Hi Wolfgang
Du bist auf dem richtigen Weg, aber es stimmt schon so, wie es in der gpo angezeigt wird.
pasted-from-clipboard.png
Home wird aber auf "homes\DOMAIN=XYZ123\%Username%" verlinkt,
also ist dieser Pfad das Home root.
Schliesslich muss das auch für lokale user funktionieren und deren home folder liegt auf derselben Ordnerebene wie der Domain folder.
Daher wird daraus am Ende "homes\DOMAIN=XYZ123\%Username%\%Username%".
Die Rechte auf Home müssen nicht angepasst werden, auf Home darf jeder angemeldete Benutzer zugreifen, es gelten die ACLs, die im homes Pfad vergeben sind.
Ich gehe davon aus, dass Du die erweiterten Ordnerzugriffsrechte wie auch die Windows ACL aktiviert hast.
Hier wirklich dran halten, was angemahnt wird.
Auf dem NAS Freigabe erstellen und mit den gewünschten lokalen/Domänen - Benutzern/Gruppen einmalig berechtigen.
Danach nur noch über den Explorer Rechte vergeben/korrigieren.
Für homes kannst Du z.B. so vorgehen:
Auf dem NAS admin und administrator, sowie eine administrative Gruppe/Benutzer aus dem AD schreibend auf den Freigabeordner berechtigen.
Danach über den Explorer die ACLs prüfen und evtl. einschränken.
Jetzt den DOMAIN Ordner anpassen, indem zuerst geprüft wird ob die Vererbung aktiviert ist (Sicherheit/Erweitert).
Wahrscheinlich ist sie das nicht.
In diesem Fall zuerst alle Benutzer/Gruppen entfernen, Vererbung aktivieren und Übernehmen.
Das gleiche machst Du mit den Benutzerordnern, dort aber darauf achten, dass der zugehörige domain user mit Änderungsrechten mit bei ist.
Es könnte auch Vollzugriff notwendig sein, was aber der üblichen Windows Rechtevergabe entspricht.
Lass den user einfach drin, wenn Du die nicht vererbten Konten entfernst.
So jetzt kannst mal probieren, wenn Du die Ordnerumleitung in der GPO festlegst, entferne den Haken bei dem Benutzer exklusive Rechte gewähren.
Sonst ist beim erstellten Ordner nur der user berechtigt.
Wahrscheinlich wird dabei die Vererbung des oberen Benutzerordners wieder aufgehoben, die Berechtigungen bleiben aber erhalten.
Das musst mal probieren, es ist schon eine Weile her seit ich da zum letzten Mal dran war.
Wenn alle Stricke reissen erstelle die Ordner von Hand mit aktivierter Vererbung.
Home eignet sich übrigens auch gut für roaming profile.
homes\DOMAIN=XYZ123\%Username%\profil" erstellt dann im jeweiligen userhome den Profilordner.
Zuvor natürlich die notwendigen Ausnahmen setzen, sonst hast Du die ganzen persönlichen Daten nochmal im Profilordner.
Wenn Du es soweit einschränkst, dass in erster Linie die ntuser.dat weggeschrieben wird, kommen nur ein paar wenige MB zusammen.
Das merkt man nicht bei der Anmeldung.
In der GPO noch festlegen, dass der Administrator auch Zugriff auf die Profile bekommt.
Bei beiden gpo-erzeugten Ordnern kannst Du hinterher auch wieder die Vererbung aktivieren, die blieb bei mir an dieser Stelle auch erhalten.
Viel Erfolg!
Gruss Micha