Ich habe ein kleines Problem beim Einrichten von Roaming-Profilen mit Server 2008 R2. Hier sind die Berechtigungen, die ich für die Roaming-Profilfreigabe festgelegt habe:
Freigabeberechtigungen
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
NTFS-Berechtigungen
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
Dies scheint problemlos zu funktionieren, das Profil wird bei der ersten Anmeldung automatisch für den Benutzer erstellt.
Mein Problem besteht darin, dass ich nicht möchte, dass Benutzer einfach Ordner in der Roaming-Profilfreigabe erstellen können. Wenn ich diese Berechtigung entferne, wird jedoch nichts erstellt.
Antwort1
Wenn Sie möchten, dass die Profilordner bei der ersten Anmeldung durch den Benutzer erstellt werden, sind Sie an diese Berechtigungen gebunden. Beim Synchronisieren des Profilordners eines Benutzers beim Anmelden/Abmelden mit der Profilfreigabe werden die Sicherheitseinstellungen des Benutzers verwendet. Wenn der Benutzer also keine Berechtigungen zum Erstellen eines Ordners auf der Profilfreigabe hat, haben Sie ein Problem.
Leider gibt es keine Möglichkeit, Benutzern die Berechtigung zu erteilen, nur ihren eigenen Ordner und nicht mehr zu erstellen.
Ich denke, eine Möglichkeit, dies zu umgehen, besteht darin, dass Sie vor der ersten Anmeldung Profilordner auf der Profilfreigabe für Ihre Benutzer vorab erstellen (und jedem Benutzer vollständige Berechtigungen für seinen eigenen Profilordner erteilen). Die Benutzer sollten dann nur Berechtigungen zum Durchlaufen/Lesen des Inhalts der Profilfreigabe (nur dieses Ordners) benötigen.
Beachten Sie, dass sich meine Erfahrungen diesbezüglich (derzeit) auf Win2k und Win2k3 beziehen, nicht auf Win2k8, aber ich denke nicht, dass es so unterschiedlich sein sollte.
Antwort2
Das ist ein bisschen schwierig, eine richtige Antwort darauf zu geben, weil es mehrere Möglichkeiten gibt, das Problem zu lösen und man das Konzept der Roaming-Profile verstehen muss. Ich sage nicht, dass man das nicht muss.
Was Sie tun können und oft auch tun möchten, ist, Richtlinien zu erstellen, um einige Ordner wie „Eigene Dateien“, „Desktop“ und andere umzuleiten. Ich möchte gerne einige Verzeichnisse in meinem Serverdatenverzeichnis erstellen, etwa so:
D:\Benutzer\RoamingProfiles
D:\Benutzer\Homedir
D:\Benutzer\Desktop
oder etwas ähnliches.
Wenn Sie also Richtlinien für Roaming-Profile in Active Directory richtig implementiert haben, haben Sie beim Anmelden von Benutzern an ihren Desktops die volle Kontrolle über den Desktop dieses Benutzers. In einer Unternehmensumgebung möchten Sie vielleicht Folgendes tun:
Erstellen Sie ein Standardbenutzerprofil als Vorlage für neue Roamingprofile. Sperren Sie den Desktop und zeigen Sie nur die Symbole der Programme an, die Sie in Ihrer Vorlage angegeben haben. Stellen Sie sicher, dass Benutzer, die Ordner oder Dateien erstellen möchten, diese in das Homedir oder das Unternehmensdatenverzeichnis umleiten. Beispiel: Auf ihrer Arbeitsstation ist H:\ ihr Homedir auf dem Server. M:\ ist das Unternehmensdatenverzeichnis.
Weitere Informationen zur Verwendung von Active Directory und Richtlinien finden Sie auf der MSDN-Website.
Ich hoffe, das hat geholfen.