KlausKleber 0 Geschrieben 7. Oktober 2020 Melden Teilen Geschrieben 7. Oktober 2020 Hallo zusammen, ich möchte gerne bei den Usern das Camera Roll Verzeichnis durch einen Speicherort auf dem FileServer ersetzen. Testweise habe ich jetzt ein Powershell Anmeldescript erstellt, dass per GPO (Benutzerkonfiguration) verteilt wird und folgendes macht: Ich lösche den Standard Windows Ordner: Remove-Item -Path "$env:USERPROFILE\Pictures\Camera Roll" -recurse -Force -Confirm:$false Remove-Item -Path "$env:USERPROFILE\Pictures\Camera Roll" -recurse -Force -Confirm:$false Dann will ich einen mklink erstellen der an diesem Platz ist und mit dem Userordner auf dem Server verknüpft wird: New-Item -ItemType SymbolicLink -Path "$env:USERPROFILE\Pictures\Camera Roll" -Target "$serverpath\$($env:USERNAME)" Das hat auch alles super funktioniert, jedenfalls mit meinem User... Leider musste ich feststellen das ein User ohne Adminrechte, diesen SymbolicLink nicht erstellen darf.... Wie bekomme ich das Ganze zum laufen ? Viele Grüße & vielen Dank vorab Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 7. Oktober 2020 Melden Teilen Geschrieben 7. Oktober 2020 Hi, spontan würde mir "Ordnerumleitung" zumindest dann für den gesamten Pictures Ordner einfallen. Gruß Jan Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 7. Oktober 2020 Autor Melden Teilen Geschrieben 7. Oktober 2020 vor 2 Stunden schrieb testperson: Hi, spontan würde mir "Ordnerumleitung" zumindest dann für den gesamten Pictures Ordner einfallen. Gruß Jan Hi Jan, also mittlerweile habe ich rausgefunden, dass das erstellen von Symbolischen Links immer Adminrechte erfordert. Meinst Du mit Ordnerumleitung Rechtsklick auf den Pictures Ordner - Pfad- Verschieben ? Das wäre auch eine Möglichkeit aber wie mache ich das mit Powershell o.ä ? VG Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 7. Oktober 2020 Melden Teilen Geschrieben 7. Oktober 2020 Hi, ich würde es per GPO machen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789199(v=ws.11) Gruß Jan 1 Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 7. Oktober 2020 Autor Melden Teilen Geschrieben 7. Oktober 2020 vor 29 Minuten schrieb testperson: Hi, ich würde es per GPO machen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789199(v=ws.11) Gruß Jan Cool, vielen Dank! Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 7. Oktober 2020 Melden Teilen Geschrieben 7. Oktober 2020 ... bitte nicht immer den kompletten vorhergehenden Beitrag zitieren. Danke. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 7. Oktober 2020 Melden Teilen Geschrieben 7. Oktober 2020 (bearbeitet) vor 7 Stunden schrieb KlausKleber: also mittlerweile habe ich rausgefunden, dass das erstellen von Symbolischen Links immer Adminrechte erfordert. Nein, tut es nicht. Das ist ein Windows-Recht, das man per GPO jedem geben kann, wenn es Not tut. Und ich persönlich finde diesen Weg nicht sooo falsch - bei Picasa ging das ja seinerzeit auch nur mit Symlinks, wenn man eine gemeinsame DB auf mehreren Rechnern nutzen wollte. Die Ordnerumleitung von "Bilder" ist natürlich der insgesamt schlüssigere Weg https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/create-symbolic-links bearbeitet 7. Oktober 2020 von daabm Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 19. Oktober 2020 Autor Melden Teilen Geschrieben 19. Oktober 2020 (bearbeitet) Hallo nochmal, auch Dir danke für die Info daabm. Generell werde ich allerdings jetzt die Lösung der Ordnerumleitung weiterverfolgen. Dazu hätte ich dann auch gleich nochmal 2 Fragen. 1) Ich habe hier die Option "Erweitert - Gibt Pfade für verschiedene Benutzergruppen an" gewählt. Dann habe ich eine Gruppe hinzugefügt, sowie den Pfad auf dem dann gespeichert werden soll wenn man Mitglied ist. Hier ist es aber so, wenn ich den User aus der Gruppe wieder rausnehme, hatte ich irgendwie erwartet, dass dann wieder lokal gespeichert wird. Aber da liege ich wohl falsch, kann mir das jemand genauer erklären ? 2) Hier bräuchte ich einen Grundlagen Tipp zum Thema Berechtigungen... Das ganze ist ja eine Benutzerrichtlinie, heißt ich verknüpfe die Richtlinie mit der OU in der meine Benutzer sind. Allerdings ist es jetzt so, dass die User diese Umleitung nur bekommen sollen wenn sie sich an bestimmten Geräten anmelden. Heißt, ich habe hier eine OU "WinTablets" in der meine Geräte sind. Und nur an diesen Geräten und falls der User berechtigt ist (siehe Punkt1) soll die GPO überhaupt greifen. Wie setze ich das am besten um ? Viele Grüße & vielen Dank vorab Klaus bearbeitet 19. Oktober 2020 von KlausKleber Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 Hi, zu 1) Da gibt es auf der Registerkarte "Einstellungen" der entsprechenden Umleitung unten den Punkt "Entfernen der Richtlinie" mit zwei Radio Buttons. zu 2) Möglichkeit 1: Du erstellst eine Gruppe in der die Computerkonten der "WinTablets" Mitglied sind und eine Gruppe mit den berechtigten Benutzern. Jetzt entfernst du im GPO in der Sicherheitsfilterung die "Authentifizierten Benutzer" und nimmst dafür die beiden Gruppen auf. Die Gruppe mit den Computerkonten darf das GPO lesen und die Gruppe mit den Benutzern zusätzlich übernehmen. Wichtig: Starte die Computer nach der Aufnahme in die Gruppe neu, da die ansonsten nichts von ihrer errungenen Gruppenmitgliedschaft wissen. Möglichkeit 2: Du schaust dir den Loopbackverarbeitungsmodus an: https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html / https://evilgpo.blogspot.com/2012/02/loopback-demystified.html Möglichkeit 3: Eine Mischung aus den beiden Möglichkeiten. Gruß Jan Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 19. Oktober 2020 Autor Melden Teilen Geschrieben 19. Oktober 2020 Hallo testperson, danke für Deinen Beitrag. Den Punkt mit dem Entfernen der Richtlinie hatte ich auch gesehen und getestet. Leider war es hier so, dass nach dem entfernen des Users aus der Gruppe weiter dort gespeichert wurde. Ich kann mir das nur so erklären, dass in dem Moment wo der User aus der Gruppe fliegt, er weiterhin noch die Richtlinie erhält und daher der Punkt nicht greift. Die Sicherheitsgruppe wird ja praktisch innerhalb der GPO bestimmt und hat nur was mit dem Speicherort zu tun und nicht ob jemand die Richtlinie erhält, oder verstehe ich das falsch ?: Den Punkt 2 schaue ich mir jetzt gleich an und teste mal. Vielen Dank Klaus Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 Ach an der Stelle "berechtigst" du auf Gruppen. Das habe ich noch nie benutzt. Da würde ich in deinem Fall vermutlich "Standard" wählen und das GPO nur von Benutzern lesen/übernehmen lassen, die dürfen (aus 2) Möglichkeit 1). Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 Ordnerumleitung hat Einstellungen für das Verhalten beim Entfernen - wenn das "unpassend" konfiguriert ist, bleibt die Umleitung auch bei nicht mehr angewendeter GPO weiter bestehen. Und aus der Erfahrung: Keep it simple - tu Dir das mit verschiedenen Pfaden pro Benutzergruppe nicht an. Am "einfachsten und zuverlässigsten" funktioniert die Umleitung, wenn Deine User ein Homeset im AD-Account haben, mit %homeshare%%homepath% (ja, die GUI meckert - aber zu Unrecht - wenn Du das einträgst... Und nein, da fehlt kein Backslash). Dann muß für FR noch "Anwenden ohne Änderung" aktiviert werden, falls das Homeset mal umzieht - https://gpsearch.azurewebsites.net/#324 Das ist aber unnötig, wenn man alle seine Shares nicht "direkt" bereitstellt, sondern - sinnvollerweise - ausschließlich über DFS-Namespaces. Dann ändert sich dort nur das Verweisziel. Du merkst schon, da kommt man schnell vom 100sten ins 1000ste BTW: Man kann die Ordnerumleitung auch "komplett selbstkontrolliert" gestalten: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html (Geht auch unter Windows 10 noch...) Wahnsinn - auch schon wieder 6 Jahre alt, der Post Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 20. Oktober 2020 Autor Melden Teilen Geschrieben 20. Oktober 2020 Alles klar! Vielen Dank für die Unterstützung, in meiner Testumgebung klappt es auf auf jeden Fall schon ganz gut. Gruß Klaus Zitieren Link zu diesem Kommentar
KlausKleber 0 Geschrieben 27. Oktober 2020 Autor Melden Teilen Geschrieben 27. Oktober 2020 (bearbeitet) Muss nochmal stören.... Habe jetzt ein zweites Gerät auf dem ich die GPO testen will. Folgendes habe ich gemacht: 1) Das Gerät in die Gruppe gepackt die die GPO lesen darf 2) Der Testuser ist natürlich auch weiterhin in der Gruppe die neben dem Lesen auch übernehmen darf. Das Gerät wurde mehrmals neu gestartet und wenn ich mich daran anmelde und ein cmd mit gpresult /r ausführe, sehe ich auch das der Computer Mitglied der entsprechenden Gruppe ist und der angemeldete Benutzer Mitglied der lesen/übernehmen Gruppe ist. Trotzdem wird die GPO nicht unter "Angewendete Gruppenrichtlinienobjekte" oder unter "Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet" aufgelistet. Aus irgendeinem Grund, den ich nicht verstehe, wird die GPO nicht angenommen. Die GPO sieht folgendermaßen aus: 1) Sie liegt auf der OU, in der der Benutzer ist. 2) Die Berechtigungen sind wie folgt: Die Benutzergruppe in der der Testuser ist: Lesen & Ausführen Die Gruppe in der das Gerät ist: Lesen Ersteller-Besitzer: Spezielle Berechtigungen System: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen Domänen Admins: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen Enterprise Admins: Lesen / Schreiben / Alle untergeordneten Objekte erstellen / Alle untergeordneten Objekte löschen / Spezielle Berechtigungen Domänencontroller der Organisation: Lesen & Spezielle Berechtigungen Passt hier noch irgendetwas nicht ?? VG [edit] kurzes Update. Wenn ich ein gpupdate machen bekomme ich folgende Meldung: Bei der Verarbeitung der Benutzerrichtlinie sind folgende Warnungen aufgetreten: Die clientseitige Erweiterung "Folder Redirection" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen. Ein Neustart des Computer oder erneutes Anmelden mit dem Benutzer bringt aber nichts. Die Meldung bleibt bestehen und die GPO greift nicht.... bearbeitet 27. Oktober 2020 von KlausKleber Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 27. Oktober 2020 Melden Teilen Geschrieben 27. Oktober 2020 Loopback replace aktiviert? GPO-Link nicht aktiviert? Man weiß es nicht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.