Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
Habe folgende noch getestet:
Ich habe den user meier.franz bei welchem das Anmeldescript geblockt wird
Ich habe den user franz.meier welchen ich im Nachhinein erstellt habe, das Anmeldescript läuft tadellos!
Nun habe ich im AD den Profilpfad von meier.franz auf denjenigen von franz.meier gewechselt, mit dem Resultat, dass das Script wiederum geblockt wird.
Fazit: Es scheint so, dass irgendetwas mit dem User meier.franz nicht in Ordnung ist, resp. mit seinem Profil! Ich werde wohl die Profile komplett neu schreiben müssen!!!
Jepp, installiere zusätzlich auf allen Clients/Servern UPHC. Der Dienst verhindert, das Profile "kaputt" gehen. Das ist ein MSI-File, lässt sich also in 5 Minuten per GPO im AD verteilen: Download details: User Profile Hive Cleanup Service
Zitat von TeaRex
Komisch, ich habe eigentlich seit etlicher Zeit nichts mehr an den Profilen resp. an den AD Konten geändert.
Komisch, ich hab an meinem Auto auch nix geändert, plötzlich gehts nicht mehr.
Nochmals ich,
habe einen neuen User erstellt mit einem neuem Profil und dem Anmeldescript. Läuft alles tadellos! Nun habe ich das funktionierende Profil kopiert und einem User zur Verfügung gestellt bei welchem bis dato das Script geblockt wurde mit der Hoffnung dass alles funktioniert. Leider nicht!!!!!!! Das Profil ist 100% i.O. wird aber einfach beim betreffenden User geblockt.
Was heisst nun dies für mich? Muss ich alle User neu erfassen oder was? Das kann es doch nicht sein!
Ich blicke nicht mehr durch.
Übrigens habe ich das Tool UPHC auf allen Computern schon seit etlicher Zeit installiert!
habe einen neuen User erstellt mit einem neuem Profil und dem Anmeldescript. Läuft alles tadellos! Nun habe ich das funktionierende Profil kopiert und einem User zur Verfügung gestellt bei welchem bis dato das Script geblockt wurde mit der Hoffnung dass alles funktioniert. Leider nicht!!!!!!! Das Profil ist 100% i.O. wird aber einfach beim betreffenden User geblockt.
Wie jetzt? Das Profil wird geblockt? Wie meinst Du das?
Zitat von TeaRex
Was heisst nun dies für mich? Muss ich alle User neu erfassen oder was? Das kann es doch nicht sein!
Neues Profil für einen neuen User läuft, richtig? Wenn ja, dann kontrollier mal, in welchen Gruppen der "alte" User überall Mitglied ist, nicht das Du damit in die Quere kommst. Kontrollier auch mit einem neuen User mit dem neuen Profil, welche GPOs ankommen. Und dann natürlich auch der Vergleich mit einem User und Profil, bei dem das Script nicht ausgeführt wird.
Läuft denn der DC sauber? Fehlermeldungen im Eventlog des Servers?
Sorry wenn ich mich nicht korrekt, resp. ungenau ausdrücke. Das Profil als solches wird nicht geblockt sondern es erscheint ganz einfach der Windows Scriting Host mit einer Fehlermeldung wie zu Beginn.
Ich habe die Gruppenzugehörigkeit ebenfalls kontrolliert. Die beiden User sind in der genau gleichen Gruppen. In meinen Augen exakt gleich.
Lässt sich die Gruppenzugehörigkeit auch wie Befehlssatz (Skript) oder was auch immer testen? Ich habe einfach das Gefühl (und bestimmt auch du), dass die User nicht den gleichen Gruppen angehören, auch wenn's offensichtlich nicht nachvollziehbar ist.
Ich habe die beiden GPO's verglichen. Es gibt einen Unterschied bezüglich Administrative Vorlagen, die GPO "Auf Netzwerk warten...." wird hier nicht übergeben. Allgemein läuft die Sanduhr aber es wird nichts geladen!? Edit: Nach einer gewissen Zeit ist auch hier die Gruppenrichtlinie " Auf Netzwerk warten...." ersichtlich.
Eine Fehlermeldung ist zwischenzeitlich erschienen die wie folgt lautet:
Die aktuellen Versionen der ADM-Dateien sind nicht verfügbar. Dies kann durch nicht ausreichende Berechtigungen oder nicht verfügbare Netzwerkressourcen verursacht worden sein. Die lokale Kopie dieser ADM-Dateien wird verwendet.
Details:
ietres.adm
Standort- "\\xy\admin$\System32\GroupPolicy\Adm\inetres.adm"
Fehler - Zugriff verweigert!
wmplayer.adm
Standort- "\\xy\admin$\System32\GroupPolicy\Adm\wmplayer.adm"
Fehler - Zugriff verweigert!
Edit:
Habe den DC mit dcdiag /a getest und keine Fehlermeldungen erhalten
Wenn ich den entsprechenden User zum Domänen-Admin "befördere" läuft die Anmeldung ebenfalls ohne jegliche Probleme durch! Das kann doch nicht sein, dass ich alle Mitglieder zur Gruppe der Domänen-Admins hinzufügen muss.
Sorry wenn ich mich nicht korrekt, resp. ungenau ausdrücke. Das Profil als solches wird nicht geblockt sondern es erscheint ganz einfach der Windows Scriting Host mit einer Fehlermeldung wie zu Beginn.
OK.
Zitat von TeaRex
Lässt sich die Gruppenzugehörigkeit auch wie Befehlssatz (Skript) oder was auch immer testen? Ich habe einfach das Gefühl (und bestimmt auch du), dass die User nicht den gleichen Gruppen angehören, auch wenn's offensichtlich nicht nachvollziehbar ist.
Mit der IFMEMBER.EXE kannst Du das prüfen. Als der betroffene User anmelden: ifmember /v /l DeineDomain\Derbetroffene User [ENTER]
Zitat von TeaRex
Ich habe die beiden GPO's verglichen. Es gibt einen Unterschied bezüglich Administrative Vorlagen, die GPO "Auf Netzwerk warten...." wird hier nicht übergeben. Allgemein läuft die Sanduhr aber es wird nichts geladen!? Edit: Nach einer gewissen Zeit ist auch hier die Gruppenrichtlinie " Auf Netzwerk warten...." ersichtlich.
Hmm, die sollte eigentlich gleich erscheinen. Hast Du auch die zweite Einstellung aus der GPO-FAQ No. 36 gesetzt? FAQ-GPO
Eine Fehlermeldung ist zwischenzeitlich erschienen die wie folgt lautet:
Zitat von TeaRex
Die aktuellen Versionen der ADM-Dateien sind nicht verfügbar. Dies kann durch nicht ausreichende Berechtigungen oder nicht verfügbare Netzwerkressourcen verursacht worden sein. Die lokale Kopie dieser ADM-Dateien wird verwendet.
Details:
ietres.adm
Standort- "\\xy\admin$\System32\GroupPolicy\Adm\inetres.adm"
Fehler - Zugriff verweigert!
wmplayer.adm
Standort- "\\xy\admin$\System32\GroupPolicy\Adm\wmplayer.adm"
Fehler - Zugriff verweigert!
Wenn ich den entsprechenden User zum Domänen-Admin "befördere" läuft die Anmeldung ebenfalls ohne jegliche Probleme durch! Das kann doch nicht sein, dass ich alle Mitglieder zur Gruppe der Domänen-Admins hinzufügen muss.
Läufts auch, wenn Du den User in die Gruppe der lokalen Admins packst? Wenn ja, dann muß doch auch eine Fehlermeldung im Log erscheinen, wenn Du es als User ausführen willst.
Hi,
wenn ich den User zu den lokalen Administratoren hinzufüge, läuft das Skript und der Anmeldeprozess ohne jegliche Probleme durch.
Wenn ich ihm die Administrationsrechte entziehe erscheint im Eventlog der Fehler 4614!?
Kannst du mit diesen Angaben etwas anfangen?
Die Gruppenzugehörigkeit habe bei beiden via ifmember.exe durchgeführt. Dabei habe ich festgestellt, dass bei in derselben Gruppe(n) eingetragen sind. Eine Vermischung der Gruppen kann man so wahrscheinlich ausschliessen.
Hi,
Ich danke dir erstmals für deine Geduld, wobei meine schon bald am Ende ist!
ich habe maximale Berechtigung auf jeden der Ordner SYSVOL und NETLOGON geben (Jeder => Vollzugriff). Mehr Benutzerrechte kann ich nicht vergeben. Leider hat sich nichts verändert!!!!
Mit hoher Wahrscheinlichkeit ist es ein Rechteproblem!? Kannst du mir kurz durchgeben auf welchen Ordner welche Rechte gesetzt werden sollten:
Ich danke dir erstmals für deine Geduld, wobei meine schon bald am Ende ist!
Mein auch, da mir die Ideen ausgehen.
Zitat von TeaRex
ich habe maximale Berechtigung auf jeden der Ordner SYSVOL und NETLOGON geben (Jeder => Vollzugriff). Mehr Benutzerrechte kann ich nicht vergeben. Leider hat sich nichts verändert!!!!
Das hat damit nichts mehr zu tun. Das Script wird ja auch nicht ausgeführt, wenn Du es lokal ablegst. Also hast Du ein Rechteproblem lokal auf den Clients.
Zitat von TeaRex
Mit hoher Wahrscheinlichkeit ist es ein Rechteproblem!? Kannst du mir kurz durchgeben auf welchen Ordner welche Rechte gesetzt werden sollten:
Profil
Sysvol
Ich schrub ja schon mal, schau dir mit dem ProcessMonitor an, wo genau Fehler oder Access Denied Meldungen kommen, wenn Du das Script lokal startest.
2K3 - Ich kriege noch die Krise!
!
