Windows Server GPO für Folder Redirection

    Ich habe mir eine kleine MS Serverumgebung aufgebaut und bin an unterschiedlichen Standorten. Um meine Daten immer griffbereit zu haben, wollte ich mir per GPO eine Folder Redirection auf den home Folder vom NAS einrichten.

    Das NAS ist im AD eingerichtet und als AD-Domain-Mitglied eingebunden.


    Das home Verzeichnis ist vorhanden und wird mir unter homes als "DOMAIN=XYZ123\username" angezeigt.

    Die Eingabe im GPO wird mir als "\\QNAPNAS\home\%Username%\Documents" angezeigt.


    Theoretisch müsste es mir jetzt auf dem home Folder von den Folder "Documents" eröffnen und eigentlich alle Dokumente hineinkopieren. Leider passiert dies nicht. Das Kopieren ist nicht das Problem zum jetztigen Zeitpunkt sondern das erstellen des Folders.

    Der Domänenuser hat die vollen Rechte auf dem home Folder.

    pasted-from-clipboard.png

    Hat jemand dies schon gemacht und kann mir sagen, wo der Fehler liegen könnte?


    Mich irritiert das bei Eingabe des Stammverzeichnisses entsprechende Anhänge gemacht werden die eigentlich nicht mit dem NAS übereinstimmen.


    Damit es funktioniert müsste eigentlich "\\QNAPNAS\home\Documents" stehen, da ja vom NAS home bereits als "DOMAIN=XYZ123\%Username%" aufgelöst wurde.


    Danke für Euren Feedback am liebsten mit einer Lösung :)


    Gruss

    Wolfgang

    Hi Wolfgang


    Du bist auf dem richtigen Weg, aber es stimmt schon so, wie es in der gpo angezeigt wird.
    pasted-from-clipboard.png


    Home wird aber auf "homes\DOMAIN=XYZ123\%Username%" verlinkt,

    also ist dieser Pfad das Home root.

    Schliesslich muss das auch für lokale user funktionieren und deren home folder liegt auf derselben Ordnerebene wie der Domain folder.
    Daher wird daraus am Ende "homes\DOMAIN=XYZ123\%Username%\%Username%".

    Die Rechte auf Home müssen nicht angepasst werden, auf Home darf jeder angemeldete Benutzer zugreifen, es gelten die ACLs, die im homes Pfad vergeben sind.

    Ich gehe davon aus, dass Du die erweiterten Ordnerzugriffsrechte wie auch die Windows ACL aktiviert hast.

    Hier wirklich dran halten, was angemahnt wird.
    Auf dem NAS Freigabe erstellen und mit den gewünschten lokalen/Domänen - Benutzern/Gruppen einmalig berechtigen.

    Danach nur noch über den Explorer Rechte vergeben/korrigieren.


    Für homes kannst Du z.B. so vorgehen:
    Auf dem NAS admin und administrator, sowie eine administrative Gruppe/Benutzer aus dem AD schreibend auf den Freigabeordner berechtigen.

    Danach über den Explorer die ACLs prüfen und evtl. einschränken.

    Jetzt den DOMAIN Ordner anpassen, indem zuerst geprüft wird ob die Vererbung aktiviert ist (Sicherheit/Erweitert).

    Wahrscheinlich ist sie das nicht.
    In diesem Fall zuerst alle Benutzer/Gruppen entfernen, Vererbung aktivieren und Übernehmen.


    Das gleiche machst Du mit den Benutzerordnern, dort aber darauf achten, dass der zugehörige domain user mit Änderungsrechten mit bei ist.

    Es könnte auch Vollzugriff notwendig sein, was aber der üblichen Windows Rechtevergabe entspricht.

    Lass den user einfach drin, wenn Du die nicht vererbten Konten entfernst.


    So jetzt kannst mal probieren, wenn Du die Ordnerumleitung in der GPO festlegst, entferne den Haken bei dem Benutzer exklusive Rechte gewähren.
    Sonst ist beim erstellten Ordner nur der user berechtigt.

    Wahrscheinlich wird dabei die Vererbung des oberen Benutzerordners wieder aufgehoben, die Berechtigungen bleiben aber erhalten.

    Das musst mal probieren, es ist schon eine Weile her seit ich da zum letzten Mal dran war. :/


    Wenn alle Stricke reissen erstelle die Ordner von Hand mit aktivierter Vererbung.


    Home eignet sich übrigens auch gut für roaming profile.


    homes\DOMAIN=XYZ123\%Username%\profil" erstellt dann im jeweiligen userhome den Profilordner.
    Zuvor natürlich die notwendigen Ausnahmen setzen, sonst hast Du die ganzen persönlichen Daten nochmal im Profilordner. :)

    Wenn Du es soweit einschränkst, dass in erster Linie die ntuser.dat weggeschrieben wird, kommen nur ein paar wenige MB zusammen.

    Das merkt man nicht bei der Anmeldung.
    In der GPO noch festlegen, dass der Administrator auch Zugriff auf die Profile bekommt.


    Bei beiden gpo-erzeugten Ordnern kannst Du hinterher auch wieder die Vererbung aktivieren, die blieb bei mir an dieser Stelle auch erhalten.
    Viel Erfolg! :thumbup:


    Gruss Micha

    Hallo Micha


    Ich bin Deiner Anleitung gefolgt und es hat funktioniert. Allerdings musste ich den PC ein-, zweimal neu starten.


    Ich bin in letzter Zeit in zwei, drei Forums unterwegs und habe immer wieder das Gefühl, sobald es etwas komplizierter wird nicht mehr geantwortet, trotz einer bereits laufenden Chatverlaufs. Ich finde es schade jemanden einfach sozusagen im Wald stehen zu lassen. Ein kleiner Kommentar wie ich bin am Ende mit meinem Latein wäre ein nicht gewünschter aber ehrliche Antwort, um ein Thema abzuschliessen.


    Aus diesem Grunde von meiner Seite auch besten Dank für Deine kompetente Hilfe.


    Gruss Wolfgang