Ragamuffin 10 Posted November 28, 2009 Report Share Posted November 28, 2009 Hallo, ich administriere ein kleines Unternehmen mit einem Windows 2003 SB SP2 Server inkl. DC mit AD und Exchange. An Clients gibt es bunt gemischt Windows 2000 SP4, Windows XP SP3 und neuerdings auch Windows 7. Alles mit servergespeicherten Profilen. Mit der Integration von Windows 7 fingen dann auch die Probleme an. Ich habe irgendwo eine detaillierte, englischsprachige Anleitung gefunden zum Umgang der Windows 7 Verzeichnisstruktur mit 2003 Server, da die Pfade bekanntermaßen nicht dieselben sind wie unter 2000/XP. Der Lösungsansatz hieß nun GPO mit Ordnerumleitung via GPMC. Ich habe also einen Windows 7 Client in die Domäne gestellt und von dort aus die Ordnerumleitungen konfiguriert in ein servergespeichertes Datenverzeichnis \\server\user$, wo sich dann die ganzen Ordner wie Desktop, Startmenü, Persönliche Dokumente, etc. wiederfinden. Das Ganze klappt auch soweit sehr gut unter Windows 2000 und XP. Unter Windows 7 hingegen wird nun neuerdings jedes mal ein temporäres Profil erstellt, sobald ich mich anmelde (C:\Users\TEMP), wo aber nichtsdestotrotz die Ordnerumleitungen funktionieren - ich sehe also z.B. die ganzen Desktopicons des (theoretisch) eingeloggten Benutzers. Ergänzend dazu: Wie oben bereits erwähnt benutze ich servergespeicherte Profile (unter \\server\profile$). Erwartungsgemäß wird beim ersten Login eines Windows 7 Clients in die Domäne aus dem bekannten Ordner mueller ein Ordner mueller.V2 generiert. Der Ordner ist, wie üblich, by design nicht einsehbar vom Admin, jedoch sobald ich mir die nötigen Rechte verschaffe und in diesen Ordner schaue, ist dieser vollkommen leer. Ein weiteres Problem: Ich musste nun festellen, dass für den Administrator-Benutzer am Server die Ordnerumleitung-GPO ebenfalls greift. Das ist schlecht, weil dieser (logischerweise) kein servergespeichertes Profil verwendet und nun seine Daten vereinzelt auf \\server\user$\Administrator wiederfindet. Nun habe ich danach extra, statt der Gruppe "Authentifizierte Benutzer", für die GPO eine Gruppe "Ordnerumleitung" erstellt und dort alle Anwender im Unternehmen eingetragen. Obwohl die GPO nun nur noch dafür greifen sollte, bleibt die Problematik für den Administrator erhalten. Kurz, wie kann ich unterbinden, dass die Richtlinie für den Administrator wirksam ist? Quote Link to comment
NorbertFe 1,988 Posted November 28, 2009 Report Share Posted November 28, 2009 Mit der Integration von Windows 7 fingen dann auch die Probleme an. Ich habe irgendwo eine detaillierte, englischsprachige Anleitung gefunden zum Umgang der Windows 7 Verzeichnisstruktur mit 2003 Server, da die Pfade bekanntermaßen nicht dieselben sind wie unter 2000/XP. Wo gibts da denn Probleme? Der Lösungsansatz hieß nun GPO mit Ordnerumleitung via GPMC. Ich habe also einen Windows 7 Client in die Domäne gestellt und von dort aus die Ordnerumleitungen konfiguriert in ein servergespeichertes Datenverzeichnis \\server\user$, wo sich dann die ganzen Ordner wie Desktop, Startmenü, Persönliche Dokumente, etc. wiederfinden. Hast du für Win 7 ein extra GPO definiert, oder gilt das für XP genauso? Falls letzteres mußt du noch die XP Kompatibilität mit anhaken. Das Ganze klappt auch soweit sehr gut unter Windows 2000 und XP. Unter Windows 7 hingegen wird nun neuerdings jedes mal ein temporäres Profil erstellt, sobald ich mich anmelde (C:\Users\TEMP), wo aber nichtsdestotrotz die Ordnerumleitungen funktionieren - ich sehe also z.B. die ganzen Desktopicons des (theoretisch) eingeloggten Benutzers. Kann es sein, dass deine NTFS Berechtigungen nicht stimmen für die Ordnerumleitung/Roaming Profiles? Ergänzend dazu: Wie oben bereits erwähnt benutze ich servergespeicherte Profile (unter \\server\profile$). Erwartungsgemäß wird beim ersten Login eines Windows 7 Clients in die Domäne aus dem bekannten Ordner mueller ein Ordner mueller.V2 generiert. Soweit ich weiß, wird der nicht aus dem Ordner mueller erstellt, sondern neu erzeugt. Der Ordner ist, wie üblich, by design nicht einsehbar vom Admin, Dann definier doch einfach, dass der Admin bei Anlage ebenfalls Berechtigungen erhält. Kannst du per GPO definieren. jedoch sobald ich mir die nötigen Rechte verschaffe und in diesen Ordner schaue, ist dieser vollkommen leer. Spricht für meine Vermutung der falschen NTFS oder Share Permissions. Ein weiteres Problem: Ich musste nun festellen, dass für den Administrator-Benutzer am Server die Ordnerumleitung-GPO ebenfalls greift. Das ist aber kein Problem des Windows 7 Clients, sondern eher deiner Konfiguration. Das ist schlecht, weil dieser (logischerweise) kein servergespeichertes Profil verwendet und nun seine Daten vereinzelt auf \\server\user$\Administrator wiederfindet. Ist doch gut wenn es zentral liegt. Ordnerumleitung bedingt ja nicht zwangsläufig auch ein Roaming profile. Nun habe ich danach extra, statt der Gruppe "Authentifizierte Benutzer", für die GPO eine Gruppe "Ordnerumleitung" erstellt und dort alle Anwender im Unternehmen eingetragen. Obwohl die GPO nun nur noch dafür greifen sollte, bleibt die Problematik für den Administrator erhalten.Kurz, wie kann ich unterbinden, dass die Richtlinie für den Administrator wirksam ist? Du verweigerst es für den Admin oder steckst den Admin nicht unterhalb dieser Richtlinie in die Struktur. Letzteres sollte man sowieso nicht tun. Bye Norbert Quote Link to comment
Ragamuffin 10 Posted November 29, 2009 Author Report Share Posted November 29, 2009 Wo gibts da denn Probleme? Fängt doch schon damit an, dass Windows XP unter C:\Dokumente und Einstellungen\%username% und Vista/7 unter C:\Users\%username% speichern. Das gibt zwangsläufig ein Wirrwarr, wenn ein User sich mit seinem Profil an einen XP-Rechner und dann wieder an einen 7-Rechner setzt. Leider kann aber genau das in der Firma schon mal vorkommen, da die Mitarbeiter von einer Abteilung in die nächste wandern und dabei nicht unbedingt ihren PC mitnehmen. Hast du für Win 7 ein extra GPO definiert, oder gilt das für XP genauso? Falls letzteres mußt du noch die XP Kompatibilität mit anhaken. Ich habe die GPO ebenfalls für XP/2K angewandt, allerdings den Haken weggelassen, dass er die Dateien an den neuen Ort kopieren soll, weil sie dort schon liegen. Kann es sein, dass deine NTFS Berechtigungen nicht stimmen für die Ordnerumleitung/Roaming Profiles? Nun ja, also das Profil wird ganz normal geladen bei 2K/XP. Eingestellt ist, dass der Benutzer gleichzeitig der Besitzer ist und dass der Ordner übergeordnete Berechtigungen übernimmt. Damit gab's bislang keine Probleme. Soweit ich weiß, wird der nicht aus dem Ordner mueller erstellt, sondern neu erzeugt. Okay, damit hast du schon recht, hab das falsch ausgedrückt. Ich meinte eigentlich nur, dass der Ordner mueller.V2 generiert wird, wenn der Ordner mueller schon vorhanden ist und er erkennt, dass dort ein älteres 2K/XP-Profil gespeichert ist. Spricht für meine Vermutung der falschen NTFS oder Share Permissions. Wie sehen denn korrekte Berechtigungen aus? Ist doch gut wenn es zentral liegt. Ordnerumleitung bedingt ja nicht zwangsläufig auch ein Roaming profile. Nein, ist leider nicht so gut, weil ich dann bei allen PCs das Profil vom Server habe, wenn ich mich mal als Domänen-Administrator anmelde. Ich weiß, ich bin meinetwegen etwas unflexibel, aber für den Admin möchte ich das nicht. Du verweigerst es für den Admin oder steckst den Admin nicht unterhalb dieser Richtlinie in die Struktur. Letzteres sollte man sowieso nicht tun. Hab ich doch gemacht. Erst hab ich eingestellt, dass die Übernahme der Richtlinie verweigert wird - funktionierte aber nicht. Dann hab ich, wie bereits gesagt, eine gesonderte Gruppe ohne den Admin angelegt, für die die Richtlinie greifen soll. Sie greift aber trotzdem beim Admin. Kann es was damit zu tun haben, dass ich die Richtlinie vom GPMC eines Win7-Clients erstellt hab, aber nachträglich eine Verwaltung vom Win2k3-Server mittels des dortigen GPMC versuche? Quote Link to comment
NorbertFe 1,988 Posted November 29, 2009 Report Share Posted November 29, 2009 Fängt doch schon damit an, dass Windows XP unter C:\Dokumente und Einstellungen\%username% und Vista/7 unter C:\Users\%username% speichern. Das gibt zwangsläufig ein Wirrwarr, wenn ein User sich mit seinem Profil an einen XP-Rechner und dann wieder an einen 7-Rechner setzt. Da kann es kein Wirrwarr geben, da das zwei unterschiedliche Profile (Mueller und Mueller.V2) sind. Wenn der User also dort was speichert, dann sind es Einstellungen und die muß er einmal für XP und einmal für W7 vornehmen. Sehe ich nicht als Problem an. Leider kann aber genau das in der Firma schon mal vorkommen, da die Mitarbeiter von einer Abteilung in die nächste wandern und dabei nicht unbedingt ihren PC mitnehmen. Und wo war jetzt nochmal das Problem? Ich habe die GPO ebenfalls für XP/2K angewandt, allerdings den Haken weggelassen, dass er die Dateien an den neuen Ort kopieren soll, weil sie dort schon liegen. Hmmm. Nun ja, also das Profil wird ganz normal geladen bei 2K/XP. Eingestellt ist, dass der Benutzer gleichzeitig der Besitzer ist und dass der Ordner übergeordnete Berechtigungen übernimmt. Damit gab's bislang keine Probleme. Stell es doch mal so ein, wie MS das empfiehlt hinsichtlich NTFS und Share Permissions. Okay, damit hast du schon recht, hab das falsch ausgedrückt. Ich meinte eigentlich nur, dass der Ordner mueller.V2 generiert wird, wenn der Ordner mueller schon vorhanden ist und er erkennt, dass dort ein älteres 2K/XP-Profil gespeichert ist. Meines Wissens nach wird immer mueller.v2 generiert auch wenn es keinen mueller gibt. MS lernt tatsächlich dazu, nach dem ganzen Profil-Kuddelmuddel mit WNT,W2k und WXP. Wie sehen denn korrekte Berechtigungen aus? Security Recommendations for Roaming User Profiles Shared Folders: Group Policy und für Folder Redirection: Security Recommendations for Folder Redirection: Group Policy Nein, ist leider nicht so gut, weil ich dann bei allen PCs das Profil vom Server habe, wenn ich mich mal als Domänen-Administrator anmelde. Ich weiß, ich bin meinetwegen etwas unflexibel, aber für den Admin möchte ich das nicht. Du hast nicht das Profil, sondern Ordnerumleitung auch für den Admin. Nenn mir doch mal den Nachteil dabei? Die Lösung dazu hab ich dir ja genannt. Und Profil und Folder Redirection haben nur bedingt miteinander zu tun. Hab ich doch gemacht. Erst hab ich eingestellt, dass die Übernahme der Richtlinie verweigert wird - funktionierte aber nicht. Dann hab ich, wie bereits gesagt, eine gesonderte Gruppe ohne den Admin angelegt, für die die Richtlinie greifen soll. Sie greift aber trotzdem beim Admin. Dann hast du halt trotzdem was falsch gemacht. ;) Kann es was damit zu tun haben, dass ich die Richtlinie vom GPMC eines Win7-Clients erstellt hab, aber nachträglich eine Verwaltung vom Win2k3-Server mittels des dortigen GPMC versuche? Nein, aber ich würde empfehlen GPOs immer vom aktuellsten Client aus zu administrieren. In deinem Fall also von W7 aus. Bye Norbert Quote Link to comment
Ragamuffin 10 Posted November 30, 2009 Author Report Share Posted November 30, 2009 So, ich war heute noch mal in besagtem Unternehmen und habe mir zwei Stündchen Zeit genommen, um ein wenig herum zu experimentieren. Dabei sind mir folgende Erkenntnisse gekommen: An dem Win7-PC, von dem aus ich bisher alles ausprobiert habe, besteht nur bei einem einzigen Profil der Fehler, dass das angelegte User.V2-Verzeichnis leer ist. Das liegt einfach daran, dass nur bei diesem einen Profil ständig ein TEMP-Ordner erstellt wird unter C:\Users, der logischerweise nicht zurückgespeichert wird. Wenn ich einen beliebigen anderen Domänenbenutzer wähle, klappt die Erstellung & Rücksynchronisation des servergespeicherten Profils sofort. Ich kann mir nicht erklären, warum es ausgerechnet bei diesem einen Profil hakt. Der Name enthält keine Umlaute und wurde auch nicht anders angelegt als alle anderen Benutzer. Selbst wenn ich alle TEMP-Ordner lösche (die im Übrigen nicht vom System automatisch gelöscht, sondern nur ständig ergänzt werden á la TEMP.Domäne.001, TEMP.Domäne.002, etc.) macht das keinen Unterschied. Um dem ganzen aber die Krone aufzusetzen: Der eingeloggte Benutzer unter dem Windows 7-Konto verwendet das AppData-Verzeichnis nicht. Wenn ich mal spaßeshalber die Umgebungsvariable %APPDATA% ausgeben lasse, erhalte ich den Pfad zum Servershare. Starte ich aber Firefox oder Outlook, dann werden die Dateien unter C:\Users\%username%\AppData abgelegt. Was zum Teufel? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.