Zum Inhalt wechseln


Foto

Profil Automatisch anlegen?


  • Bitte melde dich an um zu Antworten
32 Antworten in diesem Thema

#1 warbird001

warbird001

    Member

  • 203 Beiträge

 

Geschrieben 02. Juni 2007 - 12:38

Hallo Alle

Ist es moeglich das Profil eines Nutzer automatisch auf den Server zu Schreiben?
Also nicht erst dann wenn der Nutzer selber sich erstmals interaktiv
an einem Rechner anmeldet sondern schon vorher per Script?
Quasi so eine Art automatisierter Login.

ciao
Stefan:wq

#2 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 14:15

Sicherlich.

Wo liegt denn das Default-Profil, was er bekommen soll?
Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?
Wenn es im NETLOGON liegt, kannst du
a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst
oder
B) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.
Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein

#3 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 14:51

Das geht wohl mit

FOR /R D:\Profiles %d IN (.) DO 
if NOT exist "D:\Profiles\%d\Anwendungsdaten" 
xcopy c:\SYSVOL\NETLOGON\Default User D:\Profiles\%d /c /h 
CACLS D:\Profiles\%d /T /P:Administratoren:F 
CACLS D:\Profiles\%d /T /P:%d:F

Jetzt muss nur noch jemand, der sich damit besser auskennt als ich die Fehler finden ;)

#4 warbird001

warbird001

    Member

  • 203 Beiträge

 

Geschrieben 02. Juni 2007 - 17:19

Sicherlich.

Wo liegt denn das Default-Profil, was er bekommen soll?
Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?
Wenn es im NETLOGON liegt, kannst du
a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst
oder
B) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.
Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein


Das Default Profile ist das, das auf dem Client vorhanden ist.
Es wird dann beim Abmelden auf den Server geschrieben.

Ich verstehe das richtig:
Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein
"einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte?
Keine Einstellungen in der Registry etc? Nichts Weiter?

Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach"
zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original,
deshalb habe ich das dann aufgegeben.
von d.h bin ich etwas Ueberascht.

ciao
Stefan:wq

#5 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. Juni 2007 - 17:56

Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.
Was ist eigentlich der Grund für dieses Vorhaben ?
Ich bin S-1-5-XXX-500, ich darf das ...

#6 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 18:04

Was ich gerade getestet habe:

- neuen Benutzer "6" mit Profilpfad "\\server\profiles\6" angelegt
- "\\server\netlogon\default user" nach "\\server\profiles\" kopiert, in "6" umbenannt.
- ACL gesetzt: Administratoren/System/6: Full
- als 6 auf dem Client eingeloggt, Profil wird geladen
- was geändert (Desktophintergrund)
- abgemeldet
- angemeldet -> Desktophintergrund war wieder wie ich ihn eingestellt hatte

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

Ich würde folgendes machen:
- an einem Client (wenn XP und 2k als OS verwendet wird, besser auf einem 2k) einen neuen Benutzer lokal anlegen
- mit diesem neuen User einloggen
- Einstellungen wie es gewünscht/ sinnvoll ist ändern
- abmelden
- auf diesem Client als Admin einloggen, Windows+Pause drücken (Systemeigenschaften)
- Unter "Erweitert" -> "Benutzerprofile" -> "Einstellungen" den eben erstellten Benutzer auswählen und "Kopieren nach" wählen. Als Speicherort die Netlogon-Freigabe des Servers also \\%LOGONSERVER%\NETLOGON wählen und als Besitzer "Jeder" eintragen (Wichtig!)
- nun bekommt ein neuer Domänenbenutzer das Profil vom Server.

Wenn jemand mein Script korrigier hat, habe selber gerade nochmals probiert, ich bekomme immer alle Unterverzeichnisse angezeigt, was nicht soll, kannste es ja probieren. Wobei ich den Sinn dieser Maßnahme nicht verstanden habe.

Mfg

//edit
@IT-Home: du meinst die NTFS-Berechtigungen? Die kann das Sript ja wie oben eintragen. (Per Befehl CACLS)

#7 warbird001

warbird001

    Member

  • 203 Beiträge

 

Geschrieben 02. Juni 2007 - 19:09

Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.
Was ist eigentlich der Grund für dieses Vorhaben ?


Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte
Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.
Damit wird vermieden das sie sich bei defektem Servergespeichertem
Profil mit einem lokalen Profil anmelden.

Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss
um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen
Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr.

Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich
keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden.

Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde
waere es ja kein Problem.
Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht.

ciao
Stefan:wq

#8 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 19:15

Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?

#9 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. Juni 2007 - 19:16

Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT. Du kannst Dir ja spasseshalber mal eine kopierte NTUSER.DAT Struktur und eine eines mit dem entsprechenden Tools kopierten Profils laden und die Berechtigungen vergleichen, dann wirst Du sehen, was ich meine ...
Ich bin S-1-5-XXX-500, ich darf das ...

#10 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 19:18

Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte
Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.
Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden.


Das geht auch einfacher: nutze die Gruppenrichtlinie "Benutzer bei Fehlschlag des servergespeicherten Profils abmelden".
Somit wird der Benutzer direkt abgemeldet, wenn sein Profil nicht geladen worden konnte.

#11 !aN

!aN

    Member

  • 167 Beiträge

 

Geschrieben 02. Juni 2007 - 19:21

Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT ...


Wie gesagt, bei mir ging es gerade. Ich hatte mal wie hier beschrieben das Profil eines Nutzers in das eines anderen kopiert, ging nicht.

Jedoch scheint das mit dem Default Profil wegen dem Besitzer "Jeder" zu funzen…

#12 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. Juni 2007 - 19:26

Lade Dir mal die Struktur des Default User Profils, die Gruppe Jeder hat nur Lesen und nicht Ändern. Es geht hier nicht um den Besitzer (diese Prüfung kann man abschalten), der Besitzer ist der, der es kopiert hat, es geht um die Berechtigungen in der NTUSER.DAT ...
Ich bin S-1-5-XXX-500, ich darf das ...

#13 warbird001

warbird001

    Member

  • 203 Beiträge

 

Geschrieben 02. Juni 2007 - 19:33

Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?


Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner
umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet.

Die Veraenderungen in der Registry wurden nicht uebernommen.
(EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr
an der richtigen Stelle.

ciao
Stefan:wq

#14 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. Juni 2007 - 19:42

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden. Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...
Ich bin S-1-5-XXX-500, ich darf das ...

#15 warbird001

warbird001

    Member

  • 203 Beiträge

 

Geschrieben 02. Juni 2007 - 20:18

In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden.


Gibts da noch andere Moeglichkeiten als ueber:
Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ?


Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...


Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script.
Aber an dem Problem mit den Registry Berechtigungen aendert das nichts.

ciao
Stefan:wq