gordonF 10 Posted November 14, 2006 Report Share Posted November 14, 2006 Hallo Zusammen, ich steh gerade ein wenig auf dem Schlauch, komme hier nicht weiter. Umgebung - alles eine Domäne, alles Windows 2003 Server: 2x DCs 2x TSse (Citrix Presentation Server 4.0) 2x Applikationsserver Habe eine Gruppenrichtlinie auf der Domäne für Terminalserverbenutzer erstellt, dass das Profil auf einem der DCs abgelegt wird. Hier gibt es eine Freigabe, die von den TSsen aus zu mappen sind, auf die die Authentifizierte User Zugriff haben. Die Profile liegen aber unter "Dokumente und Einstellungen" auf den Terminalservern, der Gruppenrichtlinienergebnis-Assistent zeigt mir an, dass die Gruppenrichtlinie abgelehnt wurde :suspect: Vielleicht könnt Ihr mir helfen ? Quote Link to comment
Hirgelzwift 10 Posted November 14, 2006 Report Share Posted November 14, 2006 es wäre wahrscheinlich einfacher dir zu helfen wenn du uns unwissenden bitte mitteilen würdest welche einstellungen du wo vorgenommen hast. meine glaskugel hab ich leider gerade nicht dabei ;) :D Quote Link to comment
gordonF 10 Posted November 14, 2006 Author Report Share Posted November 14, 2006 Äh, klar, ich hab schon ein bisschen einen Tunnelblick. 1. Objekt "Profilumleitung" erstellt 2. Computerkonifguration --> Administrative Vorlagen --> Windows-Komponenten --> Terminaldienste --> "Pfad für servergespeicherte Profile der Terminaldienste festlegen" aktiviert --> Profilpfad in der Form \\Computername\Freigabename eingegeben 3. "Profilumleitung" erzwungen, aktiviert 4. Sicherheitsfilterung für "Authentifizierte Benutzer" Falls ich noch mit Informationen dienen kann ... :) Quote Link to comment
Hirgelzwift 10 Posted November 14, 2006 Report Share Posted November 14, 2006 ja ist klar, loopbackverarbeitungsmodus heisst das zauberwort. du versuchst eine computerpolicy auf benutzer anzuwenden. das funktioniert so nicht, es sei denn du aktivierst den loopbackverarbeitungsmodus. Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien -> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie -> aktiviert ob ersetzen oder zusammenführen kommt auf weitere GPO einstellungen an. bei ersetzen werden alle anderen benutzereinstellungen weggebügelt und müssen ggf. erneut angewendet bzw. konfiguriert werden. Wendet alternative Benutzereinstellungen an, wenn ein Benutzer sich an einen von dieser Einstellung betroffenen Computer anmeldet. Durch diese Einstellung wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese Einstellung wurde für Computer mit besonderem Zweck, wie z. B. Computer in Bibliotheken, Laboren oder Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden muss. Standardmäßig wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtlinienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten angewendet wird. Wählen Sie einen der folgenden Einstellungsnmodi aus dem Feld "Modus", wenn Sie diese Einstellung verwenden möchten. -- "Ersetzen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden. -- "Zusammenführen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile und die Benutzergruppenrichtlinien gemeinsam angewendet werden. Falls die Gruppenrichtlinien in Konflikt stehen, setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benutzers außer Kraft. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestimmen die Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet werden. Hinweis: Diese Einstellung gilt nur, wenn sich das Computer- und das Benutzerkonto in der gleichen Windows 2000-Domäne befinden. Quote Link to comment
gordonF 10 Posted November 14, 2006 Author Report Share Posted November 14, 2006 @Hirgelzwift: Vielen Dank! Jetzt geht es :thumb1: Jetzt hab ich nur noch die Probleme, dass der Admin standardmässig nicht auf die Profile zugreifen kann (keine Berechtigung) und dass ich bei der Anmeldung 2 INI-Dateien in das entsprechende User-Profil in das Windows-Verzeichnis kopieren muss. Die oben genannten Aktionen würde ich selbstverständlich gerne mittels einer Gruppenrichtlinie machen. Aber jetzt bin ich erstmal froh, dass die Profile überhaupt an den richtigen Ort geschrieben werden und setze mich nochmal eingehender mit oben genannten Aktionen auseinander. Quote Link to comment
Hirgelzwift 10 Posted November 14, 2006 Report Share Posted November 14, 2006 wenn der admin die profilverzeichnisse nicht erzeugt hat, sondern das vom system erledigen läst, hat er keinen zugriff darauf. um sich die rechte zu holen legt der admin die ordner am besten selber an und setzt die rechte wie sie sein sollen. für vorhandene profilverzeichnisse muss der admin erst mal den besitz übernehmen und dann kann er die rechte setzen so wie er sie braucht. Quote Link to comment
gordonF 10 Posted November 14, 2006 Author Report Share Posted November 14, 2006 So kenn ich das, musste ich auch schon mehrfach anwenden :p Aber: Ich hab jetzt eine Gruppenrichtlinie gefunden und getestet ... Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen Der Effekt war, dass das Profil auf dem Terminalserver die Admin-Gruppe in den Berechtigungen drinne hatte, aber auf dem eigentlichen Speocherort auf dem DC nicht. Quote Link to comment
Hirgelzwift 10 Posted November 14, 2006 Report Share Posted November 14, 2006 ich kenn die GPO nicht ich werde das morgen mal testen. vielleicht geht es ja nur bei neuen profilen. Quote Link to comment
Wolke2k4 11 Posted November 14, 2006 Report Share Posted November 14, 2006 Ja, diese Richtlinie wirkt nur auf neu erstellte Profile, da die Settings beim Erstelllen des Profils entsprechend angepasst werden. Im nachhinein kann die Richtlinie natürlich nicht beigehen und die Rechte umbiegen. Sie wird ja schliesslich auch erst beim Anmelden aktiv. Ansonsten ist diese Richtlinie sehr hilfreich, da man als Admin öfters mal ins Prof der Nutzer gucken muss. Quote Link to comment
IThome 10 Posted November 14, 2006 Report Share Posted November 14, 2006 Das funktioniert nicht nachträglich. Der Client setzt normalerweise die Berechtigungen auf die hier gemeinten serverbasierten Profile. Per Default sind die Administratoren nicht dabei. Diese Richtlinie bewirkt, dass die Administratoren bei Ersterstellung des Profilordners zu den ACLs zugefügt werden ... edit: zweiter :D Quote Link to comment
Hirgelzwift 10 Posted November 15, 2006 Report Share Posted November 15, 2006 dachte ich es mir doch, dann kann ich mir ja den test sparen ;) Quote Link to comment
gordonF 10 Posted November 15, 2006 Author Report Share Posted November 15, 2006 Insgesamt ne schöne Sache, wenn man nicht schon Profile hat. Bei mir werden die aber erst angelegt, daher geht es. Die anderen Punkte waren dann eher einfach zu lösen. Eine Verständnisfrage noch: Warum werden die Profile auf den Terminalservern im Format <BENUTZERNAME>. auf dem Server gespeicherte Profile aber im Fomat <BENUTZERNAME.DOMÄNENNAME> abgelegt ? Quote Link to comment
Hirgelzwift 10 Posted November 15, 2006 Report Share Posted November 15, 2006 normalerweise werden profilpfade am server punktgenau so abgelegt wie du sie im AD oder per GPO definierst. ich gehe aber davon aus, deine formulierung lässt interpretationen zu, das du die lokalen profile auf dem terminalserver meinst. wenn es schon ein profil gibt das die %username% bezeichnung nutzt, ein beispiel wäre der administrator und administrator.domäne (der eine ist der lokale admin der andere der domänenadmin), dann wird lokal ein ordner %username%.domäne angelegt. das passiert am TS recht gerne das wenn noch alte profile, die zumindest zu teil dort rumhängen, oder aus irgendeinen grund vom system als nicht nutzbar angesehen werden, vorhanden sind dann habe ich schon %username%.domäne.001 usw gesehen. ein aufräumen der lokalen profile hilft meisstens die alten profile wieder loszuwerden um auf das gewohnte format zu kommen. Quote Link to comment
gordonF 10 Posted November 16, 2006 Author Report Share Posted November 16, 2006 Ich hab das mit den Shares so gemacht, dass ich in der Poliy \\Servername\Freigabename eingetragen habe. Aber macht ja nix, hab die servergespeicherten Profilordner einfach umbenannt (hinten .DOMÄNENNAME weggelöscht) und geht :thumb1: Vielen Dank für Eure Unterstützung :thumb1: Quote Link to comment
Hirgelzwift 10 Posted November 16, 2006 Report Share Posted November 16, 2006 schön das jetzt alles funktioniert :) danke für die rückmeldung ;) dennoch. ich würde die policy anders setzen \\server\freigabe\%username% wenn du %username% nicht angibst denke ich mir das das system das, damit es eineindeutig ist, mit %username%.domäne macht. würde mich freuen wenn du das mal testen würdest und uns das ergebniss mitteilst. sonst hast du wenn neue profile kommen das problem wieder. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.