Synchronisation des Serverprofils schlägt mit lokalen Adminrechten fehl
Hallo Leute,
ich wende mich mal mit nem Problem an euch, welches ich scheinbar alleine nicht gelöst bekomme. Googlen und auch die Forumssuche haben mich leider nicht weiter bringen können. Aus diesem Grund schilder ich hier mal mein Problem und hoffe, dass mir einer von euch helfen kann.
Problem: Nach der Vergabe von lokalen Adminrechten für einen Benutzer, wird das servergespeicherte Profil nicht mehr synchronisiert.
Ausgangslage:
1 Windows Server 2003 Standard mit SP2 und postSP2-Patches
15 Clients mit Windows XP Professional SP2 oder SP3 und postSP-Patches
Domäne mit AD und daraus resultierend DNS mit forward und reverse lookup-zone.
Der Server läuft tadellos, Ereignisanzeige ist sauber.
DNS funktioniert einwandfrei, keine Fehler in der Ereignisanzeige und nslookups laufen von überall aus problemlos. DCdiag.exe läuft ohne Fehler durch.
Nun zum Problem:
Wenn ich im AD nun einen Domönenbenutzer anlege, funktioniert noch alles einwandfrei.
Ich setze den Profilpfad( \\Servername\Share\%username%) und das Basisverzeichnis (<Laufwerk>:\Basisverzeichnis\%username%) und alles läuft problemlos. Kann mich am Client anmelden, Profil wird erstellt, wird zurückgeschrieben und ich kann auch direkt im Profilordner alles machen ( Rechte stimmen also).
Wenn ich diesem User jetzt aber auf nem Client lokale Adminrechte gebe, egal ob über GPO oder lokal am Client über die Verwaltung, geht eben nichts mehr. Das Profil steht zwar weiter als servergespeichert eingetragen da, es wird aber weder vom Server gezogen noch zurückgeschrieben. Er unternimmt nicht mal nen Versuch. Profil löschen und neuanlegen des users hab ich alles schon durch. Auch den Client neu in die Domäne hängen ist schon passiert, kein Erfolg. AD neu, Server neu, Client neu - nix. Das Problem ist übrigens nicht clientabhängig, es passiert überall so.
Daran hänge ich jetzt schon seit ziemlich langer Zeit und ich hoffe, von euch hat einer eine zündende Idee.
Für Tipps und Anregungen bin ich euch jetzt schonmal dankbar.
Was passiert denn bitte genau?
Fehlermeldung gibt es nicht?
Woher kommt denn das Wissen: "Er unternimmt nicht mal nen Versuch."
==> wie kommst Du zu der Annahme?
Wird denn der Pfad fuer die "Roaming Profiles" per GPO veraendert?
Zieht den evtl. eine GPO nicht als Admin-User?
Was passiert denn bitte genau?
Fehlermeldung gibt es nicht? Es passiert eben gar nichts. Es gibt keine Fehlermeldung, weder beim Anmelden noch beim Abmelden. Es werden keinerlei Dateien synchronisiert, weder Server -> Client noch Client -> Server. Das passiert aber eben nur, wenn der Benutzer lokale Adminrechte auf dem Client bekommt.
Woher kommt denn das Wissen: "Er unternimmt nicht mal nen Versuch."
==> wie kommst Du zu der Annahme? Ich komme aus zwei Gründen zu dieser Annahme:
1. Der An- und Abmeldevorgang geht deutlich zu schnell.
2. Zu den interessanten Momenten gibt es keinerlei Traffic auf dem Switch, genauer den Ports, welche genutzt werden.
Wird denn der Pfad fuer die "Roaming Profiles" per GPO veraendert? Nein, ein derartiger Einfluß ist nicht der Fall, wurde bereits überprüft.
Zieht den evtl. eine GPO nicht als Admin-User? Ok, das muß ich noch überprüfen, kann ich zur Zeit nicht mit Sicherheit ausschließen. Nehme ich heute in Angriff.
gibt es in der ereignisanzeige meldungen von USERENV, die sich den ausbleibenden synchronisationen zuordnen lassen?
du könntest ausserdem das logging aktivieren und dann vielleicht beim vergleichen mit erfolgreichen vorgängen neue hinweise finden. http://support.microsoft.com/kb/221833
bevor du das logging hochschraubst, schau mal, ob da nicht sowieso schon was verwertbares rumliegt...
So, nach einer leider etwas längeren Zwangspause, melde ich mich nun zurück.
Mein Problem ist gelöst, sowohl linux-luder als auch q3wert haben zur Lösung beigetragen.
Das erweiterte Logging hat mir noch eine kleine Fehlerquelle gezeigt und es war auch noch nen Fehler betreffend der GPO dabei. Warun auch immer waren die Admins von dieser GPO ausgenommen ( ich könnt schwören, ich hatte sie mit eingebaut ).
Allen Beteiligten vielen Dank für die Ideen und Lösungsansätze.
Navigation
Synchronisation des Serverprofils schlägt mit lokalen Adminrechten fehl
Linear-Darstellung
