Jump to content

Profil problem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@all

 

Ich bin heute auf ein Problem mit SW Profil gestolpert welches ich nicht so ganz nachvollziehen kann wie er entstanden ist und wie ich ihn n zukunft eleganter beseitigen könnte.

 

Szenario

 

Da ein AP durch exterene Mitarbeiter belegt war müsste der Mitarbeiter A der an diesen PC sonst malocht auf ein anderes ausweichen. Nichts unübliches eigentlich dachte ich.

 

1 Der AW könnte sich nicht anmelden an diesen PC anmelden da er die Meldung erhalten hat das die Profile nicht an vorgesehen ort bzw rechte fehlen würden.

 

2 Sogar lokal war es ihm nicht möglich die proflie abzulegen

 

3 OK dachte ich standart prozedur als Adm rein user anlegen unter Benutzer knoten (XP)usw

 

4 Gesagt getan aber njente selbe leier wieder.

 

5 Ich melde mich an mit normalen Konto alles suupi.

 

6 Ach denke ich den berühmten trick rein raus aus DM könnte helfen

 

7 NIXE da selber kram.

 

8 Server seitig Profile gelöscht

 

9 Funzt endlich.

 

10 Super pfusch arbeit jezt hat er das Profil von PC B gezogen was wird sein wenn er jezt zum seinen PC A geht welches Profil wird jezt genommen das Lokale von -maschine A oder das neue von Maschine B

 

Ich könnte ja (habe nicht gelöscht) das original Profil ins neue wieder reinkopieren.

Dat ist aber doooof wie kann ich das ich zukunft vermeiden

 

Server 2003 SP2 Profile standart abgelegt und bis dato keine Probleme gehabt.

 

Gruß

 

Joe

Link zu diesem Kommentar

Hört sich so an, als wären die Profilordner nicht im Besitz der Administratoren oder des Benutzers, der Ursprungs-PC prüft das Besitztum nicht, der Ausweich-PC aber schon (einstellbar über eine Richtlinie). Wenn dann auch noch konfiguriert ist, dass bei Fehlschlagen des serverbasierten Profils der User abgemeldet wird (ebenfalls Richtlinie), dann kann er sich auch lokal nicht anmelden. Das wäre eine denkbare Variante ...

Das Profil solltest Du aber niemals nur kopieren, sondern ausschliesslich mit dem dafür vorgesehenen Tool einem Benutzer zugänglich machen. Notfalls auch unter Zurhilfenahme eines temporären Benutzers, in dessen Profilordner Du das Profil kopierst (via Explorer) und dann dieses soeben kopierte Profil an den Bestimmungsort mit dem Tool kopierst ...

Link zu diesem Kommentar

@IThome

 

danke für deine Info

 

 

1 Profil Ordner USER Haben unter Sicherheit folgende Members voll zugriff

 

1 Administrator der DM

2 Administratoren\server\administratoren

3 Benutzer\server\benutzer

4 Ersteller besitzer hat nur spezielle Berechtigungen

5 Jeder alle ausgegraut und ausgewählt

6 System ebenfalls wie Jeder

 

AW funzt auf anderen Rechner Einwand frei.

 

Ich kann mich ebenfalls auf diesen Rechner einloggen.

 

Normaler weise mache ich das so das ich in Ordner wo ich die Profile von allen Aw ablege

 

vorher ein Ordner mit AW Namen erstelle damit ich ihn automatisch übernehmen kann.

 

Das Profil solltest Du aber niemals nur kopieren, sondern ausschliesslich mit dem dafür vorgesehenen Tool einem Benutzer zugänglich machen

 

Habe ich da was verpasst welches Tool meinst du :confused: stehe momentan ratlos da

 

Notfalls auch unter Zurhilfenahme eines temporären Benutzers, in dessen Profilordner Du das Profil kopierst (via Explorer) und dann dieses soeben kopierte Profil an den Bestimmungsort mit dem Tool kopierst ...

 

Ab hier kann ich nicht so ganz folgen.

 

Erkläre bitte einem wissensdurstigen wat der dichter damit meinte.

 

Tempora AW da jeder AW automatisch Nt-user dat usw als differente copy erhält komme ich da nicht weiter.

 

 

Gruß

 

Joe

Link zu diesem Kommentar

Was meinst Du mit "Ordner mit AW Namen erstelle damit ich ihn automatisch übernehmen kann" ? Der Client legt sich den Ordner normalerweise selbst mit den richtigen Berechtigungen an. Soll auch der Aadministrator in der Lage sein, den Inhalt des Profils zu sehen, muss noch eine Richtlinie angewendet, bevor der Client das erste Mal diesen Ordner im Servershare anlegt.

Mit Kopieren des Profils meine ich das Tool in den Eigenschaften des Arbeitsplatzes - Erweitert - Benutzerprofile (nicht mit dem Explorer). Wenn sich dieses Profil so nicht kopieren lässt (weil kopieren ausgegraut ist), kannst Du es mit einem temporären, lokalen Benutzer machen, in dessen Profil Du das zu kopierende Profil mit dem Explorer kopierst und danach wieder mit dem Tool im Arbeitsplatz ordnungsgemäss (mit allen notwendigen Berechtigungen) kopieren kannst ...

Link zu diesem Kommentar

@IThome

 

Danke für Hilfe :)

 

 

so wenn ich einen neuen AW ins netz bringe ist da eigentlich das Automatismus von XP schon vorhanden.

 

Lasse ich ihn alles selber (XP) machen arbeitet er genau wir du es gesagt hast Profil wird von lokaler ebenen auf serever ebene kopiert funzt wunderbar.

 

Möchte ich aber auf den Server site die Profile ansehen ist njente habe kein recht dazu als full admin.

 

Mache ich mir ein Ordner in Verzeichnes mit vorhandenen Profilen und benenne ihn wie AW Name habe ich automatisch das Recht (Vererbung) ins Profil zu schauen .

 

So genau jezt wir du zu recht auch geschrieben hats "muss noch eine Richtlinie angewendet werden" das fehlt mir zu Verständnis wat data gemeint ???

 

Welche ist damit gemeint ????

 

Gruß

 

Joe

Link zu diesem Kommentar

Diese Richtlinie muss auf die Rechner angewendet werden, von denen aus das Profil erstellt wird bzw. an denen sich die User anmelden. Du kannst diese Rechner z.B. in eine OU verschieben, dort eine Richtlinie erstellen und den Punkt

Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" 

konfigurieren.

Diese Richtlinie funktioniert aber nur, wenn der Ordner für das servergespeicherte Profil noch nicht angelegt wurde. Der Client legt es selbst beim Anmelden mit den richtigen Berechtigungen an und füllt es mit seinem Profil beim Abmelden.

Wenn Du die Ordner vorher anlegst, prüfe bitte mal, wer der Besitzer der Unterordner ist (z.B. Desktop oder Startmenü). Ist es der Administrator oder sind es die Administratoren ?

Link zu diesem Kommentar

@IThome

 

 

Danke habe kapiert

 

 

also gpedit.msc auf Rechner des AW

 

 

Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen"

 

Also AW zuerst Lokal anlegen danach gpedit.msc Editiren und danach in die DM und dann

AW ins netz bringen.

 

Habe verstanden DANKE ;)

Link zu diesem Kommentar

@IThome

 

jetzt komme ich ein wenig ins trudeln !!

 

Dies soll ich wie ich das verstehe auf dem DC machen

 

also unter

 

Standard Domain Sicherheit Einstellungen folder

 

ich finde aber diesen eintrag nicht oder ich suche falsch ??

 

Bitte kläre mich auf auch wenn es vielleicht für dich banal anhört ich stehe momentan auf den schlauch.

 

muss ich dann nicht auch Default Domain Controller Policy dem Benutzer das Recht "Add workstations to the domain" geben. Zu finden unter Local Policies / User Rights Assignment.

 

Gruß

 

Joe

Link zu diesem Kommentar

@IThome

 

Danke für dein Tipp aber ich komme da nicht weiter ???

 

Jetzt checke ich die Profile ab die ich einfach ohne diese Prozedur gemacht habe

 

aber ich komme an die als admin nicht ran da mir jetzt die Berechtigung fehlt

 

Sie sind nicht berechtigt die Aktuellen berechtigungen für xxxx anzuzeigen oder zu bearbeiten

Sie können jedoch als Besitzer einrichten oder die Überwachungseinstellungen ändern

 

wie komme ich an die ran mit normalen mittel wie Sicherheit und Freigabe komme ich an die nicht ran.

 

 

Gruß

 

Joe

Link zu diesem Kommentar

Ja, die sind erzeugt worden, bevor die Richtlinie gegriffen hat. Das einzige, was Du machen kannst, ist den Besitz zu übernehmen und die Berechtigungen so zu setzen, wie es in den "richtigen" Profilen geschehen ist. Überprüfe danach, ob die Administratoren (nicht Administrator) Besitzer der Profilfolder sind. Wenn sie es nicht sind, setze in der OU der Clientcomputer eine Richtlinie

Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Eigentümer von servergespeicherten Profilen nicht prüfen"

oder im Falle eines 2003 Servers übertrage den Besitz auf den Profileigner ...

Das habe ich doch richtig verstanden, dass neu angelegte Profile so sind, wie Du sie haben willst oder ?

Link zu diesem Kommentar

@IThome

 

So das doofe folder habe ich jetzt übernommen und umbenannt

 

Anschließend neuen identischen folder erstellt und alter Profile reinkopiert.

 

Morgen editiere ich zuerst via gpo die rechte für Admin lokal auf dem Rechner des AW

 

Sowait ich dich verstanden habe auf dem DC soll die Editirung der OU dann eleganter weise stattfinden.

 

Wie untern beschrieben.

 

Korrekt oder nicht korrekt ?

 

 

 

Gruß

 

 

Joe

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...