IThome 10 Geschrieben 18. Mai 2010 Melden Teilen Geschrieben 18. Mai 2010 Wichtig ist nicht nur, dass er alles machen darf, sondern auch, dass der Benutzer der Besitzer der Ordner ist. Wenn Du den Parentfolder gemäss den Sicherheitsempfehlungen erzeugst, dann musst Du auch auf die Gültigkeitsbereiche der Berechtigungen achten. Die Unterordner brauchst Du nicht erzeugen, da der Client das beim ersten Anmelden (mit den richtigen Berechtigungen und als Besitzer) macht. Beim ersten Abmelden wird dann der Serverordner mit Profildaten gefüllt. Wenn Du möchtest, dass auch der Administrator Zugriff auf die Profildaten bekommt, musst Du eine Gruppenrichtlinieneinstellung einrichten, die gilt, BEVOR der Benutzer sich das erste Mal anmeldet (und seinen Profilordner erstellt). Das Prüfen des Besitztums der serverbasierten Profilordner kann man ebenfalls via Gruppenrichtlinie abstellen. Beide Einstellungen sind in der Computerkonfiguration! zu finden und werden auf die Rechner angewendet, auf denen sich die Benutzer anmelden ... Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Wichtig ist nicht nur, dass er alles machen darf, sondern auch, dass der Benutzer der Besitzer der Ordner ist. Wenn Du den Parentfolder gemäss den Sicherheitsempfehlungen erzeugst, dann musst Du auch auf die Gültigkeitsbereiche der Berechtigungen achten. Die Unterordner brauchst Du nicht erzeugen, da der Client das beim ersten Anmelden (mit den richtigen Berechtigungen und als Besitzer) macht. Beim ersten Abmelden wird dann der Serverordner mit Profildaten gefüllt. Wenn Du möchtest, dass auch der Administrator Zugriff auf die Profildaten bekommt, musst Du eine Gruppenrichtlinieneinstellung einrichten, die gilt, BEVOR der Benutzer sich das erste Mal anmeldet (und seinen Profilordner erstellt). Das Prüfen des Besitztums der serverbasierten Profilordner kann man ebenfalls via Gruppenrichtlinie abstellen ... Das habe ich auch via GPO, dem Administrator Zugriff auf die servergespeicherten Profile Gewährt. Nur ich erzeuge via Powershell Script den Profilunterordner %username% (also altes XP Modell) Und ab und an erzeugt auch der User via anmeldung an 2k8 terminalserver den ordner %username%.v2 "Nachtrag, geht bloß bei manchen Usern, klappt aber nicht immer" also User1 klappt nicht User2 klappt nicht user3 klappt user4 klappt nicht User5 klappt User 6 Klappt nicht Leider gibt es dafür keine logische Struktur, völlig sporadisch! Momentan nur W2K8 Profile! Problem ist das es mal geht und dann mal wieder nicht, und das nervt! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Mai 2010 Melden Teilen Geschrieben 18. Mai 2010 Hast Du das Prüfen des Besitztums auch abgeschaltet ? Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 So habe Rechtestruktur geändert wie in BLOG: Ask the Directory Services Team : Automatic creation of user folders for home, roaming profile and redirected folders. x:\TestProfil NTSF Rechte: Administrator : Vollzugriff System : Vollzugriff Ersteller & Besitzer Vollzugriff Authenticated User : Lesen, Ausführen. Auflisten Ordner Inhalt, Lesen Freigabe Rechte: Administrator : Vollzugriff System : Vollzugriff Authenticated User : Vollzugriff Ergebnis : Selber Fehler 1511, 1521 Auf Terminalserver 2008 R1. Und Anmeldung mit Temporären Profil! Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Hast Du das Prüfen des Besitztums auch abgeschaltet ? JA Eigentümer von servergespeicherten Profilen nicht prüfen Aktiviert Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen Aktiviert Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Terminalserver Daten ermittelt am: 18.05.2010 16:42:22 Allgemein Details Domäne xxx.local Besitzer xxx\Domänen-Admins Erstellt Geändert Benutzerrevisionen 63 (AD), 63 (sysvol) Computerrevisionen 27 (AD), 27 (sysvol) Eindeutige ID {A127CD97-B50F-4BB1-9721-6A59BF76E5B3} Objektstatus Aktiviert Verknüpfungen Standort Erzwungen Verknüpfungsstatus Pfad TS-Server Nein Aktiviert xxx.local/Server/TS-Server Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts. Sicherheitsfilterung Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name NT-AUTORITÄT\Authentifizierte Benutzer WMI-Filterung Name des WMI-Filters Keine Beschreibung Nicht anwendbar Delegierung Folgende Gruppen und Benutzer haben die angegebene Berechtigung für dieses Gruppenrichtlinienobjekt:Name Zulässige Berechtigungen Vererbt xxx\Domänen-Admins Benutzerdefiniert Nein xxx\Organisations-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten, löschen, Sicherheit ändern Nein Computerkonfiguration (Aktiviert) Richtlinien Administrative Vorlagen Richtliniendefinitionen (ADMX-Dateien) wurden aus dem lokalen Computer abgerufen.System/Benutzerprofile Richtlinie Einstellung Kommentar Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen Aktiviert Benutzerprofile löschen, die älter sind als (Tage) 180 Richtlinie Einstellung Kommentar Eigentümer von servergespeicherten Profilen nicht prüfen Aktiviert Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen Aktiviert System/Gruppenrichtlinie Richtlinie Einstellung Kommentar Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie Aktiviert Modus: Ersetzen Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Benutzerkonfiguration (Aktiviert) Richtlinien Windows-Einstellungen Internet Explorer-Wartung Benutzeroberfläche des Browsers/Angepasste Titelleiste Titelleistentext xxxx Systemsteuerung/Anzeige Richtlinie Einstellung Kommentar Ändern des Hintergrundes verhindern Deaktiviert Bildschirmschoner Aktiviert Bildschirmschoner-Zeitlimit Aktiviert Wartezeit (in Sekunden), bis der Bildschirmschoner aktiviert wird Sekunden: 600 Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Richtlinie Einstellung Kommentar Kennwortschutz für den Bildschirmschoner verwenden Deaktiviert Programmname des Bildschirmschoners Aktiviert Programmname des Bildschirmschoners Schwarzer-Bildschirm Richtlinie Einstellung Kommentar Registerkarte "Bildschirmschoner" ausblenden Aktiviert Systemsteuerung/Anzeige/Desktopdesigns Richtlinie Einstellung Kommentar Designoption entfernen Aktiviert Windows-Komponenten/Windows-Explorer Richtlinie Einstellung Kommentar Klassische Shell aktivieren Aktiviert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Mai 2010 Melden Teilen Geschrieben 18. Mai 2010 Lass doch einen Testuser zum Vergleich seinen Ordner mal selbst erstellen, also nicht vorkonfigurieren. Deine Berechtigungen im Parentfolder entsprechen nicht den empfohlenen Berechtigungen ... http://technet.microsoft.com/en-us/library/cc757013(WS.10).aspx Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Lass doch einen Testuser zum Vergleich seinen Ordner mal selbst erstellen, also nicht vorkonfigurieren. Deine Berechtigungen im Parentfolder entsprechen nicht den empfohlenen Berechtigungen ...Security Recommendations for Roaming User Profiles Shared Folders: Group Policy Habe ich getan, geht momentan. Muss dazu noch sagen das etwas mit der Vererbung nicht richtig funktionierte: x:\Profile\ ts-profile\ <- hatte falsche Sicherheitseinstellungen trotz Vererbung %usernam% Thanks erstmal, melde mich wenn doch wieder nicht gehen sollte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.