[2003] Administrator kan userprofiel map niet in

Ik ben hier nu al enige tijd mee bezig. En op de een of andere manier kan ik, zelfs met de juist (add the administrator security group to the roaming user profile share) policy niet in de profiel map.

Ik merkte op dat er al een aantal andere mensen waren die dit probleem hadden, maar ook hun oplossingen kunnen mij niet helpen.

De optie " even de server restarten is niet mogelijk ", dus de kans dat de policy zich spontaan na 2 reboots erin heeft genesteld gaat hier niet op.
Inprincipe zou de policy gewoon doormiddel van 'gpupdate (/force)' uit te voeren moeten werken.

Concept:
Ik heb in de AD een afdeling toegevoegd genaamd "externe gebruikers". Aan deze map heb ik een policy gekoppeld, welke ik eigenlijk via deze wijze heb aangemaakt en geconfigureerd.

Ik las in een van de topics nog dat het uitzetten van fastlogon bevordelijk was, maar ook dit doet niet veel goeds.

[ Voor 24% gewijzigd door Verwijderd op 11-05-2006 10:20 ]

Klopt dat heb ik ook begrepen. Dus ik heb al een aantal nieuwe profielen aangemaakt en het hier mee geprobeerd. Maar dit wil niet lukken.

Wat mij wel opvalt is dat er een notitie bij de policy staat, dat dit op de "lokale" computer en niet de server moet worden ingesteld. Maar blijkbaar moet dit toch kunnen vanaf de server kant, want A) het is niet meer dan logisch dat de administrator bepaalt of hij in jouw map moet kunnen, en B') ik lees zat mensen die het wel zo hebben gedaan.

Ja ik weet dat je op die manier er "ook" in kan. Maar dat is niet de bedoeling. Tevens krijg ik de ownership daarna niet goed terug, en begint het systeem te mekkeren als de gebruiker (na die wijziging) zijn profiel weer wil ophalen. Hij kan dan ineens niets meer opslaan e.d.

Ik wil het gewoon via die policy doen zoals het zou moeten kunnen

Ik heb tevens ook het idee dat de policy gewoon maar niet geupdate wordt.

[ Voor 12% gewijzigd door Verwijderd op 09-05-2006 15:53 ]

Verwijderd schreef op dinsdag 09 mei 2006 @ 17:26:

Ik weet wel alleen vaag dat er ergens in de policy ingesteld kan worden dat een administrator automatische ownership moet krijgen wanneer een gebruiker een map aanmaakt.

Miscchien dat je er iets mee kunt.

Ja daar gaat dit topic eigenlijk over . Dat is de "add the administrator security group to the roaming user profile share" policy

hmm... ja maar dan mis ik eigenlijk het hele doel van een zwervend profiel.

Het is de bedoeling dat deze persoon zelfs in een internet cafe (bij wijze van spreken), (voor de eerste keer) zou kunnen inloggen.

Erg onhandig dat er dan op de client pc iets moet worden ingesteld.
Ga ervan uit dat de client zelf hier de kennis niet voor heeft (en dat zou die dus eigenlijk ook niet hoeven hebben), dan is de systeembeheerder verplicht altijd mee te gaan naar de plek waar de persoon zich voor de eerste keer aanmeld?

Tevens gaat het hier ook om een Thin Client waar standaard op gewerkt wordt, welke Windows CE heeft.

[ Voor 11% gewijzigd door Verwijderd op 11-05-2006 10:03 ]

*kick*

Ok dus in andere woorden deze policy heeft voor mij geen nut, aangezien in dit vanaf de server geregeld wil hebben.

Maar wat is dan een oplossing? Want op het moment dat ik als administrator de ownership overneem, en dan alsnog de gebruiker zelf ook full control geeft op zijn map, kan hij tijdens het inloggen zijn zwervend profiel niet meer inladen.
Het enige moment wanneer dit wel lukt, is, als ik als administrator ownership neem, op alleen de map zelf. Dus niet op de onderliggende bestanden en mappen. Maarja dan kan de map application data weer niet in. Neem ik daar ownership op.. kan hij weer zijn zwervend profiel niet laden.

Moedeloos wordt je soms hiervan.

Je hebt inderdaad gelijk, ik heb je verkeerd begrepen. Ik snap nu iets meer welke richting je wilt, en ik merk ook aan de hand van deze afbeelding dat ik ergens fout zit. Alleen ik kom er niet uit waar.
Op de afbeelding zie je naast de tekst "Current Group Policy Object Links For Roaming Profiels" het icoon van een groep met daarvoor/overheen een policy icoon geplakt.

In andere woorden de policy wordt in dit geval op een groep/clients toegepast. Wat ik heb gedaan, is in AD een organisatie groep/afdeling/OU (even voor de duidelijkheid alle benamingen maar eens neerzetten) gemaakt. En daarop op eigenschappen geklikt en dan bij het laatste tabblad "groepsbeleid" en nieuw beleid toegoevoegd.

Ik begrijp dat dit dus blijkbaar niet moet.. maar ik snap totaal niet wat ik nu moet aanmaken om, zoals jij het zelf mooi verwoord, een client policy te maken.
Ik kan wel een "groep" toevoegen, maar aan een groep kan ik geen policy plakken.

Ik heb hier een officieël Microsoft Windows Server 2003 boek liggen. Maar daar worden de GPO's op dezelfde manier besproken zoals ik dat heb gedaan. Dus aan een OU/afdeling. Als ik kijk naar het deel over een lokaal GPO, dan wordt er gezegd ga naar uitvoeren, typ mmc, module toevoegen, en dan groepsbeleid module voor lokale pc veranderen. Maar dan kom ik weer op de server's lokale beleid...

Ik snap dat het misschien voor vele heel simpel is.. maar als je eenmaal verkeerd aan het kijken ben, is het moeilijk uit dat wereldje te komen en de oplossing te vinden.

Standaard staat de Administrator al op full control, op die map en onderliggende mappen. Dus dan had ik er al in moeten kunnen.

Heb ook eens die andere gebruikers als authenticated user toegevoegd, NTFS rechten leeggelaten en dan bij advanced die permissies erbij gezet. Maar dit helpt niets, ik moet het volgens mij toch echt van die policy hebben.

Dus in andere woorden:

In AD moet ik in de OU die ik heb aangemaakt, geen nieuwe gebruiker, met bijvoorbeeld de naam "test" aanmaken. Maar ik moet een computer aanmaken.
Maar bij een "computer" kan ik geen profiel map e.d. aanwijzen omdat dit dus geen gebruiker is, maar een computer welke bijvoorbeeld als 2e DC of server kan fungeren.
Dus is dit eigenlijk wat anders dan wat ik vraag, want ik bedoel echt een profiel map zoals bijvoorbeeld een gebruiker genaamd test waar ik in wil kunnen als administrator.

Hmm.. ja ik klooi op dit moment op een virtuele omgeving dus nieuwe mappen aanmaken e.d. is geen probleem.

Ik heb toch echt al jouw stappen gevolgd. Let wel: de groep gebruikers wordt wel automatisch erbij gevoegdt omdat ik dit op de c:\ heb ingesteld. Lijkt me niet dat hun ervan verwijderen, mij er wel in laat toch?

Zoals je al hebt gezegdt: heb ik op de map zelf, volledige ntfs rechten gegeven aan: administrator, system(staat standaard al zo, en is niet te wijzigen).
Ik heb de groep authenticated users (geverifieerde gebruikers) toegoevegd. Al hun ntfs rechten zijn leeg op speciale rechten na (deze staat standaard aan en is niet te wijzigen), en bij de advanced rechten heb ik hun: leeskenmerken, uitgebreide leeskenmerken, mappen maken/gegevens toevoegen, leesmachtigingen, gegevens. En dit alles op "alleen deze map".

Je kunt er nu als admin in omdat je full control hebt over die userdata map.

Dit had ik als admin al, dus er is niets veranderd. Het enige wat ik gedaan hebt met jouw stappenplan, is dus wat dingen verwijderen zoals de groep "gebruikers" welke daarna automatisch terugkomt (maar met minder rechten, kan ook niet verwijdert worden) en de groep geverifieerde gebruikers.

En niet te vergeten, ik heb de map gedeeld zodat de gebruiker wel zijn gegevens kan opslaan! (met de machten van "iedereen" op volledig".

[ Voor 7% gewijzigd door Verwijderd op 18-05-2006 12:33 ]

djluc schreef op donderdag 18 mei 2006 @ 13:05:
Zet je wel dat vinkje waardoor rechten van de parent overgenomen worden zodat je precies de juiste set overhoudt?

"Overneembare machtigingen van het bovenliggende object mogen aan dit object en alle onderliggende objecten worden doorgegeven, alsmede aan vermeldingen die hier expliciet zijn opgegeven" Die staat aan (standaard).

elevator schreef op donderdag 18 mei 2006 @ 13:34:
[...]

Nee, de computer account zet je in de OU waar je ook de policy aan hebt gehangen om de rechten meer 'relaxed' te zetten.

Dat configureren van profielmappen e.d. staat hier weer volledig los van

Ok dus ik heb nu een computer genaamd "test2" in dezelfde OU geplaatst als waar de gebruiker genaamd "test" in zit. Ik log dan in onder test, en dan kon ik nog steeds niets...

Zeker weten dat het niet iets te maken heeft met het verschil in bijvoorbeeld het icoontje wat ik eerder al opmerkte?

*toch weer een kick nodig*

Als er nog iemand is, die enig idee heeft. Want ik kom er nog steeds niet uit.

Wat misschien iemand nog kan helpen, is dat tijdens het testen telkens inlog met een Remote Desktop connection.
Dus de gebruiker wordt door de server zelf aangemaakt tijdens de 1e inlog.
Dus de policy zou door de server op de map moeten worden toegepast lijkt mij... toch niet?

[ Voor 65% gewijzigd door Verwijderd op 15-06-2006 15:42 ]

elevator schreef op vrijdag 16 juni 2006 @ 09:43:
[...]

Je logged ook in op de computer "test", *en* de profiel map bestaat nog niet op het moment dat je inlogged?

Ik log via remote desktop in op de "helpdesk-test" server, met een "nieuw" aangemaakt gebruiker, welke nog niet eerder is ingelogd. Bij de inlog verschijnt dus voor de "eerste" keer een map in de homedirs met de naam "test".

Blijkbaar mis ik dan de stap waar ik hem daadwerkelijk op de server zelf laat applyen.

Bedoel je dat ik in de AD op de server zelf, ook de "computer" in de OU moet toevoegen?