IThome

Also werden "Eigene Dateien" umgeleitet (andere Freigabe als die Serverprofilfreigabe) und auch nur die werden offline verfügbar gemacht ?! Es werden keine Dateien aus dem Profil (z.B. vom Desktop) offline verfügbar gemacht ? Serverbasierte Profile und das offline verfügbar machen von Ordnerumleitungen ist natürlich eine unterstützte Konfiguration. Bestehen Zeitdifferenzen zwischen dem Profilserver und den Clients ?

Welche Dateien werden offline synchronisiert ? Serverbasierte Profile und das offlinesynchronisieren von Dateien des Profils passt einfach nicht zusammen. Deswegen werden die Profilfreigaben auch so konfiguriert, dass sie Zwischenspeicherung nicht erlauben ... Best Practices for User Profiles

Ja, das kannste so lassen ... :)

Angenommen, Du hast einen Rootordner, der Daten heisst. Dieser Ordner ist die Root für Deine Ordnerstruktur und wird freigegeben. Die Freigabe wird für die "Authentifizierten Benutzer" mit Vollzugriff erstellt. Wenn die Benutzer sich also mit \\Server\Daten verbinden, sehen sie erstmal nichts. Ziel ist es, dass aussschliesslich der Administrator in diesem Ordner Unterordner erzeugen kann und ausser ihm niemand etrwas löschen soll. Also wird in diesem Ordner erstmal die Vererbung deaktiviert und alle Gruppen ausser Administratoren und System entfernt. Als Berechtigung stehen dann dort die Administratoren und System mit Vollzugriff für "Diesen Ordner, Unterordner und Dateien". Die Authentifizierten Benutzer erhalten Leseberechtigung für "Nur diesen Ordner". Wenn ein Administrator jetzt hier einen neuen Ordner erstellt, nennen wir ihn mal GF, steht dort als geerbte Berechtigung: Administratoren und System für "Diesen Ordner, Unterordner und Dateien". Und so zieht sich das runter bis zum letzten Unterordner (die Unterordner erben also vom Rootordner). Die Vererbung der Authentifizierten Benutzer erfolgt nicht, da sie ausschliesslich im Rootfolder berechtigt sind. Also musst Du nur noch die Gruppe zufügen (im Ordner GF), die Berechtigungen erhalten soll und diese Berechtigung gilt dann für "Diesen Ordner, Unterordner und Dateien". Der erste Unterordner unterhalb von GF hat dann die Administratoren und System mit Vollzugriff (ausgegraut, da von oben geerbt) und die von Dir zugefügte Gruppe mit der von Dir vergebenen Berechtigung (nicht ausgegraut, da diese Berechtigung die Grundlage für das Vererben nach unten ist). Der darunter angelegte Ordner hat dann alle 3 Gruppen mit ausgegrauten Berechtigungen, da alles von weiter oben geerbt wurde ...

Der SRV23EX hat keinen primären DNS-Suffix. Der sollte wohl contoso.local sein, da das wohl der Name der Active Directory Domäne ist. Ebenso ist die Konfiguration der Netzwerkkarten des DCs nicht korrekt. Man setzt nur auf einer Karte ein Default Gateway, auf der externen (wahrscheinlich die 172er ?!). Setze auf beiden Karten des DCs als bevorzugten DNS-Server die interne Adresse des DCs oder die 127.0.0.1 und konfiguriere den DNS-Server so, dass er auch nur auf der internen Karte abhört. Auf der 192er Karte des DCs also kein Default Gateway und nur die 192er Karte als bevorzugten DNS-Server (oder die 127.0.0.1). Auf der 172er Karte das Gateway so lassen und als bevorzugten DNS-Server die 192er Adresse (oder die 127.0.0.1). Die Bindungsreihenfolge solltest Du so anpassen, dass die interne Karte die höchste Priorität hat ... Wofür soll das Suffix "berlin.meintestnetz.com" gut sein ?

Mach doch erstmal das, worum wir Dich bitten ...

Beschreibe mal am Beispiel eines nicht funktionierenden Ordners, welche erweiterten Berechtigungen auf Ordnerebene vergeben sind. Schau auch nach, welche Berecxhtigungen eine Datei hat, die sich nicht öffnen lässt. Hast Du bei der Vererbungsunterbrechung die ursprünglichen Berechtigungen kopiert oder entfernt ? Nach dem Zufügen zu den Gruppen haben sich die Benutzer wenigstens einmal ab- und wieder angemeldet ?

Poste doch einfach mal IPCONFIG /ALL beider Server. Ist der RRAS nur als NAT-Router konfiguriert oder macht er RAS (VPN z.B.) ?

Auch hier gilt, was Zahni beschrieben hat ... RUNAS lässt zwar eine Elevation zu, ist aber trotzdem ungeeignet (wie Du ja selbst auch schon festgestellt hast). Wenn keine Domäne und Domänenrichtlinien, dann eben zu Fuss ...

So mache ich das in der Regel auch, das klappt ja auch super ... Ich kann das mit der Veröffentlich auch nicht hundertprozentig sagen, da ich das zwar schon mal erfolgreich versucht habe, die installierte Software allerdings nur so ein Taschenrechner (glaube ich) war. Ob das auch mit einer Anwendung wie Office oder ähnlich funktioniert, habe ich selbst noch nicht probiert. Ich würde eine Softwareveröffentlichung via GPO ehrlich gesagt nutzlos finden, wenn der User lokaler Administrator sein müsste ...

In der Beschreibung der Richtlinie "Immer mit erhöhten Rechten installieren" steht: "Diese Einstellung weitet die erhöhten Rechte auf alle Programme aus. Normalerweise sind diese Berechtigungen für Programme reserviert, die dem Benutzer (auf dem Desktop angezeigt) bzw. dem Computer zugewiesen (automatische Installation) oder in der Systemsteuerung unter "Software" verfügbar gemacht wurden." und "Wenn diese Einstellung deaktiviert oder nicht konfiguriert wird, wendet das System bei der Installation von Programmen, die nicht von einem Systemadministrator verteilt oder bereitgestellt werden, die Berechtigungen des aktuellen Benutzers an." Das bedeutet für mich, dass immer mit erhöhten Rechten installiert wird, wenn die Software vom Admin via GPO zugewiesen oder veröffentlicht wurde und dass diese Richtlinie dann gesetzt werden muss, wenn auch Software mit erhöhten Rechten installiert werden soll, die nicht via GPO zur Verfügung gestellt wurde. Ich sehe es auch so, dass auch ein normaler Benutzer veröffentlichte Software installieren kann ...

Trotz gleicher Symptome vielleicht eine andere Ursache ... Netzwerkkartentreiber (zu alt oder auch zu neu), Virenscanner o.ä. ....

RUNAS kann schon eine Elevation durchführen (bei ausgeschalteter UAC). Bei eingeschalteter UAC wird kein Elevation Prompt erzeugt und es findet eben auch keine Elevation statt. :)

Diese Option ist jetzt dauerhaft aktiviert. Schau auch mal hier rein ... .: Daniel Melanchthon :. : Netzwerkperformance unter Windows Vista

Du legst auf dem neuen Server die Freigabe an, in die Profile rein sollen. Dann änderst Du im Benutzerkonto den Pfad zum Profil. Wenn sich der Benutzer am TS anmeldet, lädt er die zwischengespeicherte Kopie des Serverprofils (sofern Du das nicht abgeschaltet hast) und erzeugt seinen Profilordner auf dem neuen Server. Beim Abmelden überträgt er das Profil in diesen vorher erzeugten Ordner. Teste das erstmal mit einem neu angelegten Benutzer (also Profil zuerst auf dem alten Server, dann wie oben beschrieben) ...

Ja, den Haken meinte ich "Ordner nach Entfernen der Richtlinie zurück an den Ort des lokalen Benutzerprofils umleiten" ... Die Ordnerumleitung gilt für den Benutzer nicht mehr, also wird gemäss dieser Einstellung der ganze Kram vom Ort der ehemaligen Umleitung zurück in das lokale Benutzerprofil umgeleitet ... und das dauert eben, wenn die Leitung dünn ist ...

Schalte testweise mal das TCP Autotuning ab: netsh interface tcp set global autotuning=disabled netsh interface tcp set global autotuning=normal schaltet es wieder an ...

Hast Du Standortrichtlinien definiert, die eine Ordnerumleitung für "Eigene Dateien" definieren und in dieser Richtlinie ist eingestellt, dass nach Entfernen der Richtlinie die Dateien an den Ursprungsort zurück kopiert werden ?

Wenn sie serverbasierte Profile haben und Du im Reiter "Terminaldiensteprofile" des Benutzerkontos nichts eingestellt (was Du tun solltest), dann werden die normalen Serverprofile benutzt ...

Benutzt Du serverbasierte Profile ? Konfiguriere in den Benutzereinstellungen mal genau eine unkritische Richtlinie (z.B. Hilfe aus dem Startmenü entfernen oder ähnlich). Alle jetzt gesetzten Benutzerrichtlinien mal auf "Nicht konfiguriert" setzen ...

Dann mach mal bitte RSOP.MSC auf einem Client und prüfe, aus welcher Richtlinie diese Einschränkungen kommen. Wenn es bekannt ist, müssen die entsprechenden Richtlinien nur noch durch einen Domänenadmin angepasst werden ...

Deswegen ja auch die Frage, wann er denn das Image erstellt hat (zugegebenerweise war die Frage recht kurz :rolleyes: )... :)

Was sollen die auswählen können ? Mit welchem Betriebssystem arbeiten die ? Worauf haben die keinen Zugriff ?

Ohne Port Security nach 802.1x oder ähnlich kannst Du das gar nicht verhindern. Wird das Beschriebene (einfach irgendeine IP-Adresse einstellen) z.B. mit einem Windows Client XP gemacht, sendet der Client zuerst einen sogenannten Gratuitous Arp, um festzustellen, ob die IP-Adresse schon vergeben ist. Man nennt ihn den Offending Node. Derjenige, der die IP-Adresse schon gebunden hat (der Defending Node), die der neue Client versucht zu benutzen, antwortet auf diese ARP-Anfrage. Diese Antwort veranlasst den Offending Node, die gewollte IP-Adresse nicht zu binden. Der Offending Node schickt dann noch einen Gratuitous ARP mit einer gespooften MAC-Adresse (nämlich der des Defending Nodes), um den ARP-Cache der übrigen Clients zu korrigieren. Normalerweise hat der später zukommende Client dann also keine IP-Adresse mehr. Wenn diese IP-Adresskonflikterkennung nicht gemacht wird (weil Dein Apparat das nicht unterstützt z.B.) liegt das Problem bei den anderen Knoten, die möglicherweise einen falschen ARP-Cache Eintrag haben (richtige IP-Adresse, falsche MAC-Adresse). Die beiden Knoten mit der gleichen IP-Adresse merken nicht, dass ein anderes Gerät mit der gleichen IP-Adresse existiert. Die Clients broadcasten einen ARP für die doppelte IP-Adresse und die Antwort, die zuerst ankommt, gewinnt. Du musst also verhindern, dass sich jemand einfach physikalisch an einen Switchport stöpseln kann ...

Nicht GPEDIT.MSC, das musst Du mit einer Domänenrichtlinie machen, also via GPMC.MSC. Du erzeugst eine Richtlinie, in der Du in der Computerkonfiguration die Loopbackverarbeitung einstellst (in der Regel auf "Ersetzen"). Weiterhin solltest Du eine weitere Richtlinie mit den Benutzereinstellungen in die OU des TS linken. In der Delegierung der Benutzerrichtlinie entfernst Du dann die "Authentifizierten Benutzer", fügst Deine TS-Gruppe zu und gewährst ihr "Lesen" und "Gruppenrichtlinie übernehmen", den Domänen-Admins verweigerst Du "Gruppenrichtlinie übernehmen" (nur das verweigern, nichts anderes!) ...