ComputerBase Menü
Aktuelles

GPO - Servergesp. Profile für bestimmte Benutzer

PsychoX7

PsychoX7

Lieutenant
Registriert
Aug. 2008
Beiträge
531
Hallo CB'ler,

ich bin gerade dabei via GPO Servergespeicherte Profile einzurichten, allerdings will mir das nicht so ganz gelingen. Vorgabe ist, dass die Servergespeicherten Profile nur für eine bestimmte Benutzergruppe angewandt werden sollen.

Was ich bisher gemacht habe:
- Benutzergruppe "Serverprofil" erstellt und die betroffenen Benutzer aufgenommen
- Verzeichnis für die Profile auf dem Server erstellt und freigegeben (Freigabename: "profile" - Berechtigungen: jeder vollzugriff)
- NTFS-Berechtigungen für die Gruppe "Serverprofil" auf "Vollzugriff" eingestellt.
- Neues Gruppenrichtlinienobjekt in der Verwaltung unter DOMÄNE -> MyBusiness -> Computers -> SBSComputers mit dem namen "Serverprofil" erstellt.
- Unter Bereich -> Sicherheitsfilterung wurde die Gruppe "Authentifizierte Benutzer" entfernt und "Serverprofil" hinzugefügt.
- Das Gruppenrichtlinienobjekt wurde danach bearbeitet: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Benutzerprofile -> Pfad des servergespeicherten Profils für alle Benutzer festlegen, ...
- Der Pfad auf dem Server ("\\IP\profile\%USERNAME%") wurde angegeben.

Das Problem: Wenn sich ein Benutzer der Gruppe am System anmeldet, wird lediglich ein lokales Profil erstellt. Ein Profil auf dem Server ist auch nach mehrmaliger Anmeldung mit einem entsprechenden Benutzer nicht zu finden.
Der Befehl "GPUPDATE" zeigte keine Wirkung im Bezug auf diese Problematik.
Wenn ich den Befehl "GPRESULT /R" ausführe, wird mir die Richtlinie allerdings nichteinmal angezeigt?!
Der Hinweiß, dass der Benutzer in der entsprechenden Gruppe Mitglied ist, ist allerdings vorhanden.

Erstelle ich das Gruppenrichtlinienobjekt im Bereich Users -> SBSUsers wird mir mit dem Befehl GPRESULT /R zwar angezeigt, dass das Objekt vorhanden ist, aber nicht angewendet wird, mit dem Hinweiß "(leer)".

Neustart des Clients brachte ebenfalls keine Besserung. Getestet wurde es auf zwei Clients. Einmal mit Windows Vista SP2 und einmal mit Windows 7 SP1.
Die Domäne basiert auf einem SBS2011 und einem zusätzlichen Server 2008R2 als 2. Domänencontroller. AD/DNS werden repliziert. Die Replikation funktioniert absolut problemlos.

Wo liegt mein Fehler?

Danke vorab, für die Hilfe!
 
Zuletzt bearbeitet:
Ich sehe nirgendswo, wo du den Pfad zum Profil im Benutzerkonto eingetragen hast. Oder sehe ich da was falsh?
 
Naja.. der Pfad wird ja in der Gruppenrichtlinie angegeben. Natürlich muss es
"\\{IP}\profile\%USERNAME%" lauten.
Die Einstellung passte vorher bereits, aber danke für den Hinweiß auf meinen fehlerhaften Beitrag.
 
Du darfst die 'Authenticated Users' nicht entfernen, lediglich den Haken bei 'Apply Group Policy' wegmachen ('Read' muß aktiviert bleiben). 'Authenticated Users' sind auch die Computerkonten. Wenn Du diese entfernst, kann der Client die Policy nicht auf die Policy zugreifen und anwenden.
 
Danke für die Antwort.
Das ergibt natürlich Sinn, dass man die Authentifizierten Benutzer nicht entfernen darf.

Allerdings finde ich den von dir genannten Punkt bezüglich "Apply Group Policy" nicht.
Wie kann ich es dann bewerkstelligen, dass die Gruppenrichtlinie nur für die Benutzer der entsprechenden Gruppe angewendet wird?
Stehe gerade ein wenig auf dem Schlauch.

EDIT:
Bei Bereich müsste ja festgelegt werden, auf welche Gruppe die Richtlinie zutrifft.
Das würde bedeuten, wenn ich dort die Authentifizierten Benutzer eintrage, gilt die Richtlinie für alle.

Genügt es den Authentifizierten Benutzern unter "Delegierung" die Leserechte zu erteilen?
Das würde, so wie ich es verstanden habe, dem entsprechen was du damit meintest, FBrenner.
Wenn ich die Konfiguration ändere, bleibt es leider immernoch beim lokalen Profil.
 
Zuletzt bearbeitet: (Ergänzung nach Test)
Das meinte ich damit.
'Authenticated Users' -> READ
'Serverprofil' -> READ, APPLY Group Policy (wahrscheinlich 'Anwenden' in deutsch)

Troubleshooting:
- Event Log am Client
- gpresult (wird das GPO überhaupt angewendet)

BTW: Ich würde der Gruppe 'Serverprofil' nur 'Ändern' NTFS Rechte erteilen.
 
Zuletzt bearbeitet:
Die Option scheint es in dieser Form nicht zu geben. Ich kann nur den Bereich ändern und die Delegierung anpassen. Authentifizierte Benutzer sind nun ausgenommen aus der GPO, haben aber in der Delegierung Leseberechtigungen.

GPResult /R liefert mir keinen Eintrag zum GPO.
Verlege ich das GPO in einen anderen Bereich; Beispielsweise "MyBusiness"; wird das GPO angezeigt, allerdings als "nicht angewendet (leer)".
Unter Einstellungen des GPO ist jedoch die Konfiguration zu sehen.

Im Eventlog sind keine Fehler vorhanden, die auf irgendwelche GPO oder Profile hinweisen.
 
Ich gehen bei solchen Filtern auf das GPO -> Edit (Ändern, bearbeiten?) und dann im Editor auf 'Eigenschaften'. Hier kannst Du die Sicherheitseinstellungen bearbeiten.

Wenn das GPO 'leer' ist, schaust Du evtl. im Computer-Kontext? Dieser Teil ist ja wirklich leer, da dies eine User-Einstellung ist. Führe mal gpresult /H C:\temp\result.html aus (C:\temp muß existieren).
 
Hmm. Die Sache mit den Berechtigungen scheint dem zu entsprechen, was ich vorher bereits einstellte.

Btw.: Die Sache mit den Servergespeicherten Profilen ist in der Gruppenrichtlinienverwaltung unter der Computerkonfiguration zu finden.
Ich habe nun mal 2 Verknüpfungen angelegt. Die eine Verknüpfung zeigt er mir garnicht erst an (Unter SBS-Computers) und die andere wird verweigert, da angeblich leer.

Ich habe das Ergebnis der Datei mal angehängt. HTML-Dateien lassen sich nicht hochladen :)
Anhang anzeigen Result.zip
 
Wenn das eine Computerpolicy ist, bringt der Sicherheitsfilter auf Userebene nichts. Außerdem hast Du in der HTML Datei nur die Usereinstellungen. Du hast aber eine Computereinstellung konfiguriert, so daß Du gpresult /H als Administrator ausführen mußt. Ich würde den Profilpfad in den Eigenschaften der Benutzer unter 'Profile Path' eintragen.

Edit: Du kannst per GPO AFAIK gar keine Roaming Profiles für Usergruppen erstellen. Die Computereinstellungen beziehen sich auf alle User an den entsprechenden PCs.
 
Zuletzt bearbeitet:
Den verdacht habe ich solangsam auch. Vermutlich muss ich dann entweder alle Profile umstellen, oder eben die Benutzer einzeln Konfigurieren. Wäre auch zu einfach gewesen, das einfach für eine bestimmte Gruppe zu Konfigurieren.
Aber danke für eine Hilfe! :)
 
Muß denn das ganze Profil umgestellt warden? Evtl. kannst Du Dein Vorhaben per Folder Redirection lösen. Das wird im Userteil konfiguriert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

hamsi61
Internet für bestimmte Benutzer sperren
Antworten
2
Aufrufe
1.211
hamsi61
hamsi61
D
Netzlaufwerk Freigabe für bestimmte Benutzer ?
Antworten
4
Aufrufe
2.510
Dynasty
D
G
Ordnerfreigabe für bestimmte Benutzer mit Batch
Antworten
1
Aufrufe
997
miac
M
T
OpenOffice/Excel Spalten für bestimmte Benutzer ein-/ausbelnden
Antworten
1
Aufrufe
3.020
werkam
W
M
netzwerk berechtigung für bestimmte benutzer erteilen
Antworten
8
Aufrufe
5.242
manu4g
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz