Discussion:
Kein Zugriff auf servergespeicherte Profile
(zu alt für eine Antwort)
Steffen Günsche
2006-01-05 10:24:42 UTC
Permalink
Hallo,

ich habe einen Domaincontroller eingerichtet und Benutzer angelegt, deren
Profile auf dem Server gespeichert werden. Dies funktioniert auch soweit:
Sobald sich ein Benutzer das erste Mal an der Domain anmeldet, wird im
Verzeichnis "Profile" - welches als "Profile$" für Domain-Admins und
Domain-Benutzer freigegeben ist - ein entsprechendes Benutzer-Verzeichnis
angelegt.
Versuche ich nun als Administrator (gehört zur Gruppe Domain-Admins und
Domain-Benutzer u.a.) auf dem Server auf ein solches
Benutzer-Profil-Verzeichnis zuzugreifen, habe ich keine Berechtigungen dazu.
Wenn ich mich als Besitzer eintragen will, funktioniert das zwar, allerdings
zeigt er mir vorher an: "Besitzer kann nicht angezeigt werden".
Das verstehe ich nicht: Wieso kann der Besitzer nicht angezeigt werden, wenn
doch das Profil-Verzeichnis durch einen Domain-Benutzer (oder zumindest
durch einen Prozess auf dem Domain-Controller) angelegt wurde? Schließlich
funktioniert doch auch der Zugriff von einem angemeldeten Client aus. Ich
habe einfach keine logische Erklärung dafür.
Kann mir da jemand weiterhelfen.

Danke

Steffen Günsche
Mark Heitbrink [MVP]
2006-01-05 10:58:28 UTC
Permalink
Hi,
Post by Steffen Günsche
ich habe einen Domaincontroller eingerichtet und Benutzer angelegt, deren
Sobald sich ein Benutzer das erste Mal an der Domain anmeldet, wird im
Verzeichnis "Profile" - welches als "Profile$" für Domain-Admins und
Domain-Benutzer freigegeben ist - ein entsprechendes Benutzer-Verzeichnis
angelegt.
Du musst (solltest) vor der ersten Anmeldung des Benutzers für alle
Client PCs folgende Richtlinien aktivieren:

Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile
"Sicherheitsgruppe "Administratoren" zu servergespeicherten
Benutzerprofilen hinzufügen"

und im gleichen Pfad:
"Eigentümer von servergespeicherten Profilen nicht prüfen"
Post by Steffen Günsche
Versuche ich nun als Administrator (gehört zur Gruppe Domain-Admins und
Domain-Benutzer u.a.) auf dem Server auf ein solches
Benutzer-Profil-Verzeichnis zuzugreifen, habe ich keine Berechtigungen dazu.
Richtig. Weil nur der jeweilige Benutzer als einziger eingetragen ist.
Post by Steffen Günsche
Wenn ich mich als Besitzer eintragen will, funktioniert das zwar, allerdings
zeigt er mir vorher an: "Besitzer kann nicht angezeigt werden".
Eintragen alleine reicht nicht. Du müsstest den Besitz übernehmen.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
unknown
2006-01-13 11:31:22 UTC
Permalink
Post by Mark Heitbrink [MVP]
Du musst (solltest) vor der ersten Anmeldung des Benutzers für alle
Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile
"Sicherheitsgruppe "Administratoren" zu servergespeicherten
Benutzerprofilen hinzufügen"
"Eigentümer von servergespeicherten Profilen nicht prüfen"
Eine Frage, was macht man wenn die Option nicht aktiviert hatte und bereits
Profile angelegt hat. Übernehme ich den Besitz so bekommt der Benutzer beim
nächsten Login ein "Zugriff verweigert". Wenn ich per Hand die Rechte setze:
Administrator, Der Benutzer, System jeweils Vollzugriff auf alle Ordner und
Unterordner klappts noch immer nicht.

Gibt es eine Möglichkeit im Nachhinein auf die Profile zuzugreifen (wäre
wichtig,
ich möchte die Profile auf ein DFS verschieben) ?

Viele Grüße
Markus
Daniel Melanchthon [MSFT]
2006-01-13 14:09:06 UTC
Permalink
Post by unknown
Gibt es eine Möglichkeit im Nachhinein auf die Profile zuzugreifen (wäre
wichtig,
Schau Dir mal folgenden Artikel an. Dort findest Du die notwendigen
Berechtigungen:

Security Recommendations for Roaming User Profiles Shared Folders
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/20b15453-f7c9-4cf0-9131-78924af77655.mspx
--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
unknown
2006-01-16 09:57:10 UTC
Permalink
Vielen Dank für den Link!

Leider schaff's ich zeitlich heut nicht mehr, ich werds aber morgen gleich
ausprobieren...
Mark Heitbrink [MVP]
2006-01-14 20:16:28 UTC
Permalink
Hi,
Post by unknown
Eine Frage, was macht man wenn die Option nicht aktiviert hatte und bereits
Profile angelegt hat.[...]
Dann mekrt man sich das fürs nächste Mal, aktiviert es ab dann immer schon
_vorher_ und muss es für die vorhandenen Profile per Hand nacharbeiten ...

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: ***@Homepage, Versende-Adresse wird nicht abgerufen.
unknown
2006-01-16 10:01:43 UTC
Permalink
:-) Ja das mit dem vorher aktiveren hab ich damals echt vergessen. Ist mir
erst jetzt aufgefallen
als ich die Profile-Verzeichnisse auf einen DFS-Stamm verschieben wollte (es
zumindest mal testen wollte).

Deswegen gleich mal eine kleine Off-Topic-Frage: Macht es Sinn (bzw.
funktioniert es) Profile- und Home-Verzeichnisse
auf ein DFS zu legen, dass zwischen alle DCs im Netz repliziert wird? Somit
wäre das komplette System relativ
ausfallsicher (wenn man davon ausgeht, dass nicht alle Global Catalog-Server
gleichzeitig ausfallen)


Viele Grüße
Markus

Nils Kaczenski [MVP]
2006-01-05 21:59:59 UTC
Permalink
Moin,
Post by Steffen Günsche
Das verstehe ich nicht: Wieso kann der Besitzer nicht angezeigt werden,
wenn doch das Profil-Verzeichnis durch einen Domain-Benutzer (oder
zumindest durch einen Prozess auf dem Domain-Controller) angelegt wurde?
weil der Domänen-Admin standardmäßig halt gar keine Zugriffsrechte hat.
Dann kann er auch den Besitzer nicht anzeigen. Als Mitglied der lokalen
Admins des Dateiservers hat er aber die Möglichkeit, den Besitz an
Objekten zu übernehmen und sich danach die entsprechenden Rechte zu
verschaffen.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
MVP-Buch gewinnen: http://www.faq-o-matic.net/content/view/195/58/
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Loading...