Jump to content
Sign in to follow this  
warbird001

Profil Automatisch anlegen?

Recommended Posts

Hallo Alle

 

Ist es moeglich das Profil eines Nutzer automatisch auf den Server zu Schreiben?

Also nicht erst dann wenn der Nutzer selber sich erstmals interaktiv

an einem Rechner anmeldet sondern schon vorher per Script?

Quasi so eine Art automatisierter Login.

 

ciao

Stefan:wq

Share this post


Link to post

Sicherlich.

 

Wo liegt denn das Default-Profil, was er bekommen soll?

Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?

Wenn es im NETLOGON liegt, kannst du

a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst

oder

b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.

Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein

Share this post


Link to post

Das geht wohl mit

 

FOR /R D:\Profiles %d IN (.) DO 
if NOT exist "D:\Profiles\%d\Anwendungsdaten" 
xcopy c:\SYSVOL\NETLOGON\Default User D:\Profiles\%d /c /h 
CACLS D:\Profiles\%d /T /P:Administratoren:F 
CACLS D:\Profiles\%d /T /P:%d:F

 

Jetzt muss nur noch jemand, der sich damit besser auskennt als ich die Fehler finden ;)

Share this post


Link to post
Sicherlich.

 

Wo liegt denn das Default-Profil, was er bekommen soll?

Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?

Wenn es im NETLOGON liegt, kannst du

a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst

oder

b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.

Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein

 

Das Default Profile ist das, das auf dem Client vorhanden ist.

Es wird dann beim Abmelden auf den Server geschrieben.

 

Ich verstehe das richtig:

Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein

"einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte?

Keine Einstellungen in der Registry etc? Nichts Weiter?

 

Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach"

zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original,

deshalb habe ich das dann aufgegeben.

von d.h bin ich etwas Ueberascht.

 

ciao

Stefan:wq

Share this post


Link to post

Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.

Was ist eigentlich der Grund für dieses Vorhaben ?

Share this post


Link to post

Was ich gerade getestet habe:

 

- neuen Benutzer "6" mit Profilpfad "\\server\profiles\6" angelegt

- "\\server\netlogon\default user" nach "\\server\profiles\" kopiert, in "6" umbenannt.

- ACL gesetzt: Administratoren/System/6: Full

- als 6 auf dem Client eingeloggt, Profil wird geladen

- was geändert (Desktophintergrund)

- abgemeldet

- angemeldet -> Desktophintergrund war wieder wie ich ihn eingestellt hatte

 

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

 

Ich würde folgendes machen:

- an einem Client (wenn XP und 2k als OS verwendet wird, besser auf einem 2k) einen neuen Benutzer lokal anlegen

- mit diesem neuen User einloggen

- Einstellungen wie es gewünscht/ sinnvoll ist ändern

- abmelden

- auf diesem Client als Admin einloggen, Windows+Pause drücken (Systemeigenschaften)

- Unter "Erweitert" -> "Benutzerprofile" -> "Einstellungen" den eben erstellten Benutzer auswählen und "Kopieren nach" wählen. Als Speicherort die Netlogon-Freigabe des Servers also \\%LOGONSERVER%\NETLOGON wählen und als Besitzer "Jeder" eintragen (Wichtig!)

- nun bekommt ein neuer Domänenbenutzer das Profil vom Server.

 

Wenn jemand mein Script korrigier hat, habe selber gerade nochmals probiert, ich bekomme immer alle Unterverzeichnisse angezeigt, was nicht soll, kannste es ja probieren. Wobei ich den Sinn dieser Maßnahme nicht verstanden habe.

 

Mfg

 

//edit

@IT-Home: du meinst die NTFS-Berechtigungen? Die kann das Sript ja wie oben eintragen. (Per Befehl CACLS)

Share this post


Link to post
Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.

Was ist eigentlich der Grund für dieses Vorhaben ?

 

Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte

Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.

Damit wird vermieden das sie sich bei defektem Servergespeichertem

Profil mit einem lokalen Profil anmelden.

 

Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss

um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen

Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr.

 

Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich

keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden.

 

Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde

waere es ja kein Problem.

Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht.

 

ciao

Stefan:wq

Share this post


Link to post

Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?

Share this post


Link to post

Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT. Du kannst Dir ja spasseshalber mal eine kopierte NTUSER.DAT Struktur und eine eines mit dem entsprechenden Tools kopierten Profils laden und die Berechtigungen vergleichen, dann wirst Du sehen, was ich meine ...

Share this post


Link to post
Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte

Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.

Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden.

 

Das geht auch einfacher: nutze die Gruppenrichtlinie "Benutzer bei Fehlschlag des servergespeicherten Profils abmelden".

Somit wird der Benutzer direkt abgemeldet, wenn sein Profil nicht geladen worden konnte.

Share this post


Link to post
Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT ...

 

Wie gesagt, bei mir ging es gerade. Ich hatte mal wie hier beschrieben das Profil eines Nutzers in das eines anderen kopiert, ging nicht.

 

Jedoch scheint das mit dem Default Profil wegen dem Besitzer "Jeder" zu funzen…

Share this post


Link to post

Lade Dir mal die Struktur des Default User Profils, die Gruppe Jeder hat nur Lesen und nicht Ändern. Es geht hier nicht um den Besitzer (diese Prüfung kann man abschalten), der Besitzer ist der, der es kopiert hat, es geht um die Berechtigungen in der NTUSER.DAT ...

Share this post


Link to post
Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?

 

Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner

umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet.

 

Die Veraenderungen in der Registry wurden nicht uebernommen.

(EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr

an der richtigen Stelle.

 

ciao

Stefan:wq

Share this post


Link to post

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden. Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...

Share this post


Link to post
In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden.

 

Gibts da noch andere Moeglichkeiten als ueber:

Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ?

 

 

Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...

 

Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script.

Aber an dem Problem mit den Registry Berechtigungen aendert das nichts.

 

ciao

Stefan:wq

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...