nicedevil

ich checks halt net, was falsch sein soll. profilordner erstellen geht ja... und die rechte sind 100% identisch. habs rausgefunden. hab die .bat datei in den ordner der für die GPO ist geschoben und dahin dann das script verknüpft

wieso profilordner? Dieser wird automatisch erstellt, der User, der ihn erstellt hat, hat Zugriff drauf und andere sehen wegen ABE diesen ordner auch gar nicht erst. Alles so wie es sein sollte imho. Aber was ist mit dem Basisordner?

Hab alten Beitrag hier über google gefunden, danke an den Frosch :D https://technet.microsoft.com/de-de/library/cc757013(WS.10).aspx Weitere Fortschritte gibt es von der Front zu vermelden ;D Roaming Profiles mit Windows 10 und Server2008R2 laufen! Auch ABE für den Profile Ordner. Jetzt bleibt nur noch ein Problem, dass ich leider immer noch nicht gelöst bekomme. Der Basisordner will nicht erstellt werden bei der Benutzererstellung. Ich bin per RemoteDesktop auf dem Server angemeldet und erstelle quasi über den RemoteDesktop und damit administrator@domain den neuen User. In diesem Beispiel "win10test". Die Rechte wurden gesetzt wie für den Profilordner. Fehlermeldung kommt nun dennoch, dass man keine Zugriffsberechtigung hat. Was ich mir auch soweit erklären kann, da der Administrator ja keine Berechtigung für nen Ordner erstellen hat :/ Weitere Recherche über google hat mich nun auf die Idee gebracht, den Ordner per Script erstellen zu lassen. GPO > Benutzerkonfiguration > Richtlinien > Windows-Einstellungen > Scripts Anmelden/Abmelden > Anmelden > C:\Windows\SYSVOL\sysvol\pbtdom.org\scripts\user_home.bat user_home.bat sieht dann so aus: IF NOT exist "\\server03\test_home\%username%\NUL" mkdir "\\server03\test_home\%username%" Ich habe das Gefühl, dass der dieses Script nur nicht ausführt :/ Führe ich das Script von Hand lokal auf dem Client aus, funktioniert es. Bei der darauffolgenden Anmeldung wird dann auch der Basisordner verbunden. Gibt es eine andere Lösung als die wo ich gerade vorschlage, die auch direkt aus der Benutzererstellung in AD funktioniert?

Lefg, ich würde jetzt als Schritt 2 mal probieren einen neuen Ordner für die RUPs bereitzustellen. Dann einen neuen Benutzer sein Profilordner im Useraccount auf dem DNS hinterlegen und schauen was passiert in Verbindung mit Windows 10. Gibts hier irgendwelche anderen Berechtigungen im Vergleich zur Ordnerumleitung oder sollte hierfür die Rechte auf dem Überordner Profil identisch sein? Also Jeder keine Rechte Admin Vollzugriff Usergruppe die speziellen Berechtigungen von gruppenrichtlinien.de

Nur das ich das richtig verstehe, wenn ich lese, dass der Uuser bzw. die Gruppe "JEDER" keine Berechtigungen erhalten soll, dann sind alle "Haken" weg und der User verschwindet danach in der Liste der Freigaben. Das heißt nicht, dass ich dem den Zugriff per Haken komplett verweigern soll oder?

jop soweit so klar! hab jetzt nen ordner verwendet auf Laufwerk C:\ und habe ALLE user entfernt und die rechte verteilt wie auf gruppenrichtlinien.de geschrieben! ES HAT FUNKTIONIERT!!!!!!! ABE geht so wie man es will

ich glaub ich habs jetzt gefunden... allerdings nicht über mmc.exe bin in den Server Manager gegangen und dort über die Dateidienste... hoffe so wars angedacht, testen tu ichs gerade, obs auch erfolg gebracht hat. Ok, hat nichts gebracht, sehe die Ordner immernoch, auf die ich eigentlich gar keinen Zugriff habe :( (Jetzt geht das galama mit den vererbten Rechten wieder los)

genau dass ist das glaube das Problem. Ich erstelle mir ne .msc Datei und weiß nicht wie ich die starten soll? Wenn ich da nen Doppelklick draufmache, öffnet sich ja nur wieder die MMC und ich kann weiterbearbeiten. Ich glaub ihr feiert mich schon, weil ich einfach zu b***d bin es zu verstehen... ich gehe aber davon aus, dass ich diese Eigenschaft irgendwie dauerhaft meinem Windows bzw. dem Server 2008R2 ja beibringen muss? Ich soll doch mit Sicherheit nicht die ".msc" in den Autostart werfen...

genau das hab ich schon 2x gemacht aber da hab ich halt nur die .msc datei zum speichern. Da ich net weiß wie ich das an nem bestehenden Server integriere...

jo hab ich doch vor, verraten tuts mir hier ja keiner wo das geht :/ so banal es wahrscheinlich sein wird :(

na ich weiß net wie ich die MSC Datei zum laufen bekommen soll :/ und wo der haken im Server Manager sein soll, hab ich kein Plan bzw. nix gefunden. Es verweist alles auf die MMC.

Jo danke mal wieder :D Kennen tu ich sowas schon. Bevor ich mit der gesamten Umstrukturierung anfange, will ich zunächst das ABE ans Laufen bekommen. Wenn das läuft kann ich glaube die gesamte Serverstruktur um 20 Laufwerksbuchstaben entschlacken. Naja schritt 1: Testumgebung schaffen, das macht mir der externe ITler... hoffe das wird net zu lang auf sich warten lassen. ich will ja endlich loslegen!

Jop, da bin ich auch schon fleißig am lesen (also Technet) ;) Aber ich bin da auch sehr gern mal mit nem Buch unterwegs. Wenns nix empfehlbares gibt, wirds halt über Google und Technet inhaliert. Ich habe große Befürchtungen, dass das Problem an den Berechtigungen und Freigaben liegt, da dieses historischen Ursprungs sind und teilweise für verschiedene Personen Gruppen erstellt wurden die aber kein Mensch mehr nachvollziehen kann. Da hier allerdings auf dem freigegebenen Laufwerk vererbte Berechtigungen liegen, will ich die nicht nur zu Testzwecken entfernen. Über die Folgen bin ich mir nämlich nicht bewusst! Wer weiß welcher Mitarbeiter dann seiner Tätigkeit nicht mehr nachkommen kann :/ Mein Plan in der Testumgebung sieht aktuell so aus, dass ich über die Freigaben der Ordner in Laufwerk E:\ dem User "JEDER" Vollzugriff gewähren werde und die Einschränkungen über den Reiter Sicherheit vornehme (NTFS Berechtigungen). Gibt es eine Art "Zeichenprogramm" in dem man die Rechtestruktur zumindest einmal grafisch darstellen könnte um eine Übersicht zu bekommen? Habe gerade mal für meinen User den Besitz des Profilordners übernommen (da waren nur Administrator@domain und Administratoren@domain hinterlegt). Jetzt kann ich Windows 10 anmelden ohne die Temp. Profil Fehlermeldung, aber das Startmenu wird nicht richtig dargestellt und setzt sich nach einem Neustart zurück. Fehlen z.B. der Einträge Explorer unten links (da wo man das Ordnersymbol sonst hat) und Einstellungen (Zahnradsymbol).

Aktuell gehen nur die Roaming Profile nicht. Direkt der erste Test mit einem Lokalen Profil und Ordnerumleitung hat positiv funktioniert. Wie hier schon erwähnt wurde, ist die Serverstruktur nun zwischenzeitlich mehrere Jahrzehnte alt... das Rechtesystem soll wohl, so der alte Serveradmin, noch aus Windows NT Zeiten stammen und dann mehrfach geändert worden sein. So einfach werde ich dem Problem wohl nicht, auch wegen größtenteils Unwissens, auf die Schliche kommen. Daher ist nun der Plan, alles in einer Testumgebung neu aufzubauen und wenn ich damit fertig bin und alle Clients wunderbar damit funktionieren (und auch die Verwaltungssoftware) dann zu switchen.

... ups, gar nicht drauf geachtet :D Dann werd ich nochmal weiterforschen was das angeht, warum der Roamingspeicher dann so voll ist :/

lefg, ich will mich auch nicht komplett den roaming Profiles verwehren. Hab nur für unser Unternehmen noch keinen großen Sinn darin entdecken können im Vergleich zur direkten Ordnerumleitung :/ Da ich ja nun ne Testumgebung bekomme, würde ich natürlich auch beides ausprobieren wollen. Da ich kein Fan von Lehrgängen bin, würde ich es gern per Grundlagenbuch oder so Stück für Stück selbst "kreiieren" ;) Hats da keine Empfehlungen hier von Eurer Seite? Nach unserem externen IT Betreuer seiner Aussage wurde mir vermittelt, dass der Profilordner eigentlich nicht größer als 50MB werden sollte. So seien wohl die angedachten Größen seitens Microsoft. Was an der Aussage stimmt, weis ich nun nicht. Bei uns gibts welche mit weniger als 50MB und auch User mit weit über 50 GB (ja... da wurde vom Firmensmartphone die Musikdatenbank mit integriert... nein kein Kommentar). Allein die Outlook.pst Dateien fressen schon sehr viel GB!

OK, Ende vom Lied ist nun, ich werde ein separates Laufwerk erhalten mit 100 GB Speicher zum austoben auf dem server03. Darüber hinaus wird ABE eingerichtet für ne separate TestOU :) Wie ihr natürlich auch richtig erkannt habt, ich meine ich hätte es auch schon am Anfang geschrieben, habe ich natürlich noch nicht so viel Kenntnis im Bereich Windows Server etc. Gibt es eine von euch zu empfehlende Lektüre für Windows Server 2008R2 im Hinblick auf die Rechteverwaltung? Es darf auch etwas in gebundener Form sein (voll oldschool ich weiß, aber es riecht viel besser als das LED Licht des LCD, und diese Haptik erst). Ich will ja nicht alles durch Trial/Error rausfinden ;)

Fremduser Zugriff: Ich melde mich als ein anderer User aus der OU an und gebe im Browser einfach einmal \\server03\home_user ein. Dann sehe ich den Ordner userA und mach nen Doppelklick drauf. Ich bin im Ordner und sehe den Inhalt. Das ich den Ordner sehe, heißt für mich, dass das mit ABE net funktioniert, da ich als "Fremduser" ja eigentlich nicht diesen Ordner von userA sehen sollte. Die Frage ist nicht wie "Speichern Unter" funktioniert, sondern was ich nachher mit der gespeicherten ".msc" anfange. Ich gehe jetzt aber einmal davon aus, dass diese als GPO zur Verfügung gestellt werden soll?

Ich will nix vereinheitlichen o_O Ich will nur, dass userA sich an ClientX anmeldet und dort das gleiche Startmenu, dass dieser userA sich irgendwann mal eingerichtet hat, auch auf dem ClientY, an dem er sich später ggf. einmal anmeldet sieht. Gibt es so eine Möglichkeit? EDIT: noch einmal zu den Berechtigungen. Hab jetzt zu testzwecken einfach mal auf Laufwerk C: ein neuen Ordner Namens C:\home angelegt. Dieser wird freigegeben an \\server03\home_user. Bei den Freigabeberechtigungen bin ich nach der Anleitung wie hier (http://www.gruppenrichtlinien.de/artikel/ordnerumleitung-2-berechtigungen-auf-home-folder/) beschrieben vorgegangen. Die Sicherheitseinstellungen ebenso. Habe auch extra darauf geachtet, dass "nur dieser Ordner" jeweils angewählt ist. Dennoch haben Fremduser Zugriff auf diese Ordner. Werde wenn ich Zeit habe mal Screenshots anfertigen. Ungeachtet dessen, hätte ich auch noch eine Frage zu dem ABE. Ich führe unter Win Server 2008R2 also MCC aus. Dann öffnet sich dieser Konsolenstamm und ich füge das SnapIn hinzu für die Freigabesachen. Dann suche ich \\server03\home_user raus in der Liste und gehe darin auf Eigenschaften und erteile da mit dem Haken die Aktivität von ABE. Wenn ich MCC zumachen will, will er dann eine Datei speichern. Hab irgendwie das Gefühl, dass durch das bloße Speichern dieser Datei noch lange dieses ABE nicht aktiviert ist? In den Autostart gehört die Datei mit Sicherheit auch nicht, da dann ja jeweils wieder MCC gestartet wird. Auf der gruppenrichtlinien.de Seite wird glaube von einem moderneren Server ausgegangen (glaube es dürfte der 2012 sein) obwohl in der Beschreibung Bezug auf 2008 genommen wird :/

Ohje, hab ich da jetzt ne Grundsatzdiskussion angestoßen, RUP oder nicht :D Tut mir leid. Will das einfachste gern irgendwann hier umsetzen. Einen offiziellen Auftrag gibt es so gesehen natürlich nicht. Es ist nur einfach so, dass, wie schon weiter oben einmal beschrieben, regelmäßig irgendwelche Server nicht funktionieren (aktuell Backup o_O). Immer dann, wenn die Geschäftsleitung das mitbekommt (z.B. wenn diese keine Mails auf ihren Smartphones mehr empfangen), dann schreien die immer wieder ganz laut. Es hat sich in der Vergangenheit mehr und mehr dazu gedreht, fast nur noch mich zu fragen wegen Problemlösungen. So kam es dann dazu, dass ich mich halt mehr und mehr mit dem Thema unserer Serverstruktur beschäftigt habe und nun, wie ihr schon geschrieben habt, an einem Punkt angekommen bin: Latein am Ende! Daher der Thread hier um mal die Grundrichtung zu bekommen wie ich das Teil hier anpacke. Den Hinweis jemand externen wegen GPOs zu beauftragen wäre nicht nötig gewesen, vielen Dank dennoch wegen der Empfehlung. So etwas in die Richtung habe ich schon seit der Seite 1 dieses Threads in Erwägung gezogen. Mal ne kurze Frage noch zu GPOs und Ordnerumleitung. Für die, die es zumindest so nutzen. Ich habe 2 Windows 10 Clients. Ich bin bei beiden angemeldet. Ich erstelle auf dem Desktop ein Icon (z.B. durch Erstellen einer Textdatei). Das sehe ich dann instant auf dem 2. Client wegen der Ordnerumleitung des Desktops (ja ich habe begriffen, dass ich nur die auf gruppenrichtlinien.de gezeigten Ordner umleiten sollte... das ist zu Testzwecken nun noch an ;)) Soweit so gut also, wie ich mir das mit den Umleitungen vorgestellt habe. Wie kriegt man es sauber gelöst, dass z.B. der Aufbau und die Struktur des Windows 10 Startmenus auf allen Geräten identisch sind? Geht das dann mit Skripts die bei der Anmeldung ausgeführt werden?

Mit ner separaten OU anfangen und testen ist ja alles schön und gut, dennoch brauch ich nen Share, dass keine vererbten Rechte hat O_o Davon jemanden jetzt zu überzeugen.... ohje :D Bin eigentlich nicht als Serveradmin angestellt sondern "nur" als Sachbearbeiter für ne Verwaltung. Ich seh jetzt schon die Disskussion kommen! Nochmal zum Abschluss was mir jetzt wieder net mehr ganz klar ist. Ihr, die ggf. schon Windows 10 als Clients am Laufen habt, habt generell nix mehr mit RUPs zu tun, weil MS es stiefmütterlich für Win 10 behandelt? Hab ich das so schon richtig verstanden ja? Wird eigentlich alles über Ordnerumleitung geregelt? So jetzt heißts auf ins Gefecht, und vielen Dank erstmal.

Naja wie dem auch sei, ich glaube morgen verbringe ich mal ein paar Minuten beim aktuellen Admin und dann beim Chef.

Sehe es ja schon so wie du Jim, weshalb ich aktuell wenig geneigt bin auf große Experimente. Nur um das korrekt aufzubauen, muss ich glaube ich die Firma für 2-3 Tage lahm legen. Zumindest mal so viel zu unserem "Externen Premium Support": Nach 3 Tagen testen und hin und herfummeln wegen der RUPs und Windows 10, haben die gesagt "Support wird für Windows 10 eingestellt und bei uns läuft es eh nicht gut, von daher bleibt ihre Firma auf Windows 7". Finde ich echt klasse solche Einstellungen :/ in 3-4 Jahren wird der "alte" Admin die Firma verlassen und dann denken jetzt schon viele in der Firma wenn ich das machen würde, wäre es viel besser... Und da bin ich 100% überzeugt von, mit dem aktuellen Serveraufbau wird das NIE was werden! Bei uns ist jede Woche irgendwas, dass einer der vielen Server net funktioniert :( Mal der Druckerserver, mal der DNS Server, mal der Exchange, mal ganz banal, der Router o_O Und jedes mal heisst es "Der EDVler ist schuld"... naja dickes Fell wachsen lassen und so! Glaube da werd ich net drum rum kommen, und irgendwann dem ein oder anderen mal vor den Kopf stoßen müssen, dass das einfach mit dem Server so wie er jetzt ist, nie was werden kann :( Nochmal nen kleiner Einblick: GPO's sind bei uns an keiner einzigen Maschine gesetzt gewesen, bis ich vor 2 Tagen selbst eine zum testen nur für nen Testuser angelegt habe! Ich check das halt auch nicht, warum externe Unternehmen da einfach 0 Informationen zu geben, sondern nach wie vor auf soner alten vergammelten Logon.bat Datei verharren.

@Jim: Das was du als Link (MS technet) gepostet hast, hab ich bereits alles gemacht. Hatte aber nicht zum Erfolg geführt. Habt ihr zufällig nen Blog, wo ihr einmal beschreibt, wie ihr nen Windows Server nach euren Träumen eingerichtet habt? Vielleicht bekomme ich ja mal 2 PCs auf Arbeit zur Verfügung gestellt, wo ich alles neu erstellen kann, losgelöst vom restlichen Netzwerk. EDIT: Hab gerade nach der Geschichte mit ProfileList gegoogled. Ja auch das hab ich schon gemacht :( Der PC hat weder den Eintrag in der Registry für das Userprofile noch den Ordner als Username noch gehabt. Dennoch "Temporäres Profil"

Uiuiui, vielen Dank für die vielen Rückmeldungen erst einmal! Also... ich bin vor 7 Jahren in das Unternehmen da gekommen. Die wussten dann nicht, dass ich mich privat auch sehr für EDV Stuff interessiere und mir vieles dahingehend auch aneigne... Nach 1 Jahr wusste die Geschäftsleitung, dass ich der Nachfolger des Serveradmins bzw. EDV Leiters werden sollte... Naja viel zu bedeuten hat das ja nix zunächst. Wie dem auch sei, mehr und mehr wurde ich quasi an den Server in den letzten Jahren gelassen, so dass ich da mehr Einblick bekam, wie das alles bei uns eingerichtet ist. Jetzt kommt von euch die Frage, warum ist das so eingerichtet, hab ichs geprüft, saubere Profile erstellen :D Genau daran scheiterts wohl schon. Ist zwar bissl Offtopic aber da krieg ich als kleiner Perfektionist die Krise! Wir haben so 5 Server per VM Ware am laufen. wäre ja net schlimm... warum zum Teufel hat man einen Server IP 33 dem nächsten 180, dem nächsten 215 usw. gegeben? Die gesamten Clients die mit festen IPs natürlich zu bestücken sind, sind wild durch den gesamten IP Bereich verteilt... Wir haben ALLE Laufwerke von A-Z vergeben. Dem Admin damals war es nicht bewusst, dass man Ordner in ner Freigabe erzeugen kann, auf die bestimmten Usergruppen bzw. Mitarbeiter keinen Zugriff haben dürfen. Jedes mal wenn wer nen Cardreader anschließt muss man Laufwerke umbenennen oder deren Verknüpfung deaktivieren.... Soviel zum "Sauberen System" bei uns. Bei uns gibt es u.A. nicht nur den Benutzer "Administrator" sondern auch die Gruppe "Administratoren" und 2 weitere Gruppen für Administratoren die dann Namenskürzel dran haben. Den Sinn weiß der Admin heute auch nicht mehr, warum er das eingerichtet hat. Hat aber Angst es zu bereinigen, "er könnt ja was verpassen oder irgendwo fehlende Berechtigungen danach haben...." back to Topic @Jim: Die Maschinen die Windows 10 drauf haben sind Maschinen, die direkt neu waren und ich mit Win 10 versehen habe! Handelt sich um Intel NUC's in den meisten Fällen! Um wieder auf Perfektionist einzugehen. Selbst wenn die Maschine Windows 7 vorher gehabt hätte und ich sie per Upgrade auf 10 gebracht hätte, hätte ich danach noch einen Cleaninstall durchgeführt (nachdem CDKey für Win 10 registriert wurde). auf \\server03\usrprofile liegen die Profile auf \\server03\usrdata liegen die Dateien, auf die nur jeder User Zugriff haben sollte (ja richtig sollte, auch da gibts Rechteprobleme...) Der usrdata ist quasi der, den man bei der Profilerstellung angibt. Das wird bei uns Laufwerk U:\ für jeden Benutzer. Bei der Erstellung des Profils kommt meines Wissens nach doch ein Fehler, wenn der Benutzerordner nicht vorhanden ist, bei der Erstellung? Also quasi der hier: \\server03\usrprofile\userA Die ID 1526 kommt bei uns IMMER vor. Sind die NUCs zu schnell in Verbindung mit Win 10 für die Abmeldung oder was :D Die ID 1511... genau das mit den Rechten hat der externe Serverwartungstyp (der wo unser Netzwerk auch eingerichtet hat) auch gemeint und hat extra noch jemanden hinzugezogen um das Problem zu lösen. Ende vom Lied war. Der von denen erstellte Testuser hat 100% Vollzugriff auf ALLES bekommen, quasi Administratorrechte in jeglicher Hinsicht, und es funktionierte immernoch nicht. Wenn ihr mich fragt... Ja ich würde liebend gern den Server neu aufsetzen und alles sauber selbst erstellen... Wenn ich das meinem Chef mitteile, wird der mir die Ohren lang ziehen und ich werde diese Möglichkeit nie bekommen :D