Jump to content

Gruppenrichtlinien werden nicht übernommen

donpaulo

Von donpaulo
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

donpaulo Contributor

donpaulo   10

Geschrieben
Geschrieben

Hi, ich habe hier einen Win 2k3 Server. Den habe ich soweit nach der Anleitung von Wintotal ( http://www.wintotal.de/Artikel/w2003server1/w2003server1.php ) zurecht gemacht. Die DHCP-Geschichte ist weg gefallen, da alle Clients eine feste IP bekommen sollen. Als Clients haben wir 28 Laptops mit WinXP Pro.

Ich habe ein Benutzerprofil angepasst und per Systemeigenschaften auf den Server kopiert. Dieses habe ich dann per Dateinamen ändern (ntuser.dat -> ntuser.man) mandatorisch gemacht.

 

Jetzt lege ich einen neuen Benutzer auf dem Server mit genau dem selben Namen an, wie mit dem ich das Profil erstellt habe. Wenn ich mich dann damit anmelde, fnktioniert es einwandfrei. Wenn ich nen anderen Benutzernamen eingebe, aber den selben Profilpfad, geht garnichts.

 

Wie genau kann ich so ein Profil erstellen, so das auch alles funktioniert? dazu kommt auch dieses nervige englische Tastatur-Layout...

 

Danke im Vorraus

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Hallo und herzlich willkommen im Board,

 

um ein verpflichtendes, serverbasiertes Profil zu erstellen, legst Du Dir einen Ordner auf dem Server an und gibst ihn frei. Dann erstellst Du Dir mit einem Vorlagenbenutzer das zukünftige Profil und kopierst es mit dem Admin über die Systemeigenschaften in den freigegebenen Ordner (Berechtigungen für Jeder). Zum Schluss änderst Du den Namen der NTUSER.DAT in NTUSER.MAN. In den Eigenschaften jedes Users schreibst Du nun den Pfad zu dem Profil , z.B. \\Server\Profilordner\Mandatory

 

Gruss

 

Sven

Link zu diesem Kommentar
donpaulo Contributor

donpaulo   10

Geschrieben
  • Autor
Geschrieben

Danke für die Antworten.

 

@mawihst: Default-User? wo genau soll ich den namen eingeben? Einen neuen User mit diesem namen erstellen und dann damit mein Profil erstellen? Da bin ich noch nicht ganz hinter gestiegen...

 

@IThome: Danke, freue mich dabei sein zu dürfen.

Genau so habe ich es bißher gemacht. Leider nur mit mäßigem erfolg.

 

@grizzly: Ich glaube genau das ist der Punkt. Da habe ich bißher nie was eingetragen.

Jetzt habe ich eine neue Gruppe auf dem Server mit ein paar testusern erstellt. Diese Gruppe habe ich dort eingetragen und das Profil kopiert.

Leider funzt das auch noch nicht... es wird keine Richtlinie übernommen

Link zu diesem Kommentar
donpaulo Contributor

donpaulo   10

Geschrieben
  • Autor
Geschrieben

Ja, das geht eigentlich um beides...

Nochmal genau das Problem:

Melde ich mich mit dem Usernamen an, mit dem ich auf einem Client auch das Profil erstellt habe, ist alles in Ordnung. Wenn ich mich dann mit einem anderen Namen anmelde, wobei der User auf das selbe Profil zugreife, dann funktioniert keine Richtlinie. Vom Benutzerprofil her, habe ich keine großen einstellungen gemacht. Wichtig ist nur, dass es mandatorisch ist. Die ganzen einschränkungen kann ich ja über die Gruppenrichtlinien machen.

Link zu diesem Kommentar
mawihst Experienced

mawihst   10

Geschrieben
Geschrieben
Danke für die Antworten.

 

@mawihst: Default-User? wo genau soll ich den namen eingeben? Einen neuen User mit diesem namen erstellen und dann damit mein Profil erstellen? Da bin ich noch nicht ganz hinter gestiegen...

 

Hab mich wahrscheinlich nicht deutlich genug ausgedrückt.

 

Auf dem Server liegt ein Ordner mit dem Namen %systemroot%\dokumente und einstellungen\default user

 

wenn du dein angefertigtes profil da hinein kopierst (über systemeigenschaften) dann wird beim neu erstellen eines benutzers das"neue" default user profil angewandt

Link zu diesem Kommentar
xebeche Contributor

xebeche   10

Geschrieben
Geschrieben

Gruppen Richtlinien haben aber doch nichts mit dem Profil zu tun, sondern damit, an welcher OU das Richtlinien Objekt im AD gelinkt ist. Ich gehe mal davon aus, dass sich die User im Standard Ordner Users befinden. Da man die Finger von der Default Domain Policy lässt, linkst Du die Gruppenrichtlinie an die OUs, wo sich die ComputerKonten bzw. die Userkonten befinden. ( Eine Neue erstellen geht ganz schnell, Group Policy Objects > Kontextmenue > new Policy Object). In der default Einstellung zielt sie auf authenticated Users, d.h. auf die Konten, die sich in den gelinkten OUs befinden. Jetzt kannst Du nach Herzenslaune konfigurieren, aber nicht vergessen die GPO zu enablen.

 

Auf einem Client führts Du auf der Kommandozeile "gpupdate /force" durch, danach "gpresult"

Sollte die Richtlinie noch nicht angewendet werden, einfach mal warten, wegen der Replikation, oder ein Reboot.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo,

 

du berichtest, es wurde ein Profil erstellt und anschliessen ein Benutzer. Dieser Benutzer soll nun mit diesem profil Arbeiten. Das ist so nicht vorgesehen, funktioniert vom Standard her nicht so.

 

Nach dem Anlegen eines Benutzers im AD ohne Pfadangeabe eines servergepeicherten Profiles, wird nach der ersten Anmeldung des Users an einer Workstation auf dieser automatisch ein lokales Profil angelegt. Auf dieser Profil erhält der Benutzer kokale Berechtigungen, es wurde die NTUser.dat angelegt. Diese NTUser.dat enthält den benutzerdefinierten Teil der Registry. Der Benutzer erhält Zugriffsrechte auf diesen Teil, dafür wird die SID des Users verwendet.

 

Auch bei auch bei Anlegen eines Benutzerkontos mit Servergespeicherten Benutzerprofil geschieht das so. Der Unterschied ist, beim Abmelden des Users an der WS wird das erst lokal auf der WS angelegte Profil auf den Profilpfad des Benutzers geschrieben. Bei normalen Vorgehen ist der Benutzer auch der Besitzer des Profils, nur er hat Berechtigungen, Zugriff darauf. Sogar der Administrator ist davon ausgeschlossen.

 

Eine sehr wichtige Sache ist die NTUser.dat und die darin gespeicherten Berechtigungen auf den Registrykey. Das ist ein entscheidender Punkt. Ohne die Berechtigung funktioniert der Zugriff nicht , ein Symptom dafür ist die angelsächsische Tastaturbelegeung.

 

Gruß

 

Edgar

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
hallo @ lefg

 

Ist es nicht so das diese neue Profil welches angelegt wird aus dem Default user gebildet wird????

Das ist richtig, es ist eine Vorlage, hat aber nichts mit den Berechtungen des Benutzers zu tun. Diese werden mit dem Erstellen des benutzereigenen Profils vergeben.

 

Ich habe das eigentliche Vorhaben des TO noch nicht genau erkannt, vermute nur.

 

Soll ein einheitliches Profil für eine Gruppe von Benutzern verwendet werden, sieht die Sache anders aus, es erfordert einige Anpassungen. Da sind einmal die Berchtigungen auf das Profilverzeichnis, die Ordner, die Dateien selbst, diese Berechtigungen stehen in der ACL, dann ist da der Besitz. Und dann kommt die Berechtung zum Zugriff aif den Registryschlüssel. Das Ganze ist nicht trivial.

 

Ich frage die Leute meist erstmal, wozu soll das gut sein? Rate zu überlegen, macht das wirklich Sinn? Lohnt die Mühe, die Arbeit?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...