Jump to content

Profil Automatisch anlegen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sicherlich.

 

Wo liegt denn das Default-Profil, was er bekommen soll?

Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?

Wenn es im NETLOGON liegt, kannst du

a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst

oder

b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.

Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein

Link zu diesem Kommentar

Das geht wohl mit

 

FOR /R D:\Profiles %d IN (.) DO 
if NOT exist "D:\Profiles\%d\Anwendungsdaten" 
xcopy c:\SYSVOL\NETLOGON\Default User D:\Profiles\%d /c /h 
CACLS D:\Profiles\%d /T /P:Administratoren:F 
CACLS D:\Profiles\%d /T /P:%d:F

 

Jetzt muss nur noch jemand, der sich damit besser auskennt als ich die Fehler finden ;)

Link zu diesem Kommentar
Sicherlich.

 

Wo liegt denn das Default-Profil, was er bekommen soll?

Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?

Wenn es im NETLOGON liegt, kannst du

a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst

oder

b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.

Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein

 

Das Default Profile ist das, das auf dem Client vorhanden ist.

Es wird dann beim Abmelden auf den Server geschrieben.

 

Ich verstehe das richtig:

Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein

"einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte?

Keine Einstellungen in der Registry etc? Nichts Weiter?

 

Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach"

zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original,

deshalb habe ich das dann aufgegeben.

von d.h bin ich etwas Ueberascht.

 

ciao

Stefan:wq

Link zu diesem Kommentar

Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.

Was ist eigentlich der Grund für dieses Vorhaben ?

Link zu diesem Kommentar

Was ich gerade getestet habe:

 

- neuen Benutzer "6" mit Profilpfad "\\server\profiles\6" angelegt

- "\\server\netlogon\default user" nach "\\server\profiles\" kopiert, in "6" umbenannt.

- ACL gesetzt: Administratoren/System/6: Full

- als 6 auf dem Client eingeloggt, Profil wird geladen

- was geändert (Desktophintergrund)

- abgemeldet

- angemeldet -> Desktophintergrund war wieder wie ich ihn eingestellt hatte

 

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

 

Ich würde folgendes machen:

- an einem Client (wenn XP und 2k als OS verwendet wird, besser auf einem 2k) einen neuen Benutzer lokal anlegen

- mit diesem neuen User einloggen

- Einstellungen wie es gewünscht/ sinnvoll ist ändern

- abmelden

- auf diesem Client als Admin einloggen, Windows+Pause drücken (Systemeigenschaften)

- Unter "Erweitert" -> "Benutzerprofile" -> "Einstellungen" den eben erstellten Benutzer auswählen und "Kopieren nach" wählen. Als Speicherort die Netlogon-Freigabe des Servers also \\%LOGONSERVER%\NETLOGON wählen und als Besitzer "Jeder" eintragen (Wichtig!)

- nun bekommt ein neuer Domänenbenutzer das Profil vom Server.

 

Wenn jemand mein Script korrigier hat, habe selber gerade nochmals probiert, ich bekomme immer alle Unterverzeichnisse angezeigt, was nicht soll, kannste es ja probieren. Wobei ich den Sinn dieser Maßnahme nicht verstanden habe.

 

Mfg

 

//edit

@IT-Home: du meinst die NTFS-Berechtigungen? Die kann das Sript ja wie oben eintragen. (Per Befehl CACLS)

Link zu diesem Kommentar
Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.

Was ist eigentlich der Grund für dieses Vorhaben ?

 

Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte

Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.

Damit wird vermieden das sie sich bei defektem Servergespeichertem

Profil mit einem lokalen Profil anmelden.

 

Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss

um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen

Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr.

 

Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich

keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden.

 

Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde

waere es ja kein Problem.

Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht.

 

ciao

Stefan:wq

Link zu diesem Kommentar
Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte

Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.

Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden.

 

Das geht auch einfacher: nutze die Gruppenrichtlinie "Benutzer bei Fehlschlag des servergespeicherten Profils abmelden".

Somit wird der Benutzer direkt abgemeldet, wenn sein Profil nicht geladen worden konnte.

Link zu diesem Kommentar
Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?

 

Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner

umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet.

 

Die Veraenderungen in der Registry wurden nicht uebernommen.

(EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr

an der richtigen Stelle.

 

ciao

Stefan:wq

Link zu diesem Kommentar

Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's.

In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden. Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...

Link zu diesem Kommentar
In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden.

 

Gibts da noch andere Moeglichkeiten als ueber:

Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ?

 

 

Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...

 

Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script.

Aber an dem Problem mit den Registry Berechtigungen aendert das nichts.

 

ciao

Stefan:wq

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...