dischel 10 Geschrieben 5. Dezember 2007 Melden Teilen Geschrieben 5. Dezember 2007 Hallo Leute, folgendes Problem PC(XPPro) inner Arbeitsgruppe, ich melde mich als Admin an und kopiere das lokale Profil des Benutzers in den Profilordner (Freigabename Profile$, Berechtigung haben Domänenbenutzer und Domänenadmins) auf dem w2k3. dann geht der PC in die Domäne test.local ich melde mich mit dem Benutzernamen samt Passwort an, dass Profil wird aber nicht geladen... Woran könnte das liegen? Sind es die Rechte? Als das noch nen lokales Profil war war der Benutzer nen, ja, Benutzer - beim w2k3 ist der Benutzer halt nen Domänenbenutzer Profilpfad wurde beim Benutzer angegeben: \\server\Profile$\Benutzername Zitieren Link zu diesem Kommentar
nightflight71 10 Geschrieben 5. Dezember 2007 Melden Teilen Geschrieben 5. Dezember 2007 Wird mit Sicherheit ein Berechtigungsproblem sein, sieh doch mal in der erweiterten Ansicht nach, wer Besitzer des Profils ist. Das wird mit Sicherheit derjenige sei, der den Ordner kopiert. Einfach mit dem entsprechenden Benutzer den Besitz übernehmen und es sollte laufen. Wenn der Benutzer keine Berechtigung zum ändern der Sicherheitseinstellung hat (was hoffentlich der Fall ist ;) ), diesem temporär die Berechtigung dafür erteilen und hinterher wieder zurücksetzen, im Idealfall machst du sowas über eine OU für derartige Verwaltung. Zitieren Link zu diesem Kommentar
Finanzamt 76 Geschrieben 5. Dezember 2007 Melden Teilen Geschrieben 5. Dezember 2007 Hi Du kannst auch (X)CACLS nutzen. CACLS /? zeigt die Optionen. Außerdem meine ich, es habe hier im Board mal einen Hinweis (von Grizzly999?) gegeben, wie man auch den Besitz übergeben kann. Habe es aber auf die Schnelle nicht gefunden. Gegrüßt! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Dezember 2007 Melden Teilen Geschrieben 5. Dezember 2007 Es liegt entweder an den Berechtigungen innerhalb der NTUSER.DAT (diese Struktur kannst Du mit REGEDIT auf dem XP-Client als Admin laden und die Berechtigungen kontrollieren). Auch wenn die Benutzer gleich heissen, sind es doch verschiedene Benutzer. Ebenso wird beim Kopieren des Profils eine Berechtigung in den Profilordner vom kopierenden Benutzer gesetzt. Die SID des Kontos (wenn Du als Profilberechtigten den Benutzer auf der XP-Maschine genommen hast) ist dem Server nicht bekannt und in den Berechtigungen steht eine Zahlenkolonne (die unbekannte SID). Es passt also gleich an 2 Stellen nicht: Du kopierst das Profil des Benutzers des Arbeitsgruppenrechners, wähjlst also die Profilfreigabe auf dem Domänenserver aus und gibst im Profilkopiertool unten an, wer das Profil nutzen darf. Da der Rechner kein Domänenmitglied ist, kannst Du nur das lokale Benutzerkonto auswählen. Der lokale Administrator, der kopiert, hat Berechtigungen in den Profilordner auf dem Server zu schreiben. Was passiert da jetzt ? 1. Die Ordner werden angelegt und haben in den Berechtigungen nicht etwa den Benutzer, dem Du die Profilberechtigungen gegeben hast. In den Berechtigungen steht nur eine SID. 2. Die NTUSER.DAT hat die Berechtigungen des Benutzers, der auf dem XP-Rechner existiert, also z.B. XP\USER1. Mit diesen Berechtigungen kann natürlich kein Domänenbenutzer dieses Profil laden. Was kann man da also machen ?! Wenn Du das Profil kopierst, benutze NICHT den Benutzer als Profilberechtigten, dessen Profil Du gerade kopierst. Auch wenn er exakt so als Domänenbenutzer existiert, es ist ein anderer Benutzer. So werden erstens die Berechtigungen im Dateisystem falsch gesetzt, andererseits die Berechtigungen in der NTUSER.DAT. Benutze stattdessen eine Well Known SID, die Dir z.B. die Gruppe "Jeder" bietet. Die Berechtigungen im Dateisystem und in der NTUSER.DAT sind dann brauchbar. Du brauchst auch keine Richtlinie für den XP-Client setzen, damit der Besitz der Profilordner nicht geprüft wird. Per Default wird der Besitz der Profilordner geprüft. Wenn entweder der Benutzer selbst oder die Gruppe der Administratoren Besitzer der zu ladenden Profilordner ist, wird das Profil akzeptiert. Da die Profilordner auf einem 2003 Server angelegt wurden und dort per Defaulteinstellungen die Gruppe der Administratoren als Besitzer eingetragen werden, wenn ein Mitglied dieser Gruppe eine Ressource erzeugt (im Gegensatz zu einer XP-Maschine, wo der Objektersteller, in diesem Fall der Benutzer Administrator eingetragen wird), wird das Profil akzeptiert (bei Prüfung des Besitzes entweder Administratoren oder der Benutzer selbst, Voraussetzung also erfüllt). Die zweite Möglichkeit: kopiere das Profil nach dem Domänenbeitritt. Also joinen, als zukünftiger Benutzer an der XP-Maschine anmelden, neu starten, als Domänenadmin anmelden und dann das Profil des Arbeitsgruppenbenutzers in den Ordner des Domänenbenutzers kopieren und dem Domänenbenutzer die Berechtigung auf das Profil geben (NICHT mit dem Explorer kopieren, ausschliesslich mit dem Tool). Dann erst machst Du es serverbasiert ... @Finanzamt Besitz kann man erstmalig seit Windows 2003 übergeben. Dieser Vorgang müsste auf dem Server ausgeführt werden. Dort kann ein berechtigter Benutzer einfach in die erweiterten Sicherheitseinstellungen - Besitzer gehen und dort den Besitz an jemanden übertragen ... (bringt hier wahrscheinlich nichts, weil die Berechtigungen in der NTUSER.DAT nicht stimmen) :) ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.