Terminalserverprofile per Gruppenrichtlinie

[gordonF 10]

Hallo Zusammen,

 

ich steh gerade ein wenig auf dem Schlauch, komme hier nicht weiter.

 

Umgebung - alles eine Domäne, alles Windows 2003 Server:

2x DCs

2x TSse (Citrix Presentation Server 4.0)

2x Applikationsserver

 

Habe eine Gruppenrichtlinie auf der Domäne für Terminalserverbenutzer erstellt, dass das Profil auf einem der DCs abgelegt wird. Hier gibt es eine Freigabe, die von den TSsen aus zu mappen sind, auf die die Authentifizierte User Zugriff haben.

 

Die Profile liegen aber unter "Dokumente und Einstellungen" auf den Terminalservern, der Gruppenrichtlinienergebnis-Assistent zeigt mir an, dass die Gruppenrichtlinie abgelehnt wurde :suspect:

 

Vielleicht könnt Ihr mir helfen ?

[Hirgelzwift 10]

es wäre wahrscheinlich einfacher dir zu helfen wenn du uns unwissenden bitte mitteilen würdest welche einstellungen du wo vorgenommen hast. meine glaskugel hab ich leider gerade nicht dabei ;) :D

[gordonF 10]

Äh, klar, ich hab schon ein bisschen einen Tunnelblick.

 

1. Objekt "Profilumleitung" erstellt

2. Computerkonifguration --> Administrative Vorlagen --> Windows-Komponenten --> Terminaldienste --> "Pfad für servergespeicherte Profile der Terminaldienste festlegen" aktiviert --> Profilpfad in der Form \\Computername\Freigabename eingegeben

3. "Profilumleitung" erzwungen, aktiviert

4. Sicherheitsfilterung für "Authentifizierte Benutzer"

 

Falls ich noch mit Informationen dienen kann ... :)

[Hirgelzwift 10]

ja ist klar, loopbackverarbeitungsmodus heisst das zauberwort. du versuchst eine computerpolicy auf benutzer anzuwenden. das funktioniert so nicht, es sei denn du aktivierst den loopbackverarbeitungsmodus.

 

Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien -> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie -> aktiviert

 

ob ersetzen oder zusammenführen kommt auf weitere GPO einstellungen an. bei ersetzen werden alle anderen benutzereinstellungen weggebügelt und müssen ggf. erneut angewendet bzw. konfiguriert werden.

 

Wendet alternative Benutzereinstellungen an, wenn ein Benutzer sich an einen von dieser Einstellung betroffenen Computer anmeldet.

 

Durch diese Einstellung wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese Einstellung wurde für Computer mit besonderem Zweck, wie z. B. Computer in Bibliotheken, Laboren oder Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden muss.

 

Standardmäßig wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtlinienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten angewendet wird.

 

Wählen Sie einen der folgenden Einstellungsnmodi aus dem Feld "Modus", wenn Sie diese Einstellung verwenden möchten.

 

-- "Ersetzen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden.

 

-- "Zusammenführen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile und die Benutzergruppenrichtlinien gemeinsam angewendet werden. Falls die Gruppenrichtlinien in Konflikt stehen, setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benutzers außer Kraft.

 

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestimmen die Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet werden.

 

Hinweis: Diese Einstellung gilt nur, wenn sich das Computer- und das Benutzerkonto in der gleichen Windows 2000-Domäne befinden.

[gordonF 10]

@Hirgelzwift: Vielen Dank! Jetzt geht es :thumb1:

 

Jetzt hab ich nur noch die Probleme, dass der Admin standardmässig nicht auf die Profile zugreifen kann (keine Berechtigung) und dass ich bei der Anmeldung 2 INI-Dateien in das entsprechende User-Profil in das Windows-Verzeichnis kopieren muss.

Die oben genannten Aktionen würde ich selbstverständlich gerne mittels einer Gruppenrichtlinie machen.

 

Aber jetzt bin ich erstmal froh, dass die Profile überhaupt an den richtigen Ort geschrieben werden und setze mich nochmal eingehender mit oben genannten Aktionen auseinander.

[Hirgelzwift 10]

wenn der admin die profilverzeichnisse nicht erzeugt hat, sondern das vom system erledigen läst, hat er keinen zugriff darauf.

 

um sich die rechte zu holen legt der admin die ordner am besten selber an und setzt die rechte wie sie sein sollen.

 

für vorhandene profilverzeichnisse muss der admin erst mal den besitz übernehmen und dann kann er die rechte setzen so wie er sie braucht.

[gordonF 10]

So kenn ich das, musste ich auch schon mehrfach anwenden :p

 

Aber: Ich hab jetzt eine Gruppenrichtlinie gefunden und getestet ...

Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen

 

Der Effekt war, dass das Profil auf dem Terminalserver die Admin-Gruppe in den Berechtigungen drinne hatte, aber auf dem eigentlichen Speocherort auf dem DC nicht.

[Hirgelzwift 10]

ich kenn die GPO nicht ich werde das morgen mal testen. vielleicht geht es ja nur bei neuen profilen.

[Wolke2k4 11]

Ja, diese Richtlinie wirkt nur auf neu erstellte Profile, da die Settings beim Erstelllen des Profils entsprechend angepasst werden. Im nachhinein kann die Richtlinie natürlich nicht beigehen und die Rechte umbiegen. Sie wird ja schliesslich auch erst beim Anmelden aktiv.

Ansonsten ist diese Richtlinie sehr hilfreich, da man als Admin öfters mal ins Prof der Nutzer gucken muss.

[IThome 10]

Das funktioniert nicht nachträglich. Der Client setzt normalerweise die Berechtigungen auf die hier gemeinten serverbasierten Profile. Per Default sind die Administratoren nicht dabei. Diese Richtlinie bewirkt, dass die Administratoren bei Ersterstellung des Profilordners zu den ACLs zugefügt werden ...

edit: zweiter :D

[Hirgelzwift 10]

dachte ich es mir doch, dann kann ich mir ja den test sparen ;)

[gordonF 10]

Insgesamt ne schöne Sache, wenn man nicht schon Profile hat.

Bei mir werden die aber erst angelegt, daher geht es.

 

Die anderen Punkte waren dann eher einfach zu lösen.

 

Eine Verständnisfrage noch:

Warum werden die Profile auf den Terminalservern im Format <BENUTZERNAME>. auf dem Server gespeicherte Profile aber im Fomat <BENUTZERNAME.DOMÄNENNAME> abgelegt ?

[Hirgelzwift 10]

normalerweise werden profilpfade am server punktgenau so abgelegt wie du sie im AD oder per GPO definierst. ich gehe aber davon aus, deine formulierung lässt interpretationen zu, das du die lokalen profile auf dem terminalserver meinst. wenn es schon ein profil gibt das die %username% bezeichnung nutzt, ein beispiel wäre der administrator und administrator.domäne (der eine ist der lokale admin der andere der domänenadmin), dann wird lokal ein ordner %username%.domäne angelegt. das passiert am TS recht gerne das wenn noch alte profile, die zumindest zu teil dort rumhängen, oder aus irgendeinen grund vom system als nicht nutzbar angesehen werden, vorhanden sind dann habe ich schon %username%.domäne.001 usw gesehen. ein aufräumen der lokalen profile hilft meisstens die alten profile wieder loszuwerden um auf das gewohnte format zu kommen.

[gordonF 10]

Ich hab das mit den Shares so gemacht, dass ich in der Poliy \\Servername\Freigabename eingetragen habe.

 

Aber macht ja nix, hab die servergespeicherten Profilordner einfach umbenannt (hinten .DOMÄNENNAME weggelöscht) und geht :thumb1:

 

Vielen Dank für Eure Unterstützung :thumb1:

[Hirgelzwift 10]

schön das jetzt alles funktioniert :) danke für die rückmeldung ;)

 

dennoch. ich würde die policy anders setzen \\server\freigabe\%username%

 

wenn du %username% nicht angibst denke ich mir das das system das, damit es eineindeutig ist, mit %username%.domäne macht.

 

würde mich freuen wenn du das mal testen würdest und uns das ergebniss mitteilst. sonst hast du wenn neue profile kommen das problem wieder.