Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Servergespeicherte Profile werde nicht abgeglichen

Frage Microsoft Windows Server

Mitglied: Vile-Gangster

Vile-Gangster (Level 1) - Jetzt verbinden

01.01.2006, aktualisiert 02.01.2006, 13569 Aufrufe, 6 Kommentare

Hallo zusammen,

nach recht langer Suche hier im Forum und bei Google muss ich leider doch dumm fragen...
Es gab zwar den einen oder anderen der genau das gleiche Problem hat wie ich jetzt aber die Lösungsvorschläge die dort gegeben wurden treffen bei mir leider nicht zu.

Ähnliches Problem:
http://www.administrator.de/frage/servergespeicherte-profile-werden-nic ...

Mein Problem ist folgendes:
Hier läuft ein DC mit servergespeicherten Profilen. Zumindest sind sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt für das Basisverzeichnis:

\serveretlogon\%username%
\serverdatenenutzer\%username%

Das Problem ist nur sobald ich mich mit einem Benutzer anmelde werden zwar vom Server Einstellungen übernommen (Anmeldescript, Basisordner, GPO) aber es werden keinerlei Daten des Benutzerkontos abgeglichen, das gilt auch für die Abmeldung.
Habe wirklich alle Einstellungen mit einer anderen Domäne überprüft und die Einstellungen sind alle gleich aber es geht trotzdem nicht. Selbst als ich den Benutzer zum Domänen-Admin gemacht habe ging es nicht.

Auch unter "Systemeigenschaften ? Erweitert ? Benutzerprofile" wird angezeigt das es ein Servergespeichertes Profil ist. Ich kann auch mit dem Benutzer über den UNC-Pfad (\serveretlogon\%username%) auf den Server zugreifen und in dem Profilordner des Benutzers Dateien erstellen und löschen. Also an den Berechtigungen kann es ja eigentlich nicht liegen.

Als ich nur so zum Spaß die Gruppe "Domänen-Benutzer" der lokalen Administrator Gruppe hinzugefügt habe wurde endlich das Benutzerkonto auf den Server kopiert. Das kann doch nicht wahr sein. Wieso müssen die Benutzer lokale Admins sein damit das servergespeicherte Profil kopiert wird?

Kann man das mit einer GPO irgendwie umgehen? Also dass die Benutzer zwar keine lokalen Admins sind aber trotzdem das Profil abgeglichen wird? Muss doch dafür eine Lösung geben, schließlich gibt es bestimmt genug Umgebungen in denen nicht gewünscht ist das Benutzer diese Art von Berechtigungen haben.

Ich muss aber zugeben dass ich mich bisher nicht mit GPOs auseinandergesetzt habe. Habe mir zwar mal die Möglichkeiten angesehen die ich dort habe aber das war auf Anhieb so viel das ich da noch nicht durchblicke und evtl. die richtige Einstellung übersehen habe.

Wo ich aber gerade von lokalen Admin Berechtigungen rede. Wie kann ich denn Benutzer zuweisen das sie diese Art der Berechtigung bekommen? Da wir den einen oder anderen Laptop Benutzer haben wäre das dort vielleicht nicht die schlechteste Alternative. Bei den PCs im Büro muss das nicht sein. Klar, ich könnte bei den Laptops auch das per Hand definieren aber das geht doch bestimmt auch über eine GPO, oder?

Konfiguration:
Windows Server 2003 Std. SP1 + Exchange 2003 Ent. SP2
Windows XP Professional SP2

Bin für jede Hilfe dankbar die mir bei meinem Problem helfen kann.
Mitglied: gemini
01.01.2006 um 20:08 Uhr
Hallo Vile-Gangster,

sie im AD angelegt und der Profilpfad ist auch korrekt angelegt. Das gleiche gilt
für das Basisverzeichnis:
\\server\netlogon\%username%
\\server\daten\benutzer\%username%
Wie sehen denn die Rechte auf den Verzeichnissen aus?
Aus welchem Grund legst du die Profile in das Share NETLOGON?
Hier denke ich ist auch der Hund begraben.
Auf NETLOGON sind die Rechte so gesetzt, dass Benutzer nur Lesen dürfen; mehr müssen sie auch nicht.
Daraus würde folgen, dass sie ihr Profil zwar laden können aber nicht wieder zurückschreiben
Wenn schon ein Profil im NETLOGON liegen muss, dass ist es ein Dömänen-Defaultprofil.

Besser ist es, man legt je ein Share profiles und homes an.
In beiden müssen die User schreiben können, und zwar auf der Freigabe und im Dateisystem.
Günstigenfalls legt man das ganze auf eine eigene Partition, das eröffnet dann die Möglichkeit Quotas einzusetzen und den Plattenplatz/User zu reglementieren.

HTH
gemini
Bitte warten ..
Mitglied: tom-k
01.01.2006 um 21:17 Uhr
Es werden auch nicht alle Verzeichnisse des Profils automatisch gespeichert!

siehe "ExclusionList" in der Datei "C:\Dokumente und Einstellungen\\%username%\ntuser.ini"
Änderungen in der "ntuser.ini" haben aber keinen Sinn! Pfade stehen in der Reg. unter:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ExcludeProfileDirs"="Temporary Internet Files;Verlauf;Temp;Cookies;"

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"ExcludeProfileDirs"="Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Outlook;Lokale Einstellungen\\Anwendungsdaten\\Help;Anwendungsdaten\\Microsoft\\HTML Help;Anwendungsdaten\\Microsoft\\Access;"
Bitte warten ..
Mitglied: Vile-Gangster
02.01.2006 um 19:13 Uhr
Hi gemini,

habe mal Deinen Rat befolgt und je ein Share "Profile" und "Home" angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe ich nichts verändert da dort ja die Vererbungen greifen.
Was ich noch beim Nachlesen entdeckt habe ist das die Shares wohl oft mit dem ?$? versehen werden. Muss man das machen oder ist das einfach nur so damit es nicht in der Netzwerkumgebung auftauchen soll? Zumindest sehe ich keinen sonderlich großen Nutzen wenn ich es mache außer das es keiner sehen kann.

Und was ich nicht gedacht hätte ist dass die Benutzer nun keine lokalen Admins mehr sein müssen da dort einfach das Verzeichnis bei der Anmeldung erstellt wird mit den benötigten Rechten
Und ich Depp mach mir immer die Arbeit unter "NETLOGON/scripts" einen Ordner anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte Lehrgang lang lang her. Man merkt das schon wenn man nicht wirklich oft mit Windows Domänen zu tun hat bzw. mit der Installation?

Vielen Danke erstmal an dieser Stelle. Aber wie verhält es sich mit dem Backup? Das System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim erstellen eines Backups und beim Widerherstellen. Oder muss ich die Admin Gruppe noch mit rein nehmen damit das Backup funktioniert?

Tja, das mit der Quota ist an sich eine schöne Sache aber da ich hier eine Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig groß dimensioniert. Und bis dahin ist der Platz verschenkt.


Gruß
Vile-Gangster
Bitte warten ..
Mitglied: gemini
02.01.2006 um 19:43 Uhr
Hi Vile-Gangster,

habe mal Deinen Rat befolgt und je ein Share "Profile" und "Home"
angelegt. Dort die Gruppe "Jeder" rausgeschmissen und nur die Gruppe
Domänen-Benutzer auf die Freigabe mit Vollzugriff gesetzt. Unter Sicherheit habe
ich nichts verändert da dort ja die Vererbungen greifen.
Der User muss auf die Verzeichnisse Schreibrechte haben, und zwar aus dem Netzwerk.

Was ich noch beim Nachlesen entdeckt habe ist das die Shares wohl oft mit dem ?$?
versehen werden.
Muss man nicht das Dollarzeichen bewirkt lediglich, dass die Freigabe in der Netzwerkumgebung nicht sichtbar ist.
Wer den Pfad kennt, erhält trotzdem Zugriff auf das Share.

Und was ich nicht gedacht hätte ist dass die Benutzer nun
keine lokalen Admins mehr sein müssen
Das ist auch gut so, es sei denn du leidest an Arbeitsmangel

Und ich Depp mach mir immer die Arbeit unter "NETLOGON/scripts" einen Ordner
anzulegen und dort die Berechtigungen anzupassen...mein Gott ist dieser verdammte
Lehrgang lang lang her.
Ich kann mir nicht vorstellen, dass das in welchem Lehrgang auch immer so vemittelt wurde.

Vielen Danke erstmal an dieser Stelle. Aber wie verhält es sich mit dem Backup? Das
System hat doch auf die Profile der User Berechtigungen, oder? Also sowohl beim
erstellen eines Backups und beim Widerherstellen.
Administratoren, System und Sicherungs-Operatoren habe ich in jedem Verzeichnis.
Admins und System haben Vollzugriff und die Sicherungsoperatoren die notwendigen Rechte, insbes. um die Flags zu setzen.

Tja, das mit der Quota ist an sich eine schöne Sache aber da ich hier eine
Partition von 420 GB habe und die mir nicht zerstückeln möchte wird das wohl
nichts. Die wird ja dann irgendwann auch zu klein wenn man sie nicht gleich richtig
groß dimensioniert. Und bis dahin ist der Platz verschenkt.
Die Spezies User an sich ist gierig, speziell beim Plattenplatz will sie immer ein klein wenig mehr als grad vorhanden ist
Eine Begrenzung ist hier in vielen Fällen schon sinnvoll.

Gruß
gemini
Bitte warten ..
Mitglied: Vile-Gangster
02.01.2006 um 21:31 Uhr
Der User muss auf die Verzeichnisse
Schreibrechte haben, und zwar aus dem
Netzwerk.
Das hat er ja, da brauchte ich nichts zu verändern. Das einzige das ich geändert habe ist auf dem ?Home? Verzeichnis dass die anderen Benutzer nicht auf das ?Home? eines anderen zugreifen können. Ist zwar umständlich die Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.

Muss man nicht das Dollarzeichen bewirkt
lediglich, dass die Freigabe in der
Netzwerkumgebung nicht sichtbar ist.
Wer den Pfad kennt, erhält trotzdem
Zugriff auf das Share.
Jop, das meinte ich ja. Dumm ist nur dass beim Mappen der Netzlaufwerke im Namen der komplette Pfad drinnen steht. Kann man das irgendwie abkürzen das nicht der komplette Pfad im Mapping auftaucht?

Das ist auch gut so, es sei denn du leidest
an Arbeitsmangel
Naja, was heißt hier Arbeitsmangel. Gibt aber immer noch Software die administrative Berechtigungen voraussetzt. Mal schauen wie ich das löse.

Ich kann mir nicht vorstellen, dass das in
welchem Lehrgang auch immer so vemittelt
wurde.
Ich bin mir da leider nicht mehr 100%ig sicher. Aber ich kann mich nicht erinnern dass wir damals ein extra Share angelegt hätten. Das wäre bei mir irgendwie hängen geblieben (hoffe ich zumindest *g*). Aber da haben eh alle an Servern gearbeitet und keiner hatte einen typischen Client. Aber ist schon zu lange her als das ich genaueres sagen könnte. Hätte doch besser alle Prüfungen machen sollen und den MCSE abschließen?wären Dir diese dummen Fragen erspart geblieben.

Administratoren, System und
Sicherungs-Operatoren habe ich in jedem
Verzeichnis.
Admins und System haben Vollzugriff und die
Sicherungsoperatoren die notwendigen Rechte,
insbes. um die Flags zu setzen.
Dann wird ich mal ein bissel rumtesten und das System solange Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft. Und wenn alles so ist wie es sein soll dann wird es neu hochgezogen und von Anfang an richtig gemacht.
Ich liebe diese Seite, hier wird einem doch meist recht gut geholfen.

Die Spezies User an sich ist gierig,
speziell beim Plattenplatz will sie immer
ein klein wenig mehr als grad vorhanden ist

Eine Begrenzung ist hier in vielen
Fällen schon sinnvoll.
Jaja, das ist wahr. Aber derweil sind es nur 10 Benutzer und die sind recht genügsam. Aber vielleicht mach ich doch noch eine extra Partition für die Profile und leg doch eine Quota fest. Was schlägst Du so als Wert vor je Benutzer? 1GB oder mehr?

Danke und Gruß
Vile-Gangster
Bitte warten ..
Mitglied: gemini
02.01.2006 um 21:54 Uhr
auf das ?Home? eines anderen zugreifen können. Ist zwar umständlich die
Berechtigungen für jedes ?Home? eizeln anzupassen aber geht schon.
Ja, das ist leider so. Bei den Profilen funktioniert es einwandfrei, die Homes hat Microsoft übersehen
Als kleine Arbeitserleichterung kann man das natürlich mittels Script und (x)cacls erledigen.
Ob sich das bei 10 Usern rentiert, sei dahingestellt.

Kann man das irgendwie abkürzen das nicht der komplette Pfad im Mapping auftaucht?
Was meinst du damit?
Bei mir steht: <<a>share<a>> auf "<<a>server<a>> (X
Wenn es ein DC ist, steht da seit SP1 sowas wie: <<a>share<a>> auf Domänencontroller der Domäne "<<a>domäne<a>> (X
Wenn du die Homes per Script mappst kannst du es umgehen.
Sie dir mal das Script auf http://www.computerperformance.co.uk/Logon/logon_mapnetworkdrive_rename ... an.
Das funktioniert imho nicht, wenn das Home über die Eigenschaften des Users gemappt wird.

Dann wird ich mal ein bissel rumtesten und das System solange
Kaputtkonfigurieren bis es nicht mehr geht oder perfekt läuft.
Wenn du dir von einem jungfräulichen Server ein Image ziehst, sparst du dir die installiererei.
Ich benutze für sowas http://www.acronis.de/homecomputing/products/trueimage/
Mit der Boot-CD Image in die Secure Zone erstellt, Recovery Manager installiert und du brauchst fürs Restore nicht mal mehr ne CD. Beim Booten F11 und los gehts.

Was schlägst Du so als Wert vor je Benutzer? 1GB oder mehr?
Ich hab 2,5 GB/User eingestellt.
Ist aber auch abhängig von der Anzahl der User und dem vorhandenen Plattenplatz.

Gruß
gemini
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...