Gruppenrichtlinien am Client für User- und Computeraccount zurücksetzen
Problembeschreibung[Bearbeiten]
Ein ärgerliches Szenario: wer servergespeicherte Profile verwendet und seinen Usern zugleich den Zugriff auf Terminalserver ermöglicht, hierbei andere Richtlinien verwenden möchte, ist sicher schonmal über den Stein gestolpert, dass vergessen wurde, im Active Directory für den Useraccount das Terminalserverprofil zu hinterlegen. Wird dies nämlich übersehen, lädt der Terminalserver das "Standard-Benutzerprofil" (soll heißen: dieselben Einstellungen wie für den Client-Arbeitsplatz) und ergänzt / ersetzt / überschreibt die Gruppenrichtlinien, die eigentlich am Arbeitsplatz gelten sollten. Da man am Terminalserver meistens die Richtlinien noch enger schnürrt als am Client-Arbeitsplatz, hat dieses Szenario zur Folge, dass beim Abmelden vom TS das Userprofil - und damit die Richtlinien - überschrieben werden und beim nächsten Anmelden an der Clientmaschine der User sich über seine noch mehr eingeschränkteren Rechte beschwert :-) Natürlich kann man nun hergehen und das Userprofil neu anlegen, doch gibt's einen etwas bequemeren Weg, sodass nicht wieder Drucker, Outlook etc. pp. komplett neu eingerichtet werden muss.
Lösung[Bearbeiten]
Google war so freundlich, mir den Beitrag auf der Webeiste "Yusufs Directory Blog" zu finden. Um die Richtlinien zu löschen, gehe wie folgt vor:
- Benutzer am Client abmelden
- Davon ausgehend, dass es sich um Roaming Profiles (servergespeicherte Profile) handelt, öffne am Server, wo die Profile gespeichert werden, regedit
- Klicke in der Struktur auf HKEY_LOCAL_MACHINE, dann im Menü auf Datei\Struktur laden
- Im Öffnen...-Fenster navigiere nun zum Benutzerprofilordner, sagen wir z. B. D:\Profile\user_xyz
- Wenn am Server die versteckten Dateien eingeblendet werden, wähle aus dem Benutzerordner die ntuser.dat aus
- Sollte die ntuser.dat nicht zu sehen sein, tippe einfach in das Textfeld ntuser.dat ein - geht genauso
- Jetzt muss ein Name für die Struktur vergeben werden - irgendwas sinnvolles eingeben, z. B. den Benutzernamen user_xyz
- Navigiere nun zu:
- HKEY_LOCAL_MACHINE\<strukturname>\Software\Policies - hier alle untergeordneten Schlüssel löschen
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies - auch hier alle untergeordneten Schlüssel löschen
- Nach erfolgreichem Löschen ist es wichtig, dass vorm Anmelden durch den User die Struktur wieder entfernt wird - als klick auf HKEY_LOCAL_MACHINE und im Menü auf Datei\Struktur entfernen
- Bevor sich der User am Client nun anmeldet, prüfe, ob am Client unter %windir%\system32\GroupPolicy die Ordner Machine und User existieren - hier die registry.pol löschen
- Desweiteren muss vorm Anmelden durch den Benutzer noch die Datei ntuser.pol im Profilverzeichnis des Users gelöscht werden, im Beispielt sollte die Datei also unter D:\Profile\user_xyz\ntuser.pol liegen
- Um noch die computerbezogenen Einstellungen am Client zu löschen, melde dich an dem Rechner als Administrator an und starte wieder regedit:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies - hier alle untergeordneten Schlüssel löschen
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies - und auch hier wieder alle Unterschlüssel entfernen
Melde dich nun als der User am Client an, erstelle eine Desktopverknüpfung
gpupdate /force
Nochmals ab- und anmelden, dann sollten wieder die richtigen Gruppenrichtlinien greifen. Achtung: vergiss bitte nicht, im Active Directory für den User noch das Terminalserverprofil einzurichten - sonst war die ganze Arbeit umsonst ;-)