Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenprofile und Programm Whitelist ?

Frage Microsoft Windows Server

Mitglied: Alternativende

Alternativende (Level 2) - Jetzt verbinden

16.02.2008, aktualisiert 20.03.2008, 9228 Aufrufe, 26 Kommentare

Hallo,
ich bin dabei eine neue Domäne zu integrieren auf einem Windows Server 2003 Standard.
Nun bin ich an den Punkt angelegt wo ich mir überlegen muss was ich mit den Profilen mache. Da die Benutzer in verschiedene Gruppen aufgeteilt sind und exakt dieselben Programme etc. benötigen wäre es nicht schlecht, wenn ich ein Gruppenprofil anlegen könnte, welches die Benutzer nicht verändern können.

Geht soetwas und wenn ja wie ?

Die zweite Anforderung besteht darin den Benutzern keinen Zugriff auf nicht freigegebene Programme zu gewähren. Hier also auch wieder Gruppenbasiert. Ist soetwas mit Bordmitteln möglich ?


Gruß
26 Antworten
Mitglied: datasearch
17.02.2008 um 15:14 Uhr
Ja, beide Aufgaben lassen sich lösen. Ein Gruppenprofil sollte ein schreibgeschütztes verbindliches Profil sein, das du auf dem Server hinterlegen kannst. Klingt kompliziert, ist es aber nicht. Das ganze geht wie folgt:

1. passe auf einem PC dein Default-Profil unter einem der User an (Vorzugsweise einem Vorlage-User).
2. Melde dich als Admin an diesem PC an und kopiere das Profil auf einen Netzwerkpfad (Eigenschaften -> Erweitert -> Profile -> Kopieren nach)
3. Benenne die Datei ntuser.dat in ntuser.man um. Das Profil ist ab sofort verbindlich.
4. Ändere in den Eigenschaften der betroffenen User den Profilpfad auf den Pfad in dem das Profil liegt.

Die zweite Anforderung kannst du über "Richtlinien zur Softwareeinschränkung" lösen. Erstelle ein neues GPO und aktiviere die Einschränkungen unter "Computereinstellungen -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien zur Softwarebeschränkung". Anschließend das Standartprofil auf "Nicht erlaubt" setzen und die erlaubten Pfade, anwendungen usw. in der liste hinzufügen. Das machst du am besten von einem PC, auf dem alle erforderlichen Programme installiert sind. Zum schluss musst du alle betroffenen Computer in eine eigene OU verschieben und das GPO mit dieser verknüpfen. Nach einem Neustart sind die Richtlinien aktiv.
Bitte warten ..
Mitglied: Alternativende
18.02.2008 um 15:32 Uhr
Können die User das Profil denn dann verändern ? Also Desktop Icons entfernen etc. ?
Soweit hört sich das ja erstmal ganz gut an...

Gibt es eigentlich auch die Möglichkeit den Benutzern den Schreibzugriff auf lokalen Laufwerken zu verwehren ?
Bitte warten ..
Mitglied: datasearch
19.02.2008 um 00:35 Uhr
Du solltest immer eine Kombination auf Verbindlichen Profilen und Gruppenrichtlinien verwenden um dieses Ziel zu erreichen. So kannst du zb. die Option "Einstellungen beim beenden nicht speichern" zusammen mit einem Verbindlichem Profil und der Ordnerumleitung verwenden, um sämtliche änderungen am lokalem Rechner auszuschließen (Vorzugsweise immer über Gruppenrichtlinien).

Schreibzugriff kannst du über NTFS Dateisystemrechte verhindern. So kannst du zb. der Gruppe "Benutzer" das Recht "Erstellen von Ordnern" und "Erstellen von Dateien" entziehen und schon kann auf c:\ nichts mehr angelegt werden.
Bitte warten ..
Mitglied: Alternativende
19.02.2008 um 15:44 Uhr
Der erste neue Client in der Domäne nimmt derzeit überhaupt keine Einstellungen der erstellten Policy an. Ich habe einige Sachen eingestellt, aber es wird nichts übernommen, obwohl der Benutzer sich in der betreffenden OU befindet.

Die Option "Einstellungen beim herunterfahren nicht speichern." würde bewirken, dass zwar Änderungen gemacht werden können, aber das Profil davon nicht beeinflusst wird richtig ?
Wie macht man dann noch Änderungen daran ?

Wo findet man die Option mit den NTFS Schreibrechten denn ?

Danke
Bitte warten ..
Mitglied: datasearch
19.02.2008 um 20:30 Uhr
Die Option "Einstellungen beim herunterfahren nicht speichern." würde bewirken, dass zwar änderungen gemacht werden können, aber das Profil davon nicht beeinflusst wird richtig ?

Jepp. Genau das sollte Sie bewirken.

Der erste neue Client in der Domäne nimmt derzeit überhaupt keine Einstellungen der erstellten Policy an. Ich habe einige Sachen eingestellt, aber es wird nichts übernommen, obwohl der Benutzer sich in der betreffenden OU befindet.

Öhm, du hast sicher die Einstellungen zur Softwareinschränkung im Bereich Computerkonfiguration des GPO vorgenommen. Also musst du diese mit einer OU verknüpfen, in der sich das Computerkonto befindet.

Wo findet man die Option mit den NTFS Schreibrechten denn ?
Du musst auf dem Client selbst die NTFS Dateisystemrechte konfigurieren. Es ist zwar auch über ein GPO möglich, für das komplette LW C: würde ich die das allerdings nicht empfehlen. Um die Sicherheitseinstellungen anzuzeigen musst du 1. Sicherstellen das du NTFS verwendest und 2. in den Ordneroptionen unter Ansicht die Option "Einfache Dateifreigabe verwenden" deaktivieren. Anschließend kannst du die Rechte in den Eigenschaften eines Laufwerkes oder Ordners anzeigen und ändern. Aber Vorsicht: Auf gar keinen Fall Administratoren und System entfernen!!
Bitte warten ..
Mitglied: Alternativende
23.02.2008 um 10:46 Uhr
Hi,
entschuldige bitte die späte Antwort, aber es war eine harte Woche.
Im Bereich Softwareeinschränkungen unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung ist überhaupt nichts definiert.
Er sagt mir "in diesem Gruppenrichtlinienobjekt wurden keine Richtlinien für Softwareeinschränkungen definiert."

Edit:
Die Computer befinden sich in dem Default Container "Computers" und für die Benutzer habe ich eine OU angelegt "Benutzer" angelegt die mit meiner Policy verknüpft ist. Erzwungen ist nicht aktiviert.
Bitte warten ..
Mitglied: Alternativende
23.02.2008 um 13:09 Uhr
Hallo,
ich habe eben in der Gruppenrichtlinienverwaltung etwas ausprobiert.
Dort kann man ja direkt unter dem Namen der Domäne die Option "vorhandene Gruppenrichtlinienobjekte verknüpfen" auswählen. Standardmäßig ist da ja nur die Default Domain Policy enthalten. Ich habe also meine "Benutzer Policy" dort hinzugefügt und den Server und den Client neugestartet. Das Resultat war das der Server aufeinmal in WSUS auftaucht und die Policy voll übernommen wurde (Was ja nicht so gut ist für einen Server).

Der Client allerdings hat sich davon überhaupt nichts angenommen. Also habe ich die Verknüpfungen wieder gelöscht und bin bei dem selben Status.
Bitte warten ..
Mitglied: datasearch
23.02.2008 um 14:14 Uhr
Hm, ok. Du erstellst deine GPO's mit dem Tool "Gruppenrichtlinienverwaltung"? alles klar. Wenn du ein GPO erstellst, landet es default im container "Gruppenrichtlinien" dieses Tools. Du musst das GPO noch mit einer passenden OU verknüpfen. Bitte nicht mit der Domäne.

  1. Erstelle eine OU
  2. verschiebe einen Testcomputer in diese (Computerobjekt im AD)
  3. Wechsle in die Gruppenrichtlinienverwaltungskonsole (tolles Wort) und verknüpfe das vorher erstellte GPO mit dieser OU (rechtsklick auf die OU, Vorhandenes GPO hier verknüpfen).
  4. auf dem betreffendem PC führst du in der konsole den Befehl gpupdate /force aus.

Nun sollten die Einstellungen des GPO auf dem PC wirksam werden. Das kannst du prüfen indem du auf dem PC den befehl gpresult /v eingibst und im oberem Teil "Angewendete Gruppenrichtlinienobjekte" prüfst ob das GPO angewendet wurde. Dort siehst du auch welche Einstellungen tatsächlich übernommen wurden (Summe der Gruppenrichtlinien, result of policy, RSOP). Etwas übersichtlicher ist das ganze wenn du eine MMC öffnest und das SnapIn "Richtlinienergebnissatz" hinzufügst und auf "daten generieren" klickst.
Bitte warten ..
Mitglied: Alternativende
24.02.2008 um 11:54 Uhr
Hallo,
ich dachte bisher GPO´s beziehen sich immer auf Benutzer und nicht auf Computer...
Habe mal ein Bild gemacht und angestellt.



Ich habe jetzt eine neue OU "Clients" angelegt und meine bestehende "Benutzer Policy" damit verknüpft. Darin befindet sich jetzt der besagte Testclient. Versuche es gleich mal.

Also auf dem Client schaut es wie folgt aus:

P:\>gpresult /v
INFORMATION: Das Richtlinienobjekt ist nicht vorhanden.

auf dem Server so:

ENTFERNT
Bitte warten ..
Mitglied: datasearch
24.02.2008 um 14:29 Uhr
Ich sehe das etwas

Kurz etwas Hintergrundwissen:
Gruppenrichtlinienobjekte (GPOs) sind in 2 grundlegende Teile gegliedert. Die Benutzer und die Computerkonfiguration. Jeder dieser Teile wird NUR auf das entsprechende Objekt angewendet. Wenn du also in Computerkonfiguration etwas konfigurierst, dieses GPO aber mit einer OU in der ausschließlich Benutzerkonten lieger verknüfpst, ist die Einstellung wirkungslos. Selbiges gilt natürlich auch für Benutzerkonfiguration.
Bei dem design sollte man aufpassen das man GPO's, die beide Bereiche verwenden entweder mit einer Übergeordneten OU verknüpft in der sich Benutzer und Computer befinden oder dieses GPO mit den OU's für Benutzer UND computer verknüpft.

Du solltest dein AD so organisieren das du flexiebel bist und aber gleichzeitig nicht zu komplexe Strukturen ausbaust. In deinem Fall würde ich das so machen:

01.
domäne.lan {{hier werden nur grundlegende, für Server und Clients geltende GPOs verknüpft }} 
02.
 |-OU Firma {{hier werden GPO's die Computer und Benutzereinstellungen enthalten verknüpft }} 
03.
 |  |-OU Computer {{ hier werden ausschließlich für clientcomputer geltende GPOs verknüpft }} 
04.
 |  |  |-OU Abteilung {{ hier werden GPOs verknüpft, die auf bestimmte Computer angewendet werden sollen }} 
05.
 |  |-OU Benutzer {{ hier werden ausschließlich für Benutzer geltende GPOs verknüpft }} 
06.
 |  |  |-OU Abteilung {{ hier werden GPOs verknüpft, die für bestimmte Benutzer gelten sollen }} 
07.
 |  |-OU Memberserver {{ hier werden GPOs verknüpft, die nur für Memberserver gültig sein sollen }} 
08.
09.
 | -Default Domain Controllers {{ hier werden GPOs verknüpft, die NUR für Domänencontroller gültig sein sollen }}
Möchtest du nun einstellungen zur Softwareeinschränkung auf bestimmte Computer anwenden, erstelle ein GPO mit den passenden Einstellungen im bereich Computerkonfiguration und kerknüpfe es mit der OU Computer um es auf alle Clients anzuwenden. Sollen diese Einstellungen auch auf Memberserver übertragen werden, einfach das GPO auch noch mit dieser OU verknüpfen. Das selbe gilt für benutzerkonfig. Möchtest du besimmte Einstellungen für Ordnerumleitung usw. auf Benutzer einer Abteilung anwenden, erstelle ein GPO mit den passenden Einstellungen und verknüpfe es mit Benutzer -> Abteilung. Soll es für alle giltig sein, kannst du es gleich mit Benutzer verknüpfen.

diese Methode hat den Vorteil das du die DefaultDomainPolicy und andere Standarteinstellungen in der Domäne notfalls wiederherstellen kannst. geht zb. etwas mit einem GPO schief, einfach verknüpfung entfernen anstatt die DomainPolicy ändern zu müssen.
Bitte warten ..
Mitglied: Alternativende
25.02.2008 um 14:36 Uhr
Hi,
Ok habe nun die Struktur entsprechend angepasst und meine Computer in eine neue OU namens Computer verschoben. Dort habe ich eine Policy angelegt udn verknüpft in der nur Computereinstellungen vorgenommen werden.
In der bestehenden Benutzer OU habe ich auch Computereinstellungen vorgenommen, weil ich es ja nicht besser gewusst habe. Muss ich diese wieder rückgängig machen ?

Hier die neue gpresult /v

ENTFERNT
Bitte warten ..
Mitglied: datasearch
25.02.2008 um 18:25 Uhr
Am besten du deaktivierst einfach den Bereich "Computereinstellungen" des GPO das auf die Benutzer-OU angewendet wird.
Um genau zu prüfen welche GPO's auf dem Computer für einen Benutzer angewendet werden, kannst du den Richtlinienergebnissatz im GP Editor verwenden. Einfach einen neuen Satz mit der OU Computer (für das Computerkonto) und der OU Benutzer (für das Benutzerkonto) erstellen, kurz auf die Analyse warten und du siehst genau was wie angewendet wird. Um nun zu prüfen ob auf dem Client alles richtig übernommen wurde, musst du auf einem Computer dessen Konto in der OU liegt, auf welche das GPO angewendet wird, gpresult /v ausführen. Den befehl auf einem DC auszuführen hat nur Sinn wenn man wissen möchte was auf die OU Domain Controllers angewendet wird. Noch ein Tipp, nimm doch bitte die Autoinstallation des VNC aus der Default Domain Policy und erstelle ein neues GPO "zb. Softwareverteilung" und wende es auf die OU mit den Computerkonten an. Auf einem DC ist es nicht so gut VNC zu installieren (lieber RemoteDesktop verwenden).

Im grunde genommen hast du also nun 2 OU's auf der Hauptebene, in einer befinden sich alle Benutzer und in der anderen alle Computerkonten. Auf der Benutzer-OU wendest du ein GPO mit allen Benutzereinstellungen und auf der Computer-OU ein GPO mit allen Computereinstellungen an. Auf die OU der Komputerkonten kannst du dann noch das SW-Install GPO legen und alles ist so wie es sein sollte. In der DefaultDomainPolicy(DDP) würde ich maximal kennwortrichtlinien und Ereignisprotokoll-einstellungen mitgeben die FÜR ALLE COMPUTER (Server und Clients) gültig sein sollen. Kennwortrichtlinien können immer nur per Domäne definiert werden, da bietet sich die DDP an. Alles weitere wie Benutzerrechte und Sicherheitseinstellungen bitte nur in extra GPOs definieren und vorher in einer OU mit einem einzelnem Computer oder Benutzer testen. Geht da etwas schief musst du dich nur um einen kümmern.

Schau nun bitte auf einem (XP)client mit gpresult /v ob alles richtig übernommen wurde. Wenn du noch fragen hast, du weißt ja wo du hilfe bekommst
Bitte warten ..
Mitglied: Alternativende
26.02.2008 um 10:13 Uhr
Wow Danke für deinen Einsatz.... Ich kann es aber erst heute Nachmittag probieren.
Danke !!!

Edit: So ich habe alles sortiert und in den Benutzer OU´s die Computereinstellungen entfernt und umgekehrt. Müssen GPO´s eigentlich erzwungen sein um wirksam zu werden ?
Ich habe mich auch mit einem anderen User der sich in der betreffenden OU befindet an dem einen Test PC angemeldet, aber es werden keinerlei Einstellungen übernommen.
Der Ergebnissatz sagt mir aber das alles funktionieren sollte.

Kann es sein das man die OU´s falsch anlegt ?
Bitte warten ..
Mitglied: datasearch
26.02.2008 um 20:55 Uhr
Nein. Die weise wie du die OU anlegst wirkt sich normalerweise nicht auf das GPO aus. Aber was sein kann, das für die OU irgendwo die vererbung deaktiviert wurde ODER ein anderes GPO den status Erzwungen hat (was dann das spätere GPO wieder aufhebt). Gib mit mal bitte einen Screnshot deiner OU-Struktur in der GP-Konsole (Bitte irgendwo hochladen und den Link per PN zusenden). Auch eine Ausgabe von gpresult von dem Test-PC mit angemeldetem Testuser müsstest du noch dazugeben. Ich hoffe ich erkenne dann das Problem
Bitte warten ..
Mitglied: Alternativende
27.02.2008 um 08:22 Uhr
Alles klar mache ich heute Mittag und sende das dann zu
Bitte warten ..
Mitglied: Alternativende
02.03.2008 um 14:05 Uhr
Es lag am nslookup. Ich betreibe als Firewall einen IPCop und hatte dort falsche DNS Einstellungen.
Nun übernehmen die Clients auch ohne Zicken die Policy. Ob es mit WSUS klappt weiß ich noch nicht genau. Mal sehen ob da gleich welche auftauchen .
Auf einem DC ist allerdings die Remotesteuerung noch extrem langsam. Finde nicht heraus weshalb..Das Netz verfügt über eine 6Mbit Leitung, aber die Steuerung über .rdp und über Dameware sind sehr sehr schleppend. Muss ich vielleicht noch eine spezielle Einstellung im DNS machen ? Muss der PDC einen DNS Server haben ?
DHCP wird auch vom IPCop verwaltet in allen Netzen.
Bitte warten ..
Mitglied: datasearch
02.03.2008 um 18:00 Uhr
OK, Da haben wir ja den übeltäter
Hast du das mit den GPOs soweit verstanden?

Zum Thema DNS:

Du solltest, damit so etwas nicht wieder passiert und dein DNS sauber funktioniert bitte noch folgendes machen:

  1. In den Eigenschaften des DNS-Dienstes auf dem DC klicke auf Weiterleitungen und richte eine Weiterleitung für alle anderen DNS-Domänen an den IPCop ein.
  2. Wenn du DHCP verwendest, trage als Primären DNS-Server den DC ein. Als sekundären den IPCop. Solltest du die Clients statisch konfiguriert haben, trage auf den Clients diese Konfig per Hand ein.
  3. Stelle sicher das alle Clients diese Konfiguration übernehmen und prüfe mit ein paar DNS-Abfragen ob die Weiterleitung auf dem DC an den IPCop funktioniert.
Das sollte so etwas in Zukunft verhindern

Zum Thema Remotelogin:
Was deine Speed vom RDP angeht, ist das eine Symetrische 6MBit oder ein DSL6000? Versuche bitte mal einen Ping auf heise.de und schau die Laufzeiten an. Liegen diese um oder über 100ms ist RDP ziemlich träge. Welche VPN-technik verwendest du für die Einwahl in die Firma? Nicht das hier ein Problem vorliegt oder die Bandbreite in irgend einer weise begrenzt wurde.
Bitte warten ..
Mitglied: Alternativende
04.03.2008 um 14:22 Uhr
Hi,
die Weiterleitung war schon eingetragen, sodass ich da nicht mehr ändern musste.
Habe die DHCP Einstellungen auf dem IPCop angepasst und hoffe das das nun funktioniert.
Es ist ein DSL 6000 und ich logge mich über OpenVPN ein. Der Ping ist ganz normal.

nslookup domäenenname.localdomain

bringt mir in dieser einen Domäne aber auch seltstsame Ergebnisse.
Werde ich gleich nachreichen.
Bitte warten ..
Mitglied: Alternativende
08.03.2008 um 11:08 Uhr
Es liegt vermutlich an meinem Vista Laptop. Von anderen PC´s funktioniert die Remotesteuerung wesentlich schneller. Ich bekomme vom OpenVPN Client eine Ipv6 Adresse als DNS Server zurück. Ich werde dort mal ein Update durchführen und mal schauen ob es dann klappt.

Danke soweit
Bitte warten ..
Mitglied: datasearch
09.03.2008 um 01:55 Uhr
Vista-Testsysteme verursachen bei uns auch komische dinge im Netzwerk. Hoffentlich wird das mit dem SP1 besser. Naja, andere Geschichte. Funktioniert nun alles bei dir?
Bitte warten ..
Mitglied: Alternativende
13.03.2008 um 16:36 Uhr
Hi,
sorry das ich mich solange nicht gemeldet habe Die Policy funktioniert nun soweit ganz gut. DAs mit den verbindlichen Profilen bekomme ich nur noch nicht hin.

Ich muss die ntuser.dat in ntuser.man umbenennen und dann was ?
Alle User für die ich dieses Profil festlegen will im AD auf den einen Ordner legen ?

Die sollen daran ja nichts verändern dürfen. Wenn man Änderungen vornehmen möchte nimmt man die Sperre mit .man raus bearbeitet und speichert und benennt wieder in .man um richtig ?
Bitte warten ..
Mitglied: datasearch
15.03.2008 um 17:56 Uhr
Ja, so in etwa. Du muss wie folgt vorgehen um ein verbindliches Profil zu erstellen:

  1. erstelle im AD einen neuen user ohne Profilpfad (user zum erstellen der Vorlage)
  2. melde dich an einem PC mit diesem User an und mache deine anpassungen am desktop
  3. melde dich wieder ab
  4. melde dich als Admin an und gehe auf Systemeigenschaften -> Erweitert -> Benutzerprofile
  5. Markiere dort das betreffende Profil und klicke auf "Kopieren nach...". Wähle des Netzwerkpfad des Profilspeichers als Ziel.
  6. Öffne den Profilpfad im Explorer und benenne die Datei ntuser.dat in ntuser.man um
  7. Ändere im AD den Profilpfad der betroffenen Benutzer auf den Speicherort des eben erstellten Profiles

Möchtest du etwas ändern, am besten wieder mit der Vorlage am Vorlage-PC anmelden, die änderungen machen, hochladen und die ntuser umbenennen. fertig.

Nur wie gesagt, über Gruppenrichtlinien kannst du auch profile als schreibgeschützt definieren indem du "Einstellungen beim beenden nicht speichern" aktivierst". Dort lassen sich auch zb. Systemfunktionen sperren und vieles mehr. Wesentlich mächtiger als verbindliche Profile aber auch schwieriger zu konfigurieren.
Bitte warten ..
Mitglied: Alternativende
17.03.2008 um 13:07 Uhr
Heißt nicht speichern löschen ?
DAs Problem was ich sonst habe ist, dass "böswillige" Daten ohne Ende auf den PC´s in Eigene Dateien speichern.
Bitte warten ..
Mitglied: Alternativende
17.03.2008 um 15:56 Uhr
Hi,
ich habe das eben wie in deiner Anleitung beschrieben ausprobiert, aber leider ohne Erfolg. Ich habe einen User angelegt,die Änderungen vorgenommen, als Admin das Profil ins Netz gelegt und den Benutzern lesende Rechte auf den Ordnern gegeben. Anschließen habe ich die ntuser.dat in ntuser.man umbenannt und einen User angemeldet, dessen Profil in dieses Verzeichnis zielt.
Mit dem Ergebniss, dass komischerweise die Einstellungen, die ich an der Policy gemacht habe (Taskmanager nicht aufrufbar etc.) nicht mehr gesetzt waren und das Profil nicht übernommen worden ist. Dieses komische Profil ( inkl englisches Tastaturlayout) wird auch noch ins Netz zurückgesichert.

Ich habe keine Idee wieso...
Bitte warten ..
Mitglied: Alternativende
20.03.2008 um 07:55 Uhr
So habe es noch mal versucht.

Vorlage User angemeldet ohne servergespeichertes Profil. Änderungen vorgenommen.
Admin angemeldet und Profil auf Server verschoben.
ntuser.dat in ntuser.man umbenannt und einen anderen User angemeldet.

Fazit:
Das Profil wurde übernommen, allerdings ist das Tastaturlayout Englisch, der Zugriff auf den Taskmanager und die Systemsteuerung war problemlos möglich was eigentlich per Policy verhindert wird und das Startmenü wurde nicht übernommen.

Wenn ich danach wieder den Vorlageuser anmelde ist aber alles wie gewollt.

Wo liegt da der Hase im Pfeffer ?
Bitte warten ..
Mitglied: Alternativende
20.03.2008 um 14:24 Uhr
Könnte es vielleicht sein, dass er sich das neue Profil nicht vollständig vom Server lädt sondern auch Teile lokal bezieht und deshalb nicht alle Einstellungen übernimmt ?

Wenn ja wo kann man verbieten das lokale Profil zu verwenden ?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
32 Bit CAD Programm und Excel 64 Bit geht nicht (5)

Frage von GrueneSosseMitSpeck zum Thema Microsoft Office ...

Internet
Alternative zu MS Autoroute Außendienst-Programm

Frage von Yannosch zum Thema Internet ...

Grafik
gelöst Suche Programm um Bilder zu verkleinern (10)

Frage von fox14ch zum Thema Grafik ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...