Ragamuffin

Wäre noch nett, wenn du mir sagen könntest, WO bei den GPOs ich das einstellen kann. Ich hab jetzt nicht so umwerfend viel Erfahrung mit GPOs, da ich den Kram momentan nicht hauptberuflich mache. Für einen etwas genaueren Hinweis wäre ich also sehr dankbar.

Hallo, habe kürzlich (nach ein wenig hin und her) einige Windows 7 PCs in eine bestehende 2003 SB Server Domäne mit ansonsten nur XP-PCs integriert. Mittels Ordnerumleitung habe ich realisiert, dass die Leute auch mal zur Not mit ihren Daten an einen XP-PC wechseln können, falls mal einer der W7-PCs streikt. Ich habe mit EasyTransfer Daten wie z.B. die von Outlook vom XP-Profil zum W7-Profil kopiert. Alles schön und gut, nur wurde damit der betreffende Domänenbenutzer zum "Administrator" ernannt. Habe das natürlich auf "Benutzer" geändert und mich neu eingeloggt. Das Problem ist nun: Der Benutzer kann sich selbst Adminrechte verschaffen, indem er einfach bei Programmen mit Adminrechten (z.B. regedit) sein Passwort nochmal eingibt. Aus der Linux-Welt würde man sagen: Die Domänenbenutzer haben alle sudo-Rechte. Das will ich natürlich nicht haben. Wie kann man diesen Unfug abschalten? Des Weiteren: Die ERP-Software (TimeLine, wem das was sagt) will sich auch nur mit Adminrechten starten lassen, was sehr merkwürdig ist, da es früher auf XP ohne ging. Es liegt vermutlich daran, dass er anprangert, dass der Herausgeber der Anwendung Windows unbekannt ist. Gibt es eine Möglichkeit Windows quasi mitzuteilen "Alles in Ordnung, dem Herausgeber kann vertraut werden"?

So, ich war heute noch mal in besagtem Unternehmen und habe mir zwei Stündchen Zeit genommen, um ein wenig herum zu experimentieren. Dabei sind mir folgende Erkenntnisse gekommen: An dem Win7-PC, von dem aus ich bisher alles ausprobiert habe, besteht nur bei einem einzigen Profil der Fehler, dass das angelegte User.V2-Verzeichnis leer ist. Das liegt einfach daran, dass nur bei diesem einen Profil ständig ein TEMP-Ordner erstellt wird unter C:\Users, der logischerweise nicht zurückgespeichert wird. Wenn ich einen beliebigen anderen Domänenbenutzer wähle, klappt die Erstellung & Rücksynchronisation des servergespeicherten Profils sofort. Ich kann mir nicht erklären, warum es ausgerechnet bei diesem einen Profil hakt. Der Name enthält keine Umlaute und wurde auch nicht anders angelegt als alle anderen Benutzer. Selbst wenn ich alle TEMP-Ordner lösche (die im Übrigen nicht vom System automatisch gelöscht, sondern nur ständig ergänzt werden á la TEMP.Domäne.001, TEMP.Domäne.002, etc.) macht das keinen Unterschied. Um dem ganzen aber die Krone aufzusetzen: Der eingeloggte Benutzer unter dem Windows 7-Konto verwendet das AppData-Verzeichnis nicht. Wenn ich mal spaßeshalber die Umgebungsvariable %APPDATA% ausgeben lasse, erhalte ich den Pfad zum Servershare. Starte ich aber Firefox oder Outlook, dann werden die Dateien unter C:\Users\%username%\AppData abgelegt. Was zum Teufel?

Fängt doch schon damit an, dass Windows XP unter C:\Dokumente und Einstellungen\%username% und Vista/7 unter C:\Users\%username% speichern. Das gibt zwangsläufig ein Wirrwarr, wenn ein User sich mit seinem Profil an einen XP-Rechner und dann wieder an einen 7-Rechner setzt. Leider kann aber genau das in der Firma schon mal vorkommen, da die Mitarbeiter von einer Abteilung in die nächste wandern und dabei nicht unbedingt ihren PC mitnehmen. Ich habe die GPO ebenfalls für XP/2K angewandt, allerdings den Haken weggelassen, dass er die Dateien an den neuen Ort kopieren soll, weil sie dort schon liegen. Nun ja, also das Profil wird ganz normal geladen bei 2K/XP. Eingestellt ist, dass der Benutzer gleichzeitig der Besitzer ist und dass der Ordner übergeordnete Berechtigungen übernimmt. Damit gab's bislang keine Probleme. Okay, damit hast du schon recht, hab das falsch ausgedrückt. Ich meinte eigentlich nur, dass der Ordner mueller.V2 generiert wird, wenn der Ordner mueller schon vorhanden ist und er erkennt, dass dort ein älteres 2K/XP-Profil gespeichert ist. Wie sehen denn korrekte Berechtigungen aus? Nein, ist leider nicht so gut, weil ich dann bei allen PCs das Profil vom Server habe, wenn ich mich mal als Domänen-Administrator anmelde. Ich weiß, ich bin meinetwegen etwas unflexibel, aber für den Admin möchte ich das nicht. Hab ich doch gemacht. Erst hab ich eingestellt, dass die Übernahme der Richtlinie verweigert wird - funktionierte aber nicht. Dann hab ich, wie bereits gesagt, eine gesonderte Gruppe ohne den Admin angelegt, für die die Richtlinie greifen soll. Sie greift aber trotzdem beim Admin. Kann es was damit zu tun haben, dass ich die Richtlinie vom GPMC eines Win7-Clients erstellt hab, aber nachträglich eine Verwaltung vom Win2k3-Server mittels des dortigen GPMC versuche?

Hallo, ich administriere ein kleines Unternehmen mit einem Windows 2003 SB SP2 Server inkl. DC mit AD und Exchange. An Clients gibt es bunt gemischt Windows 2000 SP4, Windows XP SP3 und neuerdings auch Windows 7. Alles mit servergespeicherten Profilen. Mit der Integration von Windows 7 fingen dann auch die Probleme an. Ich habe irgendwo eine detaillierte, englischsprachige Anleitung gefunden zum Umgang der Windows 7 Verzeichnisstruktur mit 2003 Server, da die Pfade bekanntermaßen nicht dieselben sind wie unter 2000/XP. Der Lösungsansatz hieß nun GPO mit Ordnerumleitung via GPMC. Ich habe also einen Windows 7 Client in die Domäne gestellt und von dort aus die Ordnerumleitungen konfiguriert in ein servergespeichertes Datenverzeichnis \\server\user$, wo sich dann die ganzen Ordner wie Desktop, Startmenü, Persönliche Dokumente, etc. wiederfinden. Das Ganze klappt auch soweit sehr gut unter Windows 2000 und XP. Unter Windows 7 hingegen wird nun neuerdings jedes mal ein temporäres Profil erstellt, sobald ich mich anmelde (C:\Users\TEMP), wo aber nichtsdestotrotz die Ordnerumleitungen funktionieren - ich sehe also z.B. die ganzen Desktopicons des (theoretisch) eingeloggten Benutzers. Ergänzend dazu: Wie oben bereits erwähnt benutze ich servergespeicherte Profile (unter \\server\profile$). Erwartungsgemäß wird beim ersten Login eines Windows 7 Clients in die Domäne aus dem bekannten Ordner mueller ein Ordner mueller.V2 generiert. Der Ordner ist, wie üblich, by design nicht einsehbar vom Admin, jedoch sobald ich mir die nötigen Rechte verschaffe und in diesen Ordner schaue, ist dieser vollkommen leer. Ein weiteres Problem: Ich musste nun festellen, dass für den Administrator-Benutzer am Server die Ordnerumleitung-GPO ebenfalls greift. Das ist schlecht, weil dieser (logischerweise) kein servergespeichertes Profil verwendet und nun seine Daten vereinzelt auf \\server\user$\Administrator wiederfindet. Nun habe ich danach extra, statt der Gruppe "Authentifizierte Benutzer", für die GPO eine Gruppe "Ordnerumleitung" erstellt und dort alle Anwender im Unternehmen eingetragen. Obwohl die GPO nun nur noch dafür greifen sollte, bleibt die Problematik für den Administrator erhalten. Kurz, wie kann ich unterbinden, dass die Richtlinie für den Administrator wirksam ist?

Ist bei Windows 2000 Clients schwierig. Das muss doch via GPO gehen?

Äh okay, manchmal sieht man den Wald vor lauter Bäumen nicht... es war doch unter "Erweitert" bei Eigenschaften des Arbeitsplatzes. Nun ja. Bleibt noch das Problem mit den Eigenen Dateien, falls da jemand was weiß. ^^

Grüße zusammen, ich stehe grade mal vor einem Problem, dessen Lösung vermutlich umwerfend einfach ist, ich dennoch nicht darauf komme: Ein Benutzer im ADS eines Windows 2003 (Terminal-)Servers soll ein zweites Profil erhalten, dabei soll jedoch auch der Profilordner kopiert werden. Nun, das Profil habe ich schon angelegt, aber das Profil ist nach dem Login (logischerweise) jungfräulich. Unter XP konnte man das ja unter Eigenschaften von Arbeitsplatz und "Benutzerkonten" einfach kopieren, aber bei W2K3 mit ADS finde ich das nicht. Hintergrund ist der: Besagte Person arbeitet sowohl intern in der Firma, als auch extern über eine VPN-Verbindung, benutzt hierfür aber zwei grundverschiedene Profile. Dies war bis jetzt kein Problem, da die Profile immer lokal auf dem jeweiligen PC lagen (also auf dem Office-PC in der Firma das eine Konto und auf dem Server das RDP-Konto), aber nun werden servergespeicherte Profile eingeführt. ;) Wo ich grade dabei bin: Weiß auch noch jemand, wie man einstellt, dass die "Eigenen Dateien" einmalig in den Profilordner auf dem Server kopiert werden und dort bleiben?

Ich habe das so gemacht, dass ich die bislang lokalen Benutzer zunächst einmal alle zu Domänenbenutzern gemacht und nach ausführlicher Überprüfung die lokalen Profile gelöscht habe, so dass also meinetwegen der Benutzer "Meier" nicht einmal mehr auf dem Computer, wo gearbeitet wird, vorhanden ist, sondern eben nur noch auf dem Server. Bis jetzt kommen auch noch keine Klagen von wegen Berechtigungen und Zugriff, also scheint mit der SID alles in Butter zu sein. Im nächsten Schritt wollte ich das Ganze nun als servergespeicherte Profile haben, damit die Benutzer aufhören, ständig lokale Datenhaltung zu betreiben. Außerdem wechseln die Leute gerne den Rechner, da wäre es sehr praktisch, wenn sie ihr Profil direkt mitnehmen könnten. Ich habe nur mal gehört, dass es Probleme mit der SID gibt, wenn ein PC dupliziert wurde (z.B. mit Norton Ghost), und dann das alte und das neue System gleichzeitig in der Domäne sind, da die SID ja an beiden PCs gleich ist. Nun gibt es da ein Tool namens "NewSID" (früher auf ner privaten Homepage, mittlerweile hat es Microsoft übernommen), welches eine zufällige, neue ID generiert. Da stellt sich mir natürlich die Frage, ob sowas nicht eher störend ist? Ich meine: Neue ID = alte Zuweisungen futsch?

Ein User kann auch nicht das Profil kopieren, auf dem er selbst zur Zeit aktiv arbeitet. Aus diesem Grund wäre es ja wichtig, dass du dich als lokaler Administrator einloggst - der hat immer noch die meisten Rechte über deine Maschine und sollte demnach auch alle Profile, die unter "C:\Dokumente und Einstellungen" angelegt worden sind, sehen und kopieren können.

Hm, dieses UHC kannte ich bislang nur als ein "Zusatzprogramm, um einen langsamen Shutdown zu beschleunigen". Scheinbar hat es doch ein wenig mehr Nutzen. Wenn ich das also richtig verstanden habe, sorgt es dafür, dass die Session vollständig beendet wird, ehe sich der User ausloggt? Kein Wunder, dass das grade bei servergespeicherten Profilen wichtig ist. Auf jeden Fall schon mal vielen dank bis hierhin. :)

Hm, also mit anderen Worten wurde das Profil bei der ersten Anmeldung noch gar nicht vom Server geladen (da nicht vorhanden), sondern zunächst das lokale Profil weiterbenutzt, um es dann bei der ersten Abmeldung erstmalig auf den Server zu kopieren?

Ich habe auf dem Server zwei Ordner angelegt: D:\Profile (Profilordner) und D:\User (Basisordner) und freigegeben. Beide Ordner waren zu diesem Zeitpunkt völlig leer. Nun habe ich in den Eigenschaften eines Domänenbenutzers festgelegt, dass er \\SERVER\PROFILE$\%USERNAME% als Profilordner und \\SERVER\USER$\%USERNAME% Basisordner erhalten soll. Als sich dann der Domänenbenutzer das allererste Mal bei dieser Konfiguration angemeldet angemeldet hat, wurden in beiden Ordnern ein Unterordner mit dem Benutzernamen erstellt und das lokale Domänenprofil in diesen Profilordner kopiert. Die Frage ist jetzt, ob der das nur einmalig macht, wenn es eben vorher noch kein servergespeichertes Profil gab, von dem der Server auf einen Client hätte kopieren können. Verständlicher?

Also ist es nur bei der ersten Erstellung, also wenn am Server noch kein Profil vorhanden ist, so, dass der Client sein Profil auf den Server kopiert und nicht umgekehrt?

Morgen, also folgendes "Problem" habe ich: Ich möchte in meiner Firma, dass die Domänenbenutzer, welche ihre Profile bislang immer lokal hielten (nichtsdestotrotz schon in der Domäne befindlich), nun servergespeicherte Profile erhalten. Soweit so gut, hab ich auch alles eingerichtet und es scheint zu funktionieren, jedoch stellt sich mir da eine Frage. Es ist ja so, dass das aktuelle Profil des Domänenbenutzers in das entsprechende Verzeichnis des Servers kopiert wird. Von dort aus wird dann immer eine Kopie auf den lokalen PC gezogen. Jetzt frage ich mich was ist, wenn jemand von einem anderen, vollkommen veralteten, lokalen Profil dieses Benutzers an einem anderen PC sich nun wieder an der Domäne anmeldet? Wird das aktuelle Profil dann völlig überschrieben mit veralteten Einstellungen und Daten? Oder werden nur die Daten des alten Profils dazukopiert?