Madison

Nach derzeitiger Rückmeldung der User funktioniert alles bestens. Hätte zwar schon wieder andere Fragen aber ich versuch erstmal selbst zu studieren. Danke für Eure Hilfe und Tipps nochmal. Gruß Madison PS: Thema erledigt!

Aktueller Stand: - Neuer Server - alles frisch installiert - Neue GPO für Ordnerumleitung "Desktop" erstellt und an die RDS Server (2008 und 2012R2) angehängt -> Ordner "Desktop" wird erstellt und funktioniert soweit - Neue GPO für Lockdown erstellt -> an RDS2012R2 angehängt -> weniger Anpassungen als in der alten GPO Somit werden die Profile lokal, Dokumente wie schon immer auf dem Fileserver und eben der Desktop (nur auf den RDS Servern) auf dem Fileserver umgeleitet. Mit meinen 3 Testusern klappt das soweit ganz gut. Ich lasse jetzt mal zwei Echtuser ans System. Schauen wir mal wie das Feedback ist.

Ok, ich hab die Desktop Variante genommen. Werd ich mich wohl mal mit Applocker beschäftigen müssen. Über die GPO werd ich es nicht mehr versuchen. Morgen dann also wieder volle Beschäftigung

Wie macht ihr das denn mit Euren Usern? Die sehen ja jetzt alles, können überall rumklicken zum Bsp. im Servermanager. Nur kommt eben dann das sie keine Berechtigung haben. Je mehr Sachen für die Leute zu sehen sind, umsomehr klicken Sie rum.Das wollte ich eben verhindern und nur das erlauben was sie dürfen und nur das sehen was für sie bestimmt ist.

Aktueller Stand: Die VHDX 20x mit dem virtuellen Hammer geschlagen, 1000 Schimpfworte und ab übern Jordan. Hab den Server komplett neu aufgesetzt, ohne die Lockdown GPO. Siehe da, Office funktioniert 1a, auch bei meinen Testusern. Auch die Dateien aus den Network-Share klappen wieder 1a. Hab dann einen Prüfpunkt erstellt und die GPO aktiviert und Booom.....nix ging mehr. Viele Bunte Fehler. GPO deaktiviert, Serverneustart....immer noch Fehler. Prüfpunkt wiederhergestellt, ohne Lockdown GPO...funktioniert. Scheint also das meine GPO da alles verstrickt und das selbst nach deaktivieren der GPO immer noch Reste im System hinterlässt. Vielleicht kann hier nochmal jemand drüber schauen wo da der Fehler liegt: GPO: -> KLICK Lockdown GPO <- KLICK Dankefein. Gruß Madison

Bei den Usern stand unter Internetexplorer -> Einstellungen -> Temporäre Internetdateien als Cache Pfad nix drin. Hab jetzt ein Batch-File bei Userlogin was die Pfade setzt: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Cache"="%USERPROFILE%\\AppData\\Local\\Microsoft\\Windows\\INetCache" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Cache"="%USERPROFILE%\\AppData\\Local\\Microsoft\\Windows\\INetCache" Hab Office noch einmal deinstalliert mit den Tools die MS anbietet und wieder installiert. Zumindest öffnet bei meinen Test-Usern das Outlook wieder ohne Fehlermeldung. Word und Excel Files lassen sich auch wieder öffnen, jedoch nur wenn ich die auf den Desktop kopiere. Ich denke mal ich hab nen kleines Problem mit meinem Fileserver. Dokumente werden ja umgeleitet. Kann Ordner/Files erstellen und löschen, PDF Files öffnen. Nur mit den Office Files hat er noch Probleme. Wird jetzt mal den Fileserver checken. Hab eben ins LOG geschaut, jede Menge Event-IDS. Wenn ich Licht am Ende des Tunnels sehe und alles wieder funktioniert, da leer ich nen Kasten Bier =) PS: Auf lokalen Rechnern geht alles. Ich glaub ich sollte mir vielleicht noch meine LockDown GPO anschauen.....

Gibt es alles schon. Hab viele Anleitungen und diese auch für alle bereitgestellt. Fragt nicht was ich hier schon durch habe. Kein Wunder das ich graue Haare hab, Da fehlt schon das Verständnis für Dateien auf dem Desktop und auf dem Fileserver. Da werden die Files vom Fileserver auf den Desktop kopiert und dann fragen die mich, wieso sie die Änderungen des anderen Nutzers nicht sehen. Argh. Verknüpfung zur Verknüpfung. Selbst andere Kollegen die Plan haben, haben sich auch mit den Usern hingesetzt und erklärt, bringt alles nichts.

Danke Euch erstmal für Eure Tipps. Ich habe jetzt alles wieder rückgängig gemacht. Sämtliche Scripte gelöscht, die Registry wieder auf Default-Werte gesetzt, das Roaming auf dem Server deaktiviert und die ganzen Profile gelöscht. Beim Anmelden bekommt jetzt jeder ein sauberes Profil unter C:\Benutzer ohne irgendwelchen Resten aus den alten Systemen, Soweit läuft das alles. Jedoch kommt immer noch der Fehler in Office (Word, Excel, Outlook) mit der TEMP Arbeitsumgebung. Wenn ich den Fehler noch beseitigen kann, werde ich dann in den sauren Apfel beißen müssen, und jeden User wenigstens die Desktops-Files per Hand kopieren, da wie gesagt 80% es hier nicht schaffen, sich eine Verknüpfung zu machen.

Hab das jetzt geändert. Schieb heute Abend ein gpupdate /force an. Denke aber nicht das das was mit dem TEMP Fehler in Office zu tun hat. Ich habe ja mittels dem Script aus o.g. Link alles so eingerichtet, das TEMP Files unter C:\TEMP\%USERNAME% landen. Habe da jetzt nochmal mit den NTFS Rechten rumgestellt. Mal schauen wir die Resonanz morgen ist. Danke erstmal für Eure Hilfe. Gruß Madison

Und weil es so schön war, hier nochmal der Fehler mit dem TEMP.

Wird per GPO eingebunden, steht auf "Erstellen". Hab den Sever mal neu gestartet. Der Fehler ist nicht wieder aufgetaucht. Das mit den Office Dateien ist dagegen kurios. Man sieht ja alle Dokumente, Ordner, kann schreiben, lesen und löschen. Dennoch kommt nach einer gewissen Zeit der Fehler in Office. Text-Files hingegen oder Bilder lassen sich ganz normal noch öffnen. Gruß Madison

Office 2013 Pro + aktuelle Updates Nein, ich denke nicht. Durch das Script was ich oben gepostet habe, werden nur die Temp-Files des Users gelöscht Hab ich gemacht, derzeit 3 Stunden. Nein, überhaupt nichts. Schon zig mal durchforstet. Ja, das wäre mir auch am liebsten gewesen. Das wäre aber ein harter Kampf für mich. Ich müsste in zig Außenstellen fahren, um die Desktops wieder einzustellen. Ca. 80% meiner User bekommen keine Verknüpfung auf dem Desktop hin. Wenn das alles weg ist, klingelt mein Telefon pausenlos. Schlimm! Gute Frage? Wie meinst du das? Hmmm. Ich hatte den Verdacht mit den Temp-Files und bin auch dieses Script gestoßen. Das hab ich dann angewendet. Danach ging es für ein paar Stunden und der Fehler tritt wieder auf. Und ich hab schlaflose Nächte, weil das Problem einfach nicht reproduzierbar ist. Anbei mal ein Screenshot des Fehlers: Der User hat Zugriff auf seine Dateien, aber kann diese nicht öffnen. Zugriffsrechte stimmen alle. Da ist alles i.O. Und seit heute tritt noch ein weiterer Fehler auf: Vor ein paar Sekunden noch auf den Ordner zugegriffen und Dateien bearbeitet und zack, kam die Fehlermeldung. Bin gespannt ob wir das Problem lösen können. Gruß Madison

Ich habe nur .V2 Profile. Wenn ich auf dem 2012R2 den entsprechenden Registry-Wert anlege, dann legt er mir noch ein .V4 Profil an. Das nützt mir aber nichts, dann sind die Desktops der User leer. Scheint also ein komplett neues Profil für jeden User zu sein. Gruß Madison

Hallo, ich habe jetzt zig Jahre einen Terminalserver 2008 R2 am laufen. Dieser soll nun durch einen 2012 R2 abgelöst werden. Ordnerumleitung der "Eigenen Dateien" funktioniert seit Jahren tadellos. Kurz zur besseren Info: Da wir lokale Profile hatten, habe ich auf Roaming Profile gewechselt. Ich wollte mir die Arbeit ersparen, alle Userdaten (Desktop, Verknüpfungen, etc.) per Hand zu kopieren. Fileserver -> Ordner für Profile mit Berechtigungen angelegt und die entsprechende GPO erstellt. RDS_Remote_Benutzerprofile Computerkonfiguration (Aktiviert)Ausblenden RichtlinienAusblenden Administrative VorlagenAusblenden Richtliniendefinitionen (ADMX-Dateien) wurden beim lokalen Computer abgerufen.System/BenutzerprofileAusblenden Richtlinie Einstellung Kommentar Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen Aktiviert Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/ProfileAusblenden Richtlinie Einstellung Kommentar Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen Aktiviert Profilpfad \\SERVERXXXX\Userdesktop$\%username% Pfad in der Form "\\Computername\Freigabename" angeben Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Umgebung für RemotesitzungAusblenden Richtlinie Einstellung Kommentar Desktopgestaltung für Remotedesktopsitzungen zulassen Aktiviert Maximale Farbtiefe einschränken Aktiviert Farbtiefe 32 Bit Benutzerkonfiguration (Aktiviert)Ausblenden Keine Einstellungen definiert Soweit so gut. Funktioniert. Für jeden User wird ein Ordner angelegt und es klappt sowohl auf dem 2008R2 sowie auf dem 2012R2. Weiter in Richtung Problem: Kurze Zeit später berichteten mir die User, dass sie keine Word und Excel Dateien öffnen können. Fehlermeldung: "Die Datei konnte leider nicht geöffnet werden." Nach ein paar Stunden Googeln stand fest, es liegt in den Temp-Files von Windows. Also bin ich nach folgender Anleitung vorgegangen: https://bent-blog.de/ablage-der-temporaren-dateien-fur-windows-konfigurieren-best-practice/ Nun zum Hauptproblem: Der Fehler mit Word und Excel tritt weiterhin auf dem 2008R2 sowohl auf dem 2012R2 auf. Immer in verschiedenen Abständen mehrmals am Tag. Die User melden sich dann ab und wieder an, dann funktioniert es wieder eine Weile bis die Meldung wieder kommt. In der Sitzungssammlung des 2012R2 habe ich bei Sitzungen schon mehrfach an den Einstellungen gedreht, nützt alles nichts. Derzeit steht da: Getrennte Sitzung beenden: 1 Minute Limit für aktive Sitzungen: Nie Leerlaufsitzungslimit: 1 Stunde Wenn eine Sitzung........: Ende der Sitzung Einstellungen für temporäre Ordner: Temporäre Ordner beim Beenden löschen: Ja Temporäre Ordner pro Sitzung verwenden: Ja Hat jemand schon einmal so einen Fehler gehabt, dass Word und Excel Dateien nach einer gewissen Zeit nicht mehr geöffnet werden können? Gibt es irgendwo noch einen Fehler in den Einstellungen? Vielen Dank für Eure Hilfe im voraus. Gruß Madison

Der Testuser ist ein Domänenbenutzer und Remotedesktop-Benutzer. Dazu noch in ein paar Untergruppen. Allesamt regeln aber nichts, was Terminalserverbasierend oder Remotedesktopbasierend ist. Ich habe eben nur den vergleich zum alten 2008 R2 TS. Dort sind auch keine weiteren Gruppen die Beschränkungen regeln. Hab ich damals auch einfach aufgesetzt und damit den alten 2003 TS abgesetzt - und da haben die User allesamt keinen Zugriff auf den Servermanager und andere administrative Dinge. Kann auch sein ich hab hier beim 2012 R2 TS einen Denkfehler oder sehe den Ansatz ganz falsch...