Automatische Uhrzeit Synchronisation

Bei mir wars mal wieder so weit. Der Windows Client zeigte Tage lang eine falsche Uhrzeit an. Da der Rechner in einer Windows Domain eingebunden ist und die Änderung am Client direkt am nächsten Tag wieder zurück gestellt war war der Server schnell als Fehlerquelle ausgemacht.

Um jetzt die Zeit automatisch mit Zeitservern abzugleichen hat man unter Windows Server 2003 die Möglichkeit den Zeitdienst anzupassen. Das ist mit ein paar feinen Zeilen schnell erledigt und muss danach nicht erneuet durchgeführt werden.

w32tm /register
w32tm /config /syncfromflags:manual /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de"
w32tm /config /update
w32tm /resync

Die verwendeten Server gehören der Physikalisch-Technische Bundesanstalt und sollten somit auch noch eine ganze Zeit lang verlässliche Werte liefern. Alternativ kann man die Server der technischen Universität Berlin nehmen ntps1-0.cs.tu-berlin.de ntps1-1.cs.tu-berlin.de

Temporäres Profil wird geladen

Für den Fall, dass Windows nur noch ein temporäres Profil laden will hält Microsoft folgende Lösung (http://support.microsoft.com/kb/947242) bereit:

Im Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList sämtliche *.bak Einträge löschen.

Server gespeicherte Profile

Welche Rechte müssen auf welchem Ordner gelten?

Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen

  • Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
  • Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
  • Administrator: Keine
  • Jeder: Keine
  • Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien

Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen

  • Jeder: Keine
  • Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff

Minimale NTFS Berechtigungen für jeden Ordner von servergespeicherten Profilen

  • %Username%: Vollzugriff, Besitzer des Ordners (!)
  • Lokales System: Vollzugriff
  • Administratoren: Keine
  • Jeder: Keine

Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen.

Wofür brauchen wir das? Nun um auch als Administrator noch Zugriff auf Userprofile zu erhalten muss diese Einstellung über die Gruppenrichtlinienverwaltung gesetzt werden. In der "Default Domain Policy" wird die Einstellung in "Computerkonfiguration > Richtlinien > Administrative Vorlage > System > Benutzerprofile" aktivieren.

Danach noch gpupdate /force auf aktuell laufenden Clients ausführen um die Richtlinie direkt zu verteilen.

© 1996-2012