Jump to content
Sign in to follow this  
happytorte

servergespeichertes Profil wird nur mit lokalen Admin Rechten vollständig geladen

Recommended Posts

Hallo,

 

(Win2k3 Domänencontroler, WinXP Clients, servergespeicherte Profile)

 

Ich habe folgendes Problem:

 

Ein bestimmter Benutzer meldet sich an einem Client-PC, an welchem er lokaler Admin ist, an.

Dabei wird sein servergespeichertes Profil vollständig geladen.

 

Sobald sich der selbe Benutzer aber an einem Rechner anmeldet,

an dem er keine lokalen Adminrechte hat, wird sein Profil nicht vollständig geladen.

(Gibt man dem Benutzer an diesem PC dann Admin Rechte, so wird sein Profil wieder vollständig geladen)

 

Nicht Vollständig bedeut in diesem Fall:

Der Benutzername wird richtig erkannt und auch die auf dem "Desktop" hinterlegten Dateien werden gefunden,

aber z.B. die Menüstruktur und Programm relevante Einträge der Registry werden nicht geladen.

 

Nun bin ich bei meinen Recherchen über die ntuser.dat gestolpert, jedoch kann ich keine Berechtigungs-Probleme erkennen.

Der betroffene Benutzer ist auch der Besitzer (und hat vollen Zugriff), der in seinem Profil hinterlegten NTUSER.DAT.

 

Ich hoffe, ich konnte mich halbwegsverständlich ausdrücken und Ihr könnt mir ein wenig weiterhelfen.

 

(Ich möchte den Benutzer nämlich nicht überall zum lokalen Admin machen)

 

mfG

Share this post


Link to post
Share on other sites

Woher kommt denn das Servergespeicherte Profil? Das hört sich so an, als sei es von einem anderen User kopiert worden. In der Registrierung (in dem Fall der NTUSER.DAT) bestehen noch eigene Berechtigungen. Hier scheint der User keine Rechte zu haben. Benutzerprofile von anderen Usern immer über Benutzerprofile (Karteireiter Erweitert in den Systemeigenschaten) kopieren und beim kopieren nicht vergessen, den Benutzer oder die Gruppe zu berechtigen, die danach mit der Vorlage bzw. dem Profil arbeiten sollen.

Share this post


Link to post
Share on other sites

1.Du musst doch die Datei in .man umbenennen um ein Servergespeichertes vordefiniertes (geschütztes) Benutzerpfrofil zu erstellen.

 

2.Hast du auf die Freigabe geachtet in dem Ordner wo die Profile auf dem Server liegen? Die Benutzer (Jeder) benötigen Vollzugriff!!!

 

3. Ist die Richtlinie "Nur lokale Benutzerprofile zulassen" mit der OU wo das Computerkonto liegt verknüpft?

 

Das wären meine Ideen.

 

MfG

 

TeqSun

Share this post


Link to post
Share on other sites
1.Du musst doch die Datei in .man umbenennen um ein Servergespeichertes vordefiniertes (geschütztes) Benutzerpfrofil zu erstellen.

 

2.Hast du auf die Freigabe geachtet in dem Ordner wo die Profile auf dem Server liegen? Die Benutzer (Jeder) benötigen Vollzugriff!!!

 

3. Ist die Richtlinie "Nur lokale Benutzerprofile zulassen" mit der OU wo das Computerkonto liegt verknüpft?

 

Das wären meine Ideen.

 

MfG

 

TeqSun

 

Hallo,

ich geh das mal systematisch durch.

 

1. Es soll gar kein geschütztes Profil sein, daher auch keine ntuser.man.

 

2. Hab ich probiert, bringt aber auch keine Lösung. Finde ich aber auch recht bedenklich, da eigentlich nur der jeweilige user auf sein Profil zugreifen können sollte. (grässliches deutsch)

 

3. Nein, hab ich kontrolliert. Sie ist nicht hinterlegt. (so wie es sein soll)

 

Trotzdem Danke für die Mühe.

 

 

Woher kommt denn das Servergespeicherte Profil? Das hört sich so an, als sei es von einem anderen User kopiert worden. In der Registrierung (in dem Fall der NTUSER.DAT) bestehen noch eigene Berechtigungen. Hier scheint der User keine Rechte zu haben. Benutzerprofile von anderen Usern immer über Benutzerprofile (Karteireiter Erweitert in den Systemeigenschaten) kopieren und beim kopieren nicht vergessen, den Benutzer oder die Gruppe zu berechtigen, die danach mit der Vorlage bzw. dem Profil arbeiten sollen.

 

Wie das Profil erstellt wurde kann ich euch leider nicht sagen, da das vor meiner Zeit hier geschehen ist. Aber ich werd wohl jetzt versuchen, den Typ des Profils nochmal zu ändern und dann sauber drüber zu kopieren. (über die Systemeigenschaften)

 

Ich werde berichten, was passiert.

 

mfG

Share this post


Link to post
Share on other sites

Hab ich probiert, bringt aber auch keine Lösung. Finde ich aber auch recht bedenklich, da eigentlich nur der jeweilige user auf sein Profil zugreifen können sollte. (grässliches deutsch)

 

 

Es geht ja auch nur um die Freigabberechtigung, und nicht um die NTFS Berechtigungen. Wenn es richtig konfiguriert ist kann nur der jeweilige User auf das Profil zugreifen.

 

Standardmäßig ist die Freigabe für Jeder auf lesen gestellt. Das reicht in diesem Fall nicht aus.

 

 

mfg

 

TeqSun

Share this post


Link to post
Share on other sites
Das reicht in diesem Fall nicht aus.

 

Was? Melde Dich bitte noch einmal mit diesem Benutzer an (mit Adminrechten). Dann bitte mal REGEDIT starten und die Berechtigungen von HKCU überprüfen bzw. ändern, damit der Benutzer Vollzugriff darauf hat (und natürlich nach unten vererben).

Share this post


Link to post
Share on other sites

****e Frage aber was hat das jetzt mit der Freigabe Berechtigung zu tun? Wie reden von einem Ordner der auf dem Server freigegeben ist! Da kannst du soviel wie du willst an der Registry basteln...bekommst trotzdem nicht mehr Zugriffsrechte auf dem Freigegebenen Ordner.

 

Es geht um Servergespeicherte Profile!!!

 

 

TeqSun

Share this post


Link to post
Share on other sites
und Programm relevante Einträge der Registry werden nicht geladen.

 

Nun bin ich bei meinen Recherchen über die ntuser.dat gestolpert, jedoch kann ich keine Berechtigungs-Probleme erkennen.

 

Nur leider ist die ntuser.dat der Zweig HKCU in der Registry. Und da dort doch einiges an Informationen gespeichert ist, würde ich diese Fehlerquelle nicht ohne Überprüfung ausschliessen. Auch, wenn Du Vollzugriff auf diese Datei hast, so hast Du noch lange keinen Vollzugriff auf den Inhalt. Diese Überprüfung dauert keine zwei Minuten. Entweder Du hast zwei Minuten verloren oder viele Stunden gespart.

 

Was die Berechtigungen angeht: Jeder Lesen reicht aus, um das Profil zu laden.

Share this post


Link to post
Share on other sites
****e Frage

stimmt

 

Entschuldige bitte, aber ich wollte nur helfen. Wenn Du darauf verzichten kannst, dann bitte. Aber es geht doch darum, eventuelle Denkansätze zu bekommen. Ich habe mich auch schon mal öfter mit servergespeicherten Profilen hantiert (war halt eine Citrix-Serverfarm). Wenn Du möchtest, dann kann ich Dir das bei Administrator.de auch noch mal schreiben.

Versuch es. Entweder, es klappt oder eben nicht. Dann halte ich auch meine Klappe. :)

Share this post


Link to post
Share on other sites

Beim zweiten Mal lesen ist mir aufgefallen das meine Antwort ziemlich "frech" war :-) Sorry dafür!

Aber um ein Servergespeichertes Profil von einem Freigegebenen Ordner auf dem Server zu laden reicht das Recht lesen für Jeder nicht aus. Habe es nach deiner Antwort extra noch einmal nachgelesen in meinem Press Buch :-)

 

 

Schönes Wochenende!

 

 

TeqSun

Share this post


Link to post
Share on other sites
Nur leider ist die ntuser.dat der Zweig HKCU in der Registry. Und da dort doch einiges an Informationen gespeichert ist, würde ich diese Fehlerquelle nicht ohne Überprüfung ausschliessen. Auch, wenn Du Vollzugriff auf diese Datei hast, so hast Du noch lange keinen Vollzugriff auf den Inhalt. Diese Überprüfung dauert keine zwei Minuten. Entweder Du hast zwei Minuten verloren oder viele Stunden gespart.

 

Was die Berechtigungen angeht: Jeder Lesen reicht aus, um das Profil zu laden.

 

Soooo,

neue Erkenntnisse! Ich weiß,ich bin nicht der schnellste.

Aber ich hab hier auch noch ein paar andere Sachen auf dem Tisch.

 

Ich hab die Berechtigung in der Registry überprüft (angemeldet war ich dabei als der betroffene User). Der Domänen Benutzer stand nicht unter diesem Zweig.

Nachdem ich Ihn hinzugefügt und mich vergewissert hatte, dass er auch für alle Unterverzeichnisse (Schlüssel unter HKCU) übernommen wurde,

meldete ich mich an einem zweiten Rechner an. (ohne das der betroffene Benutzer dort lokale Admin Rechte hat)

Und siehe da, es gab gleich ein ganz anderes Bild!

Sprich Verknüpfungen etc. wurden korrekt übernommen, auch die Einstellungen für die Programme! Und das alles ohne lokale Admin-Rechte!

 

ABER :-) (das leben wäre so schön ohne dieses aber)

 

Die Netzlaufwerke wurden nicht korrekt verknüpft.

Dazu folgende Erklärung:

Die Netzlaufwerke werden über eine Gruppenrichtlinie, welche auf ein Script verweist, den jeweiligen Rechnern zugewiesen. Der Rechner, an dem getestet wurde ist in der richtigen OU (korrekt im AD hinterlegt). Ein Test mit einem anderem Benutzer am selben Rechner (Rechner 2) lieferte die korrekt verknüpften Netzlaufwerke.

Sprich, das Profil muss trotzdem noch irgendein Problem haben.

 

Auch die Registry erneut zu bearbeiten und einen Benutzer Jeder mit Leserechten hinzuzufügen brachte kein Ergebnis.

Desweitern hab ich versucht den entsprechenden Benutzer auch in die anderen Zweige der Registry einzutragen. (ob nun sinnvoll oder nicht)

Auch das brachte kein Ergebnis.

 

Nun bin ich also wieder bei Euch. :-)

 

Ich hoffe, es war wiederum halbwegs verständlich.

 

mfG

und ein schönes Wochenende allen

Share this post


Link to post
Share on other sites

Hallo,

 

was hat das Profil damit zu tun? Überprüfe doch mal ob es von Hand geht (Arbeitsplatz-> Extras-> Netzlaufwerk verbinden). Wenn nicht, Berechtigungen prüfen.

 

Sagt die Ereignisanzeige was zu der Netzlaufwerk - GruRiLi ??

 

Jan

Share this post


Link to post
Share on other sites

Hallo nochmal.

 

hab mich mittlerweile nochmal damit beschäftigt. Ich weiss, das Ganze ist schon fast verjährt. :)

Aber die Antwort ist ebenso simpel, wie die Fragestellung (und mein Leidensweg damit) lang war.

 

Lösung war das Profil erneut mit der entsprechenden Userberechtigung zu kopieren.

(Systemeigenschaften -> Erweitert -> Einstellungen (Benutzerprofile))

 

naja, hätte man eigentlich auch gleich drauf kommen können.

Danke nochmal allen Hinweis-gebern

 

mfG

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...