Stargate1 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 @all Ich bin heute auf ein Problem mit SW Profil gestolpert welches ich nicht so ganz nachvollziehen kann wie er entstanden ist und wie ich ihn n zukunft eleganter beseitigen könnte. Szenario Da ein AP durch exterene Mitarbeiter belegt war müsste der Mitarbeiter A der an diesen PC sonst malocht auf ein anderes ausweichen. Nichts unübliches eigentlich dachte ich. 1 Der AW könnte sich nicht anmelden an diesen PC anmelden da er die Meldung erhalten hat das die Profile nicht an vorgesehen ort bzw rechte fehlen würden. 2 Sogar lokal war es ihm nicht möglich die proflie abzulegen 3 OK dachte ich standart prozedur als Adm rein user anlegen unter Benutzer knoten (XP)usw 4 Gesagt getan aber njente selbe leier wieder. 5 Ich melde mich an mit normalen Konto alles suupi. 6 Ach denke ich den berühmten trick rein raus aus DM könnte helfen 7 NIXE da selber kram. 8 Server seitig Profile gelöscht 9 Funzt endlich. 10 Super pfusch arbeit jezt hat er das Profil von PC B gezogen was wird sein wenn er jezt zum seinen PC A geht welches Profil wird jezt genommen das Lokale von -maschine A oder das neue von Maschine B Ich könnte ja (habe nicht gelöscht) das original Profil ins neue wieder reinkopieren. Dat ist aber doooof wie kann ich das ich zukunft vermeiden Server 2003 SP2 Profile standart abgelegt und bis dato keine Probleme gehabt. Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Hört sich so an, als wären die Profilordner nicht im Besitz der Administratoren oder des Benutzers, der Ursprungs-PC prüft das Besitztum nicht, der Ausweich-PC aber schon (einstellbar über eine Richtlinie). Wenn dann auch noch konfiguriert ist, dass bei Fehlschlagen des serverbasierten Profils der User abgemeldet wird (ebenfalls Richtlinie), dann kann er sich auch lokal nicht anmelden. Das wäre eine denkbare Variante ... Das Profil solltest Du aber niemals nur kopieren, sondern ausschliesslich mit dem dafür vorgesehenen Tool einem Benutzer zugänglich machen. Notfalls auch unter Zurhilfenahme eines temporären Benutzers, in dessen Profilordner Du das Profil kopierst (via Explorer) und dann dieses soeben kopierte Profil an den Bestimmungsort mit dem Tool kopierst ... Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 13. Juni 2007 Autor Melden Teilen Geschrieben 13. Juni 2007 @IThome danke für deine Info 1 Profil Ordner USER Haben unter Sicherheit folgende Members voll zugriff 1 Administrator der DM 2 Administratoren\server\administratoren 3 Benutzer\server\benutzer 4 Ersteller besitzer hat nur spezielle Berechtigungen 5 Jeder alle ausgegraut und ausgewählt 6 System ebenfalls wie Jeder AW funzt auf anderen Rechner Einwand frei. Ich kann mich ebenfalls auf diesen Rechner einloggen. Normaler weise mache ich das so das ich in Ordner wo ich die Profile von allen Aw ablege vorher ein Ordner mit AW Namen erstelle damit ich ihn automatisch übernehmen kann. Das Profil solltest Du aber niemals nur kopieren, sondern ausschliesslich mit dem dafür vorgesehenen Tool einem Benutzer zugänglich machen Habe ich da was verpasst welches Tool meinst du stehe momentan ratlos da Notfalls auch unter Zurhilfenahme eines temporären Benutzers, in dessen Profilordner Du das Profil kopierst (via Explorer) und dann dieses soeben kopierte Profil an den Bestimmungsort mit dem Tool kopierst ... Ab hier kann ich nicht so ganz folgen. Erkläre bitte einem wissensdurstigen wat der dichter damit meinte. Tempora AW da jeder AW automatisch Nt-user dat usw als differente copy erhält komme ich da nicht weiter. Gruß Joe Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 14. Juni 2007 Autor Melden Teilen Geschrieben 14. Juni 2007 @IThome ich hoffe das du mich nicht vergessen hast ??? ;) Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Juni 2007 Melden Teilen Geschrieben 15. Juni 2007 Was meinst Du mit "Ordner mit AW Namen erstelle damit ich ihn automatisch übernehmen kann" ? Der Client legt sich den Ordner normalerweise selbst mit den richtigen Berechtigungen an. Soll auch der Aadministrator in der Lage sein, den Inhalt des Profils zu sehen, muss noch eine Richtlinie angewendet, bevor der Client das erste Mal diesen Ordner im Servershare anlegt. Mit Kopieren des Profils meine ich das Tool in den Eigenschaften des Arbeitsplatzes - Erweitert - Benutzerprofile (nicht mit dem Explorer). Wenn sich dieses Profil so nicht kopieren lässt (weil kopieren ausgegraut ist), kannst Du es mit einem temporären, lokalen Benutzer machen, in dessen Profil Du das zu kopierende Profil mit dem Explorer kopierst und danach wieder mit dem Tool im Arbeitsplatz ordnungsgemäss (mit allen notwendigen Berechtigungen) kopieren kannst ... Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 15. Juni 2007 Autor Melden Teilen Geschrieben 15. Juni 2007 @IThome Danke für Hilfe :) so wenn ich einen neuen AW ins netz bringe ist da eigentlich das Automatismus von XP schon vorhanden. Lasse ich ihn alles selber (XP) machen arbeitet er genau wir du es gesagt hast Profil wird von lokaler ebenen auf serever ebene kopiert funzt wunderbar. Möchte ich aber auf den Server site die Profile ansehen ist njente habe kein recht dazu als full admin. Mache ich mir ein Ordner in Verzeichnes mit vorhandenen Profilen und benenne ihn wie AW Name habe ich automatisch das Recht (Vererbung) ins Profil zu schauen . So genau jezt wir du zu recht auch geschrieben hats "muss noch eine Richtlinie angewendet werden" das fehlt mir zu Verständnis wat data gemeint ??? Welche ist damit gemeint ???? Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Juni 2007 Melden Teilen Geschrieben 16. Juni 2007 Diese Richtlinie muss auf die Rechner angewendet werden, von denen aus das Profil erstellt wird bzw. an denen sich die User anmelden. Du kannst diese Rechner z.B. in eine OU verschieben, dort eine Richtlinie erstellen und den Punkt Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" konfigurieren. Diese Richtlinie funktioniert aber nur, wenn der Ordner für das servergespeicherte Profil noch nicht angelegt wurde. Der Client legt es selbst beim Anmelden mit den richtigen Berechtigungen an und füllt es mit seinem Profil beim Abmelden. Wenn Du die Ordner vorher anlegst, prüfe bitte mal, wer der Besitzer der Unterordner ist (z.B. Desktop oder Startmenü). Ist es der Administrator oder sind es die Administratoren ? Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 16. Juni 2007 Autor Melden Teilen Geschrieben 16. Juni 2007 @IThome Danke habe kapiert also gpedit.msc auf Rechner des AW Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" Also AW zuerst Lokal anlegen danach gpedit.msc Editiren und danach in die DM und dann AW ins netz bringen. Habe verstanden DANKE ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Juni 2007 Melden Teilen Geschrieben 16. Juni 2007 Mache es besser auf OU-Ebene, das ist einfacher ... :) Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 16. Juni 2007 Autor Melden Teilen Geschrieben 16. Juni 2007 @IThome jetzt komme ich ein wenig ins trudeln !! Dies soll ich wie ich das verstehe auf dem DC machen also unter Standard Domain Sicherheit Einstellungen folder ich finde aber diesen eintrag nicht oder ich suche falsch ?? Bitte kläre mich auf auch wenn es vielleicht für dich banal anhört ich stehe momentan auf den schlauch. muss ich dann nicht auch Default Domain Controller Policy dem Benutzer das Recht "Add workstations to the domain" geben. Zu finden unter Local Policies / User Rights Assignment. Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Juni 2007 Melden Teilen Geschrieben 16. Juni 2007 Erzeuge Dir lieber eine neue OU und verschiebe dorthin die Computerobjekte der Clientcomputer. Dort erzeugst Du eine neue Richtlinie wie oben beschrieben ... Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 16. Juni 2007 Autor Melden Teilen Geschrieben 16. Juni 2007 @IThome Danke für dein Tipp aber ich komme da nicht weiter ??? Jetzt checke ich die Profile ab die ich einfach ohne diese Prozedur gemacht habe aber ich komme an die als admin nicht ran da mir jetzt die Berechtigung fehlt Sie sind nicht berechtigt die Aktuellen berechtigungen für xxxx anzuzeigen oder zu bearbeiten Sie können jedoch als Besitzer einrichten oder die Überwachungseinstellungen ändern wie komme ich an die ran mit normalen mittel wie Sicherheit und Freigabe komme ich an die nicht ran. Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Juni 2007 Melden Teilen Geschrieben 17. Juni 2007 Ja, die sind erzeugt worden, bevor die Richtlinie gegriffen hat. Das einzige, was Du machen kannst, ist den Besitz zu übernehmen und die Berechtigungen so zu setzen, wie es in den "richtigen" Profilen geschehen ist. Überprüfe danach, ob die Administratoren (nicht Administrator) Besitzer der Profilfolder sind. Wenn sie es nicht sind, setze in der OU der Clientcomputer eine Richtlinie Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Eigentümer von servergespeicherten Profilen nicht prüfen" oder im Falle eines 2003 Servers übertrage den Besitz auf den Profileigner ... Das habe ich doch richtig verstanden, dass neu angelegte Profile so sind, wie Du sie haben willst oder ? Zitieren Link zu diesem Kommentar
Stargate1 10 Geschrieben 17. Juni 2007 Autor Melden Teilen Geschrieben 17. Juni 2007 @IThome So das doofe folder habe ich jetzt übernommen und umbenannt Anschließend neuen identischen folder erstellt und alter Profile reinkopiert. Morgen editiere ich zuerst via gpo die rechte für Admin lokal auf dem Rechner des AW Sowait ich dich verstanden habe auf dem DC soll die Editirung der OU dann eleganter weise stattfinden. Wie untern beschrieben. Korrekt oder nicht korrekt ? Gruß Joe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Juni 2007 Melden Teilen Geschrieben 18. Juni 2007 Ja genau, wenn Du die Einstellungen via GPO verteilst, erreichst Du auf einfache Weise alle Deine Computer und musst es nicht an jedem einzelnen machen ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.