ShadowByte

Hallo MacBoon :)

Diese (einfachste) Möglichkeit hatte ich ausgeschlossen, da ich der Ansicht war, daß GPO´s nicht auf Gruppen angewendet werden können ...

Kannst Du bitte kurz erläutern wie ich das umsetzen kann ? Sollte dies realisierbar sein, könnte man in der Tat einiges einfacher gestalten ! :)

Guß, ShadowByte.

Hoi @ all :)

Wir haben mehrere Abteilungen in der Zentrale und diverse Filialen bundesweit. Vorgaben wie :

- Abteilungs- und Filialabhängige desktop-wallpaper

- Abteilungs- und Filialspezifische Computer-Berechtigungen

- etc.

sollen umgesetzt werden. Meine Planung sieht derzeit so aus, jeweils eine OU "Filialen" und "Zentrale" mit weiteren verschachtelten OU´s der jeweiligen Filialen bzw. Abteilungen anzulegen. In diese werden dann sowohl die entsprechen Benutzer- als auch Computerkonten angelegt und dürfte dann so aussehen :

OU=Zentrale,OU=Controlling,OU=computer,CN=Controlling01

So sollte ich in der Lage sein, sinnvoll GPO´s einzusetzen.

Zu verschachtelt ? Übersehe ich eine einfachere Struktur ?

Ich wäre Anregungen disbezüglich erfahrener Admins dankbar :)

Gruß, ShadowByte.

Versuche mal auf einer workstation folgendes :

Start - Ausführen - cmd eingeben + enter

dann :

sc \\SERVERNAME (oder IP-Adresse) query netlogon

Das löst eine remote-Abfrage bezüglich des Anmeldedienstes auf dem Server aus. Unter "state" wird dir der Status des Dienstes aufgeführt : "running" oder "stop"

Sollte die Abfrage an sich erfolgreich verlaufen und state:stop angezeigt werden, dann kannst du diesen Dienst remote wieder starten :

sc \\SERVERNAME (oder IP-Adresse) start netlogon

Sollte die o.g. Abfrage fehlschlagen ...... dann musst Du lefg fragen :D

Versuche es mal ;)

Gruß, ShadowByte.

Tolle Antwort, echt... :rolleyes:

... was genau meinst Du ?

Sorry, ich werde jetzt den Arbeitplatz verlassen. Entweder ich schaue heute Abend noch einmal rein, sonst spätestens morgen früh. Danke nochmal :)

Gruß, ShadowByte.

Hoi @ all :)

Ich komme ja gar nicht hinterher, mal dazwischen zu funken :D ... danke für eure Beiträge !

@ IThome : Richtig, die anderen Dinste sollen nicht angezeigt werden, daher fällt die .mmc leider aus. Vielleicht mache ich mit der sc.exe etwas falsch. Muß ich die auf den WS hinterlegen ? Wenn ja, wo ? Oder reicht ein Ordner, in der sich die .bat + die sc.exe auf der WS befindet ? ... oder bin ich gerade auf dem Holzweg ?

Wenn ich das Recht verstanden habe, hast Du das OS zuerst ohne AD/DNS "nackt" auf den Rechner installiert. Bei diesem Vorgang mußtest Du auch ein Administratoren-Kennwort (lokaler Rechner) eingeben. Prüfe mal ob das DomänenAdmin-Kennwort und das lokale AdminKennwort ggf. nicht identisch sind. Soll bedeuten, vielleicht hast du das DomänenAdminKennwort nach einrichten der Domäne (um)benannt und versuchst nun, nach der Deinstallation des AD/DNS, eben dieses für den lokalen Admin zu benutzen.

Hast du den Domäneandmin Rechte?

DomänenAdmin-Rechte wird er wohl GEHABT haben, wenn er das AD (und somit eine Domäne) angelegt hat. Allerdings läßt sich das postum ohne Domäne ja auch nicht mehr nachvollziehen ... ;)

Gruß, ShadowByte.

War einige Zeit verhindert ... sorry.

Unsere Domäne läuft leider nicht im nativ-mode, da es hier scheinbar noch ein paar Dienste geben soll, die in diesem mode nicht mehr auszuführen wären ( :suspect: ) ... frag mich nicht ... (achselzuck).

In der GPO habe ich nun der grp ABTEILUNG die Berechtigung starten/stoppen des entsprechenden Dienstes erteilt. Die Mitarbeiter arbeiten auf einer Win2k Pro WS. Das tool SC.exe ist dem OS der WS offensichtlich nicht "bekannt" ... wie hast Du das realisiert ?

Gruß, ShadowByte.

Nun habe ich die Lösung des Problems :

Der Dienst "Warnungen" war auf dem Server nicht gestartet ... gulp ! :(

Nachdem ich diesen aktiviert hatte, funktionierte alles reibungslos.

Gruß, ShadowByte.

... sich nochmal einklinkt ...

Danke an Christoph25 und Hirgelzwift, nun habe ich es verstehen und nachvollziehen können !

Danke euch :)

Gruß, ShadowByte.

Hallo lefg ! :)

Ich kann hier nur vermuten, das Profil des Benutzers mischt sich mit dem Profil All Users.

 

Kann das sein?

Obwohl ich dies schon ausgeschlossen hatte (siehe weiter oben) hat sich dein Verdacht letztlich doch als richtig erwiesen. Hatte wohl damals einen Knick in der Optik :) .

Danke für den Hinweis :thumb1: :)

@ lonzo001 : Danke für deine Anregung, jedoch soll das lokale Profil bestehen bleiben. Das Problem wurde auch bereits (sponsored by lefg ;) ) behoben. Danke Dir trotzdem !

Gruß, ShadowByte.

Um deiner "Admin-user-Führsorge" gerecht zu werden, sollte eine "net send .bat" (10 Minuten Vorlaufzeit) mit der höflichen Aufforderung, alle noch geöffneten Daten zu sichern, ausreichend sein. Das wäre dann die "Soft-Variante" der "Holzhammer-Methode". :D

Gruß, ShadowByte.

Wie ist die Geschichte mit dem Entstehen der Profile vor sich gegangen, gab es vorher jeweils ein lokales Profil auf dem Rechner des Benutzers?

Alle Profile waren vor der Konfigurierung des UNC-Pfades lokale Profile. Ausserdem ist eine Konfig gewünscht, die sowohl die Profile auf dem Server speichert (Zwecks Sicherung der Profile und für den WS übergreifenden Einsatz) als auch diese lokal auf den clients zu belassen.

Kannst du mal einen völlig neuen Benutzer anlegen im AD, ihn amelden an einer WS? Dann muss dort ein neues Profil für den User entstehen. Mit dem Abmelden soll dann das Profil in den Sharepath kopiert werden.

Done ... mit dem selben Ergebnis. Der desktop wird auf einer anderen WS nicht 1:1 übernommen, sondern mischt sich mit Desktopkonfigurationen anderer user. Auch die Ausrichtung der Desktopsymbole wird nicht übernommen, sondern orientiert sich immer linksausgerichtet.

Ja, daß ist alles korrekt konfiguriert. Also normaler Weise müsste mir doch mein desktop auf jeder WS identisch angezeigt werden, oder ?

Gruß, ShadowByte.

Hoi lefg :)

Ich danke Dir für deinen Hinweis auf meine nachlässige Beschreibung :)

Ich habe die Benutzerprofile natürlich nicht angelegt, sondern durch den Eintrag eines Profilpfades im Benutzerkonto durch das System erstellen lassen, nachdem ich einen Zielordner freigegeben habe :)

Vergiß den Satz einfach und nutze deine Phantasie dazu, anstelle des Satzes ein applaudierenden Smiley zu erkennen ... schau mal genau hin ... es funktioniert wirklich ! :D

Gruß, ShadowByte.

Hoi @ all :)

Unabhängig von genab.de´s Problem habe ich mal eine Verständnisfrage :

Ich habe mir die o.g. Thematik mal angeschaut. Ich begreife den Unterschied nicht ganz. In einer GPO habe ich die Benutzer- und die Computerkonfiguration. Ergo : ich kann in einer OU sowohl Computer- als auch Benutzerkonten oder beides mit nur EINER GPO steuern. Ich habe ein wenig gesucht jedoch keine sich überschneidene Konfigurationsmöglichkeiten ausfindig machen können. Ergo : normalerweise können sich dann auch keine Konfigurationen (aus einer GPO in einer OU - Computer/Benutzer) aushebeln oder behindern. Daher habe ich ein Verständnisproblem mit dem Loopback-Verarbeitungsmodus.

Es ist mir durchaus bewußt, daß dieser Modus eine Daseinsberechtigung hat. Diesen in Frage zu stellen möchte ich mich nicht erdreißten ! :D

Aber wenn mir diesbezüglich jemand den Horizont erweitern könnte, wäre ich sehr dankbar ! :)

Gruß, ShadowByte.

Hoi dadadum :)

Der UNC-Pfad lautet wie beschrieben \\SERVER\Benutzerprofile$\%username% (den Parameter %username% hatte ich mal vorrausgesetzt und deswegen nicht mit aufgeführt :) ). Der user hat jede Berechtigung auf diese Freigabe die er benötigt. Alles funktioniert soweit ... auf der "eigenen" WS. Das Anmelden an einer "fremden" WS funktioniert auch, allerdings wird hier die desktop-konfig nicht mitgenommen, bzw. mit denen anderer user vermischt. (lokale konfig). Dies hat jedoch nichts mit der Desktop/allusers zu tun, daß habe ich getestet.

Gruß, ShadowByte.

Hoi @ all :)

DC = W2k SP4

Mitgliedsserver = W2k3 SP1

Clients = Win2k Pro und WinXP Pro

.... :jau: .... Via \\SERVER\Benutzerprofile$\ werden auf einem fileserver Benutzerprofile angelegt. Nun meldet sich ein user auf einer "fremden" workstation an und bekommt sein userpofile nicht. Auf seinem eigenen Rechner funktioniert alles einwandfrei. Auch der eigentliche user der "fremden" workstation bekommt sein userprofile einwandfrei auf "seinen" Rechner.

Ein zweites Problem ist das Outlook der einzelnen user. Die .pst liegen ebenfalls auf dem Server, allerdings versucht Outlook natürlich einen neuen user einzurichten, so bald sich ein neuer user erstmalig an der workstation anmeldet. Besteht die Möglichkeit dies zu automatisieren ? wir haben keinen ExchangeServer im Einsatz.

Gruß, ShadowByte.

Jupp ... "...und herzlich willkommen alle im großen dunklen Karton ... vielen Dank ladys and gentlemen..." (...sich brav verbeugt und dann wartet mit der Vorhang unter tosendem Applaus fällt ...) :D

Hoi Hirgelzwift :)

Nun des Rätsels Lösung :

Wenn der Ordner, auf dessen Inhalt man zugreifen möchte "VORGABEN" heißt, dann sollte man es vermeiden, diesen im UNC-Pfad in "VORLAGEN" umzubenennen .... ! ... verdammt ! :D

Ok, ich habs ja jetzt :) .

Danke für deine Bemühungen @ Hirgelzwift :)

Gruß, ShadowByte.

Hoi Hirgelzwift :)

Danke für deine Anregung, aber die Bereitstellung über einen UNC-Pfad ist laut Beschreibung möglich.

Geben Sie einen vollständigen gültigen Pfad und Dateinamen ein, wenn Sie diese Einstellung verwenden möchten. Sie können einen lokalen Pfad, wie z. B. C:\Windows\web\wallpaper\home.jpg, oder einen UNC-Pfad, wie z. B. \\Server\Freigabe\Corp.jpg, angeben. Es wird kein Hintergrund angezeigt, falls die angegebene Datei bei der Benutzeranmeldung nicht verfügbar ist. Benutzer können keinen anderen Hintergrund angegeben. Sie können zusätzlich festlegen, ob ein Bild zentriert, nebeneinander oder gestreckt angezeigt werden soll. Benutzer können auch die Bildanzeige nicht selbst bestimmen.

Das Problem bleibt somit bestehen :(

Gruß, ShadowByte.

Hoi !

Eine Konfiguration via GPO ist in der Tat nicht möglich, da es sich bei Outlook um ein Office-Produkt handelt und die grouppolicyobjects für die Verwaltung im ActiveDirectory einer Domäne gedacht ist. Es entzieht sich leider meiner Kenntnis, ob bereits eine Schnittstelle oder ein anderes tool für diese Bequemlichkeit existiert. Alternativ kann ich noch auf einen ExchangeServer aufmerksam machen, mit dem solche Konfigurationen eventuell umsetzbar sind.

Gruß, ShadowByte.

Hoi @ all :)

Hast Du eventuell die Ordner für den user "unsichtbar" gemacht indem Du ein $ dahinter gesetzt hast (also Profile$ und Home$) ? Sollte dies der Fall sein, musst Du dieses $ auch in dem Profilpfad des useraccounts benutzen . Überprüfe das mal.

Die Lösung heisst: Die Freigabe \\Server01\Profile darf nicht via Remote Desktop erstellt werden!! Immer auf dem Server. Die Sicherheitsberechtigungen auch auf dem Server selber definieren.

Das kann ich nicht bestätigen. Ich habe alle roaming-profiles via remote eingerichtet und diese funktionieren einwandfrei.

Gruß, ShadowByte.

Hoi @ all :)

DC = W2k SP4

Mitgliedsserver = W2k3 SP1

Client : WinXp Pro und Win2k Pro

Ich habe servergespeicherte Benutzerprofile angelegt (\\SERVER\Benutzerprofile$), diese funktionieren auch soweit. Desweiteren habe ich in dem Ordner Benutzerprofile$ einen Ordner "Vorlagen" eingerichtet, in dem sich ein wallpaper.jpg und eine screensaver .scr befindet. Nun habe ich ein GPO erstellt, in dem ich, den in einer OU befindlichen usern, eben dieses wallpaper und die .scr aufzwingen möchte.

Die settings der GPO wie folgt :

Desktop :

- Active Desktop aktivieren : aktiviert

- Active Desktop-Hintergrund : aktiviert hier : \\SERVER\benutzerprofile$\vorlagen\wallpaper.jpg

Anzeige :

- Ändern des Hintergrunds verhindern : aktiviert

- Bildschirmschoner : aktiviert

- Programmname des Bilschirmschoners : aktiviert hier : \\SERVER\benutzerprofile$\vorlagen\ss3dfo.scr

- Kennwortschutz für den Bildschirmschoner verwenden : aktiviert

- Bildschirmschoner-Zeitlimit : aktiviert hier : 600 sec

Problem : Es werden alle Vorgaben umgesetzt, außer dem wallpaper. Zwar wird das gewünschte wallpaper auf dem client unter "Desktop" (Eigenschaften von Anzeige) angezeigt, jedoch nicht angewand.

Ich vermute, ich habe irgentwo ein Paradoxum in der GPO, welches ich als solches nicht erkenne.

Kann mir bitte jemand einen Klapps auf den Hinterkopf geben ? :)

Danke im Voraus !

Gruß, ShadowByte.

Hoi blub ! :)

hast du dem Dienst "Leistungsdaten und...." die notwendigen Rechte gegeben?

... kannst Du das bitte genauer erleutern ? Vielleicht liegt dort der Hund begraben.

Danke und Grüße,

ShadowByte.