Jump to content

70-290 Simulationsaufgabe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich bin neu hier, möchte MCSE werden und gehe momentan die Prüfung 70-290 an. Ich arbeite mit dem Buch von Thomas Joos "MCSE für Windows Server 2003".

 

Jetzt bin ich an einer Stelle wo eine Simulationsaufgabe beschrieben wird die ich nicht verstehe oder nachvollziehen kann. Es handelt sich um die Aufgabe 115 (einfach Link anklicken)

 

MCSE für Windows Server 2003: [die ... - Google Buchsuche

 

Frage 1-4 ist soweit kein Problem und auch verständlich.

 

Bei Frage 5 steht dann ich soll das Benutzerprofil Thomas Joos so konfigurieren dass es als Default-Profil für neue Profile auf dem Server gelten soll. Soweit so gut...

 

Klicke ich jetzt wie beschrieben bei Punkt 5 auf Benutzerprofile auf meinem Test-Domain Controller steht da CONTOSO\Administrator und kopieren und ändern kann man da überhaupt nichts. Es ist alles grau.

 

Und jetzt weis ich leider nicht mehr weiter... :shock:

Für mich auch nicht wirklich ersichtlich welche Konfiguration am Server und welche am Client durchgeführt werden soll... Oder ob die Sache an einem Client gemacht werden soll und anschliessend das Profil auf den Server kopiert wird.

 

Hat da jemand den Durchblick wie man diese Aufgabe löst? Möchte es des besseren verständnisses und Lerneffektes wegen gerne in meiner Testumgebung durchführen, schaffe es aber leider nicht.

 

Vielen Dank im Voraus.

Link zu diesem Kommentar

Du siehst dort kein weiteres Profil, weil sich ausser dem Administrator noch niemand lokal angemeldet hat, es demzufolge keinen weiteren Profilordner gibt, man also auch kein Profil kopieren kann. Das Administratorprofil kannst Du nicht kopieren, weil Du als Administrator angemeldet bist. Du musst Dich erstmal als Benutzer angemeldet haben, damit Du dieses Profil irgendwohin kopieren kannst.

Wenn ein vorgegebenes Profil erstellt wird und es dann in Default User auf dem Rechner kopiert wird, dann gilt es ausschliesslich für Benutzer, die sich an diesem Rechner anmelden. Bei einem Server ist das natürlich auch so. Soll ein Initialprofil für JEDEN Benutzer einer Domäne gültig sein, der sich erstmalig an einem Domänen-PC anmeldet, dann ist Default User in Dokumente und Einstellungen auf dem Server der falsche Ort. Der richtige Ort ist ein angelegter Ordner "Default User" in der NETLOGON-Freigabe eines DCs.

Grundsätzlich ist der Ablauf etwa so:

Man meldet sich als ein Benutzer an, dessen Privilegien nicht höher sind als die der Benutzer, die dieses Initialprofil später nutzen sollen (man konfiguriert und kopiert kein als Administrator eingestelltes Profil, wenn es nachher auch Benutzer nutzen sollen). Nun stellt man sich das Profil so ein, wie es später aussehen soll. Damit es garantiert keine Probleme beim Kopieren des Profils gibt, wird der Rechner neu gestartet und man meldet sich dann als Administrator an (damit man das vorher erzeugte Profil auch kopieren kann). Als Administrator wird das Profil dann in "Dokumente und Einstellungen\Default User" oder \\<SERVER>\NETLOGON\DEFAULT USER, wobei der Gruppe "Jeder" die Nutzungsberechtigung gewährt wird (dieser Gruppe werden Registryberechtigungen in der NTUSER.DAT, welches den Benutzerteil der Registry darstellt, gewährt).

Link zu diesem Kommentar

Hallo,

 

zuerst einmal möchte ich mich für deine ausführliche und tolle Antwort bedanken. :):):)

 

So ganz klappt es aber bei mir noch nicht. Du schreibst ja folgendes:

 

"Man meldet sich als ein Benutzer an, dessen Privilegien nicht höher sind als die der Benutzer, die dieses Initialprofil später nutzen sollen (man konfiguriert und kopiert kein als Administrator eingestelltes Profil, wenn es nachher auch Benutzer nutzen sollen)."

 

Das leuchtet mir ein! Nur wenn ich mich jetzt als mein Testuser "Joachim Joos" anmelden will, der natürlich im AD nur Mitglied von "Domänen-Benutzer" ist, funktioniert das wiederum nicht weil der Server nur Anmeldungen von Admins in der Domäne z.B Contoso zulässt und nicht von Standard-Benutzern. Es kommt die Fehlermeldung "Ihr Konto sieht es nicht vor, dass Sie sich an diesem Computer anmelden. Melden Sie sich an einem anderen Computer an."

 

Also wie bekomme ich das hin ein neues lokales Benutzerkonto zu erstellen ohne Admin-Rechte zu vergeben.???

Link zu diesem Kommentar

Man macht sowas normalerweise nicht auf einem DC, sondern von einer Arbeitsstation aus, an der man sich natürlich auch als Benutzer anmelden kann. Da es für Dich nur zum Testen gedacht ist, kannst Du Benutzern das Benutzerrecht "Lokale Anmeldung zulassen" auf dem DC gewähren. Dazu rufst Du die Gruppenrichtlinienverwaltungskonsole auf und bearbeitest die Default Domain Controller Policy. Unter Computerkonfiguration - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - "Lokal anmelden zulassen". Dort trägst Du den Benutzer oder eine Gruppe zusätzlich ein und führst dann GPUPDATE aus. In der Regel ändert man allerdings die Default Policies nicht, sondern erzeugt eine neue und verknüpft sie mit einer höheren Priorität in der entsprechenden Organisationseinheit (in Deinem Fall die Domain Controllers OU). Und dass man in einem Livesystem nicht erlaubt, dass sich ein Benutzer interaktiv an einem DC anmeldet, muss ich glaube ich nicht extra erklären ... :)

Oder mache ihn auch zum Admin, es geht ja nur um´s Prinzip ...

Link zu diesem Kommentar

Alles klar, vielen Dank. :)

 

Das war ja anfangs auch meine Frage ob das Profil nicht doch auf einer normalen Workstation erstellt werden soll. (Soweit ich weis muss hier nur darauf geachtet werden dass keine zig verschiedenen Gruppenrichtlinien auf das Profil einwirken sofern in Domäne eingebunden, und dass man es nicht manuell kopiert sondern mit der Profil funktion "kopieren nach" in der Systemsteuerung)

 

Sollte diese Frage in der Prüfung in einer Simulation drankommen muss ich entsprechend vorbereitet sein. Deshalb geht es ja auch nur ums Prinzip.

 

Aber ich verstehe deinen Lösungsweg und deine Vorgehensweise. Vielen Dank nochmal :D:D Sehr gut erklärt! :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...