Toon posts:

[W2003] Andere Default User Profile voor Terminal Server

Pagina: 1
Acties:

Verwijderd

Topicstarter
Hallo,

Naast een strak ingericht Windows Server 2003 Small Business domein met ongeveer 40 clients en roaming profiles, heb ik nu ook een Terminal Server (2003) ingericht. Het werkt goed, ik heb echter één probleem.

Op de Terminal Server dient men een ander profiel te krijgen dan op de normale clients, anders krijg je vele fouten in je profiel. Nu heb ik op de Terminal Server een default user profile aangemaakt. Echter, de Terminal Server pakt bij de eerste keer inloggen van een gebruiker de (Domain) Default User Profile die in de Netlogon staat en niet die lokaal staat. Dit is vrij logisch gedrag, alleen in dit geval niet wenselijk.

De enige manier om de lokale Default User Profile te krijgen is om de Domain versie in de Netlogon tijdelijk te hernoemen, maar zoals je begrijpt is dit geen serieuze optie.

Ik heb me reeds sufgegoogeld en hierover niets gevonden.

Wie kan me helpen?
Dank!

  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 12:22

StarWing

Huh ?!?

Je kan bij de userproperties instellen waar het terminal-profiel en het gewone profiel wordt opgeslagen. Indien je deze 2 lokaties verwijst naar een verschillende share, lost dit dan je probleem op ?

Page intentionally left blank.


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:38

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

StarWing schreef op maandag 27 februari 2006 @ 12:46:
Je kan bij de userproperties instellen waar het terminal-profiel en het gewone profiel wordt opgeslagen. Indien je deze 2 lokaties verwijst naar een verschillende share, lost dit dan je probleem op ?
Gaat niet werken op het moment dat er nog geen (TS) profiel bestaat. Windows zal er dan een creeren op basis van een "Default User". De TS heeft een Default User profile in de Netlogon staan, dus deze zal altijd als template gebruikt worden. Zie ook How to Create a Base Profile for All Users

Meest eenvoudige is om dit default profiel te verwijderen uit je Netlogon en op elke machine waar users interactief op aan loggen als Default User neer te zetten. Het zijn veertig clients, dus ook niet echt de moeite, helemaal niet als je het gescript uitvoerd.

[ Voor 4% gewijzigd door Question Mark op 28-02-2006 19:21 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je kan eens proberen (geen idee of het werkt, maar theoretisch zou het kunnen) - om de computeraccount van de terminal server expliciet deny rechten te geven op die "Default User" in de NETLOGON share.

Verwijderd

Topicstarter
elevator schreef op dinsdag 28 februari 2006 @ 08:39:
Je kan eens proberen (geen idee of het werkt, maar theoretisch zou het kunnen) - om de computeraccount van de terminal server expliciet deny rechten te geven op die "Default User" in de NETLOGON share.
Dit is een slim idee, dat ik hier zelf nog niet opgekomen ben! Als ik weet of het werkt, zal ik dit hier posten.

De andere twee posters ook bedankt voor het meedenken!

Groeten.

Verwijderd

Topicstarter
[quote]Verwijderd schreef op dinsdag 28 februari 2006 @ 16:23:
[...]


Dit is een slim idee, dat ik hier zelf nog niet opgekomen ben! Als ik weet of het werkt, zal ik dit hier posten.

De andere twee posters ook bedankt voor het meedenken!

Groeten.[/quote]


EDIT: foutje bij posten..

[ Voor 6% gewijzigd door Verwijderd op 28-02-2006 16:59 ]


Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 28 februari 2006 @ 16:23:
[...]
Dit is een slim idee, dat ik hier zelf nog niet opgekomen ben! Als ik weet of het werkt, zal ik dit hier posten.
...en het idee was zo slim dat ik het laatst tóch al had geprobeerd. Toen ik de NTFS rechten bekeek bleek dat de computeraccount van de Terminal Server al de rechten was ontnomen.

Conclusie: Windows haalt de default user profile op onder andere credentials dan die van de computeraccount. Ik vrees dat dit door de inloggende user gebeurd waardoor het niet mogelijk is om de rechten van de default user profile te ontnemen.

zucht, iemand nog een idee??

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Zolang die TS users niet ook een normale profile hebben kan je natuurlijk wel varieren op dat verhaal.
TSusers in een security groep, die deny read geven op de DefaultUser in \netlogon, en de Terminal Server alleen een lokaal DefaultUserProfile laten gebruiken?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Topicstarter
BackSlash32 schreef op dinsdag 28 februari 2006 @ 17:53:
Zolang die TS users niet ook een normale profile hebben kan je natuurlijk wel varieren op dat verhaal.
TSusers in een security groep, die deny read geven op de DefaultUser in \netlogon, en de Terminal Server alleen een lokaal DefaultUserProfile laten gebruiken?
Daar heb je gelijk in, echter, mijn gebruikers hebben allen ook een normaal profiel helaas...

Verwijderd

Topicstarter
De vraag is nu wat concreter:

Wie weet onder welke credentials Windows bij het inloggen de DefaultUserProfile van de Netlogon share haalt en indien dit het useraccount van de inloggende gebruiker is, wie weet hoe ik alleen de mensen die op de terminal server inloggen dit recht kan ontnemen?

Alvast bedankt voor tips!

  • robkds
  • Registratie: Januari 2004
  • Laatst online: 14:00
Verwijderd schreef op woensdag 01 maart 2006 @ 19:07:
De vraag is nu wat concreter:

Wie weet onder welke credentials Windows bij het inloggen de DefaultUserProfile van de Netlogon share haalt en indien dit het useraccount van de inloggende gebruiker is, wie weet hoe ik alleen de mensen die op de terminal server inloggen dit recht kan ontnemen?

Alvast bedankt voor tips!
Je kunt je probleem ook gewoon op een nette manier met policies oplossen. Google eens op 'Grouppolicy Loopback Processing' en er gaat een wereld voor je open.

Goed man!


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:38

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

robkds schreef op zaterdag 04 maart 2006 @ 09:13:
[...]

Je kunt je probleem ook gewoon op een nette manier met policies oplossen. Google eens op 'Grouppolicy Loopback Processing' en er gaat een wereld voor je open.
Wat heeft loopback policy processing te maken met het mechanisme van het creeren van een nieuw user profile (op basis van een default user) :? zie ook naar de link die ik eerder in dit topic post. Hierin staat uitgelegd hoe een nieuw user profile gecreeerd wordt, dit mechanisme valt niet te beinvloeden middels welke policy dan ook.

[ Voor 20% gewijzigd door Question Mark op 04-03-2006 09:40 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik vraag me af of het mogelijk is aan de hand van WMI uit te lezen waarvandaan een user inlogt....
DefaultUserProfile wordt meen ik opgehaald onder de credentials van de sAMaccount (gebruiker).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Met WMI ga je ook niet af kunnen dwingen dat de "Default User" niet geladen kan/mag ben ik bang :)

Persoonlijk zou ik het inderdaad zoeken in het decentraliseren van je "Default User" profile - misschien kan je het zo scripten dat je huidige default user gepushed wordt naar al je clients? :)

Verwijderd

Topicstarter
elevator schreef op zaterdag 04 maart 2006 @ 11:29:
Met WMI ga je ook niet af kunnen dwingen dat de "Default User" niet geladen kan/mag ben ik bang :)

Persoonlijk zou ik het inderdaad zoeken in het decentraliseren van je "Default User" profile - misschien kan je het zo scripten dat je huidige default user gepushed wordt naar al je clients? :)
Hmm.. ik begin aan het idee te wennen dat dat inderdaad de enige werkbare oplossing is, al begrijp ik niet dat dat probleem niet vaker voorkomt, zeker in grotere en complexere omgevingen. Ik begrijp ook niet waarom de Default User Profile niet is te beheren via group policies.

Goed, aangezien ik werk met roaming profiles kan ik ook eenvoudigweg bij elke nieuwe user even de default user profile in hun network profile map kopiëren. Dat lijkt me slimmer dan het te pushen naar de clients, waarna de clients het weer op de server zetten. Ook kan ik dan eenvoudiger de Default User Profile wijzigen.

Het kost wel weer een extra stap bij het aanmaken van een user, maar goed, dat is eventueel wel te scripten met VB.

Bedankt voor het meedenken allemaal.

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je moet je afvragen wat je met een gecustomized "Default User" profile kan bereiken dat je niet kan bereiken met GPO's :) Ik heb het hele idee van "Default User" profiles te prepareren al lang geleden laten schieten voor gewoon GPO's die het hele boeltje goed zetten :)

Ik weet niet wat jij voor speciaals doet? :)

Verwijderd

Topicstarter
elevator schreef op zaterdag 04 maart 2006 @ 15:09:
Je moet je afvragen wat je met een gecustomized "Default User" profile kan bereiken dat je niet kan bereiken met GPO's :) Ik heb het hele idee van "Default User" profiles te prepareren al lang geleden laten schieten voor gewoon GPO's die het hele boeltje goed zetten :)

Ik weet niet wat jij voor speciaals doet? :)
De meeste (belangrijkere) instellingen gaan uiteraard allemaal via GPO's. Ik heb alleen nog geen (snelle) manier gevonden om quick-launch icoontjes, start-menu entries en andere kleinigheden te bepalen via GPO's.

Jij wel?

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Startmenus kan je regelen via een redirection en quicklaunch kan je regelen in een logonscript? :)

  • robkds
  • Registratie: Januari 2004
  • Laatst online: 14:00
Question Mark schreef op zaterdag 04 maart 2006 @ 09:38:
[...]

Wat heeft loopback policy processing te maken met het mechanisme van het creeren van een nieuw user profile (op basis van een default user) :? zie ook naar de link die ik eerder in dit topic post. Hierin staat uitgelegd hoe een nieuw user profile gecreeerd wordt, dit mechanisme valt niet te beinvloeden middels welke policy dan ook.
Feit is dat je door een vast default profile te maken geen enkele mogelijkheid hebt om naderhand voor nieuwe _en_ bestaande gebruikers zaken aan te passen, m.a.w. alle dynamiek verdwijnt uit je omgeving. Neem gewoon het standaard userprofile (zowel voor je werkplekken als je terminal server sessies) en pas dat door middel van policies aan.

Overige zaken zoals menu's, quicklaunch etc kan je desgewenst via scripting aanpassen. Op die manier zit je niet vast aan allerhande keuzes uit het verleden. Bovendien zul je iedere aanpassing aan je default userprofile zeer duidelijk moeten documenteren want anders weet je nooit meer welke instellingen je (of je voorganger) ooit hebt gemaakt. Policies en scripts kun je gewoon uitlezen en dan weet je wat waar en waarom gebeurt.

Neem van mij aan (Citrix implementaties is mijn dagelijks werk) dat je spijt krijgt van voorgebakken default user profiles.

Goed man!


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
Verwijderd schreef op zaterdag 04 maart 2006 @ 16:36:
[...]


De meeste (belangrijkere) instellingen gaan uiteraard allemaal via GPO's. Ik heb alleen nog geen (snelle) manier gevonden om quick-launch icoontjes, start-menu entries en andere kleinigheden te bepalen via GPO's.

Jij wel?
redirected startmenu icm een share op een win2003 server met sp1 (access based share enumeration) dan zie je ook alleen maar die icons waar je ntfs rechten op hebt _/-\o_

A wise man's life is based around fuck you


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:38

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

robkds schreef op zondag 05 maart 2006 @ 01:18:
[...]
... dat je spijt krijgt van voorgebakken default user profiles.
Ik know ;)

Ik ben persoonlijk helemaal geen voorstander van default user profiles (al helemaal niet via de Netlogon). Ik begreep uit jouw eerdere post dat je middels policys het mechanisme van het creeren van een userprofile probeerde aan te passen. (wat niet mogelijk is).

Nu begrijp ik dat je de TS adviseerd om van een default user profile af te stappen, en middels policy's en logonscripts het profile dynamisch onderhoud. Ik begreep je post dus verkeerd.

Trust me, we zitten op 1 lijn. :P

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
en anders hebben we altijd nog

http://www.brianmadden.com/content/content.asp?ID=551

_O_ hele fijne profile tool in TS omgevingen

A wise man's life is based around fuck you

Pagina: 1