vile-gangster
01.01.2006, aktualisiert am 02.01.2006
view15427
view6
0
Goto Top

Servergespeicherte Profile werde nicht abgeglichen

FrageMicrosoftWindows Server
Hallo zusammen,

nach recht langer Suche hier im Forum und bei Google muss ich leider doch dumm fragen...
Es gab zwar den einen oder anderen der genau das gleiche Problem hat wie ich jetzt aber die Lösungsvorschläge die dort gegeben wurden treffen bei mir leider nicht zu.

Ähnliches Problem:
Servergespeicherte Profile werden nicht gespeichert

Mein Problem ist folgendes:
Hier läuft ein DC mit servergespeicherten Profilen. Zumindest sind sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt für das Basisverzeichnis:

\server
etlogon\%username%
\serverdatenenutzer\%username%

Das Problem ist nur sobald ich mich mit einem Benutzer anmelde werden zwar vom Server Einstellungen übernommen (Anmeldescript, Basisordner, GPO) aber es werden keinerlei Daten des Benutzerkontos abgeglichen, das gilt auch für die Abmeldung.
Habe wirklich alle Einstellungen mit einer anderen Domäne überprüft und die Einstellungen sind alle gleich aber es geht trotzdem nicht. Selbst als ich den Benutzer zum Domänen-Admin gemacht habe ging es nicht.

Auch unter "Systemeigenschaften ? Erweitert ? Benutzerprofile" wird angezeigt das es ein Servergespeichertes Profil ist. Ich kann auch mit dem Benutzer über den UNC-Pfad (\server
etlogon\%username%) auf den Server zugreifen und in dem Profilordner des Benutzers Dateien erstellen und löschen. Also an den Berechtigungen kann es ja eigentlich nicht liegen.

Als ich nur so zum Spaß die Gruppe "Domänen-Benutzer" der lokalen Administrator Gruppe hinzugefügt habe wurde endlich das Benutzerkonto auf den Server kopiert. Das kann doch nicht wahr sein. Wieso müssen die Benutzer lokale Admins sein damit das servergespeicherte Profil kopiert wird?

Kann man das mit einer GPO irgendwie umgehen? Also dass die Benutzer zwar keine lokalen Admins sind aber trotzdem das Profil abgeglichen wird? Muss doch dafür eine Lösung geben, schließlich gibt es bestimmt genug Umgebungen in denen nicht gewünscht ist das Benutzer diese Art von Berechtigungen haben.

Ich muss aber zugeben dass ich mich bisher nicht mit GPOs auseinandergesetzt habe. Habe mir zwar mal die Möglichkeiten angesehen die ich dort habe aber das war auf Anhieb so viel das ich da noch nicht durchblicke und evtl. die richtige Einstellung übersehen habe.

Wo ich aber gerade von lokalen Admin Berechtigungen rede. Wie kann ich denn Benutzer zuweisen das sie diese Art der Berechtigung bekommen? Da wir den einen oder anderen Laptop Benutzer haben wäre das dort vielleicht nicht die schlechteste Alternative. Bei den PCs im Büro muss das nicht sein. Klar, ich könnte bei den Laptops auch das per Hand definieren aber das geht doch bestimmt auch über eine GPO, oder?

Konfiguration:
Windows Server 2003 Std. SP1 + Exchange 2003 Ent. SP2
Windows XP Professional SP2

Bin für jede Hilfe dankbar die mir bei meinem Problem helfen kann.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 22580

Url: https://administrator.de/contentid/22580

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
gemini
gemini 01.01.2006 um 20:08:20 Uhr
Goto Top
Hallo Vile-Gangster,

sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt
für das Basisverzeichnis:
\\server\netlogon\%username%
\\server\daten\benutzer\%username%
Wie sehen denn die Rechte auf den Verzeichnissen aus?
Aus welchem Grund legst du die Profile in das Share NETLOGON?
Hier denke ich ist auch der Hund begraben.
Auf NETLOGON sind die Rechte so gesetzt, dass Benutzer nur Lesen dürfen; mehr müssen sie auch nicht.
Daraus würde folgen, dass sie ihr Profil zwar laden können aber nicht wieder zurückschreiben
Wenn schon ein Profil im NETLOGON liegen muss, dass ist es ein Dömänen-Defaultprofil.

Besser ist es, man legt je ein Share profiles und homes an.
In beiden müssen die User schreiben können, und zwar auf der Freigabe und im Dateisystem.
Günstigenfalls legt man das ganze auf eine eigene Partition, das eröffnet dann die Möglichkeit Quotas einzusetzen und den Plattenplatz/User zu reglementieren.

HTH
gemini
tom-k
tom-k 01.01.2006 um 21:17:53 Uhr
Goto Top
Es werden auch nicht alle Verzeichnisse des Profils automatisch gespeichert!

siehe "ExclusionList" in der Datei "C:\Dokumente und Einstellungen\\%username%\ntuser.ini"
Änderungen in der "ntuser.ini" haben aber keinen Sinn! Pfade stehen in der Reg. unter:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ExcludeProfileDirs"="Temporary Internet Files;Verlauf;Temp;Cookies;"

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"ExcludeProfileDirs"="Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Outlook;Lokale Einstellungen\\Anwendungsdaten\\Help;Anwendungsdaten\\Microsoft\\HTML Help;Anwendungsdaten\\Microsoft\\Access;"
Vile-Gangster
Vile-Gangster 02.01.2006 um 19:13:25 Uhr
Goto Top
Hi gemini,

habe mal Deinen Rat befolgt und je ein Share "Profile" und "Home" angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe ich nichts verändert da dort ja die Vererbungen greifen.
Was ich noch beim Nachlesen entdeckt habe ist das die Shares wohl oft mit dem ?$? versehen werden. Muss man das machen oder ist das einfach nur so damit es nicht in der Netzwerkumgebung auftauchen soll? Zumindest sehe ich keinen sonderlich großen Nutzen wenn ich es mache außer das es keiner sehen kann.

Und was ich nicht gedacht hätte ist dass die Benutzer nun keine lokalen Admins mehr sein müssen da dort einfach das Verzeichnis bei der Anmeldung erstellt wird mit den benötigten Rechten face-smile
Und ich Depp mach mir immer die Arbeit unter "NETLOGON/scripts" einen Ordner anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte Lehrgang lang lang her. Man merkt das schon wenn man nicht wirklich oft mit Windows Domänen zu tun hat bzw. mit der Installation?

Vielen Danke erstmal an dieser Stelle. Aber wie verhält es sich mit dem Backup? Das System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim erstellen eines Backups und beim Widerherstellen. Oder muss ich die Admin Gruppe noch mit rein nehmen damit das Backup funktioniert?

Tja, das mit der Quota ist an sich eine schöne Sache aber da ich hier eine Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig groß dimensioniert. Und bis dahin ist der Platz verschenkt.


Gruß
Vile-Gangster
gemini
gemini 02.01.2006 um 19:43:43 Uhr
Goto Top
Hi Vile-Gangster,

habe mal Deinen Rat befolgt und je ein Share "Profile" und "Home"
angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe
Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe
ich nichts verändert da dort ja die Vererbungen greifen.
Der User muss auf die Verzeichnisse Schreibrechte haben, und zwar aus dem Netzwerk.

Was ich noch beim Nachlesen entdeckt habe ist das die Shares wohl oft mit dem ?$?
versehen werden.
Muss man nicht das Dollarzeichen bewirkt lediglich, dass die Freigabe in der Netzwerkumgebung nicht sichtbar ist.
Wer den Pfad kennt, erhält trotzdem Zugriff auf das Share.

Und was ich nicht gedacht hätte ist dass die Benutzer nun
keine lokalen Admins mehr sein müssen
Das ist auch gut so, es sei denn du leidest an Arbeitsmangel face-wink

Und ich Depp mach mir immer die Arbeit unter "NETLOGON/scripts" einen Ordner
anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte
Lehrgang lang lang her.
Ich kann mir nicht vorstellen, dass das in welchem Lehrgang auch immer so vemittelt wurde.

Vielen Danke erstmal an dieser Stelle. Aber wie verhält es sich mit dem Backup? Das
System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim
erstellen eines Backups und beim Widerherstellen.
Administratoren, System und Sicherungs-Operatoren habe ich in jedem Verzeichnis.
Admins und System haben Vollzugriff und die Sicherungsoperatoren die notwendigen Rechte, insbes. um die Flags zu setzen.

Tja, das mit der Quota ist an sich eine schöne Sache aber da ich hier eine
Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl
nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig
groß dimensioniert. Und bis dahin ist der Platz verschenkt.
Die Spezies User an sich ist gierig, speziell beim Plattenplatz will sie immer ein klein wenig mehr als grad vorhanden ist face-smile
Eine Begrenzung ist hier in vielen Fällen schon sinnvoll.

Gruß
gemini
Vile-Gangster
Vile-Gangster 02.01.2006 um 21:31:05 Uhr
Goto Top
Der User muss auf die Verzeichnisse
Schreibrechte haben, und zwar aus dem
Netzwerk.
Das hat er ja, da brauchte ich nichts zu verändern. Das einzige das ich geändert habe ist auf dem ?Home? Verzeichnis dass die anderen Benutzer nicht auf das ?Home? eines anderen zugreifen können. Ist zwar umständlich die Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.

Muss man nicht das Dollarzeichen bewirkt
lediglich, dass die Freigabe in der
Netzwerkumgebung nicht sichtbar ist.
Wer den Pfad kennt, erhält trotzdem
Zugriff auf das Share.
Jop, das meinte ich ja. Dumm ist nur dass beim Mappen der Netzlaufwerke im Namen der komplette Pfad drinnen steht. Kann man das irgendwie abkürzen das nicht der komplette Pfad im Mapping auftaucht?

Das ist auch gut so, es sei denn du leidest
an Arbeitsmangel face-wink
Naja, was heißt hier Arbeitsmangel. face-smile Gibt aber immer noch Software die administrative Berechtigungen voraussetzt. Mal schauen wie ich das löse.

Ich kann mir nicht vorstellen, dass das in
welchem Lehrgang auch immer so vemittelt
wurde.
Ich bin mir da leider nicht mehr 100%ig sicher. Aber ich kann mich nicht erinnern dass wir damals ein extra Share angelegt hätten. Das wäre bei mir irgendwie hängen geblieben (hoffe ich zumindest *g*). Aber da haben eh alle an Servern gearbeitet und keiner hatte einen typischen Client. Aber ist schon zu lange her als das ich genaueres sagen könnte. Hätte doch besser alle Prüfungen machen sollen und den MCSE abschließen?wären Dir diese dummen Fragen erspart geblieben. face-wink

Administratoren, System und
Sicherungs-Operatoren habe ich in jedem
Verzeichnis.
Admins und System haben Vollzugriff und die
Sicherungsoperatoren die notwendigen Rechte,
insbes. um die Flags zu setzen.
Dann wird ich mal ein bissel rumtesten und das System solange Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft. Und wenn alles so ist wie es sein soll dann wird es neu hochgezogen und von Anfang an richtig gemacht.
Ich liebe diese Seite, hier wird einem doch meist recht gut geholfen.

Die Spezies User an sich ist gierig,
speziell beim Plattenplatz will sie immer
ein klein wenig mehr als grad vorhanden ist
face-smile
Eine Begrenzung ist hier in vielen
Fällen schon sinnvoll.
Jaja, das ist wahr. Aber derweil sind es nur 10 Benutzer und die sind recht genügsam. Aber vielleicht mach ich doch noch eine extra Partition für die Profile und leg doch eine Quota fest. Was schlägst Du so als Wert vor je Benutzer? 1GB oder mehr?

Danke und Gruß
Vile-Gangster
gemini
gemini 02.01.2006 um 21:54:59 Uhr
Goto Top
auf das ?Home? eines anderen zugreifen können. Ist zwar umständlich die
Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.
Ja, das ist leider so. Bei den Profilen funktioniert es einwandfrei, die Homes hat Microsoft übersehen face-sad
Als kleine Arbeitserleichterung kann man das natürlich mittels Script und (x)cacls erledigen.
Ob sich das bei 10 Usern rentiert, sei dahingestellt.

Kann man das irgendwie abkürzen das nicht der komplette Pfad im Mapping auftaucht?
Was meinst du damit?
Bei mir steht: <<a>share<a>> auf "<<a>server<a>> (Xface-smile
Wenn es ein DC ist, steht da seit SP1 sowas wie: <<a>share<a>> auf Domänencontroller der Domäne "<<a>domäne<a>> (Xface-smile
Wenn du die Homes per Script mappst kannst du es umgehen.
Sie dir mal das Script auf http://www.computerperformance.co.uk/Logon/logon_mapnetworkdrive_rename ... an.
Das funktioniert imho nicht, wenn das Home über die Eigenschaften des Users gemappt wird.

Dann wird ich mal ein bissel rumtesten und das System solange
Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft.
Wenn du dir von einem jungfräulichen Server ein Image ziehst, sparst du dir die installiererei.
Ich benutze für sowas http://www.acronis.de/homecomputing/products/trueimage/
Mit der Boot-CD Image in die Secure Zone erstellt, Recovery Manager installiert und du brauchst fürs Restore nicht mal mehr ne CD. Beim Booten F11 und los gehts.

Was schlägst Du so als Wert vor je Benutzer? 1GB oder mehr?
Ich hab 2,5 GB/User eingestellt.
Ist aber auch abhängig von der Anzahl der User und dem vorhandenen Plattenplatz.

Gruß
gemini
FrageMicrosoftWindows Server
Mehr von Vile-GangsterVile-GangsterSMIME Domänen Zertifikat importierenVile-Gangster - 6 KommentareVile-GangsterMit Powershell Dienste abfragen, also ob sie laufen oder gestoppt sindVile-Gangster - 5 KommentareVile-GangsterBeratung SwitchVile-Gangster - 3 KommentareVile-GangsterDomänen Benutzer verbieten Clients in die Domäne zu holenVile-Gangster - 12 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare