Berechtigungen Servergespeicherte Profile

  • Hallo!


    Ich bin mit meiner Aufgabe, das TS231P als Domain Controller zu nutzen, fast durch ;)

    Was mir jetzt noch Probleme macht, sind die servergespeicherten Profile. Ich bin nach der Anleitung im Samba Wiki vorgegangen (https://wiki.samba.org/index.p…ing_Windows_User_Profiles) und habe auch die Berechtigungen des "profiles" Ordners so gesetzt (alles von der Computerverwaltung aus mit Domain Administrator Account):


    freigaberechte1.PNG


    Danach die speziellen Berechtigungen, wie im Samba Wiki erklärt:


    freigaberechte2.PNG


    Für ERSTELLER-BESITZER wie folgt (Vollzugriff):


    freigaberechte4.PNG


    Für die Domain Users resultiert das in folgendem:


    freigaberechte3.PNG


    Nun ist es so, dass ein User, der Mitglied der Gruppe Domain Admins ist, ohne Probleme das Profil speichern und laden kann. Benutzer der Gruppe Domain Users aber nicht.

    Ich verstehe nicht, warum ein normaler Nutzer zB keinen Ordner in "profiles" erstellen kann, obwohl das Recht explizit gesetzt ist?


    Hab ich was übersehen? Brauche ich noch eine zusätzliche Einstellung im NAS oder im Windows?


    Danke für eure Hilfe!

  • Nö, Du hast nichts übersehen, leider funktioniert es unter QTS nicht so wie es soll. Soviel ich weiß steht dies nirgends in einem Handbuch. Da muss man scheinbar einfach so wissen.

    Das Problem ist, dass die Benutzerprofile im standardmässig erstellten und eingerichtet Ordner nicht funktionieren. Wieso nicht, keine Ahnung, ist einfach so. Bei mir hat es immer nur dann funktioniert, wenn ich per Gruppenrichtlinie einen anderen Freigabe-Ordner als Speicherort für die Benutzer-Profile angegeben habe.


    Mach folgendes:

    • Erstelle eine neue Freigabe
    • Richtig die notwendigen Berechtigungen für die Freigabe und den Ordner ein.
    • Biege den Speicherort mit der Gruppenrichtlinie auf diesen Ordner um:
      Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile / Pfad des Servergespeicherten Profils für Alle Benutzer festlegen.
    • Mit dem cmd-Befehl gpupdate bzw. gpupdate /force am Client die Gruppenrichtlinie aktualisieren.
    • Den Client neustarten

    Nun sollte es eigentlich funktionieren.


    Ach ja, wenn Du auf die Idee kommst Unterordner (OU's) im Active Directory zu erstellen, lass es. Hat bei mir nie funktioniert. Noch so eine Eigenart. Vielleicht funktioniert es ja irgendwann oder es gibt noch einen Trick, den ich nicht kenne.

  • Hi! Danke für die schnelle Antwort. Was meinst du mit standardmäßig erstelltem Ordner? Ich habe die "profiles" Freigabe selber erstellt, die war vorher nicht da. Oder meinst du einen anderen Ordner?


    Die GPO habe ich bisher nicht verwendet, sondern in jedem Benutzerprofil unter Profil -> Profilpfad den Link zur profiles Freigabe eingetragen, da sonst die Policy auch bei lokalen Anmeldungen am Rechner zieht. Oder muss man per GPO rangehen?


    Unterordner hab ich keine, danke für den Tipp ;)

    Einmal editiert, zuletzt von cgiudici ()

  • Ich habe die "profiles" Freigabe selber erstellt, die war vorher nicht da.

    OK, dann liegt es wohl nur oder vorallem an der Gruppenrichtlinie. Ich habe bei meinem ersten DC dies von Beginn an mit einer Richtlinie in meinen eigenen Ordner umgebogen. Und bei meiner Testumgebung hat es dann erst funktioniert nachdem ich eben diese Richtlinie wieder auf einen eigenen Ordner angewendet habe.

    Wie gesagt, wieso warum weiß ich auch nicht. Ist eben so. Und solange es so funktioniert. **schulterzuck**

  • Leider hat das auch nichts gebracht, folgender Fehler kommt immer in der Ereignisanzeige:


    Code
    "1521 - Das Serverexemplar des Roamingprofils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.
    
    Details - Zugriff verweigert"


    Es gibt ja auch noch kein Serverexemplar, das legt Windows doch an, wenn noch keins da ist? Aber Zugriff verweigert deutet ja wieder in Richtung Rechte und ACL... Da bin ich mir nicht sicher. Welche Rechte hast du denn bei dir aktiv für das "profiles" Share und die Unterordner? Die aus dem Samba-Wiki?

  • Wenn ich daran denke werde ich morgen mal auf dem QNAP DC in der Firma nachsehen und Dir ein paar Screenshots der Einstellungen hochladen.


    Ich nehme mal an, dass Du die erweiterten Berechtigungen und die ACLs beim Microsoft Netzwerkeinstellungen aktiviert hast.

  • Ja, erweiterte Berechtigungen und ACL sind an. Ich habe sie auch mit der Computerverwaltung von Windows aus angepasst, soweit ich das im Samba Wiki nachvollziehen konnte.

    ERSTELLER-BESITZER musste ich hinzufügen, das war ursprünglich nicht da.

  • Möglicherweise greift die Gruppenrichtlinie nicht. Das ist leider ein etwas komplexes Thema. Deshalb habe ich bis jetzt auch den 5. Teil noch nicht geschrieben.

    Ab besten lässt Du mal einen Report der Richtlinien erstellen.

    • Öffne eine Konsole unter Windows mit cmd
    • wechsle mit cd Desktop das Verzeichnis
    • mit dem Befehl gpresult /h report.html wird nun ein Bericht auf dem Desktop erstellt den Du mit einem Doppelklick im Browser ansehen kannst.

    Hier sollte nun die Richtlinie für das Roamingprofil erscheinen. Ansonsten stimmt mit der Richtlinie noch etwas nicht.


    Edit:

    Hast Du die Richtlinie an die richtige Stelle verknüpft? Ohne Verknüpfung geht gar nichts. Am besten ich lade Dir dazu auch ein paar Screenshots hoch. Dann verstehst Du dies vermutlich am besten.

  • Mach ich morgen mal. Das sieht alles seltsam aus, mit der Roaming Profil Einstellung über GPO gehen auch die Domain Admins nicht mehr richtig, obwohl die Richtlinie zieht. Daher wollte ich es auch über die Profileinstellung machen und nicht über Richtlinien...

    Ich tippe immer noch auf Berechtigungsprobleme bei den Domain Users.

  • Bin leider noch nicht dazugekommen von den Einstellungen Screenshots zu erstellen. Wo ich auf dem System war hatte ich keine Zeit, und wo ich Zeit hatte konnte ich nicht mehr auf das System (Remotezugriff auf ein außerhalb stehendes System, und bekanntlich benötigt man für RSAT ein Windows-System, in meinem Fall ein Benutzer-PC, konnte den nun schlecht raus kicken :) ).

  • Kein Problem, ich habe mich entschieden, erst einmal auf Roaming Profiles zu verzeichten. Die User haben ein Home und Folder Redirection in dieses Verzeichnis. Damit ist der Desktop etc. auf jedem Rechner verfügbar. Da wir nicht so oft die Rechner wechseln, ist der Rest wie Hintergrundbild und Ordneranordnung verschmerzbar.

  • Hallo cgiudici,

    falls es noch Aktuell ist, ich habe den Domain Controler auf einer TS-253 pro am laufen.

    Biege den Speicherort mit der Gruppenrichtlinie auf diesen Ordner um:
    Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Benutzerprofile / Pfad des Servergespeicherten Profils für Alle Benutzer festlegen.

    Das war auch meine erste Wahl, aber ich habe es so nicht zum laufen bekommen. Es steht aber noch auf meiner toDo-Liste!

    Im Moment gebe ich den Profilpfad (bei mir der Ordner homes) manuell für jeden Benutzer unter "Nutzerprofil bearbeiten" an:

    Profilpfad einstellen.jpg


    Im Ordner homes wird dann bei der ersten Anmeldung des Users ein neuer Ordner mit dem Benutzernamen erstellt.


    Der Ordner homes wurde bei mir beim aktivieren des Domain-Contollers automatisch erstellt. Ich brauchte die Berechtigungen nicht anpassen. Über die GPO habe ich nur eingestellt das immer der Administrator hinzugefügt wird.

    GpEdit > Computerkonfiguration > Administrative Vorlagen > System > Benutzerprofile >

    „Sicherheitsgruppe „Administratoren“ zu servergespeicherten Profilen hinzufügen“


    Hast Du die Berechtigungen des Netlogon-Ordners der Nas angepasst?


    Welche Betriebssysteme nutzt Du? Ein Mischbetrieb von Windows 10 und älteren Windows-Versionen ist mit Roaming-Profiles eigentlich nicht möglich. Das liegt an der neuen Profilgestalltung von Win10.


    Roamingbenutzerprofile aus früheren Versionen von Windows sind nicht kompatibel mit Windows 10


    Zudem gelten unter Win10 Pro nicht mehr alle Gruppenrichtlinien:


    Unter Windows 10 Pro gelten bald nicht mehr alle Gruppenrichtlinien


    Ich bin deshalb auf Windows 8.1 Pro zurück gewechselt.