phatair

Hallo zusammen, ich habe eine kleines Problem mit einer GPO. Auf allen PCs bei uns erhalte ich, beim ausführen von RSOP, eine Fehlermeldung bzw. Fehlerinformation bei der Skripts Komponente - Status Fehlgeschlagen: Ich habe alle GPOs durchgeschaut die wir einsetzen und es wir kein Script verwendet. Ich habe alle GPOs bis auf die Default Domain Policy für einen Test PC deaktiviert - trotzdem erscheint diese Fehlermeldung. Hat jemand noch eine Idee warum diese Skript Fehlermeldung erscheint und vor allem warum die Meldung kommt "Das System kann die angegebene DAtei nicht finden" wenn wir gar keine Skripts per GPO verteilen :confused: Wäre für Tipps sehr dankbar. Gruß

Hallo zusammen, ich habe eine Fraeg zur Domänen Vertrauensstellung. Wenn ich mich richtig erinnere dann gibt es doch die Möglichkeit das sich Domänen vertrauen, oder? Wir haben nämlich folgendes Problem: Im Moment gibt es in unsererm Unternehmen 2 Domänen (die Domäne unserer Mutter und unsere eigene Domäne). Da wir nun immer öfter User haben, die auch auf Laufwerke unserer Mutter zugreifen müssen, würde ich dies gerne ermöglichen. Wie nun erwähnt habe ich im Hinterkopf das man dies mit einer Vertrauensstellung der Domänen realisieren kann. So dass User von unserer Firma auf die Domäne der Mutter zugreifen können und andersrum. Wenn ich das richtig in Erinnerung habe wäre es super wenn mir vielleicht jemand Tipps geben könnte auf was zu achten ist bzw. wo es gute Informationen darüber im Internet gibt. Ich habe im Blog von Yusuf ein paar gute Informationen gefunden und denke ich habe das soweit auch richtig verstanden, dass meine Vorstellung darüber realisierbar ist. Vielen Dank schon mal im voraus.

Danke euch beiden. Das heißt also ich habe 2 Möglichkeiten. Entweder über GPP (die können wir verwenden da wir XP SP3 Clients inkl. des benötigten Updates haben) und dann anhand des Standortes die lokalen Accounts einrichten. Oder aber ich mache das mit Eingeschränkte Gruppen. Wie es aussieht scheint es für beide Lösungen Befürworter zu geben ;) Werde mir beides mal anschauen, vom Bauch her würde ich eher zu den GPPs tendieren.

Hallo zusammen, wir haben bei uns 1 Domäne in der es 2 Standorte gibt. Für jeden Standort gibt es eine eigene OU mit den entpsrechenden Benutzern und Computern. Nun würde ich gerne für den Standort 2 einen Administrator definieren der aber nur in der OU des Standortes 2 Berechtigungen hat. Ich habe schon die Option gefunden "Objektverwaltung zuweisen" aber ich bin mir nicht sicher ob das der richtige Weg ist, da es mir vor allem darum geht das der User dann Admin Rechte auf den PCs in der Standort OU hat. Mit der Objektverwaltung zuweisen gibt man dem User ja nur die Rechte in der AD und der entsprechenden OU z.b. User zu löschen, anzulegen, usw. ... Ich würde aber gern dem User so berechtigen das er die PCs administrieren kann und das mit einem "Domänen Admin" der eben nur für die eine Standort OU gilt. Wäre für TIps sehr dankbar. Gruß

Noch mal ich :) Also ich glaube das nicht, dass kann von MS nie und nimma so gedacht sein. Wenn ich mit Testuser1 angemeldet bin und manuell einen Ordner auf der Test-Home Freigabe erstelle wird die Berechtigung richtig vererbt. Das heißt ich kann als Admin weiterhin in den Ordner schauen. Alle anderen User können das nicht, sind aber fähig in ihren eigenen erstellten Ordner reinzuschauen. Genau so sollte es auch sein wenn die Home Verzeichnisse durch die Ordner Umleitung erstellt werden. Leider ist das nicht so, laut eurer Theorie ist das so gewollt. Aber warum sollte ich dann in der Ordnerumleitung GPO die Option "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." aktivieren können wenn es sowieso auch ohne die Option schon so ist. Hier die Erklärung von MS für die Option: Dem Benutzer exklusive Zugriffsrechte erteilen. Diese Einstellung ist standardmäßig aktiviert und wird empfohlen. Mit dieser Einstellung wird angegeben, dass der Administrator und andere Benutzer keine Berechtigungen für den Zugriff auf diesen Ordner haben. Genau dieses Verhalten ahbe ich ja auch ohne die angehakte Option. Das ergibt für mich keinen Sinn und deutet für mich auf einen Fehler in der Berechtigungsstruktur hin...

Ok, schade. Dann müssen wir wohl doch weiterhin die Verzeichnisse manuell anlegen. Es ist wichtig das die Admins Zugriff haben und wenn ich jedes mal wenn ich dort reinschaue erst die Berechtigung anpassen muss, kann ich auch gleich den User Ordner selber erstellen. Schade, wäre eine gute Erleichterung gewesen.

Ok, wenn das so ist dann ist das so. Aber warum sagt dann MS man soll den Domänen-Admins Vollzugriff auch für alle Unterordner und Dateien geben, wenn die sowieso nicht übernommen wird. Das finde ich irgendwie unlogisch, da kann ich den Eintrag für die Domänen-Admins ja gleich entfernen. ich meine den Haken in der Ordnerumleitung GPO -> Tab Einstellungen "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." EDIT: Screenshot angehängt.

Hi Sweigl, Jain :) Ein weiteres Problem ist, dass bei uns die Roaming Profiles von den Terminalservern auch in dem "Home" Verzeichnis liegen. Es wäre einfach sehr umständlich jedes mal erst den Besitzer zu wechseln, so das auch wir Admins den Inhalt sehen können. Vor allem verstehe ich nicht warum Microsoft dann die Struktur so aufbaut: ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) Das ist ja die NTFS Berechtigung für den Freigabe Ordner der Home Verzeichnisse. Warum soll man dann den Domänen-Admins überhaupt Vollzugriff mit Vererbung geben wenn es sowieso wieder entfernt wird.... Hi Norbert, ja das hatte ich mir schon angeschaut, der Haken ist nicht gesetzt.

Naja eigentlich war der Wunsch das wir diese Ordner gar nicht mehr anfassen müssen. Es gibt eigentlich keinen Grund warum wir jetzt reinschauen müssen. Aber es kommt doch öfter mal vor das wir dort mal reinschauen müssen weil z.B. der User eine Frage zu der Datei hat. Bevor wir uns dann bei ihm aufschalten, schauen wir die Datei direkt mit an.

Ok, aber dann habe ich als Admin ja keine Chance mehr den Ordner einzusehen, zu löschen oder sonstiges Arbeiten daran vorzunehmen. Ist es wirklich so gewollt das die Admins komplett ausgeschlossen sind? Bzw. was müsste ich ändern damit die Ordner weiterhin automatisch erstellt werden, die Berechtigung für den Benutzer gesetzt wird aber die Admins trotzdem Zugriff drauf haben?

Hallo zusammen, ich bin gerade dabei das Dynamisches Erstellen von sichereren umgeleiteten Ordnern mit der Ordnerumleitung zu erstellen. Soweit habe ich mich an folgender Microsoft Anleitung gehalten. Die NTFS Berechtigungsstruktur die MS dort angibt habe ich 1:1 so übernommen: ◦Ersteller-Besitzer - Vollzugriff (Übernehmen für: Nur Unterordner und Dateien) ◦System - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Jeder - Ordner erstellen / Daten anhängen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner auflisten / Daten lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Attribute lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner durchsuchen / Datei ausführen (Übernehmen für: Nur diesen Ordner) Für die SMB Freigabe habe ich jeder Vollzugriff gegeben. Nun habe ich einen Testuser genommen und mich angemeldet. Es wird auch automatisch der Ordner erstellt aber als Domänen Admin habe ich keinen Zugriff auf diesen. Ich kann nur mit dem User an sich den Sicherheits Tab anschauen und auch so habe ich keinerlei Berechtigung auf den "automatisch" erstellten Ordner. Besitzer ist der Testuser und auch hat nur das System und der Testuser (Besitzer) Berechtigung auf den Ordner. Das verstehe ich nicht, da in der oben genannten NTFS Berechtigung ja auch die Domänen Admins durchvererbt werden sollten und somit Berechtigung auf den Ordner haben. Kann mir jemand Helfen, ich sehe den Wald vor lauter Bäumen nicht mehr... Vielen Dank schon mal. Gruß

Hallo noch mal, nun hätte ich noch 2 Fragen. 1. Im Moment haben wir eine Freigabe auf den Ordner Files mit "jeder" ändern Rechte. Das Verzeichnis für die Home Verzeichnisse liegt unterhalb dieser Freigabe. Muss ich jetzt für das Home Verzeichniss noch mal eine Freigabe machen und "jeder" dort Vollzugriff geben oder kann man das auch gleich für die schon vorhandene Freigabe "Files" machen? 2. Gibt es eine Möglichkeit, dass die Home Verzeichnisse automatisch angelegt werden oder muss man diese immer erst manuell anlegen und die Berechtigung vergeben? Vielen Dank schon mal. Gruß

Wundervoll :) Vielen Dank Norbert!!! Habe das gerade getestet und läuft problemlos, dank WMI Filterung geht das ja echt einfach. Vielen Dank für die schnelle Hilfe.

Ist das eigentlich ein Bug oder ein Feature, dass jedes mal die Einstellungen unter der Ordnerumleitung wieder auf "Einen Ordner für jeden Benutzer im Stammpfad erstellen" als Zielordner drinnen steht? ich stelle jedes mal "An folgenden Pfad umleiten" ein mit dem Pfad \\server\home\%username%\Dokumente Nach dem schließen und wieder öffnen steht eben "Einen Ordner für jeden Benutzer im Stammpfad erstellen" und der Pfad \\server\home drinnen. Meine Einstellung, wenn ich nicht noch mal die Eigenschaften öffne, werden aber richtig angewendet.

Hi Norbert, Es ging mir vor allem darum ob der Link noch eine gültige Anleitung darstellt oder ob es bessere Vorgehensweisen gibt. Da ich nicht alles umbauen möchte und dann am Ende ist alles nach einer veralteten Struktur erstellt woden :) Danke für den Tipp. Werde das mit der WMI Filterung so durchführen. Mit dem Documents bei Windows 7 - meinst du ich sollte nur den Documents Ordner umleiten oder den Pfad bei Documents nicht nur auf \\server\home\%username% umleiten sondern auf \\server\home\%username%\documents und bei Bildern das gleiche nur mit \\server\home\%username%\bilder ? Gruß, Steffen EDIT: Ich würde das dann wie folgt einrichten: Ziel Tab: Einstellung -> Standard (leitet alle Ordner auf den gleichen Pfad um) Zielordner -> an folgenden Pfad umleiten: \\server\home\%username%\Documents Einstellungen Tab: Haken bei "Den Inhalt von xyz an den neuen Ort verschieben" Das eben für alle Ordner die wir benötigen wie Bilder, Filme usw. Nur das bei jedem dann der Zielordner am Ende natürlich nicht Documents sondern Bilder, FIlme usw. heißt. Wäre doch soweit richtig, oder?

Hi Bersi23, Danke für die Info. Allerdings ist das Problem ja nicht ein W2K8R2 DC sondern der ist ja nur unser File Server. Auch haben wir keine Probleme mit der GPO Replikation sondern es geht mir eigentlich nur darum wie man am besten die Ordner Umleitung erstellt. Sprich Rechte und Struktur. Ich denke unserer Fehler sind genau dort begründet - die Rechte und unsere Struktur.

Kann mir hier wirklich niemand helfen oder habe ich die Frage komplett unverständlich bzw. falsch gestellt? Würde mich wirklich freuen wenn mir da jemand helfen könnte. Wenn wir die Struktur jetzt anpassen würde ich es auch gerne richtig machen :)

Hallo zusammen, die Überschrift ist etwas allgemein gehalten. Unser "Problem" ist folgendes. Im Moment haben wir ca. 70 XP Clients und 10 Win7 clients. Die Eigenen Dateien werden mit Hilfe einer GPO auf unseren Fileserver umgleitet \\fileserver\home In diesem Verzeichnis "home" liegt dann für jeden Benutzer ein Verzeichnis in die, die Eigenen Dateien verlinkt sind. Da wir von einem Novell Fileserver auf Windows umgezogen sind, hat das erstmal alles so geklappt. Auch wenn wir die Sicherheitsstruktur nicht wie von Microsoft vorgeschlagen (http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx'>http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx) erstellt haben. Nun kommen aber immer mehr Probleme und es wird Zeit die "schlampige" Umsetzung zu korrigieren. Auf den Ordner "Home" (und nur auf diesen) hat der User "jeder" Spezielle Berechtigungen so das jeder User nur den Ordner sieht, auf den er auch berechtigt ist. Desweiteren ist dann jeder Benutzer auf seinen eigenen Ordner mit Schreibrechten berechtigt. Dies sieht dann wie folgt aus: Home (User "jeder" Spezielle Berechtigung) - Ordner User 1 (sieht nur User 1 und hat Schreibrechte + Domänen Admins) - Ordner User 2 (sieht nur User 2 und hat Schreibrechte + Domänen Admins) - usw. Probleme sind folgende: - Wir müssen bei jedem neuen User den Ordner erstmal manuell anlegen und richtig berechtigen - Wenn eine Ordnerumleitung die lokalen Eigenen Dateien "umbiegen" soll, bekommen wir immer eine Fehlermeldung das die Sicherheitsstruktur nicht stimmt. Wir müssen dann alles aus den lokalen Eigenen Dateien löschen und erst dann funktioniert die Ordnerumleitung - Bei Windows 7 kann nur 1 Ordner z.b. Dokumente umgeleitet werden, die restlichen wie Bilder, Videos usw. schlagen auch wieder wegen fehlender Sicherheitsstruktur fehl Ich würde nun gerne die Berechtigung auf den Home Ordner so anlegen das 1. die Ordner für neue User automatisch mit der richtigen Berechtigung angelegt werden 2. Die Fehlermeldung mit der Sicherheitsstruktur bei den lokalen Eigenen Dateie Umleitungen und Windows 7 entfällt Reicht es wenn ich dazu einfach nach der Anleitung von MS vorgehe (http://technet.microsoft.com/en-us/library/cc736916%28WS.10%29.aspx)? Gibt es noch bessere Anleitungen und was muss man beachten vor allem auf Hinblick von Windows 7? Kurz zu unserem Netzwerk. Wir verwenden noch eine Domäne 2000. DCs sind 2003. File Server ist ein 2008 (32Bit). Die Umleitung soll per GPO erfolgen und diese erstellen wir auf einem 2008R2. Alle Clients mit XP haben das Update erhalten um auch die neuen GPOs zu verstehen. So ich hoffe ich habe nichts wichtiges vergessen. Ich wäre für ein paar Tips sehr dankbar. Gruß

Jap das mache ich am Montag, deswegen ja oben auch das "manuell" installieren ;) Bootvis werde ich mir mal anschauen - danke für den Tip!

Ja die Win7 PCs sind alle neu installiert. Aber auch ein paar XP Rechner haben wir erst neu installiert. Beide brauchen bei den "Computereinstellungen werden übernommen" zwischen 1 bis 2 Minuten bis die Anmeldung erscheint. Allerdings läuft die Installation der Rechner bei uns automatisch und es wird auch schon Software installiert. Am Montag werde ich einen PC komplett "manuell" neu installieren und dann werde ich das mal genau prüfen.

So bin in letzter Zeit nicht mehr dazu gekommen mir das Problem näher anzuschauen. Nun habe ich mal wieder versucht das Problem näher zu analysieren aber ich finde einfach nichts. Beschleunigt heißt, früher hat das Computereinstellungen werden übernommen fast 4 Minuten gedauert. Jetzt sind wir schon bei 2 Minuten. Allerdings ist es total unterschiedlich - eine virtuelle Maschine wo ich gerade Tests durchgeführt habe hat beim hochfahren 2Min21 gebraucht. Bei weiteren reboots und kompletten Kaltstarts hat es dann plötzlich nur ncoh 30 Sekunden gedauert. Bei dem anderen TEst PC dauert es ständig über 2 Minuten. Ja die beiden GPOs aus der Nr. 36 sind gesetzt. Wir haben auch ganz neue Win7 PCs mit guter Hardware und die bleiben beim hochfahren auch bei "bitte warten" ca. 1 Minute stehen. Ist das verhalten im Netzwerk echt normal? Ich habe jetzt mal das komplette Log von dem Test PC der ständig über 2 Minuten braucht angehängt. Ich habe das vorhandene Log gelöscht, PC neu gestartet und mich angemeldet. Sprich das Log beinhaltet nur diese Vorgänge. Ich habe versucht das Log zu verstehen aber ich finde einfach nichts was mir weiter hilft. Es gibt zwar eine Stelle bei der er länger wartet (allerdings bin ich mir hier nicht sicher ob das nicht der reboot ist) Eine 2. Stelle die sehr lange dauert ist folgende: Ich habe nach der wmiprvse.exe gegoogelt und es scheint wohl der WMI Service zu sein. Wir haben eine GPO die per WMI prüft ob das OS Win7 ist und dann eine GPO anwendet, dass kann doch aber nicht der Grund sein warum das booten so lange dauert. Wäre für nochmalige Hilfe sehr dankbar. Gruß log.txt

Hallo zusammen, ich muss meinen etwas älteren Thread noch mal hervor holen. Wir konnten den Boot Vorgang bis zur Anmeldung schon deutlich beschleunigen, doch trotzdem hängt das "Computereinstellungen werden übernommen" doch noch recht lange. Ich habe jetzt noch mal in ein neues Log geschaut und festgestellt das an folgendem Punkt 1 Minute gewartet wird: USERENV(540.6a4) 18:57:08:775 IProfileSecurityCallBack: client authenticated. USERENV(540.6a4) 18:57:08:775 ReleaseClientContext: Releasing context USERENV(540.6a4) 18:57:08:775 ReleaseClientContext_s: Releasing context USERENV(540.6a4) 18:57:08:775 MIDL_user_free enter USERENV(538.53c) 18:58:06:281 InitializePolicyProcessing: Initialised Machine Mutex/Events USERENV(538.53c) 18:58:06:328 InitializePolicyProcessing: Initialised User Mutex/Events USERENV(538.53c) 18:58:06:328 LibMain: Process Name: \??\C:\WINDOWS\system32\winlogon.exe USERENV(538.53c) 18:58:06:562 Entering CUserProfile::Initialize ... Hat hier noch jemand einen Tip für mich was das sein könnte? ... MIDL_user_free enter ... Gruß

Jap, Ursprungszustand ist wiederhergestellt. Werde mal bei Sophos nachfragen. Vielen Dank noch mal!

Hat leider nichts gebracht Als Virenscanner läuft auf allen Rechner Sophos 9.5 Für Inventarisierung und Softwareverteilung läuft Zenworks (auf ein paar, ca.10, die neue Version ZCM11 - auf den restlichen 50 die alte Version zenworks 6.5). Auf beiden tritt das Problem auf. Wir haben nur ein login script zum verbinden von Laufwerken - sonstige Startup Scripts gibts nicht. Werde jetzt mal den Virenscanner deaktiveren - der hat uns schon oft ein Schnäppchen geschlagen :/ EDIT: GRRRRRR....dieser SOPHOS...alle Dienste deaktiviert und die ganze Anmeldugn ist in 60 Sekunden durch .... Vielen Dank euch allen für die Hilfe!!

Hi, ja richtig, auf das einfachste bin ich natürlich mal wieder nicht gekommen :) Danke! Ich glaube wir haben hier ein grundlegendes PRoblem mit den GPOs... Des öfteren kommt folgende Meldung vor: Im Anhang ist das ganze Log. Die ganze Anmeldung hat über 5 Minuten gedauert. userenv.zip