Servergespeicherte Profile werde nicht abgeglichen
Hallo zusammen,
nach recht langer Suche hier im Forum und bei Google muss ich leider doch dumm fragen...
Es gab zwar den einen oder anderen der genau das gleiche Problem hat wie ich jetzt aber die Lösungsvorschläge die dort gegeben wurden treffen bei mir leider nicht zu.
Ähnliches Problem:
Servergespeicherte Profile werden nicht gespeichert
Mein Problem ist folgendes:
Hier läuft ein DC mit servergespeicherten Profilen. Zumindest sind sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt für das Basisverzeichnis:
\server
etlogon\%username%
\serverdatenenutzer\%username%
Das Problem ist nur sobald ich mich mit einem Benutzer anmelde werden zwar vom Server Einstellungen übernommen (Anmeldescript, Basisordner, GPO) aber es werden keinerlei Daten des Benutzerkontos abgeglichen, das gilt auch für die Abmeldung.
Habe wirklich alle Einstellungen mit einer anderen Domäne überprüft und die Einstellungen sind alle gleich aber es geht trotzdem nicht. Selbst als ich den Benutzer zum Domänen-Admin gemacht habe ging es nicht.
Auch unter "Systemeigenschaften ? Erweitert ? Benutzerprofile" wird angezeigt das es ein Servergespeichertes Profil ist. Ich kann auch mit dem Benutzer über den UNC-Pfad (\server
etlogon\%username%) auf den Server zugreifen und in dem Profilordner des Benutzers Dateien erstellen und löschen. Also an den Berechtigungen kann es ja eigentlich nicht liegen.
Als ich nur so zum Spaß die Gruppe "Domänen-Benutzer" der lokalen Administrator Gruppe hinzugefügt habe wurde endlich das Benutzerkonto auf den Server kopiert. Das kann doch nicht wahr sein. Wieso müssen die Benutzer lokale Admins sein damit das servergespeicherte Profil kopiert wird?
Kann man das mit einer GPO irgendwie umgehen? Also dass die Benutzer zwar keine lokalen Admins sind aber trotzdem das Profil abgeglichen wird? Muss doch dafür eine Lösung geben, schließlich gibt es bestimmt genug Umgebungen in denen nicht gewünscht ist das Benutzer diese Art von Berechtigungen haben.
Ich muss aber zugeben dass ich mich bisher nicht mit GPOs auseinandergesetzt habe. Habe mir zwar mal die Möglichkeiten angesehen die ich dort habe aber das war auf Anhieb so viel das ich da noch nicht durchblicke und evtl. die richtige Einstellung übersehen habe.
Wo ich aber gerade von lokalen Admin Berechtigungen rede. Wie kann ich denn Benutzer zuweisen das sie diese Art der Berechtigung bekommen? Da wir den einen oder anderen Laptop Benutzer haben wäre das dort vielleicht nicht die schlechteste Alternative. Bei den PCs im Büro muss das nicht sein. Klar, ich könnte bei den Laptops auch das per Hand definieren aber das geht doch bestimmt auch über eine GPO, oder?
Konfiguration:
Windows Server 2003 Std. SP1 + Exchange 2003 Ent. SP2
Windows XP Professional SP2
Bin für jede Hilfe dankbar die mir bei meinem Problem helfen kann.
nach recht langer Suche hier im Forum und bei Google muss ich leider doch dumm fragen...
Es gab zwar den einen oder anderen der genau das gleiche Problem hat wie ich jetzt aber die Lösungsvorschläge die dort gegeben wurden treffen bei mir leider nicht zu.
Ähnliches Problem:
Servergespeicherte Profile werden nicht gespeichert
Mein Problem ist folgendes:
Hier läuft ein DC mit servergespeicherten Profilen. Zumindest sind sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt für das Basisverzeichnis:
\server
etlogon\%username%
\serverdatenenutzer\%username%
Das Problem ist nur sobald ich mich mit einem Benutzer anmelde werden zwar vom Server Einstellungen übernommen (Anmeldescript, Basisordner, GPO) aber es werden keinerlei Daten des Benutzerkontos abgeglichen, das gilt auch für die Abmeldung.
Habe wirklich alle Einstellungen mit einer anderen Domäne überprüft und die Einstellungen sind alle gleich aber es geht trotzdem nicht. Selbst als ich den Benutzer zum Domänen-Admin gemacht habe ging es nicht.
Auch unter "Systemeigenschaften ? Erweitert ? Benutzerprofile" wird angezeigt das es ein Servergespeichertes Profil ist. Ich kann auch mit dem Benutzer über den UNC-Pfad (\server
etlogon\%username%) auf den Server zugreifen und in dem Profilordner des Benutzers Dateien erstellen und löschen. Also an den Berechtigungen kann es ja eigentlich nicht liegen.
Als ich nur so zum Spaß die Gruppe "Domänen-Benutzer" der lokalen Administrator Gruppe hinzugefügt habe wurde endlich das Benutzerkonto auf den Server kopiert. Das kann doch nicht wahr sein. Wieso müssen die Benutzer lokale Admins sein damit das servergespeicherte Profil kopiert wird?
Kann man das mit einer GPO irgendwie umgehen? Also dass die Benutzer zwar keine lokalen Admins sind aber trotzdem das Profil abgeglichen wird? Muss doch dafür eine Lösung geben, schließlich gibt es bestimmt genug Umgebungen in denen nicht gewünscht ist das Benutzer diese Art von Berechtigungen haben.
Ich muss aber zugeben dass ich mich bisher nicht mit GPOs auseinandergesetzt habe. Habe mir zwar mal die Möglichkeiten angesehen die ich dort habe aber das war auf Anhieb so viel das ich da noch nicht durchblicke und evtl. die richtige Einstellung übersehen habe.
Wo ich aber gerade von lokalen Admin Berechtigungen rede. Wie kann ich denn Benutzer zuweisen das sie diese Art der Berechtigung bekommen? Da wir den einen oder anderen Laptop Benutzer haben wäre das dort vielleicht nicht die schlechteste Alternative. Bei den PCs im Büro muss das nicht sein. Klar, ich könnte bei den Laptops auch das per Hand definieren aber das geht doch bestimmt auch über eine GPO, oder?
Konfiguration:
Windows Server 2003 Std. SP1 + Exchange 2003 Ent. SP2
Windows XP Professional SP2
Bin für jede Hilfe dankbar die mir bei meinem Problem helfen kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22580
Url: https://administrator.de/forum/servergespeicherte-profile-werde-nicht-abgeglichen-22580.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo Vile-Gangster,
Aus welchem Grund legst du die Profile in das Share NETLOGON?
Hier denke ich ist auch der Hund begraben.
Auf NETLOGON sind die Rechte so gesetzt, dass Benutzer nur Lesen dürfen; mehr müssen sie auch nicht.
Daraus würde folgen, dass sie ihr Profil zwar laden können aber nicht wieder zurückschreiben
Wenn schon ein Profil im NETLOGON liegen muss, dass ist es ein Dömänen-Defaultprofil.
Besser ist es, man legt je ein Share profiles und homes an.
In beiden müssen die User schreiben können, und zwar auf der Freigabe und im Dateisystem.
Günstigenfalls legt man das ganze auf eine eigene Partition, das eröffnet dann die Möglichkeit Quotas einzusetzen und den Plattenplatz/User zu reglementieren.
HTH
gemini
sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt
für das Basisverzeichnis:
\\server\netlogon\%username%
\\server\daten\benutzer\%username%
Wie sehen denn die Rechte auf den Verzeichnissen aus?für das Basisverzeichnis:
\\server\netlogon\%username%
\\server\daten\benutzer\%username%
Aus welchem Grund legst du die Profile in das Share NETLOGON?
Hier denke ich ist auch der Hund begraben.
Auf NETLOGON sind die Rechte so gesetzt, dass Benutzer nur Lesen dürfen; mehr müssen sie auch nicht.
Daraus würde folgen, dass sie ihr Profil zwar laden können aber nicht wieder zurückschreiben
Wenn schon ein Profil im NETLOGON liegen muss, dass ist es ein Dömänen-Defaultprofil.
Besser ist es, man legt je ein Share profiles und homes an.
In beiden müssen die User schreiben können, und zwar auf der Freigabe und im Dateisystem.
Günstigenfalls legt man das ganze auf eine eigene Partition, das eröffnet dann die Möglichkeit Quotas einzusetzen und den Plattenplatz/User zu reglementieren.
HTH
gemini
Es werden auch nicht alle Verzeichnisse des Profils automatisch gespeichert!
siehe "ExclusionList" in der Datei "C:\Dokumente und Einstellungen\\%username%\ntuser.ini"
Änderungen in der "ntuser.ini" haben aber keinen Sinn! Pfade stehen in der Reg. unter:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ExcludeProfileDirs"="Temporary Internet Files;Verlauf;Temp;Cookies;"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"ExcludeProfileDirs"="Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Outlook;Lokale Einstellungen\\Anwendungsdaten\\Help;Anwendungsdaten\\Microsoft\\HTML Help;Anwendungsdaten\\Microsoft\\Access;"
siehe "ExclusionList" in der Datei "C:\Dokumente und Einstellungen\\%username%\ntuser.ini"
Änderungen in der "ntuser.ini" haben aber keinen Sinn! Pfade stehen in der Reg. unter:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ExcludeProfileDirs"="Temporary Internet Files;Verlauf;Temp;Cookies;"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"ExcludeProfileDirs"="Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Outlook;Lokale Einstellungen\\Anwendungsdaten\\Help;Anwendungsdaten\\Microsoft\\HTML Help;Anwendungsdaten\\Microsoft\\Access;"
Hi Vile-Gangster,
Wer den Pfad kennt, erhält trotzdem Zugriff auf das Share.
Admins und System haben Vollzugriff und die Sicherungsoperatoren die notwendigen Rechte, insbes. um die Flags zu setzen.
Eine Begrenzung ist hier in vielen Fällen schon sinnvoll.
Gruß
gemini
habe mal Deinen Rat befolgt und je ein Share "Profile" und "Home"
angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe
Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe
ich nichts verändert da dort ja die Vererbungen greifen.
Der User muss auf die Verzeichnisse Schreibrechte haben, und zwar aus dem Netzwerk.angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe
Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe
ich nichts verändert da dort ja die Vererbungen greifen.
Was ich noch beim Nachlesen entdeckt habe ist das die Shares wohl oft mit dem ?$?
versehen werden.
Muss man nicht das Dollarzeichen bewirkt lediglich, dass die Freigabe in der Netzwerkumgebung nicht sichtbar ist.versehen werden.
Wer den Pfad kennt, erhält trotzdem Zugriff auf das Share.
Und was ich nicht gedacht hätte ist dass die Benutzer nun
keine lokalen Admins mehr sein müssen
Das ist auch gut so, es sei denn du leidest an Arbeitsmangel keine lokalen Admins mehr sein müssen
Und ich Depp mach mir immer die Arbeit unter "NETLOGON/scripts" einen Ordner
anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte
Lehrgang lang lang her.
Ich kann mir nicht vorstellen, dass das in welchem Lehrgang auch immer so vemittelt wurde.anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte
Lehrgang lang lang her.
Vielen Danke erstmal an dieser Stelle. Aber wie verhält es sich mit dem Backup? Das
System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim
erstellen eines Backups und beim Widerherstellen.
Administratoren, System und Sicherungs-Operatoren habe ich in jedem Verzeichnis.System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim
erstellen eines Backups und beim Widerherstellen.
Admins und System haben Vollzugriff und die Sicherungsoperatoren die notwendigen Rechte, insbes. um die Flags zu setzen.
Tja, das mit der Quota ist an sich eine schöne Sache aber da ich hier eine
Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl
nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig
groß dimensioniert. Und bis dahin ist der Platz verschenkt.
Die Spezies User an sich ist gierig, speziell beim Plattenplatz will sie immer ein klein wenig mehr als grad vorhanden ist Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl
nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig
groß dimensioniert. Und bis dahin ist der Platz verschenkt.
Eine Begrenzung ist hier in vielen Fällen schon sinnvoll.
Gruß
gemini
auf das ?Home? eines anderen zugreifen können. Ist zwar umständlich die
Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.
Ja, das ist leider so. Bei den Profilen funktioniert es einwandfrei, die Homes hat Microsoft übersehen Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.
Als kleine Arbeitserleichterung kann man das natürlich mittels Script und (x)cacls erledigen.
Ob sich das bei 10 Usern rentiert, sei dahingestellt.
Kann man das irgendwie abkürzen das nicht der komplette Pfad im Mapping auftaucht?
Was meinst du damit?Bei mir steht: <<a>share<a>> auf "<<a>server<a>> (X
Wenn es ein DC ist, steht da seit SP1 sowas wie: <<a>share<a>> auf Domänencontroller der Domäne "<<a>domäne<a>> (X
Wenn du die Homes per Script mappst kannst du es umgehen.
Sie dir mal das Script auf http://www.computerperformance.co.uk/Logon/logon_mapnetworkdrive_rename ... an.
Das funktioniert imho nicht, wenn das Home über die Eigenschaften des Users gemappt wird.
Dann wird ich mal ein bissel rumtesten und das System solange
Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft.
Wenn du dir von einem jungfräulichen Server ein Image ziehst, sparst du dir die installiererei.Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft.
Ich benutze für sowas http://www.acronis.de/homecomputing/products/trueimage/
Mit der Boot-CD Image in die Secure Zone erstellt, Recovery Manager installiert und du brauchst fürs Restore nicht mal mehr ne CD. Beim Booten F11 und los gehts.
Was schlägst Du so als Wert vor je Benutzer? 1GB oder mehr?
Ich hab 2,5 GB/User eingestellt.Ist aber auch abhängig von der Anzahl der User und dem vorhandenen Plattenplatz.
Gruß
gemini