phatair

Ok, schade. Dann müssen wir wohl doch weiterhin die Verzeichnisse manuell anlegen. Es ist wichtig das die Admins Zugriff haben und wenn ich jedes mal wenn ich dort reinschaue erst die Berechtigung anpassen muss, kann ich auch gleich den User Ordner selber erstellen. Schade, wäre eine gute Erleichterung gewesen.

Ok, wenn das so ist dann ist das so. Aber warum sagt dann MS man soll den Domänen-Admins Vollzugriff auch für alle Unterordner und Dateien geben, wenn die sowieso nicht übernommen wird. Das finde ich irgendwie unlogisch, da kann ich den Eintrag für die Domänen-Admins ja gleich entfernen. ich meine den Haken in der Ordnerumleitung GPO -> Tab Einstellungen "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." EDIT: Screenshot angehängt.

Hi Sweigl, Jain :) Ein weiteres Problem ist, dass bei uns die Roaming Profiles von den Terminalservern auch in dem "Home" Verzeichnis liegen. Es wäre einfach sehr umständlich jedes mal erst den Besitzer zu wechseln, so das auch wir Admins den Inhalt sehen können. Vor allem verstehe ich nicht warum Microsoft dann die Struktur so aufbaut: ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) Das ist ja die NTFS Berechtigung für den Freigabe Ordner der Home Verzeichnisse. Warum soll man dann den Domänen-Admins überhaupt Vollzugriff mit Vererbung geben wenn es sowieso wieder entfernt wird.... Hi Norbert, ja das hatte ich mir schon angeschaut, der Haken ist nicht gesetzt.

Naja eigentlich war der Wunsch das wir diese Ordner gar nicht mehr anfassen müssen. Es gibt eigentlich keinen Grund warum wir jetzt reinschauen müssen. Aber es kommt doch öfter mal vor das wir dort mal reinschauen müssen weil z.B. der User eine Frage zu der Datei hat. Bevor wir uns dann bei ihm aufschalten, schauen wir die Datei direkt mit an.

Ok, aber dann habe ich als Admin ja keine Chance mehr den Ordner einzusehen, zu löschen oder sonstiges Arbeiten daran vorzunehmen. Ist es wirklich so gewollt das die Admins komplett ausgeschlossen sind? Bzw. was müsste ich ändern damit die Ordner weiterhin automatisch erstellt werden, die Berechtigung für den Benutzer gesetzt wird aber die Admins trotzdem Zugriff drauf haben?

Hallo zusammen, ich bin gerade dabei das Dynamisches Erstellen von sichereren umgeleiteten Ordnern mit der Ordnerumleitung zu erstellen. Soweit habe ich mich an folgender Microsoft Anleitung gehalten. Die NTFS Berechtigungsstruktur die MS dort angibt habe ich 1:1 so übernommen: ◦Ersteller-Besitzer - Vollzugriff (Übernehmen für: Nur Unterordner und Dateien) ◦System - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Jeder - Ordner erstellen / Daten anhängen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner auflisten / Daten lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Attribute lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner durchsuchen / Datei ausführen (Übernehmen für: Nur diesen Ordner) Für die SMB Freigabe habe ich jeder Vollzugriff gegeben. Nun habe ich einen Testuser genommen und mich angemeldet. Es wird auch automatisch der Ordner erstellt aber als Domänen Admin habe ich keinen Zugriff auf diesen. Ich kann nur mit dem User an sich den Sicherheits Tab anschauen und auch so habe ich keinerlei Berechtigung auf den "automatisch" erstellten Ordner. Besitzer ist der Testuser und auch hat nur das System und der Testuser (Besitzer) Berechtigung auf den Ordner. Das verstehe ich nicht, da in der oben genannten NTFS Berechtigung ja auch die Domänen Admins durchvererbt werden sollten und somit Berechtigung auf den Ordner haben. Kann mir jemand Helfen, ich sehe den Wald vor lauter Bäumen nicht mehr... Vielen Dank schon mal. Gruß

Hallo noch mal, nun hätte ich noch 2 Fragen. 1. Im Moment haben wir eine Freigabe auf den Ordner Files mit "jeder" ändern Rechte. Das Verzeichnis für die Home Verzeichnisse liegt unterhalb dieser Freigabe. Muss ich jetzt für das Home Verzeichniss noch mal eine Freigabe machen und "jeder" dort Vollzugriff geben oder kann man das auch gleich für die schon vorhandene Freigabe "Files" machen? 2. Gibt es eine Möglichkeit, dass die Home Verzeichnisse automatisch angelegt werden oder muss man diese immer erst manuell anlegen und die Berechtigung vergeben? Vielen Dank schon mal. Gruß

Wundervoll :) Vielen Dank Norbert!!! Habe das gerade getestet und läuft problemlos, dank WMI Filterung geht das ja echt einfach. Vielen Dank für die schnelle Hilfe.

Ist das eigentlich ein Bug oder ein Feature, dass jedes mal die Einstellungen unter der Ordnerumleitung wieder auf "Einen Ordner für jeden Benutzer im Stammpfad erstellen" als Zielordner drinnen steht? ich stelle jedes mal "An folgenden Pfad umleiten" ein mit dem Pfad \\server\home\%username%\Dokumente Nach dem schließen und wieder öffnen steht eben "Einen Ordner für jeden Benutzer im Stammpfad erstellen" und der Pfad \\server\home drinnen. Meine Einstellung, wenn ich nicht noch mal die Eigenschaften öffne, werden aber richtig angewendet.

Hi Norbert, Es ging mir vor allem darum ob der Link noch eine gültige Anleitung darstellt oder ob es bessere Vorgehensweisen gibt. Da ich nicht alles umbauen möchte und dann am Ende ist alles nach einer veralteten Struktur erstellt woden :) Danke für den Tipp. Werde das mit der WMI Filterung so durchführen. Mit dem Documents bei Windows 7 - meinst du ich sollte nur den Documents Ordner umleiten oder den Pfad bei Documents nicht nur auf \\server\home\%username% umleiten sondern auf \\server\home\%username%\documents und bei Bildern das gleiche nur mit \\server\home\%username%\bilder ? Gruß, Steffen EDIT: Ich würde das dann wie folgt einrichten: Ziel Tab: Einstellung -> Standard (leitet alle Ordner auf den gleichen Pfad um) Zielordner -> an folgenden Pfad umleiten: \\server\home\%username%\Documents Einstellungen Tab: Haken bei "Den Inhalt von xyz an den neuen Ort verschieben" Das eben für alle Ordner die wir benötigen wie Bilder, Filme usw. Nur das bei jedem dann der Zielordner am Ende natürlich nicht Documents sondern Bilder, FIlme usw. heißt. Wäre doch soweit richtig, oder?

Hi Bersi23, Danke für die Info. Allerdings ist das Problem ja nicht ein W2K8R2 DC sondern der ist ja nur unser File Server. Auch haben wir keine Probleme mit der GPO Replikation sondern es geht mir eigentlich nur darum wie man am besten die Ordner Umleitung erstellt. Sprich Rechte und Struktur. Ich denke unserer Fehler sind genau dort begründet - die Rechte und unsere Struktur.

Kann mir hier wirklich niemand helfen oder habe ich die Frage komplett unverständlich bzw. falsch gestellt? Würde mich wirklich freuen wenn mir da jemand helfen könnte. Wenn wir die Struktur jetzt anpassen würde ich es auch gerne richtig machen :)

Hallo zusammen, die Überschrift ist etwas allgemein gehalten. Unser "Problem" ist folgendes. Im Moment haben wir ca. 70 XP Clients und 10 Win7 clients. Die Eigenen Dateien werden mit Hilfe einer GPO auf unseren Fileserver umgleitet \\fileserver\home In diesem Verzeichnis "home" liegt dann für jeden Benutzer ein Verzeichnis in die, die Eigenen Dateien verlinkt sind. Da wir von einem Novell Fileserver auf Windows umgezogen sind, hat das erstmal alles so geklappt. Auch wenn wir die Sicherheitsstruktur nicht wie von Microsoft vorgeschlagen (http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx'>http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx) erstellt haben. Nun kommen aber immer mehr Probleme und es wird Zeit die "schlampige" Umsetzung zu korrigieren. Auf den Ordner "Home" (und nur auf diesen) hat der User "jeder" Spezielle Berechtigungen so das jeder User nur den Ordner sieht, auf den er auch berechtigt ist. Desweiteren ist dann jeder Benutzer auf seinen eigenen Ordner mit Schreibrechten berechtigt. Dies sieht dann wie folgt aus: Home (User "jeder" Spezielle Berechtigung) - Ordner User 1 (sieht nur User 1 und hat Schreibrechte + Domänen Admins) - Ordner User 2 (sieht nur User 2 und hat Schreibrechte + Domänen Admins) - usw. Probleme sind folgende: - Wir müssen bei jedem neuen User den Ordner erstmal manuell anlegen und richtig berechtigen - Wenn eine Ordnerumleitung die lokalen Eigenen Dateien "umbiegen" soll, bekommen wir immer eine Fehlermeldung das die Sicherheitsstruktur nicht stimmt. Wir müssen dann alles aus den lokalen Eigenen Dateien löschen und erst dann funktioniert die Ordnerumleitung - Bei Windows 7 kann nur 1 Ordner z.b. Dokumente umgeleitet werden, die restlichen wie Bilder, Videos usw. schlagen auch wieder wegen fehlender Sicherheitsstruktur fehl Ich würde nun gerne die Berechtigung auf den Home Ordner so anlegen das 1. die Ordner für neue User automatisch mit der richtigen Berechtigung angelegt werden 2. Die Fehlermeldung mit der Sicherheitsstruktur bei den lokalen Eigenen Dateie Umleitungen und Windows 7 entfällt Reicht es wenn ich dazu einfach nach der Anleitung von MS vorgehe (http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx)? Gibt es noch bessere Anleitungen und was muss man beachten vor allem auf Hinblick von Windows 7? Kurz zu unserem Netzwerk. Wir verwenden noch eine Domäne 2000. DCs sind 2003. File Server ist ein 2008 (32Bit). Die Umleitung soll per GPO erfolgen und diese erstellen wir auf einem 2008R2. Alle Clients mit XP haben das Update erhalten um auch die neuen GPOs zu verstehen. So ich hoffe ich habe nichts wichtiges vergessen. Ich wäre für ein paar Tips sehr dankbar. Gruß

Jap das mache ich am Montag, deswegen ja oben auch das "manuell" installieren ;) Bootvis werde ich mir mal anschauen - danke für den Tip!

Ja die Win7 PCs sind alle neu installiert. Aber auch ein paar XP Rechner haben wir erst neu installiert. Beide brauchen bei den "Computereinstellungen werden übernommen" zwischen 1 bis 2 Minuten bis die Anmeldung erscheint. Allerdings läuft die Installation der Rechner bei uns automatisch und es wird auch schon Software installiert. Am Montag werde ich einen PC komplett "manuell" neu installieren und dann werde ich das mal genau prüfen.

So bin in letzter Zeit nicht mehr dazu gekommen mir das Problem näher anzuschauen. Nun habe ich mal wieder versucht das Problem näher zu analysieren aber ich finde einfach nichts. Beschleunigt heißt, früher hat das Computereinstellungen werden übernommen fast 4 Minuten gedauert. Jetzt sind wir schon bei 2 Minuten. Allerdings ist es total unterschiedlich - eine virtuelle Maschine wo ich gerade Tests durchgeführt habe hat beim hochfahren 2Min21 gebraucht. Bei weiteren reboots und kompletten Kaltstarts hat es dann plötzlich nur ncoh 30 Sekunden gedauert. Bei dem anderen TEst PC dauert es ständig über 2 Minuten. Ja die beiden GPOs aus der Nr. 36 sind gesetzt. Wir haben auch ganz neue Win7 PCs mit guter Hardware und die bleiben beim hochfahren auch bei "bitte warten" ca. 1 Minute stehen. Ist das verhalten im Netzwerk echt normal? Ich habe jetzt mal das komplette Log von dem Test PC der ständig über 2 Minuten braucht angehängt. Ich habe das vorhandene Log gelöscht, PC neu gestartet und mich angemeldet. Sprich das Log beinhaltet nur diese Vorgänge. Ich habe versucht das Log zu verstehen aber ich finde einfach nichts was mir weiter hilft. Es gibt zwar eine Stelle bei der er länger wartet (allerdings bin ich mir hier nicht sicher ob das nicht der reboot ist) Eine 2. Stelle die sehr lange dauert ist folgende: Ich habe nach der wmiprvse.exe gegoogelt und es scheint wohl der WMI Service zu sein. Wir haben eine GPO die per WMI prüft ob das OS Win7 ist und dann eine GPO anwendet, dass kann doch aber nicht der Grund sein warum das booten so lange dauert. Wäre für nochmalige Hilfe sehr dankbar. Gruß log.txt

Hallo zusammen, ich muss meinen etwas älteren Thread noch mal hervor holen. Wir konnten den Boot Vorgang bis zur Anmeldung schon deutlich beschleunigen, doch trotzdem hängt das "Computereinstellungen werden übernommen" doch noch recht lange. Ich habe jetzt noch mal in ein neues Log geschaut und festgestellt das an folgendem Punkt 1 Minute gewartet wird: USERENV(540.6a4) 18:57:08:775 IProfileSecurityCallBack: client authenticated. USERENV(540.6a4) 18:57:08:775 ReleaseClientContext: Releasing context USERENV(540.6a4) 18:57:08:775 ReleaseClientContext_s: Releasing context USERENV(540.6a4) 18:57:08:775 MIDL_user_free enter USERENV(538.53c) 18:58:06:281 InitializePolicyProcessing: Initialised Machine Mutex/Events USERENV(538.53c) 18:58:06:328 InitializePolicyProcessing: Initialised User Mutex/Events USERENV(538.53c) 18:58:06:328 LibMain: Process Name: \??\C:\WINDOWS\system32\winlogon.exe USERENV(538.53c) 18:58:06:562 Entering CUserProfile::Initialize ... Hat hier noch jemand einen Tip für mich was das sein könnte? ... MIDL_user_free enter ... Gruß

Jap, Ursprungszustand ist wiederhergestellt. Werde mal bei Sophos nachfragen. Vielen Dank noch mal!

Hat leider nichts gebracht Als Virenscanner läuft auf allen Rechner Sophos 9.5 Für Inventarisierung und Softwareverteilung läuft Zenworks (auf ein paar, ca.10, die neue Version ZCM11 - auf den restlichen 50 die alte Version zenworks 6.5). Auf beiden tritt das Problem auf. Wir haben nur ein login script zum verbinden von Laufwerken - sonstige Startup Scripts gibts nicht. Werde jetzt mal den Virenscanner deaktiveren - der hat uns schon oft ein Schnäppchen geschlagen :/ EDIT: GRRRRRR....dieser SOPHOS...alle Dienste deaktiviert und die ganze Anmeldugn ist in 60 Sekunden durch .... Vielen Dank euch allen für die Hilfe!!

Hi, ja richtig, auf das einfachste bin ich natürlich mal wieder nicht gekommen :) Danke! Ich glaube wir haben hier ein grundlegendes PRoblem mit den GPOs... Des öfteren kommt folgende Meldung vor: Im Anhang ist das ganze Log. Die ganze Anmeldung hat über 5 Minuten gedauert. userenv.zip

Hallo zusammen, wir haben bei unseren PCs (ca. 60) das Problem, dass die Computereinstellungen beim hochfahren sehr lange benötigen. "Netzwerkverbindungen werden vorbereitet" steht ca. 10-20 Sekunden da. Danach erscheint dann "Computereinstellungen werden übernommen" - dies steht ca. 2 Minuten da. Die Einstellungen danach und auch das Benuterprofil wird normal schnell geladen. Die Clients haben alle XP und SP3 installiert. Es werden ein paar Gruppenrichtlinen verteilt, aber das dürfte die Anmeldung ja nicht so langsam machen. Ich habe mit dnslookup auch schon den DNS geprüft, passt alles. Wir nutzen im Moment noch zum Teil Novell, auch den Novell Client habe ich schon komplett deinstalliert um ihn auszuschließen. Die "Reihenfolge der Anbieter" bei der Netzwerkkarte steht im moment auf RDP,windows Netzwerk, Web Client. Wir haben schon ein paar Win7 PCs zum testen da, dort geht die Anmeldung super schnell. Gibt es noch irgendwo ein paar Schrauben an den man drehen kann? Habe bei MS schon ein KB Eintrag gefunden gehabt in dem unter anderem das mit den Provider Reihenfolgen drinnen stand, alle anderen Infos haben nichts zugetroffen. Im Ereignislog steht auch kein Fehler. Für Hilfe wäre ich sehr dankbar. Gruß, Steffen

Noch mal zu diesem Thema, geht es eigentlich auch andersrum? Sprich, ich habe eine ADS Gruppe und möchte wissen auf was für Ordner diese Gruppe berechtigt ist?

Vielen Dank euch beiden! Werde mir die beiden Tools bzw. Script anschauen. Kostenlos ist immer gut :)

Hallo zusammen, ich würde gerne auf unserem File-Server (WS 2008R2) die NTFS Berechtigungen auslesen um einfach eine gute Doku zu haben, welche Gruppen auf welche Ordner berechtigt sind. Ich habe jetzt schon etwas gesucht und es wurde vor allem Docusnap erwähnt. Das ist aber doch recht teuer und bietet eigentlich viel zu viel. Ich brauche wie gesagt nur die Funktion des auslesen der NTFS Berechtigungen und das man diese am besten als csv exportieren kann oder ein übersichtlicher Bericht erstellt wird. Mir wäre es schon ganz recht wenn eine GUI vorhanden wäre, die Commandline ist bei sowas nicht mein bester Freund - würde zur Not aber auch gehen :) AccessEnum funktioniert soweit ich weiß ja nicht mehr unter Server 2008R2. Am besten wäre es natürlich wenn die Software kostenlos wäre. Es kann aber auch ruhig etwas kosten, wenn die Software etwas taugt. Für ein heißen Tip wäre ich sehr dankbar :) Gruß EDIT: Ich habe noch folgendes Programm gefunden: http://www.scriptlogic.com/products/enterprisesecurityreporter/# Jemand damit Erfahrung?

Hallo zusammen, ich habe folgendes Problem. Auf unserem DC (WS 2003) hatten wir im Ereignisanzeige alle 5 Minuten den Fehler 1085 (userenv) und 1030 (userenv). Die Fehler sagten folgendes aus: Fehler 1085: Fehler 1030: Diese beien Fehler konnte ich zumindest bis jetzt (1 Tag) vermeiden in dem ich gestern den Befehl dfsutil /purgemupcache ausgeführt habe. Allerdings ist auf allen WinXP Clients immer noch der Fehler 1085 (userenv) vorhanden. Die Fehlermeldugn lautet: Ich komme da einfach nicht weiter. Jedes mal wenn ich gpupdate /force eingebe erhalte ich diese MEldung in der Ereignisanzeige. ich habe das logging aktiviert udn in der winlogon.log erhalte ich immer weider folgende Meldung (auch mit anderen Werten am Ende): In der Diagnosis.log steht des öfteren folgender Fehler: Da wir über die GPO unsere WSUS Einstellungen verteilen, kann ich zumindest in der Richtung sagen das die Gruppenrichtlinen übernommen werden. Aber trotzdem hätte ich gern diesen Fehler entfernt. hat hier noch jemand eine Idee? Ich wäre für Hilfe sehr dankbar. Gruß EDIT: Problem gelöst. Es gab in einer bestimmten GPO ein Problem mit dem User everyone - dieser war in der Domain nicht bekannt da wir nur jeder verwenden. Nachdem der User gelöscht war, kommt auch kenie Fehlermeldung mehr auf den clients. siehe dazu auch hier