[2003] Roaming profiles en Domain Admins - Serversoftware en clouddiensten

woensdag 22 juni 2005 15:18

Acties:

Verwijderd

Topicstarter

Hoi,

Waar ik nu terecht ben gekomen.......als eerste was (was dus) iedereen lid van de groep Administrators......NA verder onderzoek bleek dat ook iedereen lid is van de groep Domain Admins....

Nu werken ze hier met roaming profiles.
* Wanneer ik een user uit de Domain Admins groep verwijder en daarna laat inloggen dan ziet het profiel er anders uit, proggies werken niet meer etc etc.
* Wanneer ik een nieuwe user in de ADUC aanmaak is er niks aan het handje, dat is zo raar.
* Wanneer ik een nieuwe user het profiel geef van een bestaande user dan werkt het ook niet..
* Het register remote gecontroleerd voor rariteiten....niks raar te zien
* Rechten op de server op de map kloppen
* Nieuwe hidden share aangemaakt en de profielen van de nieuwe users komen daar keurig te staan, dus zijn die rechten ook goed.
* OU's gecontroleerd op GPO's....niks raar
* De default domain Policy is ge-edit en daarna gedisabled.....
* De default domain controller policy is ook ge-edit..
* Aan de beide default policies zitten de volgende seciurity templates:
conf - inetres - system - wmplayer - wuau
* In die templates zie ik niks vreemds....

Ik ben hier nu al een weekje mee bezig maar weet eigenlijk niet meer goed wat ik moet doen. De default Domain Policy resetten zou een idee zijn maar ik zag in een artikel dat het veel problemen zou kunnen veroorzaken en dat is te vaag voor mij.
Een ander idde wat ik overweeg is gewoon opnieuw te beginnen met de users en nieuwe profiles uit te rollen....

Echter zou ik graag willen weten wat er standaard in die beide default policies zou moeten staan....ik kan dit nml nergesn op het Internet vinden....

Wie o wie helpt mij...

woensdag 22 juni 2005 18:12

Acties:

garak

Ben zelf ook dit probleem paar keer tegen gekomen. Dat als je van een account met administrator rechten een normaal account maakte dat het profiel niet meer goed werd weergegeven. Dit was echter een hele eenvoudige omgeving en daardoor kan ik zeker de volgende oorzaken uitsluiten.

- GPO instellingen
- ntfs rechten
- shares rechten
- dat het een roaming profile only probleem is.

Weet alleen niet waaraan het wel ligt. Denk zelf dat het aan register rechten ligt maar heb er nooit tijd ingestoken. Hopelijk heb je er wat aan.

woensdag 22 juni 2005 18:18

Acties:

Verwijderd

Ehhh Admins en Domain Admins? Die laatste verwijder je? Zou als eerste eens kijken naar de rechten op de profile dir dan!

woensdag 22 juni 2005 18:37

Acties:

Verwijderd

Kijk anders eens naar de ownership.
Meen me te herinneren dat gebruikers owner/eigenaar moeten zijn van hun profiel.

donderdag 23 juni 2005 00:13

Acties:

Verwijderd

Topicstarter

Waar jullie het over hebben heb ik allemaal al gecontroleerd.
Alle rechten staan zoals ze horen, ook profiles van nieuwe users worden keurig weggeschreven.
Register nagekeken enz enz....

De omgeving is hier ook redelijk simpel dus denk idd ook om de profielen 1 voor 1 te gaan vernieuwen.......maar ja.,..wil toch wel heel erg graag weten hoe dit komt....

donderdag 23 juni 2005 08:17

Acties:

akimosan

Ja, dit is een leuke...

http://support.microsoft....aspx?scid=kb;en-us;314478

Er is ook een specifieker document maar die kan ik zo snel niet vinden. Ik google nog een beetje verder...)

In rpincipe beschrijft bovenstaand document wel hoe je het probleem kunt oplossen.

Je mag namelijk alle user profiles gaan updaten (ik hoop dat je roaming profiles hebt dan kun je het vanaf één werkplek doen)

De truc is dat je userprofiles gaat kopiëren en je zet de rechten van het profiel op "Everyone"

Wellicht kun je het scripten of is er een commandline utility om dezelfde actie uit te voeren, tips anyone?

donderdag 23 juni 2005 08:23

Acties:

IJnte

offtopic:
Wellicht is het een idee om op je website CSS te gebruiken ipv die style dingen blank in je HTML code te zetten

Daarvoor is CSS zo gemakkelijk

Niemand ziet namelijk welke styles je ergens gebruikt hebt

Exploring the world by bicycle! cyclingsilk.wordpress.com

donderdag 23 juni 2005 09:25

Acties:

Verwijderd

Topicstarter

akimosan schreef op donderdag 23 juni 2005 @ 08:17:
Ja, dit is een leuke...

http://support.microsoft....aspx?scid=kb;en-us;314478

Er is ook een specifieker document maar die kan ik zo snel niet vinden. Ik google nog een beetje verder...)

In rpincipe beschrijft bovenstaand document wel hoe je het probleem kunt oplossen.

Je mag namelijk alle user profiles gaan updaten (ik hoop dat je roaming profiles hebt dan kun je het vanaf één werkplek doen)

De truc is dat je userprofiles gaat kopiëren en je zet de rechten van het profiel op "Everyone"

Wellicht kun je het scripten of is er een commandline utility om dezelfde actie uit te voeren, tips anyone?

Goede tip hoor maar helaas niet voor mijn situatie.
Het "probleem" ff kort door de bocht:
Alle profilen werken echter moeten de bestaande gebruikers van de bestaande profilen lid zijn van de groep Domain Admins anders werken de profilen niet meer....hij krijgt een ander profiel.

Tevens denk ik persoonlijk dat het ook iets te maken zou kunnen hebben met een migratie die ze hier, voor mijn tijd, gehad hebben. De ex systeembeheerder zei mij dat hij iedereen maar lid gemaakt heeft van Administrators en Domain Admins omdat hij tegen dezelfde problemen op liep als ik nu...lekker makkelijk zo maja....
Wellicht hebben de profilen iets geerfd (zeg ik da goe?) van de "good old" NT server....

donderdag 23 juni 2005 10:11

Acties:

akimosan

Nee, de oplossing werkt wel degelijk maar vereist wat werk.

Log in als Domain Admin op een lokale PC waarbij het gebruikersprofile niet goed is.

Je gaat nu het gebruikersprofiel kopiëren,

Bij profiel kopiëren kun je rechtsreeks kopiëren naar het profielpad op de server (vooropgesteld dat je roaming profiles hebt!) dus bijvoorbeeld naar:

\\server\profiles\pietje.puk

Kies bij Permissions de groep EVERYONE

Bij waarschuwing gewoon het oude profile overschrijven (test desnoods met een testuser)

Verwijder daarna het lokale profiel en log de user aan. Roaming profile wordt geladen n als het goed is werkt ie nu goed.

Heb je lokale profielen dan ben je het zaadje, je kunt dan namelijk gaan kopiëren naar een tijdelijke map , oude userprofile map leegmaken en daarna de inhoud van de gekopieerde mape terugplaatsen.

Ik raad je aan voordat je userprofiles gaat kopiëren om de map Local Settings buiten beschouwing te laten aangezien die nogal groot kan zijn. Kopieeer desnoods alleen wat nuttig is uit die map.

Heb je lokale profielen dan ben je het zaadje, je kunt dan namelijk gaan kopiëren naar een tijdelijke map , oude userprofile map leegmaken en daarna de inhoud van de gekopieerde map terugplaatsen.

Het probleem wordt veroorzaakt doordat gebruikers een admin profiel hebben in plaats van een gewoon gebruikersprofile. De permissions in de registry zijn daardoor anders.

Hetzelfde geldt als je local administrator rechten van een gebruiker afneemt en je maakt geen nieuw profiel aan of kopieert het. (Check maar met je eigen account!) Eigenlijk moet je niet altijd aanmelden met administrator privileges maar gewoon een user account.
Er bestaat zoiets als "Run As.." en daar valt heel goed mee te werken als je het eenmaal gewend bent!

Success! Probeer het eens je zult zien dat het werkt! Ik hoop niet dat je al teveel gebruikers in je netwerk hebt?

PS: Vorige systeembeheerder verdient een stevig pak slaag (Users Domain Admin maken? Dan heb je het echt niet goed begrepen....)

[ Voor 16% gewijzigd door akimosan op 23-06-2005 10:18 ]

donderdag 23 juni 2005 12:20

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op donderdag 23 juni 2005 @ 09:25:
Alle profilen werken echter moeten de bestaande gebruikers van de bestaande profilen lid zijn van de groep Domain Admins anders werken de profilen niet meer....hij krijgt een ander profiel.

Wat gebeurt er specifiek? Wordt geen enkele setting meer overgenomen (krijg je dan ook een USER.001 of USER.domain map in je profiles directory erbij)?

Krijg je een melding in je eventlog? Als je op dat moment iets handmatig in het registry wijzigt, en je logt uit. Blijft die wijziging dan bewaard?

donderdag 23 juni 2005 15:00

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 23 juni 2005 @ 12:20:
[...]

Wat gebeurt er specifiek? Wordt geen enkele setting meer overgenomen (krijg je dan ook een USER.001 of USER.domain map in je profiles directory erbij)?

Krijg je een melding in je eventlog? Als je op dat moment iets handmatig in het registry wijzigt, en je logt uit. Blijft die wijziging dan bewaard?

Specifiek en visueel verandert de desktop, de snelkoppelingen, Word werkt niet meer, Outlook geeft een resource error aan enz enz. Een normale user kan (ne mag) soweiso niks aanpassen in het register.
Grappig is wel dat wanneer ik die user normaal laat inloggen (lees=lid van Domain admins) en ik daar een testsnelkoppeling maak deze toch wel meegenomen wordt wanneer ik hem weer uit die group haal. Het lijkt erop dattie een beetje van 2 neemt en dan duidt ik op dat migratie verhaal.
Heel toevallig zag ik nml in een testlaptop dat de verwijzing van de central profile verwezen staat naar de oude NT server (die ook off-line is)

Ik graaf ff verder want als ik misschien dat aanpas met de bestaande gebruiker werkt het.....

PS Nee, geen rare mapnaam, gewoon de usernaam en geen meldingen in de eventlog

[ Voor 5% gewijzigd door Verwijderd op 23-06-2005 15:44 ]

donderdag 23 juni 2005 16:29

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op donderdag 23 juni 2005 @ 15:00:
Specifiek en visueel verandert de desktop, de snelkoppelingen, Word werkt niet meer, Outlook geeft een resource error aan enz enz.

Kan je nog wel de properties opvragen van je (eigen) shortcuts?
Als je naar "%Userprofile%\desktop" navigeert - zie je dan je eigen shortcuts staan? Kan je ze wijzigen?

Een normale user kan (ne mag) soweiso niks aanpassen in het register.

Normaal gesproken heeft een normale user rechten op een groot stuk van zijn eigen HKCU

Grappig is wel dat wanneer ik die user normaal laat inloggen (lees=lid van Domain admins) en ik daar een testsnelkoppeling maak deze toch wel meegenomen wordt wanneer ik hem weer uit die group haal.

Ook als je eerst het profiel lokaal op de PC verwijdert?

Heel toevallig zag ik nml in een testlaptop dat de verwijzing van de central profile verwezen staat naar de oude NT server (die ook off-line is)

Wat bedoel je met 'central profile' ? Je bedoelt dat shortcuts naar andere PC's wijzen ofzoiets?

Weet je ovreigens zeker dat het niet een gevalletje is van 'LinkResolveIgnoreLinkInfo' ?

donderdag 23 juni 2005 17:16

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 23 juni 2005 @ 16:29:
[...]

Kan je nog wel de properties opvragen van je (eigen) shortcuts?
Als je naar "%Userprofile%\desktop" navigeert - zie je dan je eigen shortcuts staan? Kan je ze wijzigen?

Jep...en worden bewaart en meegenomen wanneer je bv op een andere pc weer inlogt[...]

Normaal gesproken heeft een normale user rechten op een groot stuk van zijn eigen HKCU

Bij ons niet hoor....kijken maar niet saven...

[...]

Ook als je eerst het profiel lokaal op de PC verwijdert?

jep
[...]

Wat bedoel je met 'central profile' ? Je bedoelt dat shortcuts naar andere PC's wijzen ofzoiets?
Naar een andere DC...in dit geval dus de oude NT bak
Te vinden onder HKLM\software\microsoft\Windows NT\CurrentVersion\Profilelist\

Die jongen die voor mij hier zat zei tegen mij dattie iedereen maar lid gemaakt heeft van Domain Admins juist omdat hij die roaming profiles niet werkend kreeg. de pest is nml dat alle software installs ook naar die oude server verwijzen. dus ik denk dattie het een en andere lekker heeft lopen mixen oid maar kwee nie precies wat...Weet je ovreigens zeker dat het niet een gevalletje is van 'LinkResolveIgnoreLinkInfo' ?
Deze vat ik ff niet..

[ Voor 6% gewijzigd door Verwijderd op 23-06-2005 17:19 ]

donderdag 23 juni 2005 17:20

Acties:

Verwijderd

Topicstarter

Als snelkoppelingne niet zouden werken dan was dat het minste probleem....echter werken proggie niet meer, ook niet mee r te installeeren e.d maar weer wel werkzaam wanneer ze weer lid zijn van die groep....vaaaaaaaaaaaaaaaaag

donderdag 23 juni 2005 17:27

Acties:

elevator

Officieel moto fan :)

Mjah, als je als user geen enkel recht hebt op HKCU - dan is dat misschien al wel een groot gedeelte van je probleem? Je *moet* als user rechten hebben in bv HKCU\Software

Probeer eens naar HKCU\Software te navigeren - heb je daar dan rechten om bv. een key bij te maken?

Over LinkResolveIgnoreLinkInfo - google even en zet de GPO aan

vrijdag 24 juni 2005 07:49

Acties:

akimosan

Je bent inderdaad rechten kwijt op je registry.

De methode die ik heb beschreven werkt in ieder geval, dat weet ik al zeker.

http://www.jsifaq.com/SUBP/tip7800/rh7830.htm

Bevat een link naar een MS tool die het ook vanaf de commandline doet, dus daarmee kun je alle roaming profiles al aanpassen in 1 batch

Probeer het eens , je zult zien dat het werkt

maandag 27 juni 2005 16:20

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 23 juni 2005 @ 17:27:
Mjah, als je als user geen enkel recht hebt op HKCU - dan is dat misschien al wel een groot gedeelte van je probleem? Je *moet* als user rechten hebben in bv HKCU\Software

Probeer eens naar HKCU\Software te navigeren - heb je daar dan rechten om bv. een key bij te maken?

Over LinkResolveIgnoreLinkInfo - google even en zet de GPO aan

Zo leer je nog eens wat

LinkResolveIgnoreLinkInfo stond en staat op not configured dus dat is het niet.

PS. Hij kan/mag een sleutel aanmaken en verwijderen bij HKCU/software....

PS2. En wanneer ik hem uit domain admin haal en weer laat aanmelden.....je raad het al...mag hij dus geen lseutel meer aanmaken...

[ Voor 17% gewijzigd door Verwijderd op 27-06-2005 16:28 ]

maandag 27 juni 2005 16:29

Acties:

Verwijderd

Topicstarter

akimosan schreef op vrijdag 24 juni 2005 @ 07:49:
Je bent inderdaad rechten kwijt op je registry.

De methode die ik heb beschreven werkt in ieder geval, dat weet ik al zeker.

http://www.jsifaq.com/SUBP/tip7800/rh7830.htm

Bevat een link naar een MS tool die het ook vanaf de commandline doet, dus daarmee kun je alle roaming profiles al aanpassen in 1 batch

Probeer het eens , je zult zien dat het werkt

Interessant echter zou lijkt het erop dat je dan wel een werkend profiel moet hebben of ben ik nu gek.
Zou ik dan bv het werkende profiel van de server moeten kopieeren naar de beheer laptop en dan weer via dat commando moeten terug kopieeren....?

maandag 27 juni 2005 16:38

Acties:

Verwijderd

Verwijderd schreef op maandag 27 juni 2005 @ 16:20:
[...]

Zo leer je nog eens wat

LinkResolveIgnoreLinkInfo stond en staat op not configured dus dat is het niet.

PS. Hij kan/mag een sleutel aanmaken en verwijderen bij HKCU/software....

PS2. En wanneer ik hem uit domain admin haal en weer laat aanmelden.....je raad het al...mag hij dus geen lseutel meer aanmaken...

en? nieuwe gebruikers mogen dit ook niet en toch werkt het, toch? dit is inderdaad wel de manier (over het algemeen) om normale gebruikers voldoende rechten te geven op sommige applicaties.

voor je roaming profiles moet je echt kijken naar de owner van het profile. het zo me niets verbazen als dat domain admins was.

maandag 27 juni 2005 17:17

Acties:

Verwijderd

Topicstarter

akimosan schreef op donderdag 23 juni 2005 @ 10:11:
Nee, de oplossing werkt wel degelijk maar vereist wat werk.

Log in als Domain Admin op een lokale PC waarbij het gebruikersprofile niet goed is.

Je gaat nu het gebruikersprofiel kopiëren,

Bij profiel kopiëren kun je rechtsreeks kopiëren naar het profielpad op de server (vooropgesteld dat je roaming profiles hebt!) dus bijvoorbeeld naar:

\\server\profiles\pietje.puk

Kies bij Permissions de groep EVERYONE

Bij waarschuwing gewoon het oude profile overschrijven (test desnoods met een testuser)

Verwijder daarna het lokale profiel en log de user aan. Roaming profile wordt geladen n als het goed is werkt ie nu goed.

Heb je lokale profielen dan ben je het zaadje, je kunt dan namelijk gaan kopiëren naar een tijdelijke map , oude userprofile map leegmaken en daarna de inhoud van de gekopieerde mape terugplaatsen.

Ik raad je aan voordat je userprofiles gaat kopiëren om de map Local Settings buiten beschouwing te laten aangezien die nogal groot kan zijn. Kopieeer desnoods alleen wat nuttig is uit die map.

Heb je lokale profielen dan ben je het zaadje, je kunt dan namelijk gaan kopiëren naar een tijdelijke map , oude userprofile map leegmaken en daarna de inhoud van de gekopieerde map terugplaatsen.

Het probleem wordt veroorzaakt doordat gebruikers een admin profiel hebben in plaats van een gewoon gebruikersprofile. De permissions in de registry zijn daardoor anders.

Hetzelfde geldt als je local administrator rechten van een gebruiker afneemt en je maakt geen nieuw profiel aan of kopieert het. (Check maar met je eigen account!) Eigenlijk moet je niet altijd aanmelden met administrator privileges maar gewoon een user account.
Er bestaat zoiets als "Run As.." en daar valt heel goed mee te werken als je het eenmaal gewend bent!

Success! Probeer het eens je zult zien dat het werkt! Ik hoop niet dat je al teveel gebruikers in je netwerk hebt?

PS: Vorige systeembeheerder verdient een stevig pak slaag (Users Domain Admin maken? Dan heb je het echt niet goed begrepen....)

Schiet mij maar lek maar op die computer staat geen lokaal profiel dus valt er niks te kopieeren.
Handmatig kopieeren heb ik al een keer gedaan maar dan blijft het resultaat, helaas, hetzelfde.

maandag 27 juni 2005 19:50

Acties:

elevator

Officieel moto fan :)

Waarschijnlijk staat 'DeleteRoamingCache' aan waardoor je profielen lokaal niet bewaard blijven

Je zou kunnen proberen om handmatig een ntuser.dat in te laden in de registry, en vervolgens de rechten te resetten al is dat een nogal ranzige methode

maandag 27 juni 2005 20:09

Acties:

Ferruginous Hwk

Je kunt Registry rechten zetten dmv regedt32.exe

Je moet dan bij HKEY_USERS de juiste SID selecteren.. Vervolgens kun je via de RMB kiezen voor machtigingen en zo rechten zetten op de bewuste HKCU string.

Persoonlijke mening
Ik had die gebruikers overigens gewoon een nieuwe UserID gegeven en een nieuw profiel.
Die tijd die jij erin hebt gestopt zou ik zelf niet genomen hebben.

[ Voor 32% gewijzigd door Ferruginous Hwk op 27-06-2005 20:11 ]

Everything should be made as simple as possible, but not simpler. (A. Einstein)

maandag 27 juni 2005 20:10

Acties:

elevator

Officieel moto fan :)

Je gaat er dan van uit dat het profiel actief geladen is - veelal is dat nite met roaming profiles. Door dus eerst de NTUSER.DAT te laden onder je HKLM kan je vervolgens idd jouw methode verder uitvoeren

dinsdag 28 juni 2005 10:08

Acties:

Verwijderd

Topicstarter

elevator schreef op maandag 27 juni 2005 @ 19:50:
Waarschijnlijk staat 'DeleteRoamingCache' aan waardoor je profielen lokaal niet bewaard blijven

Je zou kunnen proberen om handmatig een ntuser.dat in te laden in de registry, en vervolgens de rechten te resetten al is dat een nogal ranzige methode

Ranzig? Hahaha lekkuh

Die gpo regel is niet toegepast want dat had ik al gecontroleerd. Gisterenavond is er iemand bij geweest (je weet immers nooit) maar (gelukkig) heb ik niks over het hoofd gezien. Wle adviseerde hij (net als jij een beetje) om nieuwe profielen aan te gaan maken.
Ik werk in een zeer kleine omgeving op het moment (15 werkplekken duh!) dus is te doen. Echter niet zo gemakkelijk als het lijkt want tis me een zooitje hier, niet te filmen.

Aangezien ik nog nooit met roaming gewerkt heb, alle begin is een uitdaging, heeft iemand nog meer tips en truuks?

dinsdag 28 juni 2005 10:10

Acties:

Verwijderd

Topicstarter

GeRtOn schreef op maandag 27 juni 2005 @ 20:09:
Je kunt Registry rechten zetten dmv regedt32.exe

Je moet dan bij HKEY_USERS de juiste SID selecteren.. Vervolgens kun je via de RMB kiezen voor machtigingen en zo rechten zetten op de bewuste HKCU string.

Persoonlijke mening
Ik had die gebruikers overigens gewoon een nieuwe UserID gegeven en een nieuw profiel.
Die tijd die jij erin hebt gestopt zou ik zelf niet genomen hebben.

Je hebt helemaal gelijk, gaan ik nu ook doen. Ik wilde echter er zeker van zijn dat mijn weg de goede zou zijn....

dinsdag 28 juni 2005 10:35

Acties:

Verwijderd

Waarschijnlijk te simpel (maar ik denk graag simpel); Kan het niet iets lokaals zijn, dat hij z'n profiel niet kan aanpassen/gebruiken? Als een gebruiker (domain) admin is heeft hij lokaal ook alle rechten (als het om XP PC's gaat dan), misschien eens een gebruiker local admin maken en kijken wat hij dan kan en mag aanpassen in zijn eigen profiel.

Roaming profile kopieert je profiel vanaf de server lokaal, en bij het afmelden weer terug naar de server. Dus als het lokaal al niet goed gaat kun je op de server zoeken wat je wilt natuurlijk.

dinsdag 28 juni 2005 22:20

Acties:

akimosan

Verwijderd schreef op maandag 27 juni 2005 @ 16:29:
[...]

Interessant echter zou lijkt het erop dat je dan wel een werkend profiel moet hebben of ben ik nu gek.
Zou ik dan bv het werkende profiel van de server moeten kopieeren naar de beheer laptop en dan weer via dat commando moeten terug kopieeren....?

Ja, je bent een beetje gek ;-)

Het profiel "an sich" werkt prima, alleen de rechten kloppen niet meer

Het zit hem in de rechten op het profiel (niet alleen op bestandssysteem maar ook op registry niveau)

Daarom wijzig je ook de rechten naar de groep EVERYONE. Daarmee wijzig je niet alleen de NTFS rechten op de bestanden en mappen maar ook op de registry van dat profiel.

Stel:

Situatie A:

Gebruiker TESTDOMEIN\Piet is lid van de lokale groep Administrators op pc Testbak
(Als hij op het domain lid is van Domain Admins is hij standaard ook Administrator aangezien Domain Admins lid zijn van Administrators op de PC)

Hij werkt al geruime tijd op de PC dus een profile bestaat in C:\Documents and Settings\Piet

Dan komt er een snuggere beheerder en die zegt:

"Wat, alle users lid van Domain Admins? Ik dacht het niet!"

En verwijdert alle normale user accounts uit de groep Domain Admins

Piet is dus in 1 klap geen beheerder meer op de machine TESTBAK! En verliest derhalve rechten op de registry!

Oplossing in geval van lokale profielen: (Windows XP Professional)

Login als Domain Admin (In dit voorbeeld wordt een domein gebruikt)
Maak een map TEMP aan in C:\
Start, Configuratiescherm, Systeem, Geavanceerd, onder kopje Gebruikersprofielen kies Instellingen
Selecteer het profiel TESTDOMEIN\Piet en kies Kopiëren naar..
Vul bij het pad in C:\TEMP\Piet
Kies bij "Toegestaan te gebruiken" voor Wijzigen
Selecteer EVERYONE (of Iedereen) en klik op OK
Profiel wordt gekopieerd
Maak de inhoud van C:\Documents and Settings\Piet leeg (let op verborgen bestanden en mappen en systeembestanden en mappen, die zie je standaard niet dus zet dit aan in Explorer!)
Kopieer de inhoud van C:\Temp\Piet naar C:\Documents and Settings\Piet
Log in als Piet

Klaar! Je kunt nu weer alles normaal gebruiken.

Herhaal procedure op elke computer of :

Gebruik de commandline tool waarvan ik het linkje heb gegeven om het te scripten.

Ik weet dat je inmiddels al met de hand bezig bent geweest om lokal profielen aan te passen op 15 computers maar nu weet je het voor de volgende keer.
Stel dat het er 300 waren geweest.

woensdag 29 juni 2005 13:54

Acties:

Verwijderd

Topicstarter

Tis de kleinste omgeving waar ik ooit gewerkt heb....net geen 20 werkplekken (ahum...) maar nog nooit zo'n gecompliceerde en raar ingestelde omgeving meegemaakt als hier.

En wanneer ze dan je vakkundigheid zouden accepteren zou dat perfect zijn maar de "bouwers" in kwestie (althans die hier nog werken) is een boekhoudkundige tuinkabouter en een vriendelijke programmeur. de eerste heeft ooit eens een boek bij de Bruna gekocht en denkt nu systeembeheerder te zijn.......JA het bestaat nog en daar moet ik nu dageliojks mee "vechten".

Het is niet goed, elke voorstel en advies van kmij is ook niet goed (volgens hun) maar met een oplossing komt niemand...

Nee hoor...ik ben niet gefrusteerd.....slecht wat gepikkeerd.....

Herkent iemand dit of gaat het bij jullie allemaal van een leien dakkie?

woensdag 29 juni 2005 14:14

Acties:

Verwijderd

Topicstarter

akimosan schreef op dinsdag 28 juni 2005 @ 22:20:
[...]

Ja, je bent een beetje gek ;-)

Het profiel "an sich" werkt prima, alleen de rechten kloppen niet meer

Het zit hem in de rechten op het profiel (niet alleen op bestandssysteem maar ook op registry niveau)

Daarom wijzig je ook de rechten naar de groep EVERYONE. Daarmee wijzig je niet alleen de NTFS rechten op de bestanden en mappen maar ook op de registry van dat profiel.

Stel:

Situatie A:

Gebruiker TESTDOMEIN\Piet is lid van de lokale groep Administrators op pc Testbak
(Als hij op het domain lid is van Domain Admins is hij standaard ook Administrator aangezien Domain Admins lid zijn van Administrators op de PC)

Hij werkt al geruime tijd op de PC dus een profile bestaat in C:\Documents and Settings\Piet

Dan komt er een snuggere beheerder en die zegt:

"Wat, alle users lid van Domain Admins? Ik dacht het niet!"

En verwijdert alle normale user accounts uit de groep Domain Admins

Piet is dus in 1 klap geen beheerder meer op de machine TESTBAK! En verliest derhalve rechten op de registry!

Oplossing in geval van lokale profielen: (Windows XP Professional)
Login als Domain Admin (In dit voorbeeld wordt een domein gebruikt)
Maak een map TEMP aan in C:\
Start, Configuratiescherm, Systeem, Geavanceerd, onder kopje Gebruikersprofielen kies Instellingen
Selecteer het profiel TESTDOMEIN\Piet en kies Kopiëren naar..
Vul bij het pad in C:\TEMP\Piet
Kies bij "Toegestaan te gebruiken" voor Wijzigen
Selecteer EVERYONE (of Iedereen) en klik op OK
Profiel wordt gekopieerd
Maak de inhoud van C:\Documents and Settings\Piet leeg (let op verborgen bestanden en mappen en systeembestanden en mappen, die zie je standaard niet dus zet dit aan in Explorer!)
Kopieer de inhoud van C:\Temp\Piet naar C:\Documents and Settings\Piet
Log in als Piet
Klaar! Je kunt nu weer alles normaal gebruiken.

Herhaal procedure op elke computer of :

Gebruik de commandline tool waarvan ik het linkje heb gegeven om het te scripten.

Ik weet dat je inmiddels al met de hand bezig bent geweest om lokal profielen aan te passen op 15 computers maar nu weet je het voor de volgende keer.
Stel dat het er 300 waren geweest.

Mooie uitleg bedankt!. Ik was nog niet begonnen met die profielen omdat ik ook nog wat wilde testen. Echter werkt je uitleg niet op een bestaande gebruiker. Wanneer ik stappenpaln volg dan kan deze gebruiker zich dus niet aanmelden....
Het scherm van Windows kan u niet aanmelden omdat het profiel niet kan worden geladen enz enz enz..
Behalve je stappenplan heb ik op de server in de ADUC ff het pad naar zijn profiel weggehaald en hem uit de groep Domain Admins gehaald, verder niks.

Vandaag heb ik het foefje getest om hem lokaal administrtief recht te geven wanneer hij zich aanmeld via Domein X en dat werkte...op die manier kan ik iig iedereen uit die DA groep halen maar hoopte eigenlijk meer op jou plan.
Ik het register van die beheerlaptop staan nog steeds verwijzingen naar het pad op de server en die laptop is sowie aan verversing toe hetgeen ik morgen even ga doen.

Ik ben zo vrij dus ik pak de draad morgenochtend weer op....remote inloggen mag hier helaas niet....

dinsdag 5 juli 2005 11:18

Acties:

Verwijderd

Topicstarter

Heej guyzzz......tis opgelost.

Toch ff de SID handmatig aan gepast.......was ook nieuw voor mij hoor maar het werkt nu wel.
Gebruiker kan alles weer doen en euh is dus ook geen lid meer van Domain Admins

, zoals het hoort dus!.
Wel veel tijd aan besteed maar nu weet ik dat ook weer, altijd handig.

Ik wil iedereen bedanken voor zijn input, jullie zijn echt Tha Bomb!!!!

$_/-\o_$ $_/-\o_$ $_/-\o_$ $_/-\o_$

woensdag 6 juli 2005 10:23

Acties:

Verwijderd

Topicstarter

Oeps...bijna opgelost....

Wat blijkt...op sommige pc's doet de software vreemd. Dus user a gebruikt altijd proggie b...logt in op een compleet andere werkplek en nu wil de software zichtzelf gaan installeren wat weer niet mag omdat ze geen beheerder zijn....zucht...denk je alles gehad te hebben.

Met het foefje local admin werkt het dus wel. SID van de user wederom gechecked maar staat nog steeds goed, in local machine wat geporbeerd expliciet op die app maar heeft geen zin, werkt niet.

Het is bij deze user a overigens maar op 1 pc, ik heb het op 3 andere geprobeert en daar werkt het perfect dus denk ik dat het iets lokaals is maar wat.....

Op een andere computer waar eigenlijk altijd maar 1 gebruiker inlogt (1 van de 3 winkelbalie pc's) is ook vaag. Wanneer ik daar op inlog als die gebruiker wil hij eigenlijk hetzelfde doen als wat ik beschreef bij user a....local admin foefje toegepast en danw erkt alles wel naar behoren.

Wie kan mij hiermee helpen?

woensdag 6 juli 2005 13:10

Acties:

mutsje

Certified Prutser

misschien moet je je eens meer gaan verdiepen in het fenomeen roaming profile en hoe het in 1 keer goed in te richten. Waarom verwijder je niet gewoon de profiles en laat ze opnieuw inloggen wordt er een vers profiel aangemaakt en zouden je problemen opgelost moeten zijn. Je loopt nu met rechten te klooien door bv everyone full control... wat nou echt weer een overkill aan rechten is etc. Roaming profiles is lastig om goed in te stellen maar dan heb je het wel gehad voor de rest

woensdag 6 juli 2005 14:29

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op woensdag 06 juli 2005 @ 10:23:
Wat blijkt...op sommige pc's doet de software vreemd. Dus user a gebruikt altijd proggie b...logt in op een compleet andere werkplek en nu wil de software zichtzelf gaan installeren wat weer niet mag omdat ze geen beheerder zijn....zucht...denk je alles gehad te hebben.

Waarschijnlijk is de applicatie niet volledig correct meer geinstalleerd. Even een repair uitvoeren, en als dat niet helpt met msizap de resten verwijderen

woensdag 6 juli 2005 14:46

Acties:

Verwijderd

Topicstarter

mutsje schreef op woensdag 06 juli 2005 @ 13:10:
misschien moet je je eens meer gaan verdiepen in het fenomeen roaming profile en hoe het in 1 keer goed in te richten. Waarom verwijder je niet gewoon de profiles en laat ze opnieuw inloggen wordt er een vers profiel aangemaakt en zouden je problemen opgelost moeten zijn. Je loopt nu met rechten te klooien door bv everyone full control... wat nou echt weer een overkill aan rechten is etc. Roaming profiles is lastig om goed in te stellen maar dan heb je het wel gehad voor de rest

Je hebt in principe helemaal gelijk maar zo eenvoudig gaat dat hier niet.
Zoals jij het schets heb ik nml allang geprobeerd maar dan werkt het niet mede doordat iedereen ooit lid was van de groep Administrators en Domain Admins.

wanneer nu iedereen hetzelfde probleem zou hebben na de omzetten is het verhaal anders maar nu werkt zeker 90% naar behoren alleen enkele niet. en nu ben ik dus, mede met jullie hulp, aan het uitzoeken waar dat nou aan ligt. Het "geklooi" met de rechten valt wel mee hoor wanneer het hele verhaal leest.

woensdag 6 juli 2005 14:48

Acties:

Verwijderd

Topicstarter

elevator schreef op woensdag 06 juli 2005 @ 14:29:
[...]

Waarschijnlijk is de applicatie niet volledig correct meer geinstalleerd. Even een repair uitvoeren, en als dat niet helpt met msizap de resten verwijderen

Dat zou je idd denken dus heb ik al gedaan...werkt super onder diversen users behalve die ene weer niet....dus....profiel verwijdert...opnieuw ingelogt...drama blijft...andere pc gepakt...drama blijft...local admin recht gegeven...werkt perfecto.....tis een rechtenkwestie maar schiet mij maar lek waarom..

Lang leve het erfenissie van de vorige.....euh...systeembeheerder...

donderdag 7 juli 2005 16:15

Acties:

Verwijderd

Topicstarter

Na de gedane zaken gedaan te hebben (SID's aangepast e.d) komen er weer nieuwe zaken bonven water:

https pagina's niet meer bereikbaar > wel wanneer je local admin of domain admin bent

uit naam van een ander e-mailverzenden > wel wanneer je domain admin bent

Ik zeg het niet snel en heb voor hetere vuren gestaan maar weet het niet meer wat ik nog verder kan doen, het lijkt wel alsof de vorige beheerder qua rechten e.d. een beetje te ver gegaan is oid, of dat er toch nog NT ervenissjes ergens hidden staan......wat raden jullie aan....toch maar een echte expert laten komen?

donderdag 7 juli 2005 16:35

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op donderdag 07 juli 2005 @ 16:15:
https pagina's niet meer bereikbaar > wel wanneer je local admin of domain admin bent

Wat gebeurt er dan? Hoe is jullie config qua internet verbinding?

uit naam van een ander e-mailverzenden > wel wanneer je domain admin bent

Dat lijkt me logisch - normaal gesproken mag je niet uit iemand anders' naam mail verzenden tenzij je daar expliciet rechten voor hebt

donderdag 7 juli 2005 19:59

Acties:

alt-92

ye olde farte

Verwijderd schreef op donderdag 07 juli 2005 @ 16:15:
Ik zeg het niet snel en heb voor hetere vuren gestaan maar weet het niet meer wat ik nog verder kan doen, het lijkt wel alsof de vorige beheerder qua rechten e.d. een beetje te ver gegaan is oid, of dat er toch nog NT ervenissjes ergens hidden staan......wat raden jullie aan....toch maar een echte expert laten komen?

Ik zou gewoon from scratch beginnen en geen ouwe bagger meer meenemen.
(docs ok, maar voor de rest...).
Pak 2 Pcs, gooi daar een nieuwe verse clean install op en laat er alleen users met een compleet nieuw, schoon profile op werken.
Begin zo opnieuw.

Voordat je begint dat je daar lang mee bezig zou zijn... Kijk nu eens hoe lang je al aan het k*tten bent met de huidige situatie?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 7 juli 2005 20:16

Acties:

Verwijderd

Verwijderd schreef op woensdag 06 juli 2005 @ 10:23:
Oeps...bijna opgelost....

Wat blijkt...op sommige pc's doet de software vreemd. Dus user a gebruikt altijd proggie b...logt in op een compleet andere werkplek en nu wil de software zichtzelf gaan installeren wat weer niet mag omdat ze geen beheerder zijn....zucht...denk je alles gehad te hebben.

Met het foefje local admin werkt het dus wel. SID van de user wederom gechecked maar staat nog steeds goed, in local machine wat geporbeerd expliciet op die app maar heeft geen zin, werkt niet.

Het is bij deze user a overigens maar op 1 pc, ik heb het op 3 andere geprobeert en daar werkt het perfect dus denk ik dat het iets lokaals is maar wat.....

Op een andere computer waar eigenlijk altijd maar 1 gebruiker inlogt (1 van de 3 winkelbalie pc's) is ook vaag. Wanneer ik daar op inlog als die gebruiker wil hij eigenlijk hetzelfde doen als wat ik beschreef bij user a....local admin foefje toegepast en danw erkt alles wel naar behoren.

Wie kan mij hiermee helpen?

Op die andere bak is het installed onder Admin rechten right?

Die user is dus owner op die bak, maar niet op de nieuwe bak. Een re-install zou moeten werken, maar dan nog staan er zaken niet goed ingesteld mbt rechten voor de apps..

vrijdag 8 juli 2005 12:46

Acties:

Verwijderd

Topicstarter

elevator schreef op donderdag 07 juli 2005 @ 16:35:
[...]

Wat gebeurt er dan? Hoe is jullie config qua internet verbinding?

[...]

Dat lijkt me logisch - normaal gesproken mag je niet uit iemand anders' naam mail verzenden tenzij je daar expliciet rechten voor hebt

Verbinding van Internet is gewoon gewoon eigenlijk. Via de default gateway naar buiten...simpel gezegt dan.

Ja logisch in andere omgevingen, nee hier dus niet. Wat ze gedaan hebben is een user gemaakt met de naam ikbendemeel (fictief

).... en op die gebruiker in het profiel iedereen de rechten gegeven. echter lijkt het nu nioet alsof die rechten genegeerd worden.

vrijdag 8 juli 2005 12:59

Acties:

Verwijderd

Topicstarter

PS...Dat e-mail probleem heb ik opgelost en was ook simpel. Onder het account van die aparte gebruiker heb ik bij de delivery options permissie gegevens aan de desbetreffende persoon, werkt als een stier....

Gelukkig, een probleempie minder op deze natte vrijdag..

vrijdag 8 juli 2005 13:01

Acties:

Verwijderd

Topicstarter

BackSlash32 schreef op donderdag 07 juli 2005 @ 19:59:
[...]

Ik zou gewoon from scratch beginnen en geen ouwe bagger meer meenemen.
(docs ok, maar voor de rest...).
Pak 2 Pcs, gooi daar een nieuwe verse clean install op en laat er alleen users met een compleet nieuw, schoon profile op werken.
Begin zo opnieuw.

Voordat je begint dat je daar lang mee bezig zou zijn... Kijk nu eens hoe lang je al aan het k*tten bent met de huidige situatie?

Ben ik al mee bezig tussen neus en lippen door. Oudere test laptop helemaal opnieuw geinstalleerd en geconfigureerd. Straks ff met een hagelnieuwe aangemaakt gebruiker inloggen en maar eens kijken wat er beurt...

vrijdag 8 juli 2005 13:01

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 07 juli 2005 @ 20:16:
[...]

Op die andere bak is het installed onder Admin rechten right?

Die user is dus owner op die bak, maar niet op de nieuwe bak. Een re-install zou moeten werken, maar dan nog staan er zaken niet goed ingesteld mbt rechten voor de apps..

Mijn test met een nieuw geinstalleerde laptop moet uitkomst brengen...onie..

vrijdag 8 juli 2005 13:26

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op vrijdag 08 juli 2005 @ 12:46:
Verbinding van Internet is gewoon gewoon eigenlijk. Via de default gateway naar buiten...simpel gezegt dan.

Je kan dan vanuit die PC's wel naar internet pingen?

vrijdag 8 juli 2005 14:27

Acties:

Verwijderd

Topicstarter

elevator schreef op vrijdag 08 juli 2005 @ 13:26:
[...]

Je kan dan vanuit die PC's wel naar internet pingen?

Ik zal het even wat gedetaillerder uitleggen....
Alle Internetsites zijn gewoon bereikbaar daar ligt het ook niet aan. Het ligt aan het feit wanneer ze switchen naar een https site...dan komt men er niet op....Wanneer ze vervolgens weer local admin zijn....dan weer wel.
Ik heb mij al het schompies (solly) lopen zoeken of die vorige knakker misschien nog een hidden gpo heeft lopen maar kan niks vinden.
Ook het resetten van de Internet instellingen bij de user (lokaal) heeft geen enkel effect....

Op de nieuwe laptop met de nieuwe user nog niet getest...

Pagina: 1

Reageer