Servergespeichertes Profil + Ordnerumleitung + Datensicherung

[d.pabst 10]

Hallo alle beisammen!

 

Wir nutzen eine AD 2003 Domäne mit zwei Standorten und jeweils einen DC an jedem Standort.

 

Wir wollen verstärkt servergespeicherte Profile einsetzen. Das ist natürlich zunächst kein Problem, aber zwischen den beiden Standorten haben wir nur eine verhältnismäßig langsame Verbindung. Ein Benutzer besitzt in seinen Eigenen Dateien 300 MB Daten die dann zwanzig Minuten brauchen um bei einer Anmeldung auf das andere System zu gelangen. Das wollen wir natürlich verhindern.

 

Daher wollen wir auch Ordnerumleitung mit einsetzen. Aber auf die Daten haben wir dann keinen dirketen Zugriff, zwecks der notwendigen Datensicherung.

 

Daher meine Frage:

 

Was empfehlt Ihr in diesem Zusammenhang? Wir haben leider noch nicht die entsprechende Erfahrung.

 

Sprich: Welchen Ordneraufbau auf dem Server sollten wir bevorzugen und wie kann eine erfolgreiche Datensicherung in jedem Fall erfolgen. Hat jemand in diesem Zusammenhang "Servergespeichertes Profil + Ordnerumleitung" Probleme gehabt.

 

SG d.pabst

[grizzly999 11]

Aber auf die Daten haben wir dann keinen dirketen Zugriff, zwecks der notwendigen Datensicherung.

Könntest du dies erläutern, weil verwirrt bin

 

Wenn Daten auf einem Server liegen, wieso kann sie dann ein Admin (also Ihr) nicht sichern?!

 

grizzly999

[d.pabst 10]

Hallo grizzly999,

 

zunächst Dank für die Antwort.

 

Die servergespeicherten Profile wurden per Gruppenrichtlinie angelegt. Wenn ich lokal auf dem Server auf das Verzeichnis gehe, rechte Maustaste, Freigabe und Sicherheit, kommt die Info:

 

Sie sind nicht berechtigt, die aktuellen Berechtigungseinstellungen für ... anzuzeigen oder zu bearbeiten. Sie können sich jedoch als Besitzer einrichten oder die Überwachungseinstellungen ändern.

 

Die Besitzübernahme wollen wir nicht nutzen. Aber als Administrator sollte das ja möglich sein. Anderseits ist es aber auch berechtigt, das nicht alle die Daten sehen. Sogar der Admin.

 

Kann jetzt nun das System die Daten sichern, ohne das der Admin die Rechte dazu hat?

 

SG d.pabst

[grizzly999 11]

Jemand mit Administratorrechten, oder als Mitglied der Sicherungs-Operatoren (auf DCs auch Mitglied der Server-Operatoren) kann alles sichern, auch wo man keine NTFS-Berechtigung hat. Irgendwie auch logisch, sonst wären NTFS-berechtigungen bzw. Datensicherungen ad absurdum geführt.

 

grizzly999

[d.pabst 10]

Hallo grizzly999,

 

aber was muss ich machen. damit ich doch Zugriff auf das Verzeichnis erhalte. Aktuell sind wir ja noch mit der Umstellung von einer Samba-Domäne auf die AD2003 beschäftigt. Da wir auch Citrix im Einsatz haben und teilweise Daten in die Verzeichnisse kopieren müssen, brauchen wir schon ab und zu Zugriff auf die Verzeichnisse.

 

Hierbei würde ich am liebsten einen eigenen Account einsetzen. Damit nicht jeder sofort die Daten lesen kann.

 

SG d.pabst

[grizzly999 11]

Ich versteh schon wieder nicht

Ihr habt keinen Zugriff auf bestimmte Verzeichnisse, wegen kein Besitzer bin und keine NTFS-berechtigungen hab'. Das soll auch so sein, sagst Du.

Du sagst weiter, den Besitz willst du nicht übernehmen, aber die Daten willst du trotzdem sehen.

 

Also ich will ein Auto fahren, das gehört nicht mir, einen Schlüssel habe ich nicht, die Scheibe einschlagen und kurzschliessen will ich nicht, aber ich will das Auto fahren....

 

Was bleibt dann? Ich schlage die Scheibe ein, oder der Besitzer gibt mir den Schlüssel. Das heiße, du übernimmst den Besitz, oder der Besitzer gibt dir die Berechtigungen, da rein zu schauen.

 

Habe ich was falsch verstanden?

 

grizzly999

[domi974 10]

Hallo pabst,

 

kann es sein, das Du 2 Sachen durcheinander bringst...?

Servergespeicherte Profile und Eigene Dateien --> Ordnerumleitung?

 

Wenn ich Dich richtig verstanden habe, hast du 2 Probleme:

 

Das 1. sind die roaming profiles auf die ihr keinen Zugriff habt.

Das 2. sind die Eigene Dateien, die, wenn ich das richtig verstanden habe, keine Ordnerumleitung haben und dem entsprechend im servergespeicherten Profil drinnen sind (300 MB Daten) auf das ihr widerrum Zugriff braucht.

Korrigiere mich bitte, wenn ich Dich falsch verstanden habe.

 

Zu 1.

 

Für neu zu erstellende Profile kannst Du eine Gruppenrichtlinie anwenden um Zugriff auf die servergespeicherten Profile zu erlangen.

 

Computerkonfiguration --> Administrative Vorlagen --> System --> Benutzerprofile --> Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen aktivieren.

 

Dies gilt wie gesagt nur für neue Profile. Für bereits existente Profile hat die GPO keine Auswirkung, da musst Du den Besitz übernehmen um überhaupt Zugriff zu erhalten.

 

btw. wenn mich nicht alles täuscht, ist der Administrator ÜBERALL Besitzer. Das ist auch richtig so. Wenn Benutzer beispielweise Vollzugriff auf ein Verzeichnis / Daten haben, dann können Sie den Besitz übernehmen und nix ist mit Datensicherung, zum Beispiel. Daher haben Benutzer maximal Ändernrechte (falls ich hier Müll erzähle, korrigiert mich).

 

Also mein Vorschlag zu dem 1. Problem:

Bei allen Profilen den Besitz übernehmen und Administratoren und System Vollzugriff geben, sollte im übrigen für alle Freigaben und Verzeichnisse gelten, so mach ich das jedenfalls.

Im übrigen ist es auch nichts schlimmes, meiner Meinung nach, Zugriff auf das Profil zu haben. Da steht eh nichts drinnen, was man nicht wissen sollte. Aber als Administrator hat man eben überall Zugriff. Wenn nicht der Admin, wer dann?

 

Zu 2.

 

Ordnerumleitung für Eigene Dateien einrichten:

 

Benutzerkonfiguration --> Windows Einstellungen --> Ordnerumleitung (?) --> Eigene Dateien --> rechte Maustaste Eigenschaften --> 1. Punkt auswählen (hab hier keine Domäne um den Pfad zu überprüfen, müsste aber stimmen). Im 2. Register kannst Du glaub ich noch einen Haken setzen für "Dateien vom alten Pfad in den neuen verschieben" oder so ähnlich.

 

Sinnvoll ist hier das Homeverzeichnis der jeweiligen Benutzer als Eigene Dateien Pfad einzugeben, beispielsweise: \\Server\%username%$, wenn eure Homelaufwerke versteckte Freigaben sind.

 

Die Benutzer melden sich an beiden Standorten an, richtig? Wie in diesem Fall die Ordnerstruktur bei 2 Standorten auszusehen hat, kann ich Dir leider nicht sagen, keine Ahnung.

[grizzly999 11]

Wenn Benutzer beispielweise Vollzugriff auf ein Verzeichnis / Daten haben, dann können Sie den Besitz übernehmen und nix ist mit Datensicherung, zum Beispiel. Daher haben Benutzer maximal Ändernrechte (falls ich hier Müll erzähle, korrigiert mich).

Ich erlaube mir, dich zu korrigieren :D :

Ich weiss nicht, woher diese Meinung in dem Thread zum zweiten mal kommt, wo ich ich schon einmal darauf hingewiesen habe, dass dem nicht so ist (s. meinen Beitrag zwei weiter oben)

 

grizzly999

[domi974 10]

hm.. diese Aussage hab ich von meinem Ausbilder (Stand 1999 Windows NT 4 Server).

 

Wir hatten nämlich genau dieses Problem. Haben einen Server bzw. dessen Daten umziehen wollen, aber es gab da einige Verzeichnisse die im Besitz der Benutzer waren und einige User hatten dem Admin den Zugriff genommen. Daraufhin war ein kopieren der Daten nicht möglich gewesen.... *überleg...

Ok, ok... KOPIEREN nicht sichern. Es war gestern abend schon spät gewesen :D

 

Sry für die Fehlinformation. Schande über mein Haupt.

[d.pabst 10]

Hallo Ihr zwei!

 

Das mit dem Auto und dem Schlüssel habe ich verstanden. Dank dem Hinweis von Domi974 habe ich nun den Zweitschlüssel.

 

Wegen dem Durcheinander. Wir wollen servergespeicherte Profile nutzen. Da diese aber zu groß sind (langsame Verbindung unter den Standorten), wollen wir zusätzlich die Ordnerumleitung einsetzen. Vorteil ist, dass jeder User sein Profil an allen Computern und Standorten nutzen kann. Durch die Ordnerumleitung werden jedoch nun die Daten aus dem jeweiligen Ordner nicht jedesmal über das Netzwerk kopiert (vor allem wird ein Teil der Daten nur benötigt). Die Daten werden erst in den lokalen Speicher über das Netzwerk kopiert, wenn diese vom Anwender benötigt werden.

 

Mag sein, das der Zugriff auf die eine Datei ein paar Sekündchen mehr braucht, aber eine Anmeldung von 20min/300MB Daten wird dadurch umgangen.

 

Mit einem Testbenutzer habe ich das nun vollzogen. Die Ordnerumleitung kann ja geprüft werden, indem man auf Eigene Dateien geht. Einen Ordner erstellt und in diesen wechselt. Jetzt sollte der Pfad zum Server zu sehen sein. Im lokalen Profil ist zu dem der Ordner Eigene Dateien nicht mehr vorhanden.

 

ABER: Jetzt habe ich auf diesem Ordner Eigene Dateien auf dem Server als Admin kein Zugriff! Nett oder? Dafür gibt es aber bestimmt auch eine Lösung über eine GPO. Werde nachher mal auf die Suche gehen. Es müßte aber auch funktionieren, dass der Admin auf dem Server den Ordner zunächst per Hand anlegt und dem Nutzer Zugriff auf diesen erteilt. Danach wird erst die Ordnerumleitung aktiviert und der Admin und der User haben Zugriff auf die Daten.

 

Dank an Euch beide!

 

SG d.pabst

 

 

 

 

PS: Hier noch die Auskunft der Hilfe von der GPO Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen aktivieren (für alle Mitleser):

 

Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu.

 

Sobald ein Administrator ein servergespeichertes Profil für einen Benutzer konfiguriert hat, wird das Profil bei der nächsten Anmeldung des Benutzers erstellt. Das Profil wird an dem vom Administrator festgelegten Ort erstellt.

 

In den Betriebssystemen Windows 2000 Professional und Windows XP Professional sind die Standarddateiberechtigungen für neu erstellte Profile für Benutzer auf "Vollzugriff bzw. "Schreiben und Lesen" und für Administratoren auf "Keinen Zugriff" festgelegt.

 

Durch Konfiguration dieser Einstellung kann dieses Verhalten geändert werden.

 

Wenn Sie diese Einstellung aktivieren, wird der Gruppe "Administratoren" ebenfalls Vollzugriff auf den Profilordner eines Benutzers gegeben.

 

Wenn Sie sie deaktivieren oder nicht konfigurieren, haben nur Benutzer Vollzugriff auf ihr eigenes Profil und Administratoren haben keinen Zugriff auf diesen Ordner.

 

Hinweis: Wird diese Einstellung aktiviert nachdem das Profil erstellt wurde, so hat diese Einstellung keine Auswirkungen.

 

Hinweis: Die Einstellung muss auf dem Clientcomputer und nicht dem Server konfiguriert werden, damit sie Auswirkungen hat, da der Clientcomputer Dateifreigabeberechtigungen für servergespeicherte Profile zur Erstellungszeit festlegt

 

Hinweis: Im Standardfall haben Administratoren keinen Dateizugriff auf Benutzerprofile, können aber wie bisher den Besitz dieses Ordners übernehmen und sich anschließend Dateiberechtigungen geben.

 

Hinweis: Das Verhalten nach Aktivierung dieser Einstellung ist exakt dasselbe Verhalten wie in Windows NT 4.0.

[domi974 10]

Hallo pabst,

 

Du kannst die Größe der servergespeicherten Profile auch begrenzen, allerdings ist das mit Vorsicht zu genießen. Wenn die Größe erreicht wurde, können sich die User nicht abmelden und müssen erst in ihrem Profil "Platz schaffen". Anrufe könnten dann eventuell häufiger kommen ;)

 

Einstellung:

 

Benutzerkonfiguration --> Administrative Vorlagen --> System --> Benutzerprofile --> Profilgröße beschränken. Wie gesagt mit Bedacht einsetzen.

 

Die Ordnerumleitung kann ja geprüft werden, indem man auf Eigene Dateien geht.

 

Die Ordnerumleitung auf die Eigene Dateien kannst du auch prüfen, indem Du Eigene Dateien --> rechte Maustaste --> Eigenschaften wählst, dort siehst du den Pfad.

 

ABER: Jetzt habe ich auf diesem Ordner Eigene Dateien auf dem Server als Admin kein Zugriff! Nett oder?

 

Bei der Ordnerumleitung für die Eigene Dateien (GPO) gibt es ein 2. Register "Dem Benutzer exlusive Zugriffsrechte für Eigene Dateien erteilen". Wenn das Häkchen gesetzt ist, hast Du logischerweise keinen Zugriff.

Wenn der Haken nicht gesetzt ist, Rechte auf dem Verzeichnis Eigene Dateien (ist dass das Homelaufwerk der jeweiligen User?) geben.

 

Es müßte aber auch funktionieren, dass der Admin auf dem Server den Ordner zunächst per Hand anlegt und dem Nutzer Zugriff auf diesen erteilt.

 

Dafür hab ich eine kleine Batchdatei, die das für mich erledigt.

Der User muss logischerweise schon existieren.

 

REM @echo off

REM erstellt das Homeverzeichnis für den jeweiligen User mit einem
REM Dollarzeichen davor, sprich versteckte Freigabe
md %1$
REM wechselt in dieses Verzeichnis
cd %1$
REM erstellt weitere Verzeichnisse
md Vorlagen
md Mail
md Notes
cd..
REM setzt die Freigabe. Hier den lokalen Pfad auf dem Server anpassen!
net share %1$=D:\Home\%1$

REM setzt die Berechtigungen auf das Homeverzeichnis. Den lokalen Pfad wieder anpassen
REM Benutzer hat Ändernrechte, Admin und System Vollzugriff
xcacls.exe D:\Home\%1$ /t /e /g "%1":rc;rc "Administratoren":f;f "System":f;f /Y

 

Aufruf der Batchdatei: home.cmd username

Die Batchdatei liegt bei mir direkt im Homeverzeichnis, also D:\Home und darunter liegen die jeweiligen Verzeichnisse.

[d.pabst 10]

Hallo domi974,

 

der Zugriff auf die Ordnerumleitung klappt nun auch wunderbar. Das mit dem nicht-exklusiven Zugriff funktioniert aber auch nur bei Usern, die zum ersten mal die GPO erhalten.

 

Das mit der Ordnerumleitung und Servergespeicherten Profilen funktioniert sehr gut. Wir haben das mit einem 300 MB großen Eigene Dateien Verzeichnis ausprobiert. Geht super.

 

SG d.pabst

[frieda 10]

das hilft dir jetzt wohl überhaupt nicht, aber wir haben die servergespeicherten Profile per GPO begrenzt. Und zusätzlich den standard Speicherpfad in Office z.B. auf das Home Laufwerk des Users gelegt. Somit brauch ich keine Ordnerumleitung mehr.

Die Cookies und IE Temp Files werden beim Abmelden gelöscht.

Es gibt nämlich Schwierigkeiten mit der Ordnerumleitung und Notes.