Servergespeicherte Profile unter W2K

[wiggum 10]

Hallo Leute,

 

ich muß mich mal wieder mit meinen heißgeliebten "roaming profiles" auseinandersetzen, bei denen es ja gilt: entweder sie funktionieren tadelos von Anfang an, oder du wirst echt gaga!

 

Mein Problem ist folgendes:

ich möchte auf das Profil-Verzeichnis auf dem File-Server zugreifen. Dieses wird mir durch die Sicherheitsrichtlinien verwehrt. Also habe ich in den GPO´s folgendes aktiviert:

 

Sicherheitsgruppe "Administratoren" zu servergespeicherten Benutzerprofilen hinzufügen

 

Diese Einstellung habe ich erfolgreich in einer anderen Domäne angewendet und ich kann problemlos auf die Profilverzeichnisse zugreifen.

 

In der neuen Domäne weigert sich das System standhaft, dass der Administrator auf die Profilverzeichnisse zugreifen darf.

 

Wer kann mir helfen?

 

 

gruß wiggum

[brwic 10]

leg mal nen neuen user an, melde dich mit dem an und probier dann mal als admin drauf zuzugreifen. ich vermute das geht dann er zieht die richtlinien glaub ich nicht fuer bestehende profile

 

mfg brwic

[wiggum 10]

ich habe das eben mit dem neuen Benutzer ausprobiert. Leider ohne Erfolg.

 

Kann man eigentlich diese GPO dahingehend überprüfen, ob sie auch wirklich abgearbeitet wurde? Im Eventlog steht nur ganz allgemein, dass die Gruppenrichtlinien abgearbeitet wurden.

 

 

gruß

wiggum

[futurra 10]

meineswissens muß die freigabe für jeden sein damit du die profile lesen kannst allerdings muß der jeweilige user owner des unterordners sein!

[wiggum 10]

Die Freigabe ist auch für "Jeder" zugänglich.

Und genau diese Besitzrechte des Erstellers verursachen ja die Probleme mit dem Verzeichniszugriff für den Administrator.

Abhilfe soll die oben beschriebene GPO leisten, aber es tut sich nix!

[futurra 10]

unter den freigaben must du dich als admin hinzufügen .... allerdings auch mit den untergeordneten ordnern!

[wiggum 10]

In den Freigaben habe ich jetzt die DomAdmins und die DomUser hinzugefügt. Leider auch ohne Erfolg.

 

Ich freue mich wirklich über jeden Strohhalm den ihr mir bieten könnt.

 

gruß

wiggum

[Squire 260]

Hi,

 

check mal die NTFS Berechtigungen! Ich setz nomalerweise folgende Struktur:

 

\\server\profiles$

 

unter Profiles$ dann die User

 

also im Usermanager:

 

\\server\profiles$\%username%

 

NTFS Rechte dann auf dem Profiles$ Verzeichnis mit DomAdmin Vollzugriff und Vererbung aktiv.

 

Ich setze normalerweise *nur* NTFS Berechtigungen. Freigabeberechtigungen setz ich nicht (man kann sich auch zu Tode administrieren :)

[frauke 10]

Hallo,

auf Deine Frage, die sich auf die Überprüfung von Gruppenrichtlinien bezog:

Es gibt im Resource Kit ein Tool "GPresult.exe". Die Kurzbeschreibung lautet: This command-line tool displays information about the result Group Policy has had on the current computer and logged-on user.

Das sollte helfen, herauszufinden, inwieweit die Richtlinien abgearbeitet wurden.

Viel Erfolg,

Frauke

[wiggum 10]

ad Frauke)

 

Der Tipp war gut. Der Server ist zwar in der richtigen Organisationseinheit, aber die Gruppenrichtlinien werden lt. "gpresult" nicht verarbeitet.

[wiggum 10]

So, das Problem ist gelöst und lag an einer defekten Organisationseinheit, deren GPO´s nicht abgearbeitet wurden.

Ich habe eine neue Organisationseinheit erstellt und neue Gruppenrichtlinien und siehe da, jetzt werden die GPO´s abgearbeitet und die Profilordner haben die richtigen Sicherheitseinstellungen.

 

gruß

wiggum

[Mag 11]

Hallo,

 

ich habe das gleiche Problem. Hier an meinem Test DC hatte ich gestern noch erfolgreich die Gruppenrichtlinie angewandt, dass der Administrator auf die servergespeicherten Profile zugreifen kann. Nur leider, schaffe ich das jetzt nicht mehr!

 

Ich habe den DC schonmal neu eingerichtet (mit dcpromo neue Domäne erstellt) in dem Glauben, dass ich mir irgendwo was verstellt hatte.

 

Aber es möchte einfach nicht funktioneiren. Habe Versuchsweise an der Default Domain Controller Policy, der Default Dmain Policy und an selbst erstellen Policies in eigenen Organisationseinheiten.

 

Bin in der Materie noch nicht so weit durchgestiegen, deshalb etwas Rücksicht bitte auf meine verzweifelten Versuche.

 

Kurz zu meinem System hier, habe die Domain ganz neu gemacht. Uner Activ directory Benutzer udn Computer hab ich unter meiner Domäne, neben Builtin, Computers. Domain Controllers, Foreign Security policies und users eine neue Organisationseinheit gemacht die für die Abteilung der Firma gedacht ist. Darunter möcht ich dann evtl. unter OE's machen. Der erstellen Organaisationseinheit hab ich dann eine neue Gruppenrichtlinie zugewiesen und eingestellt, dass der Admin Zugriff auf die Profiles hat. Habe danach rebootet (nur zur Sicherheit) und neue Benutzer erstellt und angemeldet.

 

Aber wie schon gesagt, es will nicht. Wäre sehr dankbar, wenn ihr mir mit Tipps unter die arme greifen könntet.

[wiggum 10]

Wenn die GPO´s mal nicht so richtig wollen -->

 

secedit /refreshpolicy machine_policy /enforce

secedit /refreshpolicy user_policy /enforce

 

das kann manchmal helfen, bevor man bis zum nächsten Tag darauf wartet, dass die GPO´s abgearbeitet werden

 

gruß

wiggum

[Mag 11]

Die machine_policy hab ich schonmal von Hand zum Aktualisieren angestoßen. Ich probier dann jetzt nochmal beides und lege nen neuen Benutzer an.

 

Danke schonma für den schnellen Tip.

 

gruß

mag

 

========================================

 

Nachtrag:

Wunderbar, es scheint zu klappen. Dabei hatte ich den Server doch durchgestartet, nach der Richtlinienerstellung. Hab gelesen das soll auch gehn.

 

Ich danke nochmals, denke werd mich bald mal wieder melden :)

[guybrush 19]

prinzipiell, wenn möglich, würde ich beide wege von mag und wiggum verwenden.

 

also server durchstarten und dann secedit anwenden.

 

so kann man sich fast sicher sein, daß die policys greifen...

 

so sind halt zumindest meine erfahrungen

 

 

mfg

hannes alias roat