Ordnerumleitung per GPO

1. offizieller Beitrag

    Hi


    habe einen Windows Server 2008 brandfrisch aufgesetzt und habe ein kleines Problem mit der Odnerumleitung!


    Ich habe im AD bei jedem User ein Profilpfad und ein Basisordner angelegt.


    Soweit ich das immer richtig verstanden habe ist der Basisordner nur das Homeverzeichnis des Users und der Profilpfad ist für die Einstellungen von Windows und die Dateien aufm Desktop und eigenen Dateien. Beim Abmelden werden die Synchronisiert und alle Dateien liegen in seinem Profilordner.


    Das diese Konfigiuration aber seine Risiken mit sich bringt arbeite ich in diesem Zusammenhang immer mit GPOs und den Folder Redirections.


    Diese Redirection habe ich bisher immer auf das Basisverzeichnis gelenkt wobei ich das diesmal anders machen wollten. Und zwar finde ich, dass diese Verzeichnisse da nichts zu suchen haben und wollte diese auf den Profilpfad und nicht auf den Pfad des Basisordners umleiten.


    1. frage hierzu: ist das sinnvoll?


    Meine pauschale Antwort wäre erstmal ja, denn es bringt so manche User durcheinander, wenn er seinen eigenen Desktop auch nochmal in seinem Homeverzeichnis findest. Was sagt ihr dazu?



    Soviel dazu gesagt getan: GPO angelegt, Ordnerumleitung erstellt, gpupdate /force durchgeführt, Warnung: diese Gruppenrichtlinie "folder redirect" konnte auf mindestens ein Objekt nicht durchgeführt werdewn oder so änlich.


    Natürlich hat es dann auch nicht funktioniert... Standardordner wie Desktop, Eigene Dateien, Startmenu, Favouriten habe ich versucht nichts der gleichen hat funktioniert...
    Jemand eine Idee hierzu? Tausend mal gemacht, diesmal läuft es einfach nicht egal was ich auch mache.


    Danke schonmal für eure Ideen...

    • Offizieller Beitrag

    Kleiner Tipp. Leite Ordner weder ins Home noch ins Stammverzeichnis um. Leg einfach eine neue Ordnerstruktur an Bspw. UserFolder darunter dann die %Username%-Ordner mit den korrekten Berechtigungen dann sammeln sich ab Vista unterhalb dieser Username Ordner die korrekten umgeleiteten Ordner wie Desktop, Documents, Favoriten usw.


    Bye
    Norbert


    PS: Eine Beschreibung der korrekten SMB und NTFS Berechtigungen findest du im Technet.

    Danke, das hat mir sehr geholfen!


    Warum sollte man das nicht ins Stammverzeichnis legen? Gibt es dafür konkrete Gründe/Erfahrungen? Hattes das "bisher" immer so gemacht, werde es natürlich auf deinen persönlichen Tip hin ändern. Mich würde es nur interessieren, warum es ungeeignet ist.



    Danke schonmal!

    Danke, das hat mir sehr geholfen!


    Warum sollte man das nicht ins Stammverzeichnis legen? Gibt es dafür konkrete Gründe/Erfahrungen? Hattes das "bisher" immer so gemacht, werde es natürlich auf deinen persönlichen Tip hin ändern. Mich würde es nur interessieren, warum es ungeeignet ist.



    Danke schonmal!

    Dachte es gäbe einen guten Guten Grund dafür.



    Habe jetzt auch den fehler selber entdeckt... Die user waren natürlich alle angemeldet und desshalb kam schlicht und ergreifend diese Warnung vom DC. Jetzt funktioniert aber alles wie es soll.




    Werde mal in groben Zügen erläutern wie ich es gemacht habe, wäre dankbar über Verbesserungsvorschläge oder einem schlichten "das Passt!!"



    Neuen Ordner angelegt: FolderRedirect - Berechtigungen alle gesetzt
    GPO bearbeitet - Benutzerkonfiguration - Richtlinien - Windows Einstellungen - Ordnerumleitung - Desktop
    Standard - leitet alle Ordner zum gleichen pfad um gewählt
    Ziel: Auf einen bestimmten Pfad umleten
    Stammverzeichnis: \\server\Folderredirect\%username%\Desktop


    So habe ich es weiter mit den anderen umzuleitenen Ordnern getan. Funktinoert auch alles ganz gut.



    Jetzt habe ich aber einen kleinen fehler entdeckt und würde gerne wissen wie ich den behebe. Habe ein klein wenig Angst etwas zu zerschiessen.


    Ich hatte vorher einen falschen Pfad und zwar \\server\FolderRedirect\Desktop\%username% anstatt
    \\server\FolderRedirect\%username%\desktop


    und habe jetzt bei einem User 2 verschiedene Ordnerumleitungen. Und zwar die Dektop Dateien liegen auf \\server\folderredirect\desktop\username und die eigenen dateien auf \\server\folderredirect\username\dokumente


    ich habe natürlich den fehler behoben und ein gpupdate gemacht, bei allen anderen usern hat es auch geklappt, nur bei dem einen nicht wo ich den fehler noch drin hatte und mich das erste mal angemeldet habe.



    wie bekomme ich jetzt kurzer hand die dateien in den richtigen pfad? kann ich am server die dateien von hand umkopieren in den richtigen pfad? oder führt das wieder zu erneuten fehlermeldungen? ich habe nämlich jetzt im ordner folderredirect aufm server 5ordner mit den usernamen und einen desktop wo sich der username drin befindet...


    wie löst mqan das problem, jemand eine idee?

    • Offizieller Beitrag
    Zitat


    sdvs schrieb:
    Dachte es gäbe einen guten Guten Grund dafür.


    Ich finde das einen guten Grund, du nicht?


    Zitat

    Neuen Ordner angelegt: FolderRedirect - Berechtigungen alle gesetzt


    Was ist denn "alle gesetzt"? Konfiguriere es so, wie im Technet beschrieben.


    Zitat

    GPO bearbeitet - Benutzerkonfiguration - Richtlinien - Windows Einstellungen - Ordnerumleitung - Desktop
    Standard - leitet alle Ordner zum gleichen pfad um gewählt
    Ziel: Auf einen bestimmten Pfad umleten
    Stammverzeichnis: \\server\Folderredirect\%username%\Desktop


    OK.

    Zitat


    So habe ich es weiter mit den anderen umzuleitenen Ordnern getan. Funktinoert auch alles ganz gut.


    OK.



    Zitat

    Ich hatte vorher einen falschen Pfad und zwar \\server\FolderRedirect\Desktop\%username% anstatt
    \\server\FolderRedirect\%username%\desktop


    und habe jetzt bei einem User 2 verschiedene Ordnerumleitungen. Und zwar die Dektop Dateien liegen auf \\server\folderredirect\desktop\username und die eigenen dateien auf \\server\folderredirect\username\dokumente


    OK.


    Zitat

    ich habe natürlich den fehler behoben und ein gpupdate gemacht, bei allen anderen usern hat es auch geklappt, nur bei dem einen nicht wo ich den fehler noch drin hatte und mich das erste mal angemeldet habe.


    Hmm dann lösch das Profil auf diesem PC doch einfach mal als Admin und melde dich neu an. ;)



    Zitat

    wie bekomme ich jetzt kurzer hand die dateien in den richtigen pfad? kann ich am server die dateien von hand umkopieren in den richtigen pfad? oder führt das wieder zu erneuten fehlermeldungen? ich habe nämlich jetzt im ordner folderredirect aufm server 5ordner mit den usernamen und einen desktop wo sich der username drin befindet...


    Normalerweise kann man doch angeben, dass er die Daten an den neuen Ort verschieben soll in der Ordnerumleitung, oder? Das ist jetzt natürlich schwierig nachträglich, deswegen würd ich wenns nur den einen betrifft einfach das lokale Profil in die Tonne klatschen.


    Bye
    Norbert

    hi


    also die Berechtigungen habe ich "alle so gestezt" wie sie im technet beschrieben sind.


    habe lediglich eine modifikation eingebaut in den ntfs berechtigungen das der administrator auch in die ordenr schauen kan im disaster fall... ansonsten hätte ja nur das system und der user selbst zugriff gehabt...


    verstehe das nur noch nicht ganz mit den vererbungen.. das steht dort auch net beschrieben!


    habe jetzt auf freigabeebene die berechtigung gesetzt jder kein zugriff und domänen benutzer vollzugriff


    unter ntfs:
    jeder gar nicht mit reingenommen, administrator vollzugriff, ersteller-besitzer vollzugriff und system voll


    ist das so richtig oder habe ich etwas nicht verstanden...?


    das Profil dann einfach auf dem Server löschen, neuerstellen, dann erneut anmelden am Server?


    oder wie war das gemeint? (lokal)

    • Offizieller Beitrag
    Zitat


    sdvs schrieb:
    hi


    also die Berechtigungen habe ich "alle so gestezt" wie sie im technet beschrieben sind.


    OK.


    Zitat

    habe lediglich eine modifikation eingebaut in den ntfs berechtigungen das der administrator auch in die ordenr schauen kan im disaster fall... ansonsten hätte ja nur das system und der user selbst zugriff gehabt...


    OK, und dann in der Ordnerumleitung aber auch den exklusiven Zugriff deaktiviert, oder?


    Zitat

    verstehe das nur noch nicht ganz mit den vererbungen.. das steht dort auch net beschrieben!


    Was gibts denn da nicht zum verstehen?


    Zitat

    habe jetzt auf freigabeebene die berechtigung gesetzt jder kein zugriff und domänen benutzer vollzugriff


    Dann nimm doch Jeder raus wenn der kein Zugriff hat. ;)


    Zitat

    unter ntfs:
    jeder gar nicht mit reingenommen, administrator vollzugriff, ersteller-besitzer vollzugriff und system voll


    ist das so richtig oder habe ich etwas nicht verstanden...?


    Klingt etwas viel. Teste doch einfach mal als einer der User. Bekommst du irgendwie Zugriff auf andere Ordner in der Freigabe? Falls ja hast du nen Fehler. ;)


    Zitat

    das Profil dann einfach auf dem Server löschen, neuerstellen, dann erneut anmelden am Server?


    Jupp wenns ein Serverbasiertes Profil sein sollte, dann dort löschen.


    Zitat

    oder wie war das gemeint? (lokal)


    Lokal wenns ein lokales Profil ist. ;)


    Bye
    Norbert

    exclusiven Zugriff deaktiviert? Wozu ist diese Berechtigungsoption und für wem? Ist sie standardmäßig aktiviert? Habe daran bisher nichts verändert, was bewirkt sie denn?



    Mit der Vererbung habe ich mir nochmal richtig angeschaut und mir Hilfe geholt.
    Mittlerweile habe ich es glaube ich:
    1. Option: Berechtigung von übergeordneten Objekten übernehmen


    Dabei übernimmt wohl die kompletten berechtigungen, die ich den Ordnern eine Ebene höher gegeben habe (sagt ja der Name, eine blöde Frage von mir)



    2.Option: Berechtigungen alle untergeordneten Objekte vererben


    Dabei werden für alle Objekte, die innerhalb des Ordners liegen die gleichen Berechtigungen gesetzt.




    Ich denke gerade für Profilordner und Redirect Folder ist die 2. Option genau die richtige, denn ich will ja nur den Besitzer das Zugriffsrecht erteilen. Ist doch OK so?






    Habe jeder rausgenommen und nur domänen benutzer zugriff gestattet, denn es sollen ja keine lokalen benutzer auf diese freigaben zugreifen können.
    Ausser auf Firmendaten, denn es gibt ein paar User, die nicht in der AD sind und Zugriffe auf die Firmendaten haben müssen, da würde ja das nicht funktionieren. Da habe ich wiederrum Jeder Vollzugriff in der Freigabeberechtigung gesetzt und mit den NTFS Berechtigungen weiter nach unten verschachtelt.



    Also soweit mit den Berechtigungen habe ich das jetzt, auch mit der Folder Redirect.


    Bleibt nur noch die Sache mit dem Profil. Klar ist es ein AD Profil. Ich kann ja das AD Profil auch löschen, indem ich in die Systemeigenschaften des lokalen Rechners gehe, auf Profile und dann das dementsprechende Profil lösche. Vorher nochmal alle Daten sichern, Datenstruktur für diesen Benutzer löschen auf dem Server, dann neuanmelden, Daten wieder auf den rechner kopieren (Eigene Dateien, Desktop, Anwendungsdaten, Eigene Bilder) dann sollte es doch wieder passen?