phatair

Wir müssen leider die Ordnerstruktur ändern. Im Moment werden die Ordner für die umgeleiteten Ordner und die roaming profiles nicht automatisch erstellt (da die Berechtigungen nicht korrekt gesetzt wind bzw. die ganze Berechtigung auf die "home" Verzeichnisse nicht gut vergeben sind. Dazu kommt, dass wir per GPO die Admins mit in die roaming profiles aufnehmen wollen (das ist ja standardmäßig nicht der Fall). Laut meinen Tests passiert das aber nur, wenn die Ordner neu erstellt werden. Bei bestehenden Ordnern wurden die Admins nicht mit aufgenommen. Natürlich könnte ich auch auf das bestehende "home" Verzeichnis die Berechtigungen anpassen, so dass die Ordner automatisch erstellt werden. Aber ich habe zu viel Angst das dabei etwas schief geht und die ganzen Home Verzeichnisse von 200 Usern zerschossen werden. Da die Berechtigung sowieso nicht besonders gut gemacht ist, dachte ich einfach - mach alles neu und besser :) Das kopieren mit GPP hört sich ganz gut an.

Ich kann nur mitteilen was uns angeboten wurde und das war für 250 User und der Möglichkeit Berechtigungen zu dokumentieren über 10.000€.

Ich hatte genau die gleiche Herausforderung. 8man ist sau teuer (10.000€ +xxxx) Wir haben uns für Dokusnap inkl der Berechtigungsanalyse entschieden. Kostet pro AD Device und verrichtet seine Dienste sehr gut. Berechtigungsanalyse ist perfekt und man bekommt auch eine kostenlose Demo. Support hilft einem auch sehr schnell - kann ich nur sehr empfehlen. Ist zwar auch nicht ganz billig aber deutlich billiger als 8man

Hallo zusammen, ich glaube ich stehe irgendwie auf dem Schlauch und hoffe es kann mir jemand helfen :) Wir haben im Moment eine GPO die für die Ordnerumleitung der Eigenen Dateien zuständig ist. Es gibt 2 GPOs - eine für Win7 und eine für XP/TS2003. Nun sind wir dabei 2008R2 TS zu testen und dafür wird eine neue Struktur für die Ordnerumleitung angelegt. Die bisherigen Dateien wurden nach \\server\home umgeleitet. Die 2008 R2 Umleitungen werden auf einen anderen Ordner umgeleitet. Ich habe nun eine neue GPO für die 2008R2 Server erstellt und eine neue Orderumleitung eingerichtet. Das funktioniert auch, nur werden nicht die alten Daten von \\server\home umgeleitet sondern einfach neue leere Ordner erstellt. Wie kann ich per GPO sagen - Ordnerumleitung von Eigene Dateien (Dokumente, Bilder, usw...) von \\server\home\%Username% nach \\server\neues home Verzeichnis\%Username% ? Die alte GPO kann ich nicht abändern da wir die User nach und nach umziehen wollen. Für Hilfe wäre ich sehr dankbar. Gruß

Hallo zusammen, ich habe nach folgender Anleitung für unsere neuen TS ein angepasstes Standardbenutzerprofil angelegt. http://support.microsoft.com/kb/973289/de Nun habe ich mich lokal an dem TS mit einen neuen Profil angemeldet und das angepasste Standardbenutzerprofil wird auch genutzt. Danach habe ich mich mit einem Domänen User über RDP angemeldet, dessen Profil Servergespeichert ist. Der Test User hatte noch kein Profil. Mit diesem User wurde nicht das angepasste Standardbenutzerprofil geladen. Muss man noch irgendwo eine Einstellung vornehmen damit auch bei Anmeldungen von Usern über RDP das Standardbenutzerprofil geladen wird, wenn noch keni Profil vorhanden ist? Oder ist dazu ein Netzwerk Standardbenutzerprofil zwingend notwendig? Wäre für eine Antwort sehr dankbar. Gruß EDIT: Problem gefunden - ich habe zwar das v2 Profil von dem bestehenden Ordner gelöscht aber das Profil wurde wohl nicht korrekt gelöscht. Musste es direkt auf dem File-server löschen und vorher die Berechtigung für die Admins geben. Werde das jetzt mit der GPO beheben, so dass die Admins gleich Zugriff haben.

Hi zusammen, ich habe auf einem 2k3 Server das Problem, dass ich die Fehlermeldung Userenv 1036 mit folgendem Inhalt erhalte: gefolgt von dem Fehler Userenv 1085 mit folgendem Inhalt: Die gpscript.dll scheint eine DLL der "Script Client Side Extension" zu sein. Wenn ich das richtig verstehe also der Group Policy Preference Client Side Extensions. Dieses Update habe ich auch auf dem 2K3 Server installiert, die DLL finde ich aber nicht. Erhalte aber weiterhin diese Fehlermeldung im Ereignislog. Bei http://eventid.net/ habe ich zu dem Fehler 1036 nichts gefunden. Die zu 1085 habe ich schon ohne gelesen und keine hat zu dem gewünschten Erfolg geführt. Für Hilfe wäre ich sehr dankbar. Gruß EDIT: Da war ich mit dem Beitrag einen Tick zu schnell. Lösung gefunden -> http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=1085&EvtSrc=Userenv&LCID=1033 Neuregistrierung der Script dll Gptext.dll hat das Problem behoben.

Hi, keiner eine Tip oder hab ich schon alles erwähnt was gemacht werden muss :)

Hallo zusammen, wir planen unsere bestehende Terminalserver Farm von 2003 auf 2008R2 "upzudaten". Dazu werden wir eine neue RDP Server Farm anlegen. Die User werden dann nach und nach auf die neue TS Farm umgeleitet und die alten 2003 TS gelöscht (sind alles virtuelle Server). Nun habe ich einen 2008R2 Server soweit fertig installiert und konfiguriert und würde nun diesen gerne für das clonen vorbereiten (da wir später 4-5 TS haben). Bei 2008R2 ist die Rolle "Terminal Services" ja sysprep fähig, nur darf der Server dazu nicht in der Domäne sein. Soweit so gut. Reicht es dann den TS aus der Domäne zu nehmen. Sysprep auszuführen, PC runterfahren und Image von dem TS zu erstellen oder bedarf es noch weiterer Einstellungen? Es ist mein erstes sysprepen von einem TS von daher wäer ich für Tips sehr dankbar. Gruß, Steffen

Ja da geb ich dir recht Sunny :) Aber ich würde trotzdem gerne wissen warum die Drucker nicht angezeigt werden ;) EDIT: OK das Problem ist wohl gefunden, nur verstehe ich es noch nicht so ganz. Vielleicht kann mir da jemand auf die sprünge helfen. Wir haben die Drucker nur auf dem Printserver eingerichtet. Wenn ich nun den Drucker auch in der AD einpflege wird er auch sofort gefunden, wenn ich auf "Netzwerkdrucker hinzufügen" klicke. Sollte man die Drucker in der AD einpflegen bzw. was hat das für einen Vorteil (mal abgesehen das sie jetzt in der Ansicht "Netzwerkdrucker hinzufügen" gelistet werden).

Hi, danke für die schnelle Antwort. Das habe ich demnächst auch vor. Mir geht es nur darum, wenn ein User mal einen anderen Drucker benötigt und sich diesen selber hinzufügen möchte. Dann wäre es schön wenn alle Netzwerkdrucker direkt angezeigt werden würden.

Hallo zusammen, ich habe folgendes Problem. Da wir im Moment alle Drucker lokal auf den Clients installiert haben und das mit einem großen Aufwand verbunden ist, wollen wir einen Printserver einrichten. Soweit habe ich die Rolle einem Server 2008 hinzugefügt und auch einen ersten Testdrucker eingerichtet. Funktioniert auch super wenn ich den Drucker über "Drucker hinzufügen" -> "Netzwerkdrucker" -> "Einen Drucker anhand des Namens suchen" -> "Freigabename" hinzufüge. In Windows 7 gibt es ja aber die Funktion "Drucker hinfzufügen" -> "Netzwerkdrucker" und dann wird gleich nach Netzwerkdruckern gesucht und aufgelistet. Dort wird bei mir aber nichts gefunden und ich muss dann immer wie oben geschrieben, den Drucker manuell über den Freigabenamen ( \\Printsever\Druckername) hinzufügen. Das gefällt mir nicht und ich hätte gern das die Drucker direkt angezeigt werden. Was hab ich vergessen udn muss aktiviert werden, damit die Drucker direkt gefunden werden? Vielen Dank schon mal. Gruß

Hi Sunny, ich denke ich habe den Fehler gefunden. Ich habe einen neuen PC mit XP installiert und der Fehler kam nicht vor. Auch nach allen Updates und der Zuweisung aller GPOs war die RSOP ohne Fehlermeldung. Dann habe ich den PC in unsere ZCM Zone genommen. Mit ZCM ist es auch möglich GPOs zu verteilen, die GPOs werden in ZCM importiert und dann die EInstellungen bei den Clients in die lokale Richtlinie eingetragen. Dort scheint der Fehler zu liegen, denn wenn ich einmal die GPO über ZCM dem Client übertragen habe erscheint der komische Script Fehler in der RSOP. Ich werde mich nun mal in den Novell ZCM Foren umschauen. Danke auf jeden Fall für deine Hilfe!!

Danke für den Tipp! Ich habe jetzt erstmal die andere Methode genommen und habe den Test PC aus der Domäne entfernt um zu sehen ob es an GPOs liegt. PC neu gestartet und siehe da der Fehler ist immer noch vorhanden. Wenn ich aber mit RSOP überprüfe was für Richtlinien ziehen dann finde ich nichts mit Skripts und es sind auch sonst keine Richtlinien vorhanden die aktiv sind (sind alle nicht konfiguriert). Nun habe ich mal in den Ordner geschaut, die du genannt hast. Im Ordner GroupPolicy (unter Windows\System32) gibt es die Ordner Adm, User und Machine. Im Ordner User und Machine findet sich ein Ordner Scripts... Diesen habe ich dann mal gelöscht und neu gestartet. Schwupps war dieser Ordner wieder da. Ist das normal? Wie gesagt wir verteilen eigentlich keine Scripts über GPO. Ebenso gibt es unter User -> MICROSOFT einen Ordner IEAK. Wir haben ganz früher mal versucht den IE über GPO zu verteilen. Das wurde aber nicht realisiert und die GPO gibt es schon lange nicht mehr, trotzdem ist dieser Ordner auf einem komplett neu installierten Win7 PC vorhanden...? Ist das normal oder läuft da was schief?:confused:

Hi Sunny, vielen Dank für die Links. Das habe ich leider schon alles durch. Auch kann ich das Zone Mapping ausschließen, da ich alle GPOs deaktiviert hatte und somit definitiv kein Zone Mapping mehr gewirkt hat. Mir kommt es so vor als wenn irgendwo noch ein Rest von einem Login Script oder ähnlichem hängt und diesen Fehler verursacht. Es bleibt eigentlich nur noch die Default Domain Policy aber da wurde nie was dran verändert :/

Im Eventlog steht nur immer wieder folgendes: Der Test PC ist eine XP Maschine auf der es kein /H gibt. Ich habe das mal testweise auf einem Win7 PC durchgeführt auf dem alle GPOs wirken und der auch diese Fehlermeldung erhält. Das Ergebnis habe ich mal angehängt. EDIT: Die Fehlermeldung mit den Skripts kommt übrigens bei Computer und Benutzereinstellungen. Bei Windows 7 gibt es eine Warnung mit der ID 1085, bei Windows XP einen Error mit ID 1085 Habe auch dazu schon bei Google gesucht aber nichts brauchbares im Zusammenhang mit Skripts gefunden.

Hallo zusammen, ich habe eine kleines Problem mit einer GPO. Auf allen PCs bei uns erhalte ich, beim ausführen von RSOP, eine Fehlermeldung bzw. Fehlerinformation bei der Skripts Komponente - Status Fehlgeschlagen: Ich habe alle GPOs durchgeschaut die wir einsetzen und es wir kein Script verwendet. Ich habe alle GPOs bis auf die Default Domain Policy für einen Test PC deaktiviert - trotzdem erscheint diese Fehlermeldung. Hat jemand noch eine Idee warum diese Skript Fehlermeldung erscheint und vor allem warum die Meldung kommt "Das System kann die angegebene DAtei nicht finden" wenn wir gar keine Skripts per GPO verteilen :confused: Wäre für Tipps sehr dankbar. Gruß

Hallo zusammen, ich habe eine Fraeg zur Domänen Vertrauensstellung. Wenn ich mich richtig erinnere dann gibt es doch die Möglichkeit das sich Domänen vertrauen, oder? Wir haben nämlich folgendes Problem: Im Moment gibt es in unsererm Unternehmen 2 Domänen (die Domäne unserer Mutter und unsere eigene Domäne). Da wir nun immer öfter User haben, die auch auf Laufwerke unserer Mutter zugreifen müssen, würde ich dies gerne ermöglichen. Wie nun erwähnt habe ich im Hinterkopf das man dies mit einer Vertrauensstellung der Domänen realisieren kann. So dass User von unserer Firma auf die Domäne der Mutter zugreifen können und andersrum. Wenn ich das richtig in Erinnerung habe wäre es super wenn mir vielleicht jemand Tipps geben könnte auf was zu achten ist bzw. wo es gute Informationen darüber im Internet gibt. Ich habe im Blog von Yusuf ein paar gute Informationen gefunden und denke ich habe das soweit auch richtig verstanden, dass meine Vorstellung darüber realisierbar ist. Vielen Dank schon mal im voraus.

Danke euch beiden. Das heißt also ich habe 2 Möglichkeiten. Entweder über GPP (die können wir verwenden da wir XP SP3 Clients inkl. des benötigten Updates haben) und dann anhand des Standortes die lokalen Accounts einrichten. Oder aber ich mache das mit Eingeschränkte Gruppen. Wie es aussieht scheint es für beide Lösungen Befürworter zu geben ;) Werde mir beides mal anschauen, vom Bauch her würde ich eher zu den GPPs tendieren.

Hallo zusammen, wir haben bei uns 1 Domäne in der es 2 Standorte gibt. Für jeden Standort gibt es eine eigene OU mit den entpsrechenden Benutzern und Computern. Nun würde ich gerne für den Standort 2 einen Administrator definieren der aber nur in der OU des Standortes 2 Berechtigungen hat. Ich habe schon die Option gefunden "Objektverwaltung zuweisen" aber ich bin mir nicht sicher ob das der richtige Weg ist, da es mir vor allem darum geht das der User dann Admin Rechte auf den PCs in der Standort OU hat. Mit der Objektverwaltung zuweisen gibt man dem User ja nur die Rechte in der AD und der entsprechenden OU z.b. User zu löschen, anzulegen, usw. ... Ich würde aber gern dem User so berechtigen das er die PCs administrieren kann und das mit einem "Domänen Admin" der eben nur für die eine Standort OU gilt. Wäre für TIps sehr dankbar. Gruß

Noch mal ich :) Also ich glaube das nicht, dass kann von MS nie und nimma so gedacht sein. Wenn ich mit Testuser1 angemeldet bin und manuell einen Ordner auf der Test-Home Freigabe erstelle wird die Berechtigung richtig vererbt. Das heißt ich kann als Admin weiterhin in den Ordner schauen. Alle anderen User können das nicht, sind aber fähig in ihren eigenen erstellten Ordner reinzuschauen. Genau so sollte es auch sein wenn die Home Verzeichnisse durch die Ordner Umleitung erstellt werden. Leider ist das nicht so, laut eurer Theorie ist das so gewollt. Aber warum sollte ich dann in der Ordnerumleitung GPO die Option "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." aktivieren können wenn es sowieso auch ohne die Option schon so ist. Hier die Erklärung von MS für die Option: Dem Benutzer exklusive Zugriffsrechte erteilen. Diese Einstellung ist standardmäßig aktiviert und wird empfohlen. Mit dieser Einstellung wird angegeben, dass der Administrator und andere Benutzer keine Berechtigungen für den Zugriff auf diesen Ordner haben. Genau dieses Verhalten ahbe ich ja auch ohne die angehakte Option. Das ergibt für mich keinen Sinn und deutet für mich auf einen Fehler in der Berechtigungsstruktur hin...

Ok, schade. Dann müssen wir wohl doch weiterhin die Verzeichnisse manuell anlegen. Es ist wichtig das die Admins Zugriff haben und wenn ich jedes mal wenn ich dort reinschaue erst die Berechtigung anpassen muss, kann ich auch gleich den User Ordner selber erstellen. Schade, wäre eine gute Erleichterung gewesen.

Ok, wenn das so ist dann ist das so. Aber warum sagt dann MS man soll den Domänen-Admins Vollzugriff auch für alle Unterordner und Dateien geben, wenn die sowieso nicht übernommen wird. Das finde ich irgendwie unlogisch, da kann ich den Eintrag für die Domänen-Admins ja gleich entfernen. ich meine den Haken in der Ordnerumleitung GPO -> Tab Einstellungen "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." EDIT: Screenshot angehängt.

Hi Sweigl, Jain :) Ein weiteres Problem ist, dass bei uns die Roaming Profiles von den Terminalservern auch in dem "Home" Verzeichnis liegen. Es wäre einfach sehr umständlich jedes mal erst den Besitzer zu wechseln, so das auch wir Admins den Inhalt sehen können. Vor allem verstehe ich nicht warum Microsoft dann die Struktur so aufbaut: ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) Das ist ja die NTFS Berechtigung für den Freigabe Ordner der Home Verzeichnisse. Warum soll man dann den Domänen-Admins überhaupt Vollzugriff mit Vererbung geben wenn es sowieso wieder entfernt wird.... Hi Norbert, ja das hatte ich mir schon angeschaut, der Haken ist nicht gesetzt.

Naja eigentlich war der Wunsch das wir diese Ordner gar nicht mehr anfassen müssen. Es gibt eigentlich keinen Grund warum wir jetzt reinschauen müssen. Aber es kommt doch öfter mal vor das wir dort mal reinschauen müssen weil z.B. der User eine Frage zu der Datei hat. Bevor wir uns dann bei ihm aufschalten, schauen wir die Datei direkt mit an.

Ok, aber dann habe ich als Admin ja keine Chance mehr den Ordner einzusehen, zu löschen oder sonstiges Arbeiten daran vorzunehmen. Ist es wirklich so gewollt das die Admins komplett ausgeschlossen sind? Bzw. was müsste ich ändern damit die Ordner weiterhin automatisch erstellt werden, die Berechtigung für den Benutzer gesetzt wird aber die Admins trotzdem Zugriff drauf haben?