Zum Inhalt springen

Samba-Shares mit vermutlich falschen Berechtigungen


RubberDog

Empfohlene Beiträge

Moin,

ich hab doch nochmal ein Problem mit Samba und LDAP im zusammenspiel mit Windows.

Wir haben ein etwas größeres Netz, und prinzipiell läuft die gesamte Authentifikation über LDAP-Server.
Die (Unix-)Homeverzeichnisse werden über ein NFS bereitgestellt, da wir aber auch ein paar Nutzer haben die auf Windows bestehen, gibt es auch einen zentralen Samba-Server der sämtliche Home-Verzeichnisse als Samba-Share bereitstellt.

Nun habe ich mir Windows7-VMs für einen künftigen Desktopvirtualisierungs-Pool gebastelt, und dort sollen eben jene Samba-Shares als C:\Users\%username% gemountet werden. Die Authentifizierung an Windows läuft dank pGina über LDAP. Auch das mounten klappt durch ein simples Script, das beim Login jedes Nutzers ausgeführt wird, wunderbar mit mklink /d C:\Users\%username% \\$sambaserver\%username%\.Win7.V2 - der Ordner ist direkt das Windows-Nutzerverzeichnis.

Als Problem aber bleibt, dass beim Login dennoch ein Temp-Profil angelegt wird. Obwohl das User-Profil dank Script ja vorhanden ist. Der Symlink gehört dem jeweils ausführendem Nutzer, die Dateien innerhalb des Shares allerdings "...", vermutlich also niemandem, und sind Read-Only gemountet. Zumindest steht es in den Eigenschaften des Ordners so, ich kann jedoch, wenn ich über den Explorer dorthin navigiere, Ordner und Dateien verändern / erstellen, das wird auch so direkt ins NFS übernommen.

Da ich wirklich sehr selten mit Windows zu tun habe - soll das so?
Und hat jemand eine Idee, warum trotz mount des User-Verzeichnisses ein Temporäres Profil angelegt wird, statt das vorhandene zu nutzen?

Bearbeitet von RubberDog
Korrektur: Nicht nur Read-Only
Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn ich mich richtig erinnere loggt Windows fehlerhafte Anmeldungen in der Ereignisanzeige mit. Du könntest dort also einmal prüfen, ob er das Profil nicht gefunden hat, er keine Berechtigungen hat oder ein anderes Problem vorliegt. 

Hast du dem Benutzer den Profilpfad mitgegeben? Ich glaube nur die Dateien in ein bestimmtes Verzeichnis zu kopieren bzw. von dort zu verlinken ist nicht ausreichend. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 6 Minuten schrieb OkiDoki:

Wenn ich mich richtig erinnere loggt Windows fehlerhafte Anmeldungen in der Ereignisanzeige mit. 

Habe gerade nachgesehen, laut Event-Viewer kann er das (zugehörige) Profil einfach nicht finden.
 

vor 7 Minuten schrieb OkiDoki:

Hast du dem Benutzer den Profilpfad mitgegeben?

Nein, habe ich tatsächlich nicht, in der Hoffnung dass er das schon als Profil akzeptieren wird, da er ja sonst auch genau diesen Ordner so wie er ist anlegen würde.
Wie mache ich das denn, und gibt es dabei noch weiteres zu beachten?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Grundsätzlich so wie in folgendem Link beschrieben. Ich weiß leider nicht, ob es in Verbindung mit Samba und LDAP noch weiteres zu beachten gibt oder ob es dort überhaupt so funktioniert. Ich hoffe aber, dass es dir trotzdem weiter hilft.

https://support.microsoft.com/de-de/help/816313/how-to-assign-a-home-folder-to-a-user

 

Bearbeitet von OkiDoki
Link zu diesem Kommentar
Auf anderen Seiten teilen

Der Link von OkiDoki zielt auf den Basisordner ab, also das was viele als "ihr privates" Verzeichnis auf dem Server kennen. Das kann man unabhängig von Roamingprofilen einrichten. Dich interessiert glaube ich der Eintrag direkt darüber:

https://www.windowspro.de/wolfgang-sommergut/roaming-profiles-einrichten-ueber-ad-benutzer-computer-gpos

Vielleicht hilft dir das weiter?

Dein Problem wird wohl aus der zeitlichen Abfolge kommen: er weiß, da ist ein Profil für diesen User (steht in der Registry) sucht nach dem Profil, findet aber nichts weil der Ordner in dem Moment noch nicht da ist. Deswegne legt er ein TEMP Profil an "gibt was, finde es nur gerade nicht". Wenn der Key nicht vorhanden wäre, würde er ein komplett neues Profil anlegen.

Bearbeitet von Maniska
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 55 Minuten schrieb OkiDoki:

Grundsätzlich so wie in folgendem Link beschrieben.

Ich glaube, es hat mich schonmal in die richtige Richtung geschubst. Mit net user %username% /homedir:\\$sambaserver\%username%\.Win7.V2 scheine ich schonmal das richtige gefunden zu haben, allerdings wird der Ordner dann als Laufwerk Z: eingerichtet, und ich bekomme immernoch ein Temp-Profil.

vor 49 Minuten schrieb Maniska:

Vielleicht hilft dir das weiter?

Hat das Problem, dass meine User (zwischen 2- und 3000) nicht in dem AD hinterlegt sind, und auch die VMs bestenfalls temporär existieren, da es sich dabei um einen VMware Horizon Instant Clone-Pool handelt.
Ich weiss noch nicht, ob sich das so realisieren lässt, schaue es mir aber mal an.
Eine lokal auf dem Rechner per Script ausgeführte Version wäre Ideal, soweit ich das momentan beurteilen kann.

Nachdem ich begriffen habe, dass sich nur der erste Teil deines Links auf eine Lösung via AD bezieht und der zweite Teil eine lokale Variante darstellt, teste ich das gerade - vielen dank schonmal!

Bearbeitet von RubberDog
Link zu diesem Kommentar
Auf anderen Seiten teilen

Das ganze klappt leider noch nicht so richtig.
Momentan hängt es an "Event ID 1526", was so ziemlich heisst dass das Profil a) schon als Server copy existiert, oder b), die Permissions falsch gesetzt sind.
b) kann ich eigentlich ausschließen, was die Serverseite angeht - ansonsten klappt es ja auch überall.
a) keine Ahnung. In C:\Users\ ist kein Ordner mit meinem Profilnamen, nach dem Login (mit temp-Profil, da das eigentlich ja nicht geladen werden kann) sehe ich allerdings meinen Profilordner vom Samba-Share wieder als Laufwerk Z:. Nach einem Disconnect des Laufwerks und erneutem einloggen ist es wieder als Z: da, und ich habe kompletten Zugriff. Nur eben nicht als Profil. Auf das Laufwerk wechseln und mit dir /q den Besitzer anzeigen gibt wieder "..." aus.

Ideen, woran das nun noch liegen könnte?

Bearbeitet von RubberDog
Link zu diesem Kommentar
Auf anderen Seiten teilen

Gut, die überprüfung der Berechtigungen kann ich ebenfalls per Group Policy deaktivieren, das hatte ich Anfangs übersehen.

Als Profil gemountet wird leider immer noch nichts, es bleibt als Laufwerk Z.
Die beiden verbleibenden Meldungen des Event Viewers sind:

 

Zitat

Windows has backed up this user profile. Windows will automatically try to use the backup profile the next time this user logs on.

Zitat

Windows cannot find the local profile and is logging you on with a temporary profile. Changes you make to this profile will be lost when you log off.

Hilft mir nur leider nicht weiter, und mehr Details finde ich auch nirgends.

Bearbeitet von RubberDog
Link zu diesem Kommentar
Auf anderen Seiten teilen

Einfach nur, weil ich es hasse Problem-Threads ohne die gefundene Lösung zu belassen:

Der Link von @Maniska war Gold wert.

Der Link auf Laufwerk Z war meine Schuld, da ich per "net user $user /homedir:\\$server\%username%\.Win7.V2" schon vorher versucht hatte, das zu ermöglichen.
VM zurückgesetzt, von vorn angefangen. Immer wieder die Meldung, das Profil könne nicht gefunden werden.
Irgendwann bin ich in der Registry über den Pfad-Eintrag zum Home-Dir gestolpert, den ich dank des Links eingestellt hatte.

Stellt sich heraus, Windows fügt selbstständig(!) das .V2 an den Pfad an. Führte in meinem Fall dazu, dass das Profil in

\\$server\%username%\.Win7.V2.V2 gesucht wurde. Den Ordner gibt's natürlich nicht.
Also den Pfad für Roaming Profile auf .Win7 verkürzt, und es läuft sofort.


Vielen Dank an alle, die mir hier weitergeholfen haben.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...