Jump to content

servergespeichertes Profil wird nur mit lokalen Admin Rechten vollständig geladen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

(Win2k3 Domänencontroler, WinXP Clients, servergespeicherte Profile)

 

Ich habe folgendes Problem:

 

Ein bestimmter Benutzer meldet sich an einem Client-PC, an welchem er lokaler Admin ist, an.

Dabei wird sein servergespeichertes Profil vollständig geladen.

 

Sobald sich der selbe Benutzer aber an einem Rechner anmeldet,

an dem er keine lokalen Adminrechte hat, wird sein Profil nicht vollständig geladen.

(Gibt man dem Benutzer an diesem PC dann Admin Rechte, so wird sein Profil wieder vollständig geladen)

 

Nicht Vollständig bedeut in diesem Fall:

Der Benutzername wird richtig erkannt und auch die auf dem "Desktop" hinterlegten Dateien werden gefunden,

aber z.B. die Menüstruktur und Programm relevante Einträge der Registry werden nicht geladen.

 

Nun bin ich bei meinen Recherchen über die ntuser.dat gestolpert, jedoch kann ich keine Berechtigungs-Probleme erkennen.

Der betroffene Benutzer ist auch der Besitzer (und hat vollen Zugriff), der in seinem Profil hinterlegten NTUSER.DAT.

 

Ich hoffe, ich konnte mich halbwegsverständlich ausdrücken und Ihr könnt mir ein wenig weiterhelfen.

 

(Ich möchte den Benutzer nämlich nicht überall zum lokalen Admin machen)

 

mfG

Link zu diesem Kommentar

Woher kommt denn das Servergespeicherte Profil? Das hört sich so an, als sei es von einem anderen User kopiert worden. In der Registrierung (in dem Fall der NTUSER.DAT) bestehen noch eigene Berechtigungen. Hier scheint der User keine Rechte zu haben. Benutzerprofile von anderen Usern immer über Benutzerprofile (Karteireiter Erweitert in den Systemeigenschaten) kopieren und beim kopieren nicht vergessen, den Benutzer oder die Gruppe zu berechtigen, die danach mit der Vorlage bzw. dem Profil arbeiten sollen.

Link zu diesem Kommentar

1.Du musst doch die Datei in .man umbenennen um ein Servergespeichertes vordefiniertes (geschütztes) Benutzerpfrofil zu erstellen.

 

2.Hast du auf die Freigabe geachtet in dem Ordner wo die Profile auf dem Server liegen? Die Benutzer (Jeder) benötigen Vollzugriff!!!

 

3. Ist die Richtlinie "Nur lokale Benutzerprofile zulassen" mit der OU wo das Computerkonto liegt verknüpft?

 

Das wären meine Ideen.

 

MfG

 

TeqSun

Link zu diesem Kommentar
1.Du musst doch die Datei in .man umbenennen um ein Servergespeichertes vordefiniertes (geschütztes) Benutzerpfrofil zu erstellen.

 

2.Hast du auf die Freigabe geachtet in dem Ordner wo die Profile auf dem Server liegen? Die Benutzer (Jeder) benötigen Vollzugriff!!!

 

3. Ist die Richtlinie "Nur lokale Benutzerprofile zulassen" mit der OU wo das Computerkonto liegt verknüpft?

 

Das wären meine Ideen.

 

MfG

 

TeqSun

 

Hallo,

ich geh das mal systematisch durch.

 

1. Es soll gar kein geschütztes Profil sein, daher auch keine ntuser.man.

 

2. Hab ich probiert, bringt aber auch keine Lösung. Finde ich aber auch recht bedenklich, da eigentlich nur der jeweilige user auf sein Profil zugreifen können sollte. (grässliches deutsch)

 

3. Nein, hab ich kontrolliert. Sie ist nicht hinterlegt. (so wie es sein soll)

 

Trotzdem Danke für die Mühe.

 

 

Woher kommt denn das Servergespeicherte Profil? Das hört sich so an, als sei es von einem anderen User kopiert worden. In der Registrierung (in dem Fall der NTUSER.DAT) bestehen noch eigene Berechtigungen. Hier scheint der User keine Rechte zu haben. Benutzerprofile von anderen Usern immer über Benutzerprofile (Karteireiter Erweitert in den Systemeigenschaten) kopieren und beim kopieren nicht vergessen, den Benutzer oder die Gruppe zu berechtigen, die danach mit der Vorlage bzw. dem Profil arbeiten sollen.

 

Wie das Profil erstellt wurde kann ich euch leider nicht sagen, da das vor meiner Zeit hier geschehen ist. Aber ich werd wohl jetzt versuchen, den Typ des Profils nochmal zu ändern und dann sauber drüber zu kopieren. (über die Systemeigenschaften)

 

Ich werde berichten, was passiert.

 

mfG

Link zu diesem Kommentar

Hab ich probiert, bringt aber auch keine Lösung. Finde ich aber auch recht bedenklich, da eigentlich nur der jeweilige user auf sein Profil zugreifen können sollte. (grässliches deutsch)

 

 

Es geht ja auch nur um die Freigabberechtigung, und nicht um die NTFS Berechtigungen. Wenn es richtig konfiguriert ist kann nur der jeweilige User auf das Profil zugreifen.

 

Standardmäßig ist die Freigabe für Jeder auf lesen gestellt. Das reicht in diesem Fall nicht aus.

 

 

mfg

 

TeqSun

Link zu diesem Kommentar
und Programm relevante Einträge der Registry werden nicht geladen.

 

Nun bin ich bei meinen Recherchen über die ntuser.dat gestolpert, jedoch kann ich keine Berechtigungs-Probleme erkennen.

 

Nur leider ist die ntuser.dat der Zweig HKCU in der Registry. Und da dort doch einiges an Informationen gespeichert ist, würde ich diese Fehlerquelle nicht ohne Überprüfung ausschliessen. Auch, wenn Du Vollzugriff auf diese Datei hast, so hast Du noch lange keinen Vollzugriff auf den Inhalt. Diese Überprüfung dauert keine zwei Minuten. Entweder Du hast zwei Minuten verloren oder viele Stunden gespart.

 

Was die Berechtigungen angeht: Jeder Lesen reicht aus, um das Profil zu laden.

Link zu diesem Kommentar
****e Frage

stimmt

 

Entschuldige bitte, aber ich wollte nur helfen. Wenn Du darauf verzichten kannst, dann bitte. Aber es geht doch darum, eventuelle Denkansätze zu bekommen. Ich habe mich auch schon mal öfter mit servergespeicherten Profilen hantiert (war halt eine Citrix-Serverfarm). Wenn Du möchtest, dann kann ich Dir das bei Administrator.de auch noch mal schreiben.

Versuch es. Entweder, es klappt oder eben nicht. Dann halte ich auch meine Klappe. :)

Link zu diesem Kommentar

Beim zweiten Mal lesen ist mir aufgefallen das meine Antwort ziemlich "frech" war :-) Sorry dafür!

Aber um ein Servergespeichertes Profil von einem Freigegebenen Ordner auf dem Server zu laden reicht das Recht lesen für Jeder nicht aus. Habe es nach deiner Antwort extra noch einmal nachgelesen in meinem Press Buch :-)

 

 

Schönes Wochenende!

 

 

TeqSun

Link zu diesem Kommentar
Nur leider ist die ntuser.dat der Zweig HKCU in der Registry. Und da dort doch einiges an Informationen gespeichert ist, würde ich diese Fehlerquelle nicht ohne Überprüfung ausschliessen. Auch, wenn Du Vollzugriff auf diese Datei hast, so hast Du noch lange keinen Vollzugriff auf den Inhalt. Diese Überprüfung dauert keine zwei Minuten. Entweder Du hast zwei Minuten verloren oder viele Stunden gespart.

 

Was die Berechtigungen angeht: Jeder Lesen reicht aus, um das Profil zu laden.

 

Soooo,

neue Erkenntnisse! Ich weiß,ich bin nicht der schnellste.

Aber ich hab hier auch noch ein paar andere Sachen auf dem Tisch.

 

Ich hab die Berechtigung in der Registry überprüft (angemeldet war ich dabei als der betroffene User). Der Domänen Benutzer stand nicht unter diesem Zweig.

Nachdem ich Ihn hinzugefügt und mich vergewissert hatte, dass er auch für alle Unterverzeichnisse (Schlüssel unter HKCU) übernommen wurde,

meldete ich mich an einem zweiten Rechner an. (ohne das der betroffene Benutzer dort lokale Admin Rechte hat)

Und siehe da, es gab gleich ein ganz anderes Bild!

Sprich Verknüpfungen etc. wurden korrekt übernommen, auch die Einstellungen für die Programme! Und das alles ohne lokale Admin-Rechte!

 

ABER :-) (das leben wäre so schön ohne dieses aber)

 

Die Netzlaufwerke wurden nicht korrekt verknüpft.

Dazu folgende Erklärung:

Die Netzlaufwerke werden über eine Gruppenrichtlinie, welche auf ein Script verweist, den jeweiligen Rechnern zugewiesen. Der Rechner, an dem getestet wurde ist in der richtigen OU (korrekt im AD hinterlegt). Ein Test mit einem anderem Benutzer am selben Rechner (Rechner 2) lieferte die korrekt verknüpften Netzlaufwerke.

Sprich, das Profil muss trotzdem noch irgendein Problem haben.

 

Auch die Registry erneut zu bearbeiten und einen Benutzer Jeder mit Leserechten hinzuzufügen brachte kein Ergebnis.

Desweitern hab ich versucht den entsprechenden Benutzer auch in die anderen Zweige der Registry einzutragen. (ob nun sinnvoll oder nicht)

Auch das brachte kein Ergebnis.

 

Nun bin ich also wieder bei Euch. :-)

 

Ich hoffe, es war wiederum halbwegs verständlich.

 

mfG

und ein schönes Wochenende allen

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo nochmal.

 

hab mich mittlerweile nochmal damit beschäftigt. Ich weiss, das Ganze ist schon fast verjährt. :)

Aber die Antwort ist ebenso simpel, wie die Fragestellung (und mein Leidensweg damit) lang war.

 

Lösung war das Profil erneut mit der entsprechenden Userberechtigung zu kopieren.

(Systemeigenschaften -> Erweitert -> Einstellungen (Benutzerprofile))

 

naja, hätte man eigentlich auch gleich drauf kommen können.

Danke nochmal allen Hinweis-gebern

 

mfG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...