gordonF 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 Hallo Zusammen, ich steh gerade ein wenig auf dem Schlauch, komme hier nicht weiter. Umgebung - alles eine Domäne, alles Windows 2003 Server: 2x DCs 2x TSse (Citrix Presentation Server 4.0) 2x Applikationsserver Habe eine Gruppenrichtlinie auf der Domäne für Terminalserverbenutzer erstellt, dass das Profil auf einem der DCs abgelegt wird. Hier gibt es eine Freigabe, die von den TSsen aus zu mappen sind, auf die die Authentifizierte User Zugriff haben. Die Profile liegen aber unter "Dokumente und Einstellungen" auf den Terminalservern, der Gruppenrichtlinienergebnis-Assistent zeigt mir an, dass die Gruppenrichtlinie abgelehnt wurde :suspect: Vielleicht könnt Ihr mir helfen ? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 es wäre wahrscheinlich einfacher dir zu helfen wenn du uns unwissenden bitte mitteilen würdest welche einstellungen du wo vorgenommen hast. meine glaskugel hab ich leider gerade nicht dabei ;) :D Zitieren Link zu diesem Kommentar
gordonF 10 Geschrieben 14. November 2006 Autor Melden Teilen Geschrieben 14. November 2006 Äh, klar, ich hab schon ein bisschen einen Tunnelblick. 1. Objekt "Profilumleitung" erstellt 2. Computerkonifguration --> Administrative Vorlagen --> Windows-Komponenten --> Terminaldienste --> "Pfad für servergespeicherte Profile der Terminaldienste festlegen" aktiviert --> Profilpfad in der Form \\Computername\Freigabename eingegeben 3. "Profilumleitung" erzwungen, aktiviert 4. Sicherheitsfilterung für "Authentifizierte Benutzer" Falls ich noch mit Informationen dienen kann ... :) Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 ja ist klar, loopbackverarbeitungsmodus heisst das zauberwort. du versuchst eine computerpolicy auf benutzer anzuwenden. das funktioniert so nicht, es sei denn du aktivierst den loopbackverarbeitungsmodus. Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien -> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie -> aktiviert ob ersetzen oder zusammenführen kommt auf weitere GPO einstellungen an. bei ersetzen werden alle anderen benutzereinstellungen weggebügelt und müssen ggf. erneut angewendet bzw. konfiguriert werden. Wendet alternative Benutzereinstellungen an, wenn ein Benutzer sich an einen von dieser Einstellung betroffenen Computer anmeldet. Durch diese Einstellung wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese Einstellung wurde für Computer mit besonderem Zweck, wie z. B. Computer in Bibliotheken, Laboren oder Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden muss. Standardmäßig wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtlinienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten angewendet wird. Wählen Sie einen der folgenden Einstellungsnmodi aus dem Feld "Modus", wenn Sie diese Einstellung verwenden möchten. -- "Ersetzen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden. -- "Zusammenführen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile und die Benutzergruppenrichtlinien gemeinsam angewendet werden. Falls die Gruppenrichtlinien in Konflikt stehen, setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benutzers außer Kraft. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bestimmen die Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet werden. Hinweis: Diese Einstellung gilt nur, wenn sich das Computer- und das Benutzerkonto in der gleichen Windows 2000-Domäne befinden. Zitieren Link zu diesem Kommentar
gordonF 10 Geschrieben 14. November 2006 Autor Melden Teilen Geschrieben 14. November 2006 @Hirgelzwift: Vielen Dank! Jetzt geht es :thumb1: Jetzt hab ich nur noch die Probleme, dass der Admin standardmässig nicht auf die Profile zugreifen kann (keine Berechtigung) und dass ich bei der Anmeldung 2 INI-Dateien in das entsprechende User-Profil in das Windows-Verzeichnis kopieren muss. Die oben genannten Aktionen würde ich selbstverständlich gerne mittels einer Gruppenrichtlinie machen. Aber jetzt bin ich erstmal froh, dass die Profile überhaupt an den richtigen Ort geschrieben werden und setze mich nochmal eingehender mit oben genannten Aktionen auseinander. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 wenn der admin die profilverzeichnisse nicht erzeugt hat, sondern das vom system erledigen läst, hat er keinen zugriff darauf. um sich die rechte zu holen legt der admin die ordner am besten selber an und setzt die rechte wie sie sein sollen. für vorhandene profilverzeichnisse muss der admin erst mal den besitz übernehmen und dann kann er die rechte setzen so wie er sie braucht. Zitieren Link zu diesem Kommentar
gordonF 10 Geschrieben 14. November 2006 Autor Melden Teilen Geschrieben 14. November 2006 So kenn ich das, musste ich auch schon mehrfach anwenden :p Aber: Ich hab jetzt eine Gruppenrichtlinie gefunden und getestet ... Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen Der Effekt war, dass das Profil auf dem Terminalserver die Admin-Gruppe in den Berechtigungen drinne hatte, aber auf dem eigentlichen Speocherort auf dem DC nicht. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 ich kenn die GPO nicht ich werde das morgen mal testen. vielleicht geht es ja nur bei neuen profilen. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 Ja, diese Richtlinie wirkt nur auf neu erstellte Profile, da die Settings beim Erstelllen des Profils entsprechend angepasst werden. Im nachhinein kann die Richtlinie natürlich nicht beigehen und die Rechte umbiegen. Sie wird ja schliesslich auch erst beim Anmelden aktiv. Ansonsten ist diese Richtlinie sehr hilfreich, da man als Admin öfters mal ins Prof der Nutzer gucken muss. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 Das funktioniert nicht nachträglich. Der Client setzt normalerweise die Berechtigungen auf die hier gemeinten serverbasierten Profile. Per Default sind die Administratoren nicht dabei. Diese Richtlinie bewirkt, dass die Administratoren bei Ersterstellung des Profilordners zu den ACLs zugefügt werden ... edit: zweiter :D Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 15. November 2006 Melden Teilen Geschrieben 15. November 2006 dachte ich es mir doch, dann kann ich mir ja den test sparen ;) Zitieren Link zu diesem Kommentar
gordonF 10 Geschrieben 15. November 2006 Autor Melden Teilen Geschrieben 15. November 2006 Insgesamt ne schöne Sache, wenn man nicht schon Profile hat. Bei mir werden die aber erst angelegt, daher geht es. Die anderen Punkte waren dann eher einfach zu lösen. Eine Verständnisfrage noch: Warum werden die Profile auf den Terminalservern im Format <BENUTZERNAME>. auf dem Server gespeicherte Profile aber im Fomat <BENUTZERNAME.DOMÄNENNAME> abgelegt ? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 15. November 2006 Melden Teilen Geschrieben 15. November 2006 normalerweise werden profilpfade am server punktgenau so abgelegt wie du sie im AD oder per GPO definierst. ich gehe aber davon aus, deine formulierung lässt interpretationen zu, das du die lokalen profile auf dem terminalserver meinst. wenn es schon ein profil gibt das die %username% bezeichnung nutzt, ein beispiel wäre der administrator und administrator.domäne (der eine ist der lokale admin der andere der domänenadmin), dann wird lokal ein ordner %username%.domäne angelegt. das passiert am TS recht gerne das wenn noch alte profile, die zumindest zu teil dort rumhängen, oder aus irgendeinen grund vom system als nicht nutzbar angesehen werden, vorhanden sind dann habe ich schon %username%.domäne.001 usw gesehen. ein aufräumen der lokalen profile hilft meisstens die alten profile wieder loszuwerden um auf das gewohnte format zu kommen. Zitieren Link zu diesem Kommentar
gordonF 10 Geschrieben 16. November 2006 Autor Melden Teilen Geschrieben 16. November 2006 Ich hab das mit den Shares so gemacht, dass ich in der Poliy \\Servername\Freigabename eingetragen habe. Aber macht ja nix, hab die servergespeicherten Profilordner einfach umbenannt (hinten .DOMÄNENNAME weggelöscht) und geht :thumb1: Vielen Dank für Eure Unterstützung :thumb1: Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 16. November 2006 Melden Teilen Geschrieben 16. November 2006 schön das jetzt alles funktioniert :) danke für die rückmeldung ;) dennoch. ich würde die policy anders setzen \\server\freigabe\%username% wenn du %username% nicht angibst denke ich mir das das system das, damit es eineindeutig ist, mit %username%.domäne macht. würde mich freuen wenn du das mal testen würdest und uns das ergebniss mitteilst. sonst hast du wenn neue profile kommen das problem wieder. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.