12
Benutzerprofil übernimmt Rechte vom TerminalServer
Hallo,
folgende Sachlage:
Wir haben eine neue Anwendungssoftware und da es dort ständig Updates gibt, nutzen die User nun diese Software über den Terminalserver.
Einige User haben ein Benutzerprofil.
nun folgendes Problem:
Die User loggen sich auf dem Terminalserver ein und können durch die Rechte einige Programm nicht öffnen. Soweit so gut, ist ja so gewollt.
Loggen die User sich aus, werden die Rechte auf das Benutzerprofil geschrieben.
d.h.: Die User können dann auch von ihrem lokalen Rechner die gewohnten Programme nicht mehr öffnen, da nun die Rechte des TS auch am lokalen PC gelten.
Dies ist aber nur bei Usern mit Benutzerprofil. Ich selbst habe keins und habe somit das Problem auch nicht. Auf dem TS kann ich keine Programme öffnen, lokal aber schon.
So soll das ganze aber auch bei Usern mit Benutzerprofil sein.
Über Lösungen oder Denkansätze wäre ich dankbar.
folgende Sachlage:
Wir haben eine neue Anwendungssoftware und da es dort ständig Updates gibt, nutzen die User nun diese Software über den Terminalserver.
Einige User haben ein Benutzerprofil.
nun folgendes Problem:
Die User loggen sich auf dem Terminalserver ein und können durch die Rechte einige Programm nicht öffnen. Soweit so gut, ist ja so gewollt.
Loggen die User sich aus, werden die Rechte auf das Benutzerprofil geschrieben.
d.h.: Die User können dann auch von ihrem lokalen Rechner die gewohnten Programme nicht mehr öffnen, da nun die Rechte des TS auch am lokalen PC gelten.
Dies ist aber nur bei Usern mit Benutzerprofil. Ich selbst habe keins und habe somit das Problem auch nicht. Auf dem TS kann ich keine Programme öffnen, lokal aber schon.
So soll das ganze aber auch bei Usern mit Benutzerprofil sein.
Über Lösungen oder Denkansätze wäre ich dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101164
Url: https://administrator.de/contentid/101164
Printed on: April 16, 2024 at 23:04 o'clock
12 Comments
Latest comment
Hallo,
du kannst für Terminalsessions ein separates Profil definieren.
Grüße, Steffen
du kannst für Terminalsessions ein separates Profil definieren.
Grüße, Steffen
Hi,
da kann ich nur zustimmen. Leg für die Terminalsessions für die User Roaming Profiles ein, dann hast du dieses Problem nicht.
Gruß
da kann ich nur zustimmen. Leg für die Terminalsessions für die User Roaming Profiles ein, dann hast du dieses Problem nicht.
Gruß
Wo stellt man das ein?
Immerhin haben die ja alle ein User Roaming Profil wenn ich das richtig definiere.
Und gibt es eine Möglichkeit die nun mitgenommenen Rechte vom TS wieder zu entfernen?
Sorry, aber bin Neuling auf diesem Gebiet und Schulung ist erst nächste Woche.
Immerhin haben die ja alle ein User Roaming Profil wenn ich das richtig definiere.
Und gibt es eine Möglichkeit die nun mitgenommenen Rechte vom TS wieder zu entfernen?
Sorry, aber bin Neuling auf diesem Gebiet und Schulung ist erst nächste Woche.
Das Terminalbenutzerprofil gibst du in den Eigentschaften den Benutzerprofiles im Active Directory an.
d.H.: Wenn ich nun bei Terminalbenutzerprofil einen neuen Pfad einrichte \\\\server\\terminalprofil\\userx und unter Profil \\\\server\\profil\\userx sollte die Trennung funktionieren?
Wenn ja, wäre die Lösung ja recht simpel und ich könnte die Rechte für die User ja manuell(hoffe ich zumindest) wieder ändern.
Wenn ja, wäre die Lösung ja recht simpel und ich könnte die Rechte für die User ja manuell(hoffe ich zumindest) wieder ändern.
ja, genau, dafür ist es ja gedacht. Benutzerprofil für die lokale anmeldung und Terminalserverbenutzerprofil für das profil des WTS users.
normalerweise gibt man das so an:
Benutzerprofil: \\server\Profiles$\%username%
Terminalserver-Userprofil: \\server\TSprofiles$\%username%
das $ Zeichen gilt für eine administrative freigabe, d.h. diese wird nicht angezeigt.
du kannst die user-ordner (%username%) auch selber anlegen, du musst dann nur die passenden NTFS+Freigabeberechtigungen setzen.
grüße
normalerweise gibt man das so an:
Benutzerprofil: \\server\Profiles$\%username%
Terminalserver-Userprofil: \\server\TSprofiles$\%username%
das $ Zeichen gilt für eine administrative freigabe, d.h. diese wird nicht angezeigt.
du kannst die user-ordner (%username%) auch selber anlegen, du musst dann nur die passenden NTFS+Freigabeberechtigungen setzen.
grüße
Danke
Hab es getestet vorhin mit einem Testuser.
Quasi fast genau so wie gerade beschrieben.
Allerdings erstellt wird immer nur ein Profilordner. Je nach dem, womit man sich zuerst einloggt. Entweder das TS oder das normale servergespeicherte Profil.
Hab es getestet vorhin mit einem Testuser.
Quasi fast genau so wie gerade beschrieben.
Allerdings erstellt wird immer nur ein Profilordner. Je nach dem, womit man sich zuerst einloggt. Entweder das TS oder das normale servergespeicherte Profil.
was meinst du mit es wird immer nur ein profilordner erstellt?
erstelle doch einfach mal testhalber einen ordner testprofil$ und einen ordner testtsprofil$. diese gibts du dann frei, berechtigungen der freigabe: Dom-Admins->Vollzugriff; SYSTEM->Vollzugriff; DEINEUSERGRUPPE->ändern.
Zwischenspeichern deaktivieren.
Jetzt nimmst du deinen testuser und trägst bei Profilpfad ein: \\server\testprofil$\%username% und bei Terminaldiensteprofil \\server\testtsprofil$\%username% ein.
müsste funktionieren.
erstelle doch einfach mal testhalber einen ordner testprofil$ und einen ordner testtsprofil$. diese gibts du dann frei, berechtigungen der freigabe: Dom-Admins->Vollzugriff; SYSTEM->Vollzugriff; DEINEUSERGRUPPE->ändern.
Zwischenspeichern deaktivieren.
Jetzt nimmst du deinen testuser und trägst bei Profilpfad ein: \\server\testprofil$\%username% und bei Terminaldiensteprofil \\server\testtsprofil$\%username% ein.
müsste funktionieren.
Damit meine ich folgendes:
Ich gebe User x den Pfad: \\server\profil\user1. wenn odner user1 noch nicht vorhanden ist, wird dieser ja normalerweise automatisch erstellt. das passiert auch immer noch, aber eben nur für profil oder tsprofil. je nach dem, wo man sich zuerst einloggt.
logge ich mich per remote mit einem user ein, wird tsuser1 als ordner erstellt. logge ich mich zuerst lokal am rechner ein, wird \\server\profil\user1 erstellt.
Desweiteren geht es mit den Rechten auch nicht so wie ich will. Die betroffenen Benutzer können immer noch keine .exe ausführen, da die Richtlinie vom TS auch lokal zieht.
Ich gebe User x den Pfad: \\server\profil\user1. wenn odner user1 noch nicht vorhanden ist, wird dieser ja normalerweise automatisch erstellt. das passiert auch immer noch, aber eben nur für profil oder tsprofil. je nach dem, wo man sich zuerst einloggt.
logge ich mich per remote mit einem user ein, wird tsuser1 als ordner erstellt. logge ich mich zuerst lokal am rechner ein, wird \\server\profil\user1 erstellt.
Desweiteren geht es mit den Rechten auch nicht so wie ich will. Die betroffenen Benutzer können immer noch keine .exe ausführen, da die Richtlinie vom TS auch lokal zieht.
Zitat von @oh2204:
was meinst du mit es wird immer nur ein profilordner erstellt?
erstelle doch einfach mal testhalber einen ordner testprofil$ und
einen ordner testtsprofil$. diese gibts du dann frei, berechtigungen
der freigabe: Dom-Admins->Vollzugriff; SYSTEM->Vollzugriff;
DEINEUSERGRUPPE->ändern.
Zwischenspeichern deaktivieren.
Jetzt nimmst du deinen testuser und trägst bei Profilpfad ein:
\\server\testprofil$\%username% und bei Terminaldiensteprofil
\\server\testtsprofil$\%username% ein.
müsste funktionieren.
was meinst du mit es wird immer nur ein profilordner erstellt?
erstelle doch einfach mal testhalber einen ordner testprofil$ und
einen ordner testtsprofil$. diese gibts du dann frei, berechtigungen
der freigabe: Dom-Admins->Vollzugriff; SYSTEM->Vollzugriff;
DEINEUSERGRUPPE->ändern.
Zwischenspeichern deaktivieren.
Jetzt nimmst du deinen testuser und trägst bei Profilpfad ein:
\\server\testprofil$\%username% und bei Terminaldiensteprofil
\\server\testtsprofil$\%username% ein.
müsste funktionieren.
Habs nun auch getestet. Der nimmt die Rechte für System nicht an. Denke da wird doch automatisch schon von irgendeiner Richtlinie was übernommen.
Beim Einloggen per Remote kommt dann auch die Meldung, dass das Profil nicht gelanden werden kann aufgrund von Sicherheitseinstellungen.
hi,
wenn du einen user anlegst, benutze die variable %username%, so wie ich es geschrieben habe (\\server\testprofil$\%username% ; \\server\testtsprofil$\%username%). da werden automatisch die richtigen sicherheitseinstellungen eingerichtet.
wenn du einen user anlegst, benutze die variable %username%, so wie ich es geschrieben habe (\\server\testprofil$\%username% ; \\server\testtsprofil$\%username%). da werden automatisch die richtigen sicherheitseinstellungen eingerichtet.
Dann kommt bei der Anmeldung mal wieder:
"Die Serverkopie des servergespeicherten Profils wurde nicht gefunden..."
Das Problem mit den rechten krieg ich auch nicht gelöst. Muss nun wohl alles betroffenen Usern neue Profile erstellen.
"Die Serverkopie des servergespeicherten Profils wurde nicht gefunden..."
Das Problem mit den rechten krieg ich auch nicht gelöst. Muss nun wohl alles betroffenen Usern neue Profile erstellen.
