warbird001 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Hallo Alle Ist es moeglich das Profil eines Nutzer automatisch auf den Server zu Schreiben? Also nicht erst dann wenn der Nutzer selber sich erstmals interaktiv an einem Rechner anmeldet sondern schon vorher per Script? Quasi so eine Art automatisierter Login. ciao Stefan:wq Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Sicherlich. Wo liegt denn das Default-Profil, was er bekommen soll? Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers? Wenn es im NETLOGON liegt, kannst du a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst oder b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat. Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Das geht wohl mit FOR /R D:\Profiles %d IN (.) DO if NOT exist "D:\Profiles\%d\Anwendungsdaten" xcopy c:\SYSVOL\NETLOGON\Default User D:\Profiles\%d /c /h CACLS D:\Profiles\%d /T /P:Administratoren:F CACLS D:\Profiles\%d /T /P:%d:F Jetzt muss nur noch jemand, der sich damit besser auskennt als ich die Fehler finden ;) Zitieren Link zu diesem Kommentar
warbird001 10 Geschrieben 2. Juni 2007 Autor Melden Teilen Geschrieben 2. Juni 2007 Sicherlich. Wo liegt denn das Default-Profil, was er bekommen soll? Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers? Wenn es im NETLOGON liegt, kannst du a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst oder b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat. Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein Das Default Profile ist das, das auf dem Client vorhanden ist. Es wird dann beim Abmelden auf den Server geschrieben. Ich verstehe das richtig: Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein "einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte? Keine Einstellungen in der Registry etc? Nichts Weiter? Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach" zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original, deshalb habe ich das dann aufgegeben. von d.h bin ich etwas Ueberascht. ciao Stefan:wq Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht. Was ist eigentlich der Grund für dieses Vorhaben ? Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Was ich gerade getestet habe: - neuen Benutzer "6" mit Profilpfad "\\server\profiles\6" angelegt - "\\server\netlogon\default user" nach "\\server\profiles\" kopiert, in "6" umbenannt. - ACL gesetzt: Administratoren/System/6: Full - als 6 auf dem Client eingeloggt, Profil wird geladen - was geändert (Desktophintergrund) - abgemeldet - angemeldet -> Desktophintergrund war wieder wie ich ihn eingestellt hatte Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's. Ich würde folgendes machen: - an einem Client (wenn XP und 2k als OS verwendet wird, besser auf einem 2k) einen neuen Benutzer lokal anlegen - mit diesem neuen User einloggen - Einstellungen wie es gewünscht/ sinnvoll ist ändern - abmelden - auf diesem Client als Admin einloggen, Windows+Pause drücken (Systemeigenschaften) - Unter "Erweitert" -> "Benutzerprofile" -> "Einstellungen" den eben erstellten Benutzer auswählen und "Kopieren nach" wählen. Als Speicherort die Netlogon-Freigabe des Servers also \\%LOGONSERVER%\NETLOGON wählen und als Besitzer "Jeder" eintragen (Wichtig!) - nun bekommt ein neuer Domänenbenutzer das Profil vom Server. Wenn jemand mein Script korrigier hat, habe selber gerade nochmals probiert, ich bekomme immer alle Unterverzeichnisse angezeigt, was nicht soll, kannste es ja probieren. Wobei ich den Sinn dieser Maßnahme nicht verstanden habe. Mfg //edit @IT-Home: du meinst die NTFS-Berechtigungen? Die kann das Sript ja wie oben eintragen. (Per Befehl CACLS) Zitieren Link zu diesem Kommentar
warbird001 10 Geschrieben 2. Juni 2007 Autor Melden Teilen Geschrieben 2. Juni 2007 Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht. Was ist eigentlich der Grund für dieses Vorhaben ? Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil. Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden. Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr. Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden. Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde waere es ja kein Problem. Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht. ciao Stefan:wq Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT. Du kannst Dir ja spasseshalber mal eine kopierte NTUSER.DAT Struktur und eine eines mit dem entsprechenden Tools kopierten Profils laden und die Berechtigungen vergleichen, dann wirst Du sehen, was ich meine ... Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmteBenutzergruppe keinen Zugriff mehr auf das locale Default User Profil. Damit wird vermieden das sie sich bei defektem Servergespeichertem Profil mit einem lokalen Profil anmelden. Das geht auch einfacher: nutze die Gruppenrichtlinie "Benutzer bei Fehlschlag des servergespeicherten Profils abmelden". Somit wird der Benutzer direkt abgemeldet, wenn sein Profil nicht geladen worden konnte. Zitieren Link zu diesem Kommentar
!aN 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Nein, ich meine nicht die NTFS-Berechtigungen, ich meine die Registryberechtigungen in der NTUSER.DAT ... Wie gesagt, bei mir ging es gerade. Ich hatte mal wie hier beschrieben das Profil eines Nutzers in das eines anderen kopiert, ging nicht. Jedoch scheint das mit dem Default Profil wegen dem Besitzer "Jeder" zu funzen… Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Lade Dir mal die Struktur des Default User Profils, die Gruppe Jeder hat nur Lesen und nicht Ändern. Es geht hier nicht um den Besitzer (diese Prüfung kann man abschalten), der Besitzer ist der, der es kopiert hat, es geht um die Berechtigungen in der NTUSER.DAT ... Zitieren Link zu diesem Kommentar
warbird001 10 Geschrieben 2. Juni 2007 Autor Melden Teilen Geschrieben 2. Juni 2007 Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es? Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet. Die Veraenderungen in der Registry wurden nicht uebernommen. (EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr an der richtigen Stelle. ciao Stefan:wq Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Juni 2007 Melden Teilen Geschrieben 2. Juni 2007 Scheint alles zu funktionieren. Ich erkläre mir das so: der Default User hat den Benutzer "Jeder" und daher kann das Profil einfach kopiert werden. Nimmt man ein bereits bestehendes Profil und kopiert es einfach, geht es nicht. Denn als Besitzer steht in der Registry der Benutzer, von dem es kommt. Steht wie bei dem Default Profil "Jeder" drin, gehts's. In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden. Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ... Zitieren Link zu diesem Kommentar
warbird001 10 Geschrieben 2. Juni 2007 Autor Melden Teilen Geschrieben 2. Juni 2007 In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden. Gibts da noch andere Moeglichkeiten als ueber: Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ? Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ... Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script. Aber an dem Problem mit den Registry Berechtigungen aendert das nichts. ciao Stefan:wq Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.