Jump to content

GPO/Filesystemrechte Profiles/Documents and Settings

Jim di Griz
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Jim di Griz Experienced

Jim di Griz   13

Geschrieben
Geschrieben

Hallo,

 

mal was laengeres:

Habe eine funktionierende domäne mit zwei servern.

beide Server hosten ein DFS. in diesem DFS liegt auch das "Profiles"-Verzeichnis fuer die Domäne. so haben beide Server auf getrennten Maschinen ca. 99,9% datenabgleich.

Nun richte ich nutzer ein, die NUR das recht haben sollen, sich einzuloggen mit serverprofil. die kommen in eine gruppe (und erstmal nur in eine, also keine domänennutzer), "basicaccess" . diese gruppe bekommt dann auf \\server\profiles READ-Access nur auf den Folder und CREATOR/OWNER bekommt Modify-Access auf NUR die subfolder. READ-Access auf default und all-users-Profile kommt natuerlich auch dazu.

In dieser Config hat der Admin keinen Zugriff aufs Profil (jedenfalls keinen ohne Audit).

das alles funtioniert auch. Benutzer koennen auf keine festplatten zugreifen aber notepad etc. ausfuehren (und in "My Documents" abspeichern).

user meldet sich neu in domaene an, profil wird erstellt und nach abmelden vom server geloescht und im Profilesverzeichnis gesichert, user meldet sich erneut an und das profil wird korrekt ge- und entladen.

Alles prima. Bis ich auf die idee gekommen bin, die entsprechenden Rechte doch per GPO/Filesystem festzulegen.

Sobald dann die Richtlinie angewandt wird kommen 2 APP-Fehler 1000 mit folgenden lustigen texten:

 

1. Windows cannot copy file \\server1\profile$\User1\Start Menu\Programs\Startup to location C:\Documents and Settings\User1\Start Menu\Programs\Startup. Contact your network administrator.

 

DETAIL - Cannot create a file when that file already exists.

 

hoert sich logisch an.......

dan kommt aber dies:

 

2. Windows cannot log you on because the profile cannot be loaded. Contact your network administrator.

 

DETAIL - The operation completed successfully.

 

.............und das userprofil und der user verabschieden sich vom server..........

tja........ kann mir hier jemand sagen, erstens in welcher reihenfolge filesystemrichtlinien angewendet werden und wie man verhindern kann das immer alle ACLs neu geschrieben werden anstatt nur einen Standard abzugleichen also Aenderungen(woher auch immer) durch die anwendung der GPO auszubuegeln?

 

Tips appreciated

 

;-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...