servergespeichertes verbindliches Benutzerprofil unter Windows 2003, aber wie ??

Hallo Leute,

ich habe schon ganz viel versucht, vieleicht klappt es hier, ich brauche verbindliche Profile für meine Benutzer auf Windows 2003 Server.
Wie kann ich das machen, es dürfen keine Zugriffe vom Client gemacht werden, es soll alles über den Server laufen.

Ich habe ein ordener freigeben und dort meine Profile auf den Server reinschreiben lassen, das klappt auch. Wenn ich die NTUSER.Dat umbenennen will, habe ich kein Zugriff auf den servergespeicherten Ordner des Users, wenn ich den Besitz übernehme, kann ich die Ntuser.dat in ntuser.man umbenennen, aber bei der nächsten Anmeldung des Users, bekommt er die fehlermeldung das dass Profil nicht verfügbar ist. Ich habe schon den Administrator und den User VOLLZUGRIFF auf den Profilordner des Users gegebne, aber das klappt auch nicht.

HAT JEMAND EINE LÖSUNG ??

Also den Besitz den User zurückgeben, nachdem der Admin zugriffsrechte hat, habe ich schon versucht, dann müsste sich jeder User am Server anmelden. Das ist nicht Möglich !!

DANKE FÜR JEDEN VORSCHLAG !!

Gruß

KFabian

http://support.microsoft.com/default.aspx?scid=kb;de;325364

greetz

hugo

Gib dem Profil mal folgende Sicherheitseinstellungen:

Administrator: Vollzugriff
User: Vollzugriff

dann die Berechtigungen in untergeordneten Ordnern zurücksetzen und Vererbung aktivieren.

Als nächstes im AD eine GPO erstellen unterhalb der Domänenpolicy:
Computerkonfiguration -> Administrative Vorgabe -> System -> Benutzerprofile -> Sicherheitsgruppe Administratoren zu servergespeicherten Profilen hinzufügen aktivieren

Damit hast du folgendes erreicht:

1. Mit der Sicherheitseinstellung der vorhandenen Profilordner können die User Ihre Profile wieder laden.

2. Mit der GPO fügst du bei jedem neuen Benutzerprofil automatisch die Gruppe Administratoren zu den Berechtigungen des Benutzerprofiles hinzu.

Hallo KFabian,

1) SCHREIBE NIE TEXT IN GROSSBUCHSTABEN. Dies ist ein Äquivalent zum Schreien, und man verwendet Großbuchstaben eigentlich nur dann, wenn auf jemanden wütend ist. Insofern kommt das nie gut an.

2) Mir ist nicht ganz klar, was du mit es dürfen keine Zugriffe vom Client gemacht werden meinst; der Hinweis auf die ntuser.man entspricht jedoch der Bezeichnung Verbindliche Profile und ich nehme daher mal an, dass du erreichen möchtest, dass Änderungen, die deine Benutzer an ihren Profilen vornehmen, nach jeder Anmeldung zurückgesetzt werden.

Eigentlich sollte es wirklich reichen, die ntuser.dat zu ntuser.man umzubenennen.

Die Sache mit den Berechtigungen: wenn der Benutzer Adminrechte auf seinen eigenen Ordner hat, muss das eigentlich reichen (auch wenn er nicht den Besitzt hat). Bei Windows Server 2003 kannst du jedoch auch problemlos den Besitz übergeben:
Eigenschaften des Ordners -> Sicherheit -> Erweitert -> Besitzer -> Weitere Benutzer und Gruppen
Dort gibst du dann den Namen des Benutzers [also des zukünftigen Besitzers] ein, klickst auf OK, wählst den Namen, der jetzt neu in der Liste auftaucht, aus, setzt den Haken Besitzer der Objekte und untergeordneten Container ersetzen und klickst dann auf OK. Dann ist der jeweilige Benutzer der Besitzer - aber wie gesagt, es reicht, wenn du ihm Vollzugriff gibst.

An deiner Stelle würde ich es jedoch erstmal so versuchen, wie Torsten es vorgeschlagen hat:

* stell sicher, dass sowohl die Gruppe Administratoren als auch der Benutzer in der Liste unter Sicherheit auftaucht und beide Vollzugriff haben
* Unter Sicherheit auf Erweitertklicken und dort den 2. Haken (Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen.) setzen. Das bewirkt, dass die Sicherheitseinstellungen, die momentan evtl. nur für den Ordner selbst und nicht für den Inhalt gelten, für alle Unterordner und enthaltene Dateien kopiert wird.
* Evtl. könntest du auch noch den Benutzer SYSTEM in die Liste mit Vollzugriff hinzufügen; ich weiß nicht, ob das wirklich nötig ist, aber bei den Ordner von meinen Benutzern ist dies der Fall (handelt sich um eine vererbte Sicherheitseinstellung).

Sag uns mal bescheid, ob einer von diesen Vorschlägen geholfen hat. Wenn du uns noch mehr Informationen liefern würdest (Eventlog des Servers, Eventlog der Clients, an denen die Anmeldung nicht funktioniert), könnten wir dir vielleicht noch besser helfen.

Noch ein Hinweis: der besagte Hinweis, dass das Profil für den Client nicht lesbar sei, deutet im Allgemeinen darauf hin, dass die NTUSER.DAT/MAN nicht geladen werden konnte - dies muss aber noch nicht daran liegen, dass die Sicherheits-Einstellungen nicht korrekt sind. Es könnte auch daran liegen, dass die Datei von einem anderen Programm benutzt wird; hierbei kommen eigentlich nur Registry-Editoren infrage. Falls du die ntuser.dat/man als Struktur z. B. in den Windows-Registry-Editor geladen hast, musst du diese unbedingt wieder entfernen - sonst kann es nicht funktionieren.

MfG Martin

* Evtl. könntest du auch noch den Benutzer SYSTEM in die Liste mit Vollzugriff hinzufügen; ich weiß nicht, ob das wirklich nötig ist, aber bei den Ordner von meinen Benutzern ist dies der Fall (handelt sich um eine vererbte Sicherheitseinstellung).

Zum Vergrößern anklicken....

Ist im Allgemeinen nicht erforderlich, kann dann aber erforderlich sein, wenn die eingesetzte Backup-Lösung im System Sicherheitskontext läuft.