Jump to content
Sign in to follow this  
Kerstel

Probleme mit Einbindung in Domäne

Recommended Posts

Hallo,

 

hab hier Win2k3 SB installiert und ein AD eingerichtet. Wenn ich nun den Client starte (der in die Domäne eingebunden ist) bekommt der User weder sein Profil noch die Netzlaufwerke. Er bekommt nur sein Home Laufwerk. Zudem hat er dann eine Englische Tastatur und keine Admin rechte, der User ist im AD aber in der Gruppe Administratoren drin.

 

Was kann ich tun?

 

Danke und Gruß

 

Kerstel

Share this post


Link to post

Hast Du nach der Einrichtung von AD neue Organisationseinheiten für Nutzer und Computer eingerichtet? Auf die standardmässigen Container "Users" und "Computers" wirken keine Gruppenrichtlinien.

Share this post


Link to post
Auf die standardmässigen Container "Users" und "Computers" wirken keine Gruppenrichtlinien.

Wirkt darauf nicht die Default Domain Policy?

Share this post


Link to post

In der Default Domain Policy sollten ausschliesslich die Kennwortrichtlinien konfiguriert und darüber hinaus keine Änderungen vorgenommen werden.

 

Es ist übrigens so, dass alle Änderungen an den beiden Default Policies bei einer AD-Aktualisierung (Upgrade von Windows 2000 auf Windows 2003) automatisch mit den neuen Standardeinstellungen überschrieben werden. Ausgenommen sind bloss individuelle Kennwortrichtlinien. Das wird auch beim Upgrade auf Longhorn so sein. Schon aus diesem Grund sollten abweichende Richtlinien nicht über die Default Policies verteilt werden - die ganze Arbeit wäre plötzlich futsch.

 

Aus meiner Praxis meine ich, dass aber auch die Default Domain Policy nicht auf Objekte in den beiden genannten Container wirkt. Ich komme immer wieder in Firmen vorbei, deren Kennwortrichtlinien und Softwareverteilung nicht greifen. Die Computer- und Nutzerobjekte sind in diesen Fällen immer in "Users" und "Containers" enthalten. Nach dem Alegen von OUs und dem Verschieben der Objekte (Hinweis: Redircomp.exe und Redirusr.exe für die zukünftige Einbindung neuer Computer und Nutzer anwenden) sind die Probleme behoben.

 

AD legt ja bei seiner Installation für die DCs auch gleich eine richtige OU (Domaincontrollers) an, damit die Default Domain Controllers Policy umgehend wirken kann.

Share this post


Link to post

ich hatte neue Organisationseinheiten gemacht.

 

Ich hatte den User jetzt als lokalen Admin noch zusätzlich Eingerichtet, dann gings

 

Ist das normal?

Share this post


Link to post
ich hatte neue Organisationseinheiten gemacht.

Ich hatte den User jetzt als lokalen Admin noch zusätzlich Eingerichtet, dann gings

 

Ist das normal?

 

Was ist Normal was geht jetzt was ging vorher nicht ... genauer beschrieben?

 

Vergiss bitte nicht das Eventlog auf Fehler zu konfigurieren.

 

Die Berechtigungen der Freigaben zu kontrollieren die der Benutzer benötigt.

 

Profilspeicherpfad usw...

 

Und wiso um himmels willen soll der Benutzer denn Adminrechte haben?

 

LG Gadget

Share this post


Link to post

Nein, das ist nicht normal.

 

Ich frage mich nach der Ursache des Problems. Nach meiner Erfahrung liegt das Problem wahrscheinlich bei den Zugriffsrechten und den Besitzverhältnissen des Users und der Ordner und Dateien des Profils.

Bei 2k3 müsste der User normalerweise Besitzer der Profils sein und nur er allein hat auf alles Zugriff. Nichteinmal Administratoren kommen daran. Den Administratoren werden auch keine Berechtigungen für Zugriff und Besitz angezeigt. Das wird beim regulären Einrichten von Benutzer und Profil so angelegt.

 

Wurde an den Berechtigungen/des Besitzes des Users am Profil geändert oder wurden übergeordnete, vererbliche Berechtigungen verändert?

Share this post


Link to post

hi,

 

auf den Profil Ordner hat der User und der Admin zugriff, beide vollzugriff. Wieso macht das ein Problem wenn der Admin auch Zugriff hat, jenachdem ist das ja nötig

 

Gruß

 

Kerstel

Share this post


Link to post

Hi Kerstel,

 

jetzt is es vielleicht klar woran das liegt...

 

die Rechte des Profilordners werden beim laden überprüft und falls sie falsch gesetzt wurden lädt das Profil nicht. Falls du diese Verhalten ändern willst muss folgende Richtlinie aktiviert werden => Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile\Eigentümer von servergespeicherten Profilen nicht Prüfen => auf Aktiv setzen.

 

In der Beschreibung wird gut erläutert was diese Einstellung bewirkt:

 

Wenn ein Administrator für einen Benutzer ein servergespeichertes Profil konfiguriert, wird dies bei der nächsten Anmeldung des Benutzers an der vom Administrator spezifizierten Stelle angelegt.

 

Bei Windows 2000 Professional vor SP4 und Windows XP vor SP1 ist die Standardeinstellung für neu erstellte Profile, dass der Benutzer Vollzugriff auf Dateien hat und die Administratorengruppe keinen Dateizugriff hat. Falls der Profilordner schon vorhanden ist, wird jedoch nicht überprüft, ob die Berechtigungen richtig gesetzt sind. Bei der Windows Server 2003-Produktfamilie, Windows 2000 Professional SP4 und Windows XP SP1 wird standardmäßig überprüft, ob der Ordner, falls vorhanden, die richtigen Berechtigungen hat; falls die Berechtigungen nicht stimmen, werden keine Dateien in den Profilordner des servergespeicherten Profils kopiert oder umgekehrt.

 

Dieses Verhalten kann mit dieser Einstellung geändert werden.

 

LG Gadget

Share this post


Link to post
Wieso macht das ein Problem wenn der Admin auch Zugriff hat, jenachdem ist das ja nötig

Warum das Problem in dieser Form auftritt, kann ich auch nicht erklären. Ich habe es so erlebt und mich erst dumm und dusselig gesucht.

 

Eingerichtet ist der exklusive Benutzerzugriff unter Ausschluss der Administratoren auf Grund von Datenschutzbestimmungen. Frage mal die Admins aus dem öffentlichen Dienst. Als Admin auf Verzeichnisse und Daten von Benutzern Zugriff haben oder verschaffen? Abmahnung, Entlassung.

Würde ich mir Zugang zu dem Profil oder Homeordner meines Vorstandsvorsitzenden verschaffen, käme die interne Revision das bei der nächsten Prüfung dahinter und ich bekäme wohl nichtmal bei der Strassenreinigung einen Job. :D

Share this post


Link to post

@Kerstel

 

Du darfst auch unsere Boardsuche bemühen. Zu Begriffen wie Ordnerumleitung, servergespeicherte Profile und NTFS-Berechtigungen (Freigabe-Berechtigungen nicht vergessen!) gibt es verschiedenste Beiträge mit wiederkehrenden Erläuterungen. Auch die in W2K3 eingebaute Hilfe beschreibt ausgezeichnet die Erstellung serveegespeicherter Profile. Weiters hilfreich ist der Blick in die Ereignisanzeige. Deren relevante Einträge könnten auch uns unterstützen, Dir zu helfen.

 

Und: Lefg hat absolut Recht. Der Admin hat nichts zu suchen in den Nutzerprofilen oder Ordnerumleitungen. Im Notfall kann er den Besitz übernehmen. Bis dahin sind persönliche Nutzerprofile privat und vertraulich.

Share this post


Link to post

das ist doch aber nur ein freigegebener Ordner, wenn ich direkt am Server bin kann ich ja auch drauf, und erst recht zweimal wenn ich mich an den PC vom User hocke und was einrichte.

 

Der gleiche Schwachsin ist folgender, wir dürfen unser Arztpraxis Programm nicht als ASP Lösung anbieten, da wir ja auf die Patientendaten zugreifen könnten. Das kann ich aber erst recht wenn ich in der Praxis bin und was mache, zumal muss ich das dort um bestimmte Sachen zu testen.

 

Danke für die Hilfe

 

Kerstel

Share this post


Link to post
das ist doch aber nur ein freigegebener Ordner
Es geht immer noch um den Profilordner und um die darin befindlichen Verzeichnisse und Dateien?

Share this post


Link to post
hab hier Win2k3 SB installiert und ein AD eingerichtet. Wenn ich nun den Client starte (der in die Domäne eingebunden ist) bekommt der User weder sein Profil noch die Netzlaufwerke. Er bekommt nur sein Home Laufwerk. Zudem hat er dann eine Englische Tastatur und keine Admin rechte, der User ist im AD aber in der Gruppe Administratoren drin.

Wenn ich mir das so durchlese, komme ich zu der Annahme, es handelt sich um einen DC, einen Client und einen User.

 

Ist dem so?

 

Wurde das Servergespeicherte Benutzerprofil bereits gebildet und in den Profilpfad auf den Server geschrieben?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...