mbrock

Hi, darf ich zusammenfassen? Eine wilde Menge Benutzer:) 3 Gruppen von Computern bei denen für jede Gruppe für jeden Benutzer ein separates roaming profile benötigt wird. Diverse Computer, an denen die Anwender kein roaming profile bekommen sollen. Also im Prinzip 4 Gruppen Computer Damit ergibt sich folgende Matrix: Benutzer | PC Group A PC Group B PC Group C PC Group D ------------------------------------------------------------------------------- 1 | 1A 1B 1C lokal \ 2 | 2A 2B 2C lokal - - - Profilpfad 3 | 3A 3B 3C lokal / Wenn die PC Group D nicht existiert kannst du schon über die Systemvariable arbeiten. Das Handhaben wir bei Terminalserverprofilpfaden so. Sonst bleibt wohl nur der Weg über eine GPO, da kenne ich mich aber nicht so gut aus.

Hi, auf welchem Weg wird denn die Zeit synchronisiert? NTP oder NET TIME?

Hi, warum machst du dann überhaupt roaming profiles, wenn es für jeden PC ein separates geben soll? Ansonsten kannst du in profilpfad mit einer Umgebungsvariablen arbeiten. Die muss dann aber auf dem Computer gesetzt sein. Ob das mit \\<servername>\<Freigabename>\<Benutzername>\%COMPUTERNAME% funktioniert kööntest du ja mal ausprobieren.

Hi Ich persönlich glaube nicht dass das funktioniert: Um auf die lokale Gruppe zuzugreifen lautet der Befehl 'Net Localgroup' ABER um sich selbst in eine Gruppe aufzunehmen muss man selbst über weitreichende Rechte verfügen, die sind aber hier wohl eher das Ziel und nicht die Ausgangssituation. Also wie das mit der GPO genau geht kann ich dir auch nicht erklären, da habe ich zu wenig mit zu schaffen:( Wenn ich den Überblick über die AD behalten will kann ich wie folgt vorgehen: Für jeden PC eine Admingruppe in der AD anlegen (e.g.PC17_Admins) Auf jedem PC die Admingruppe aus der AD in die lokale Gruppe Administratoren aufnehmen, die dem Computernamen entspricht (e.g. PC17_admins als Mitglied der lokalen Gruppe Administratoren auf PC17) Die Benutzerkonten die auf dem PC Admnirechte bekommen sollen in die AD- Admingruppe aufnehmen (e.g. Herr Müller in die Gruppe PC17_admins) viola! :D Das ganze geht sicherlich eleganter über GPO - aber wie eben schon erwähnt: i don't know how to do :( Sicherlich ist am einfachsten umzusetzen: Domainuser in die lokale Gruppe Administratoren aufnehmen (e.g. Herr Müller in die Gruppe Adminisratoren auf PC17) Dabei geht natürlich ein Stück Übersichtlichkeit verloren da nicht alles in der AD console sichtbar und änderbar ist. Vielleicht kann jemand anderes den Weg über die GPO genauer erläutern?

Ob das in diesem fall funktioniert? Ich schaue in meine Glaskugel und sehe: Das OS scheint auf Laufwerk D: installiert zu sein. Die Angabe des Pfades ist bei einem Link auf die CMD.EXE aber normalerweise nicht erforderlich... :)

Hi, versuche mal für den Link: CMD /c start /low ... Bei Befehlen die Bestandteil des Befehlsinterpreters (CMD) sind kann es nötig sein den 'cmd /c' voranzustellen. Viel Erfolg.

Irgendwodran musst du ja festmachen wer auf welchem PC Admin wird. Du kannst dies über Gruppen in der AD regeln und diesen Gruppen dann lokale Adminrechte vergeben, dann kannst du wenigstens in der AD- Console sehen wer wo admin ist. Ob das in deinem Fall sinn macht musst du schon selbst wissen.

Hi, also was Terminalseverices angeht gibt es da noch ein paar englschsprachige die ich kenne (citrix.com, brianmadden.com). Im Windows Serverbereich habe ich mich da noch nicht so sehr drum gekümmert.

Hi, vielleicht ist bei der partitionierung etwas schief gelaufen und die Partition ist nicht als 'Aktiv' gesetzt. Vielleicht ist es auch keine 'Primäre Partition'. Kannst du alles mit FDISK von einer guten alten DOS / WIN9x Bootdiskette nachschauen.

Hi, sichere den Ordner 'Dokumente und Einstellungen\Default User' Kopiere den Inhalt des alten Profils in den Ordner 'Default User' Lasse bei der Anmeldung das neue Profil generieren Versetze den Ordner ' Default User' in den Ursprungszustand. Bei der ersten Anmeldung wird das Profil aus der Vorlage 'Default User' generiert.

Hi, möchtest Du dass mehrere User auf genau 1 PC die Adminrechte haben oder jeder dieser 'Poweruser' auf einem anderen PC?

Hi alexandra, hoffentlich fasse ich richtig zusammen: Die unattend installation funktioniert und der PC wird automatisch in die Domäne aufgenommen. Das Benutzerkonto existiert bereits in der Domäne. Du möchtest in Abhängigkeit vom Computernamen einen bestimmten Domänenbenutzernamen in die Gruppe der lokalen Administratoren aufnehmen. Du kannst folgendes für die unattended Installation definieren: Account für die erste automatische Anmeldung (account mit lokalen Adminrechten). Programm das bei der ersten Anmeldung ausgeführt wird. (e.g. ein Script) In diesem Script kannst du dann in Abhängigkeit vom Computernamen den Domänenbenutzer XY mit dem Befehl Net Localgroup in die lokale Gruppe der Administratoren aufnehmen. Wozu die lokale Anmeldung als Domainuser? Das Profil wird eh bei der ersten Anmeldung angelegt, das kann auch der Benutzer sein. Wenn das lokale Profil dennoch erforderlich ist kannst du dass auch mit den Script erledigen: Setze den Autoadminlogon für den Benutzer und das script für die weitere Vorgehensweise in den Startup-ordner. Hoffentlich habe ich dich nicht völlig falsch verstanden und konnte dir weiterhelfen.

Hi, Alternative: Start /LOW <Befehl>

Hi Gadget, das werd ich mir bei Gelegenheit mal zu Gemüte führen. Bisher bin ich mit dem CACLS ganz gut gefahren. Ich bin den ganzen Kram über die Tastatur / Batch irgendwie noch von DOS (was war das noch gleich) gewohnt. :)

Hi, also keine Domäne sondern nur eine Arbeitsgruppe? Ist auf dem Zielrechner ein Benutzerkonto eingerichtet, gleicher Name / gleiches Kennwort wie auf dem Quellrechner? Wär mal nen Versuch wert.

Hi, versuchs mal mit dem Befehll CACLS vom CMD Prompt. Eine Möglichkeit das auf grafischem Weg hinzubekommen (rechte Maustaste auf Ordner...) gibt es meines Wissens in XP Home nicht.

Wie worauf ist die GPO gesetzt auf die Gruppe TerminalUser? Die Gruppenmitgliedschaft besteht auch wenn sich der User lokal anmeldet. Wir haben folgenden Konstrukt: GPO auf die OU der Terminalserver: Laufwerke ausblenden GPO auf die Terminalserveradmins: Laufwerke Einblenden Zusätzlich musstest du eine GPO auf die OU der PCs setzen: Laufwerke einblenden Ich würde die GPO nicht auf die Benutzergruppe setzen.

Hi. Stimmt genau, über die GPO werden im Benutzerprofil Registry- Keys gesetzt. Das kann ich nur unterstreichen. Dennoch: Für die Client- PC GPO setzen, die explizit nicht die Laufwerke ausblenden. Bei der Anmeldung am TS werden im Profil die Laufwerrke ausgeblendet. Das bleibt solange so, bis ein entgegengesetzter Eintrag im Profil erfolgt. Dies kann über die GPO des PC erfolgen. ABER: Anwender meldet sich am PC an und macht dann eine Sitzung am TS auf (warum auch immer) Bei der Abmeldung am TS wird das roaming profile geschrieben und bei der Abmeldung am PC werden die Änderungen aus der TS- Sitzung im roaming profile überschrieben. Die letzte Abmeldung 'sticht'.

Aber beim kopieren werden doch die Rechte des Zielverzeichnisses übernommen... Ich Denke du meintest verschoben ;) Diese Unterschiede sind bei MS was NTFS angeht ziemlich wichtig :) Freut mich da geholfen zu haben ;)

Hi. Du könntest über REGMON auslesen welche Änderungen in der Registry vorgenommen werden wenn du diese Einträge manuell setzt. Dann solltest du in der Lage sein diese über Policy oder LogonScript zu verteilen. Frag mich bitte nicht wie das mit der Policy geht, das machen bei uns andere.

Hi! Hatte ich kaum anders erwartet;) Ich denke nicht dass da noch cmd extra gestartet werden muss. Der Aufruf wie er oben steht schein mir soweit ok zu sein. Kannst du irgendein script zuverlässig per scheduler starten? Sorry, aber mit NT4 habe ich nicht mehr virl zu schaffen :( Falls alle Stricke reißen: Falls du Scripting Host auf dem Server hast könnte man etwas in VBS programmieren. Allerdings müsste das dann zunächst einmal gestaret werden - sehr umständlich :(

Hi. Noch n paar Gedankengänge - vielleicht ist ja was inspirierendes dabei... ;) Hast du schonmal der ServicePack (welches überhaupt?) drüber installiert? Hatte auf NT4TSE mal ähnliche Probleme den TSSHUTDN direkt bet AT zu starten, über CMD ging es dann - aber du startet ja schon eine CMD Irgendwann hatte sich dann auch noch eine andere Version des Schedulers auf einigen Servern breit gemacht - warum auch immer. :shock: Viel Erfolg noch :)

Wow was da alles für Worte herausgefiltert werden;) Respekt:) Auch wenn ich das in diesem Fall nicht hundertprozentig nachfollziehen kann. Man könnte ja jemand damit beleidigen - aber da gibt es auch andere Wege ;)

Hi! ... und wenn der Dienst die Datei erst in einem anderen Verszeichnis (gleiches Volume) erstellt und dann verschiebt? Nimmt die Datei dann die Rechte mit? - Denke schon... Nur so ne - wahrscheinlich ****e - Idee Generell hast du aber recht, neue Dateien sollten die Rechte vom Verzeichnis geerbt werden. Versuchs doch mal nachzustellen indem du eine Datei erstellst.

Hallo, Benutzer sind alle authentifizierten, wenn da verweigert greift das als höchstes Recht und sticht alle anderen aus. Ich würde für die jeweiligen unterordner die Vererbung der Rechte ausschalten und dann entsprechend für den jeweiligen Benutzer neu setzen ©. Admins behalten natürlich full. Zum setzen der Rechte kann auch der Befehl CACLS genutz werden, der ist Batchfähig.