none
Benutzerprofile - Pfad festlegen RRS feed

  • Frage

  • Hallo Forum,

    ich verwalte in einer größeren Domäne eine OU un möchte, dass für alle Benutzer, die sich an einem Rechner dieser OU anmelden, servergespeicherte Profile konfiguriert werden. In der Domäne selbst werden keine Roaming Profiles verwendet.

    Ein Eintrag in den GPOs

    Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->
    Wenn Sie diese Richtlinieneinstellung verwenden möchten, geben Sie den Pfad für die Netzwerkfreigabe im Format "\\Computername\Freigabename\" ein. Es empfiehlt sich, einen Pfad nach dem Muster "\\Computername\Freigabename\%USERNAME%" zu verwenden, sodass jeder Benutzer einen eigenen Profilordner erhält. Ohne diese Angabe verwenden alle Benutzer, die sich bei diesem Computer anmelden, den gleichen Roamingprofilordner (gemäß Angabe durch diese Richtlinie). Sie müssen sicherstellen, dass Sie für den Ordner die richtige Sicherheit festgelegt haben, damit alle Benutzer auf das Profil zugreifen können.

    Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden alle Benutzer, die sich bei diesem Computer anmelden, den in dieser Richtlinie angegebenen Pfad für servergespeicherte Profile.

    Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Benutzer, die sich bei diesem Computer anmelden, ihr lokales Profil oder das standardmäßige servergespeicherte Benutzerprofil.

    Hinweis: Das servergespeicherte Profil für einen Benutzer kann auf vier Arten konfiguriert werden. Windows liest die Profilkonfiguration in der folgenden Reihenfolge und verwendet die erste gelesene konfigurierte Richtlinieneinstellung.

    1. Pfad des servergespeicherten Profils der Terminaldienste, der durch die Richtlinie für Terminaldienste angegeben wird
    2. Pfad des servergespeicherten Profils der Terminaldienste, der durch das Benutzerobjekt angegeben wird
    3. Computerspezifischer Pfad für servergespeicherte Profile, der in dieser Richtlinie angegeben wird
    4. Benutzerspezfischer Pfad für servergespeicherte Profile, der im Benutzerobjekt angegeben wird" gpmc_settingName="Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile" gpmc_supported="Mindestens Windows Vista" tabIndex="0">hat leider kein Erfolg. Hat jemand Erfahrung damit.

    Danke und Gruss

    mfv

    Donnerstag, 28. Februar 2013 14:30

Antworten

  • Am 01.03.2013 schrieb mfv_technet:

    In den COMPUTEReinstellungen wird die GPO dagegen überhaupt nicht protokolliert, weder als "angewendet" noch als "nicht angewendet".

    Zusätzlich zur Frage von Martin der Hinweis, dass Gruppenrichtlinien
    nicht auf Gruppen wirken. Falls eine Sicherheitsgruppe als Filter
    verwendet wird, müssen die Clients trotzdem im Verwaltungsbereich des
    GPO liegen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mfv_technet Montag, 4. März 2013 22:13
    Freitag, 1. März 2013 21:24
  • Am 05.03.2013 15:02, schrieb mfv_technet:
    > computerbasierten Pfade für die Profile noch nach Benutzergruppen
    > spezifisch gestalten
     
    Hast Du Dir ja selbst schon beantwortet: Ist computerbasiert, weiß also
    nix von Benutzern.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert mfv_technet Dienstag, 5. März 2013 15:49
    Dienstag, 5. März 2013 15:35
    Beantworter

Alle Antworten

  • Wurde Deine GPO auf diesem Computer auch angewendet? Und welchen Pfad hast Du genau eingetragen?

    mfg Martin


    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Donnerstag, 28. Februar 2013 14:45
    Beantworter
  • Hallo Martin,

    danke für die schnelle Antwort.

    Die GPO ist eine von mehreren. In ihr sind nur die Pfade für die Benutzerprofile eingetragen. Alle GPOs davor und dahinter werden angewandt, ich gehe also davon aus, dass auch diese angewandt wird. Ich könnte mal noch einen anderen Eintrag darin zusätzlich machen, um das genau zu testen.

    Der Pfad ist eine Netzwerkfreigabe, auf die Vollzugriff besteht, das ist getestet. In Gesprächen mit anderen Admins habe ich allerdings mehrfach gehört, dass ähnliche Versuche auch bei denen gescheitert ist, das scheint also nicht so ganz trivial zu sein???

    Gibt es noch andere Abhängigkeiten? Loopback muss dafür ja nicht aktiviert sein (obwohl das bei mir aus anderen Gründen auch ist).

    Habe auch schon überlegt, mit Ordnerumleitung zu arbeiten, ich habe dann aber noch nicht die Registry für die Benutzer auf dem Netz. Gibt es hierfür eine Lösung? Per Abmeldescript diese zu sichern geht leicht, das Zurückspielen mit reg import in einem Anmeldescript scheitert aber, weil Teile der Registry dann schon im Zugriff sind und nicht mehr überschrieben werden können.

    Viele Grüße

    mfv (M steht ebenfalls für Martin)

    Donnerstag, 28. Februar 2013 22:37
  • Hm - Du hast meine Fragen jetzt nicht wirklich beantwortet...

    "Wird Deine GPO angewendet" -> GPMC auf dem Computer (Terminalserver) starten, "Gruppenrichtlinienergebnisse"

    "Welchen Pfad hast Du genau eingetragen"? Und wie hast Du verifiziert, dass Benutzer auf diese Freigabe Vollzugriff haben? (net share xyz und icacls xyz am Server?)

    Loopback spielt für Computereinstellungen keine Rolle.

    Ordnerumleitung hilft nicht beim Profil selbst, nur bei der Größe des Profils (ntuser.dat liegt IMMER im Profil). Wie Du selbst schon erkannt hast :D

    Der Reg Import scheitert nicht, weil da schon was "im Zugriff" wäre, sondern weil der User in seiner Registry (HKCU) nicht überall Schreibrechte hat. Wäre auch tödlich, da es hier etliche Werte gibt, die Timestamps enthalten...


    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Freitag, 1. März 2013 08:04
    Beantworter
  • Jetzt wird es seltsam.

    In den BENUTZEReinstellungen protokolliert "gpresult", dass die GPO nicht angewandt wurde, weil sie leer ist (das ist auch korrekt so).

    In den COMPUTEReinstellungen wird die GPO dagegen überhaupt nicht protokolliert, weder als "angewendet" noch als "nicht angewendet".

    Keine Ahnung, was davon zu halten ist.

    > Und wie hast Du verifiziert, dass Benutzer auf diese Freigabe Vollzugriff haben? (net share xyz und icacls xyz am Server?)

    Ich habe tatsächlich icacls benutzt, den Zugriff habe ich mit meinem "normalen" Account getestet, also ohne Admin-Rechte etc.

    Danke auch für den Hinweis mit der Registry.

    Freitag, 1. März 2013 14:02
  • Na - wo im AD hast Du Deine GPO denn verknüpft? Und befinden sich dort auch die Computeraccounts?

    Davon zu halten ist, dass Deine GPO wohl nicht im SOM (Scope of Management) der Computer ist, daher wird sie ihnen nach dem SOM Search auch nicht in der SOM Search List übergeben und sie wenden sie demzufolge auch nicht an :-)


    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

    Freitag, 1. März 2013 14:50
    Beantworter
  • Am 01.03.2013 schrieb mfv_technet:

    In den COMPUTEReinstellungen wird die GPO dagegen überhaupt nicht protokolliert, weder als "angewendet" noch als "nicht angewendet".

    Zusätzlich zur Frage von Martin der Hinweis, dass Gruppenrichtlinien
    nicht auf Gruppen wirken. Falls eine Sicherheitsgruppe als Filter
    verwendet wird, müssen die Clients trotzdem im Verwaltungsbereich des
    GPO liegen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mfv_technet Montag, 4. März 2013 22:13
    Freitag, 1. März 2013 21:24
  • Herzlichen Dank Winfried und Martin,

    die Copmuter befinden sich in der OU, mit der die GPO verknüpft ist und ich hatte gedacht, dass damit die GPO für diese Computer auch gilt. Ich hatte aber tatsächlich auch eine Sicherheitsgruppe mit bestimmten Personen als Filter verwendet und nachdem ich ausser den Personen, noch zusätzlich die Computer eingetragen habe, läuft alles perfekt.

    Viele Grüße

    mfv Martin

    Montag, 4. März 2013 07:20
  • Am 04.03.2013 schrieb mfv_technet:

    die Copmuter befinden sich in der OU, mit der die GPO verknüpft ist und ich hatte gedacht, dass damit die GPO für diese Computer auch gilt. Ich hatte aber tatsächlich auch eine Sicherheitsgruppe mit bestimmten Personen als Filter verwendet und nachdem ich ausser den Personen, noch zusätzlich die Computer eingetragen habe, läuft alles perfekt.

    Yeah! Computerobjekte lesen nur Computereinstellungen. Benutzerobjekte
    lesen keine Computereinstellungen, das hast Du damit herausgefunden.
    ;)

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 4. März 2013 19:50
  • So langsam wird die Sache was. Problematisch war nur, dass durch das viele Rumprobieren irgendwann auf dem Testclient nur noch temporäre Profile angelegt wurden, sowohl für lokale als auch für Domänenkonten. Der Effekt blieb sogar erhalten, nachdem ich den Rechner aus der Domäne herausgenommen habe (sehr verwirrend). Die Lösung des Problems habe ich aber hier gefunden (geht auch für Win7):

    support.microsoft.com/kb/947242/de

    Nach dem Editieren der Registry ging es wieder.

    Eine Sache habe ich aber noch nicht hinbekommen, vielleicht gibt es auch hier eine einfache Lösung:

    Jetzt werden ALLE Profile des Clients als Servergespeicherte Profile anglegt, auch die der lokalen Benutzer. Der Filter mit der benutzerspezifischen Sicherheitsgruppe wirkt offensichtlich nicht auf die GPO, da die Pfadeinstellung ja auf den Rechner geht und nicht auf die Benutzer. Gibt es eine Möglichkeit, die lokalen Konten aus den Roaming Profiles herauszunehmen? Das ist auch deshalb unschön, weil die lokalen Konten eigentlich keinen Zugriff auf die Netzlaufwerke haben. 

    Gruss

    mfv (Martin)

    Montag, 4. März 2013 22:30
  • Am 04.03.2013 schrieb mfv_technet:

    Jetzt werden ALLE Profile des Clients als Servergespeicherte Profile anglegt, auch die der lokalen Benutzer. Der Filter mit der benutzerspezifischen Sicherheitsgruppe wirkt offensichtlich nicht auf die GPO, da die Pfadeinstellung ja auf den Rechner geht und nicht auf die Benutzer. Gibt es eine Möglichkeit, die lokalen Konten aus den Roaming Profiles herauszunehmen? Das ist auch deshalb unschön, weil die lokalen Konten eigentlich keinen Zugriff auf die Netzlaufwerke haben. 

    Weshalb gibt es überhaupt lokale Benutzerkonten?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mfv_technet Dienstag, 5. März 2013 06:48
    • Tag als Antwort aufgehoben mfv_technet Dienstag, 5. März 2013 06:49
    • Als Antwort markiert mfv_technet Dienstag, 5. März 2013 06:50
    • Tag als Antwort aufgehoben mfv_technet Dienstag, 5. März 2013 06:50
    Dienstag, 5. März 2013 06:16
  • Weshalb gibt es überhaupt lokale Benutzerkonten?

    Ích richte den Mitarbeitern in der Regel lokale Adminkonten auf ihrem jeweiligen Arbeitsplatzrecher ein, damit sie z.B. Software installieren können. Das klappt auch ganz gut, da die Mitarbeiter gut ausgebildet sind. Im Normalfall arbeiten sie aber mit ihren Domänenkonten ohne Adminrechte. Ausserdem habe ich 2 Domänen-Benutzerarten, die ich bisher vollkommen getrennt habe (Studenten und Dozenten) und das auch gerne weiter haben möchte. Hier wäre eine Möglichkeit bei den Profilen, wie sie z.B. bei der Ordnerumleitung geht, optimal, also das Benutzergruppen spezifische Vergeben von Profilpfaden.

    Studenten können sich nur an Rechnern einer bestimmten OU anmelden, Dozenten aber sowohl an den den Rechnern ihrer OU als auch an den Rechnern der StudentenOU. Deshalb kann ich die Pfade nicht an den Rechnern festmachen, sondern nur an den Benutzergruppen.

    Sollte das nicht gehen, kann ich die Profile beider Gruppen immer noch in einen eigenen Pfad legen, die Nutzerdaten davon trennen (Ordnerumleitung) und die lokalen Admin-Konten erhalten dann beim Anmelden am Client eben ein temporäres Profil. Abgesehen von der Meldung, dass man mit einem temporären Profil angemeldet ist, ist es nicht besonders schlimm.

    Für Ideen wäre ich sehr dankbar.

    Gruss

    mfv (Martin)

    Dienstag, 5. März 2013 07:08
  • Am 05.03.2013 08:08, schrieb mfv_technet:
    > Ích richte den Mitarbeitern in der Regel lokale Adminkonten auf ihrem
    > jeweiligen Arbeitsplatzrecher ein, damit sie z.B. Software
    > installieren können
     
    Das beantwortet die Frage nach dem "wieso lokale Konten" aber nicht. Die
    braucht man nicht. Überhaupt nicht.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 5. März 2013 12:42
    Beantworter
  • > Das beantwortet die Frage nach dem "wieso lokale Konten" aber nicht. Die

    > braucht man nicht. Überhaupt nicht.

    Sicher geht es auch ohne lokale Konten. Ich könnte diese Adminkonten, die bisher aus historischen Gründen so eingerichtet wurden, natürlich auch zentral anlegen. Das bietet sich vielleicht sogar an, de eh alles neu konfiguriert wird.

    Generell war mir eigentlich die Frage viel wichtiger, ob ich die computerbasierten Pfade für die Profile noch nach Benutzergruppen spezifisch gestalten werden können. Ich vermute aber, dass das wohl nicht der Fall ist.

    Gruss

    mfv (Martin)

    Dienstag, 5. März 2013 14:02
  • Am 05.03.2013 15:02, schrieb mfv_technet:
    > computerbasierten Pfade für die Profile noch nach Benutzergruppen
    > spezifisch gestalten
     
    Hast Du Dir ja selbst schon beantwortet: Ist computerbasiert, weiß also
    nix von Benutzern.
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    • Als Antwort markiert mfv_technet Dienstag, 5. März 2013 15:49
    Dienstag, 5. März 2013 15:35
    Beantworter