Server 2016: AD Profile issues

Als profile path moet je het FQDN gebruiken, niet de lokale driveletter

moet je de folders als desktop, documents etc niet via een GPO laten redirecten naar de locatie waar je ze wilt hebben.

voor je profile Path moet die inderdaad verwijzen naar de server. hier heb je een manual die je misschien iets meer opweg helpt

http://thesolving.com/ser...n-windows-server-2012-r2/

[ Voor 48% gewijzigd door HKLM_ op 10-02-2017 22:41 ]

Probeer eens \\vps54065\e$\users\profiles$\%username% als profile path

Vervang de E: door E$, al lijkt hij mij handiger om een share aan te maken voor het profiel ipv te verbinden naar de adminshare.

Kijk ook even goed naar rechten op de E$ share.

Heet de map ook echt: profiles$ ?

Hernoem deze gewoon naar profiles, ga nu naar advanced sharing en share deze als profiles$, het $ teken staat ervoor dat het een hidden share is (dus niet zichtbaar wanneer je \\vps54065\ opent)

Op deze share geeft je Everyone Full control. Daarna pas je in de GPO aan dat Administrators Full control krijgen op de profielen (Google maar)

Daarna verander je het profile path naar \\FQDNvanserver\Profiles$\%username%

Waarom FQDN? Best practice.

\\vps54065.DOMAIN.LOCAL\profiles$\%username%

Waar .DOMAIN.LOCAL je Active Directory Domein naam is.

PS. E$ is een administrative share en derhalve alleen toegankelijk voor administrators.

PS2. Als je toch bezig ben, verander die HOME share ook naar Full Qualified Domain name van de server (\\servernaam.domein.local\) ipv NETBIOS naam.

/edit

Voor de Home folders (zoals My Documents) moet je nog in GPO folder redirection instellen, anders komt er alleen maar een H:\schijf bij de gebruiker en worden documenten nog steeds lokaal opgeslagen in het profiel.

[ Voor 27% gewijzigd door Vorkie op 11-02-2017 09:41 ]

Afgaande op de profiles$ neem ik aan dat die map geshared is. Dus kan je toch \\vps54065\profiles$\%username% instellen.

Dan wordt er als het goed is een map aangemaakt met de userprofile naam.

Profielen worden altijd weggeschreven bij het uitloggen en opgehaald bij het inloggen, dus dat klopt!

Daantju schreef op zaterdag 11 februari 2017 @ 09:51:
Hmm, dank voor de reactie's E$ geprobeerd, maar geen resultaat.
Ik heb de reactie van ThaNetRunner geprobeerd. Ik krijg geen foutmelding meer, maar bestanden worden niet realtime op de share opgeslagen. Wel wordt er netjes een map met username aangemaakt op de nieuwe profiles locatie. ik heb het gevoel dat alles wordt gekopieerd bij een restart?

[afbeelding]

[afbeelding]

[afbeelding]

[afbeelding]

We komen dichterbij.. Ik wil dit bij 1 profile goed hebben, dan kan ik namelijk de andere users kopiëren..

Roaming profiles is een certrale opslag voor profiles, dat houdt in dat bij elke afmelding het profiel wordt opgeslagen op de server en bij elke aanmelding weer lokaal gekopieerd.

Wat jij wil is dat de gebruikersinstellingen centraal worden opgeslagen, maar alle documenten etc op de home share.

Dit kan je bewerkstelligen door het volgende te volgen:

https://technet.microsoft...ry/cc732275(v=ws.11).aspx

PS, niet je NTFS rechten op Everyone full control zetten! Maar op de share!


https://helgeklein.com/bl...or-hosting-user-profiles/

[ Voor 6% gewijzigd door Vorkie op 11-02-2017 09:57 ]

Hoe moeilijk kan het zijn.

• Neem de map waar die profielen in moeten komen (let op dat er geen $ in de naam van de map voorkomt).
• Geef de Everyone groep Full Control op die map (niet netjes maar zorgt dat het zeker zal werken).
• Share die map als Profiles (een dollarteken aan het einde maakt het een hidden share).
• Stel als profile path \\vps54065\Profiles\Yvonne (%USERNAME% i.p.v. Yvonne werkt ook) in.

Presto, moeilijker is het niet. Maak je later maar druk over finesses als goede rechten op die folder, FQDN vs NETBIOS naam, en de vraag of je hidden shares wilt of niet (ik heb zelf het nut er nooit van gezien). En of .local domeinen vandaag de dag nog best practice zijn waag ik te betwijfelen. Zodra je met certificaten aan de slag wilt levert dat al problemen op.

En inderdaad, bestanden worden pas weggeschreven als Yvonne echt uitlogt.

downtime schreef op zaterdag 11 februari 2017 @ 10:03:
Hoe moeilijk kan het zijn.

• Neem de map waar die profielen in moeten komen (let op dat er geen $ in de naam van de map voorkomt).
• Geef de Everyone groep Full Control op die map (niet netjes maar zorgt dat het zeker zal werken).
• Share die map als Profiles (een dollarteken aan het einde maakt het een hidden share).
• Stel als profile path \\vps54065\Profiles\Yvonne (%USERNAME% i.p.v. Yvonne werkt ook) in.

Presto, moeilijker is het niet. Maak je later maar druk over finesses als goede rechten op die folder, FQDN vs NETBIOS naam, en de vraag of je hidden shares wilt of niet (ik heb zelf het nut er nooit van gezien). En of .local domeinen vandaag de dag nog best practice zijn waag ik te betwijfelen. Zodra je met certificaten aan de slag wilt levert dat al problemen op.

En inderdaad, bestanden worden pas weggeschreven als Yvonne echt uitlogt.

Als je ergens nog nooit mee hebt gewerkt kan iets moeilijk zijn ja en ik en velen, geven dan liever gelijk de juiste informatie hoe iets ingesteld moet zijn in plaats van het instellen als een thuisprutsinstelling. Ik lees nergens dat het om thuis gaat en haal er uit dat dit op het werk is. Dus liever gelijk goed instellen dan straks in productie alle profielen om zeep helpen omdat je NTFS rechten nog niet goed staan en je stel op sprong tot in de late uurtjes alles aan het herstellen bent.

Betreft het .local, nergens is gezegd dat .local best practice is, maar als jij niet weet hoe je iets moet bewerkstelligen en je gelijk met domeinnaam.nl|net|org gaat spelen in Active directory kan dat nog meer kopzorgen geven.

Betreft de huidige best practices:
https://social.technet.mi...in-and-network-names.aspx

Maak je domein een subdomein van een external domein.

test.nl als external maakt het ad.test.nl als internal.

Microsoft strongly suggests to work with subdomains, within a publicly registered TLD domain. Check: Creating Internal and External Domains op https://technet.microsoft...rary/cc755946(WS.10).aspx Jump

[ Voor 5% gewijzigd door Vorkie op 11-02-2017 10:14 ]

Vorkie schreef op zaterdag 11 februari 2017 @ 10:12:
[...]

Als je ergens nog nooit mee hebt gewerkt kan iets moeilijk zijn ja en ik en velen, geven dan liever gelijk de juiste informatie hoe iets ingesteld moet zijn in plaats van het instellen als een thuisprutsinstelling. Ik lees nergens dat het om thuis gaat en haal er uit dat dit op het werk is.

Gezien de moeite die het kost om zoiets basics te doen, kan ik alleen maar hopen dat dit een opstelling voor hobby of een schoolopdracht is, en dat TS nog een tijdje blijft oefenen voor ie dit bij een bedrijf gaat doen. En da's geen schande. Ik heb het zelf ook moeten leren. Het kwartje moet gewoon even vallen.

Betreft het .local, nergens is gezegd dat .local best practice is, maar als jij niet weet hoe je iets moet bewerkstelligen en je gelijk met domeinnaam.nl|net|org gaat spelen in Active directory kan dat nog meer kopzorgen geven.

Betreft de huidige best practices:
https://social.technet.mi...in-and-network-names.aspx

Maak je domein een subdomein van een external domein.

Je spreekt jezelf tegen. Eerst voer je aan dat quick and dirty niet kan, want het is misschien wel een bedrijfssituatie, en dan zeg je dat best practice volgen nog even niet hoeft. Dit is een best practice die je moet kennen voor je een domein opzet. Die profile folders kun je later nog beter configureren, als je beter begrijpt hoe het werkt, maar fouten met naamgeving van domeinen zijn heel lastig te herstellen. Dat wil je gelijk goed doen.

Daantju schreef op zaterdag 11 februari 2017 @ 12:22:
Ik denk dat het gelukt is. Op de een of andere magische manier heb ik geen 'log off' knop in Server 2016, enkel Disconnect. bij disconnecten wordt de sessie niet gesloten en daarom worden de bestanden niet gekopieerd naar het roaming profile. (Aanname, is dat juist?) Dus ik moet de 'log off' knop vinden..

Verder is mijn gedachte dus juist: Ik backup de roaming profiles map, en bij een probleem kan ik die map terugplaatsen en is er geen userdata verloren.

Even voor de duidelijkheid: Het is heel goed dat je ermee speelt. Hiermee leer je veel, maar ik zou ook boeken, CBT, YouTube aanraden om ook theoretische kennis op te bouwen.

Daarnaast is het niet best-practice om roaming profiles te gebruiken op servers. Als je op een server aanlogged dan zou je gebruik moeten maken van 'admin' accounts. Daarnaast zijn roaming-profiles niet meer van deze tijd. Het kan een drama zijn qua onderhoud. Een redirect is in mijn opzicht een stuk beter.

Daantju schreef op zaterdag 11 februari 2017 @ 14:35:
Toch loop ik daar ook vast. de GPO's die ik doorvoer worden niet opgepakt. Ik gebruik wel gpupdate /force.

Ik heb een groep met users. Die groep is toegevoegd aan een OU. De OU heeft GPO's. Ik doe iets fout, maar weet niet wat....

[afbeelding]

[afbeelding]

[afbeelding]

[afbeelding]

kijk eens in deze tutorial http://www.technig.com/redirect-folder-in-windows-server/ of de stappen die je hebt gedaan overeen komen.

[ Voor 7% gewijzigd door HKLM_ op 11-02-2017 14:59 ]

Daantju schreef op zaterdag 11 februari 2017 @ 15:25:
Yes, heb dat allemaal doorgevoerd. De GPO is ook gelinkt aan de OU.

post eens eens een report van je redirection GPO

Je moet wel de user accounts in die OU zetten, niet alleen de groep.

Daarnaast kan je middels onderstaande link rechten op de Apply GPO zetten.

http://www.windowsnetwork...y-Security-Filtering.html

Je GPO's worden verwerkt als volgt:

4,3,2,1, dus zorg dat 4 niet iets nodig heeft van 2.

[ Voor 15% gewijzigd door Vorkie op 11-02-2017 15:41 ]

Ik zou toch echt boeken gaan lezen, CBT's bekijken, technet lezen, YouTube bekijken voordat je aan praktijk begint. Het is nu trail er error. Niet erg, maar nu moeten "wij" zeggen wat je niet goed doet

Squ1zZy schreef op vrijdag 10 februari 2017 @ 23:10:
Probeer eens \\vps54065\e$\users\profiles$\%username% als profile path

Een domainuser kan niet naar een administrative share connecten (E$)

\\vps54065\profiles$\%username%

Werkt beter...

Question Mark schreef op maandag 13 februari 2017 @ 14:17:
[...]

Een domainuser kan niet naar een administrative share connecten (E$)

\\vps54065\profiles$\%username%

Werkt beter...

Users in een lab zouden kunnen worden toegevoegd aan systems local admin group, maar goed opgemerkt. Thanks

Daantju schreef op zaterdag 11 februari 2017 @ 16:03:
Bij deze de settings. Overigens gaf ThaNetRunner een goede tip. Ik had losse users niet in de OU staan. Ik was in de veronderstelling dat een groep toevoegen aan de OU voldoende is. Waarom is dat niet het geval?

Als ik een background force via GPO ging het goed. Folder redirection nog niet.

[afbeelding]

Klopt het pad wel wat je hebt ingegeven?
In een eerdere post zie ik namelijk een map data aangegeven. Ook moeten de juiste ntfs rechten etc. worden gezet op de shared map zelf, en niet op de onderliggende mappen.
Onderstaande ntfs rechten moet je instellen.
(Everyone kun je ook vervangen voor domain users)

CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
System - Full Control (Apply onto: This Folder, Subfolders and Files)
Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
Everyone - List Folder/Read Data (Apply onto: This Folder Only)
Everyone - Read Attributes (Apply onto: This Folder Only)
Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)

Voor de share permissies kun je full controll instellen.

Op deze manier mag er een map aangemaakt worden, en krijgt het desbetreffende account volledige rechten op zijn eigen homedir en/of profiel.
De overige mappen van andere accounts onder de share (voorbeeld: \\server\profiles$) kan niet geopend worden. Wil je deze mappen ook verbergen dan kun je acces based enumeration inschakelen op deze share.

Op internet staan er genoeg handleidingen, hoe je alles kun instellen. (ntfs, share permissies etc.)

Succes !