile sichern und der Benutzer kann bei der ersten Anmeldung seinen Ordner anlegen, auf den die NTFS-Berechtigungen eh neu gesetzt werden, sodass er dort Vollzugriff auf SEINEN Ordner hat.

Die Empfehlung von Microsoft (etwas abweichend von obiger Konstellation) findest du hier:
http://technet.microsoft.com/en-us/library/cc757013.aspx

Zu beachten wäre für die Sicherung als Admin noch, dass du per Gruppenrichtlinie regeln musst, dass Benutzer nicht exklusive Zugriffsrechte auf Ihr Profil bekommen:

[Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile]
Sicherheitsgruppe "Administratoren" zu servergespeicherten Benutzerprofilen hinzufügen

Viele Grüße,

Eicky
Hannes-Schurig
Hannes-Schurig 08.01.2009 um 22:41:57 Uhr
Goto Top
Willkommen in der Community, Viper.

Gut beschrieben von eicky, würde nur noch ein paar Hintergedanken erwähnen, die du dir vielleicht auch alle schon gemacht hast:

- Welche Ordner werden auf dem Server gespeichert, welche Ordner sollen vielleicht ausgeschlossen werden?
Denn wenn z.B. der komplette Temporary Inet Files Ordner und andere Ordner/Dateien dieser Größe beim Runterfahren synchronisiert werden kann das sowohl das Synchronisieren der Daten in die Länge ziehen als auch den Server zumüllen (je nach Mitarbeiteranzahl und Festplattengröße).
Dafür gibts dann die Features 'Folgende Verzeichnisse vom servergespeicherten Profil ausschließen' (ggf. siehe Google).

- Ist ein Backup gewährleistet?
Die meisten Benutzer, die sich an servergespeicherte Profile gewöhnen, können ziemlich zickig werden, wenn es mal zu einem Ausfall mit Datenverlust kommt. Monatelang hatten sie immer ihre aktuellen persönlichen Daten an jedem Computer und nun müssen sie (im schlimmsten Falle) von Vorn anfangen. Daher ist ein Backup unerlässlich und vorher sollte man sich recht genau überlegen wann, wie und wo das ausgeführt werden kann. Bei den heutigen Preisen reicht ja eine externe Platte für nen paar Euronen um dieses Problem schon fast zu lösen.

- Etwaigen Speicherverbrauch einkalkulieren
Vielleicht kannst du über ein GPO eine batch Datei (oder etwas anderes) verteilen, dass auf allen Rechnern beim nächsten Start die größe des Profils / der Profile ausliest und in eine zentrale Log-Datei auf einem Netzlaufwerk einschreibt. Dann hast du nach 1-4 Tagen die größe aller Profilordner, die bald z.T. auf dem Server liegen werden und kannst dir ein detailierteres Bild darüber machen.
Weißt du, dass u.A. sehr große Profile bei Mitarbeitern (z.B. bei wissenschaftlichen- oder Bildungsforschungsbereichen) existieren, überlege die Funktion 'Profilgröße beschränken' zu nutzen. Hängt natürlich von der Plattenkapazität des Servers ab.

- 'Maximale Wiederholungsversuche zum Entladen und Aktualisieren des Benutzerprofils' erhöhen
Manche Administratoren bevorzugen einen Wert von 80-100 bei dieser Option, gerade wenn viele kleine Dateien (Scans, Quellcodedateien oder sowas) synchronisiert werden müssen oder die Netzwerkanbindung manchmal für Millisekunden streikt (was natürlich nicht sein sollte ^^).

Naja das sind so die Kleinigkeiten. Ansonsten viel Erfolg bei dem Vorhaben
Viper-Berlin
Viper-Berlin 09.01.2009 um 12:38:54 Uhr
Goto Top
Danke für die schnelle Antwort

Unser System
3x DC W2K Adv Server AD
20 XP WKS SP3

wir hatten uns das so gedacht

1. Userhome Eigene Dateien über GPOs umlenken damit ersparen wir uns den hin und Hehrtransport der Daten(eigene Dateien) durchs Profile
2. Profile werden beim ausloggen immer lokal abgelöscht auch über GPOs
3. Die Profilgröße habe ich eingeschränkt auf 100MB per GPO
3. Ich fahre jeden Tag ein Fullbackup über Backup Exec 12.5 + Systemstatus über Nt Backup wegen AD recovery per Job

Frage bei welchen DC WKS muss ich deinen

[Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile]
Sicherheitsgruppe "Administratoren" zu servergespeicherten Benutzerprofilen hinzufügen

den Eintragen wo steht das wenn ich die MMC für AD aufmache drin muss man das in die Domainrichtlinien reinschreiben ???? bei den DC ??? bei allen ??? nur WKS ??
ist das ne Globale Einstellung kann man gleichzeitig auch den USER SYSTEM eintragen macht das Sinn...
Ich habe die Option schon aktiviert aber es passiert nichts !!!

wie gesagt das Verzeichnis ist noch leer zur zeit steht noch das Domainadminprofile drin und Jeder kann alles
also genau das was ich nicht will...

legt MS die Profilordner sauber an oder muss man ständig Hand anlegen
Habe Profiles$ gelöscht und neu angelegt jetzt schreibt er keine Romingprofiles mehr
Freigabe Jeder alles ,Sicherheit jeder alles, und nichts geht mehr ????
wie geht das ????.. ich werd irre


Danke
Hannes-Schurig
Hannes-Schurig 09.01.2009 um 14:05:29 Uhr
Goto Top
Der Server richtet nach der korrekten Konfiguration alle Profile korrekt an, ohne dass der Administrator Änderungen machen muss. Wenn wir hier in unserer Domäne einen neuen Benutzer einpflegen, dieser sich anmeldet, dann steht sofort ein neues Benutzerprofil im Profilverzeichnis wo auch rechtemäßig alles stimmt.

Die Konfiguration des Servers findest du hier:
1
bzw hier:
2 <- ein brauchbares Buch für diese Thematik übrigends
Letzterer Link beschreibt auch das Vorgehen bezüglich der Sicherheitsgruppe Administrator in den Serverprofilen.

Am besten nochmal bestehendes zurücksetzen und Schritt für Schritt einrichten, so wie es in den Anleitungen steht müsste es dann auch funktionieren.
Viper-Berlin
Viper-Berlin 12.01.2009 um 15:17:15 Uhr
Goto Top
Danke für die schnelle Antwort.....

wie gehabt nichts hat richtig funktioniert ich hab das jetzt so gehandhabt
Bitte sagt mir ob das so richtig ist Danke !!!..

1. GPO gesetzt (das muss man vorher machen bevor man das Profilsverzeichnis anlegt Hmm
[Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile]
Sicherheitsgruppe "Administratoren" zu servergespeicherten Benutzerprofilen hinzufügen
merkwürdigerweise war diese Einstellung nur auf oberster Ebne der AD zu finden
wie kann man diese Einstellung begrenzen auf Sub OU's ? da tauchen diese Einstellungen nämlich nicht auf !

2. Profiles$ Verzeichnis angelegt mit
Freigabe DOMAIN-BENUTZER Ändern Lesen
Sicherheitseinstellungen: Admins Voll, System Voll,DOMAIN-Benutzer Diesen Ordner Unterordner u. Dateien RECHT: Dateien und Ordner erstellen

alles andere auch das wie MS es beschrieben hatte gehte überhaupt nicht es wunde kein Profile angelegt face-wink

Fragen:
1. sollte man lieber den Benutzer Authentifizierter-Benutzer verwenden oder den DOMAIN-Benutzer ???
2. Wie kann man auch in Sub OU's die Admins den Profilen hinzufügen

DAnke ....... face-wink