Gruppenrichtlinien am Client für User- und Computeraccount zurücksetzen

Aus ITwiki
Version vom 2. Januar 2012, 14:47 Uhr von Flo84 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: == Problembeschreibung == Ein ärgerliches Szenario: wer servergespeicherte Profile verwendet und seinen Usern zugleich den Zugriff auf Terminalserver ermöglicht, hie...)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Problembeschreibung

Ein ärgerliches Szenario: wer servergespeicherte Profile verwendet und seinen Usern zugleich den Zugriff auf Terminalserver ermöglicht, hierbei andere Richtlinien verwenden möchte, ist sicher schonmal über den Stein gestolpert, bei dem vergessen wurde, im Active Directory für den Useraccount das Terminalserverprofil zu hinterlegen. Wird dies nämlich vergessen, lädt der Terminalserver das "Standard-Benutzerprofil" (soll heißen: dieselben Einstellungen wie für den Client-Arbeitsplatz) und ergänzt / ersetzt / überschreibt dadurch die Gruppenrichtlinien, die eigentlich am Arbeitsplatz gelten sollten. Da man am Terminalserver meistens die Richtlinien noch enger schnürrt als am Client-Arbeitsplatz, hat dieses Szenario zur Folge, dass beim Abmelden vom TS das Userprofil - und damit die Richtlinien - überschrieben werden und beim nächsten Anmelden an der Clientmaschine der User sich über seine noch mehr eingeschränkteren Rechte beschwert :-) Natürlich kann man nun hergehen und das Userprofil neu anlegen, doch gibt's einen etwas bequemeren Weg, sodass nicht wieder Drucker, Outlook etc. pp. komplett neu eingerichtet werden muss.

Lösung

Google war so freundlich, mir den Beitrag auf der Webeiste "Yusufs Directory Blog" zu finden. Um die Richtlinien zu löschen, gehe wie folgt vor:

  1. Benutzer am Client abmelden
  2. Davon ausgehend, dass es sich um Roaming Profiles (servergespeicherte Profile) handelt, öffne am Server, wo die Profile gespeichert werden, regedit
  3. Klicke in der Struktur auf HKEY_LOCAL_MACHINE, dann im Menü auf Datei\Struktur laden
  4. Im Öffnen...-Fenster navigiere nun zum Benutzerprofilordner, sagen wir z. B. D:\Profile\user_xyz
    1. Wenn am Server die versteckten Dateien eingeblendet werden, wähle aus dem Benutzerordner die ntuser.dat aus
    2. Sollte die ntuser.dat nicht zu sehen sein, tippe einfach in das Textfeld ntuser.dat ein - geht genauso
  5. Jetzt muss ein Name für die Struktur vergeben werden - irgendwas sinnvolles eingeben, z. B. den Benutzernamen user_xyz
  6. Navigiere nun zu:
    1. HKEY_LOCAL_MACHINE\<strukturname>\Software\Policies - hier alle untergeordneten Schlüssel löschen
    2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies - auch hier alle untergeordneten Schlüssel löschen
  7. Nach erfolgreichem Löschen ist es wichtig, dass vorm Anmelden durch den User die Struktur wieder entfernt wird - als klick auf HKEY_LOCAL_MACHINE und im Menü auf Datei\Struktur entfernen
  8. Bevor sich der User am Client nun anmeldet, prüfe, ob am Client unter %windir%\system32\GroupPolicy die Ordner Machine und User existieren - hier die registry.pol löschen
  9. Desweiteren muss vorm Anmelden durch den Benutzer noch die Datei ntuser.pol im Profilverzeichnis des Users gelöscht werden, im Beispielt sollte die Datei also unter D:\Profile\user_xyz\ntuser.pol liegen
  10. Um noch die computerbezogenen Einstellungen am Client zu löschen, melde dich an dem Rechner als Administrator an und starte wieder regedit:
    1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies - hier alle untergeordneten Schlüssel löschen
    2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies - und auch hier wieder alle Unterschlüssel entfernen

Melde dich nun als der User am Client an, erstelle eine Desktopverknüpfung

gpupdate /force

Nochmals ab- und anmelden, dann sollten wieder die richtigen Gruppenrichtlinien greifen. Achtung: vergiss bitte nicht, im Active Directory für den User noch das Terminalserverprofil einzurichten - sonst war die ganze Arbeit umsonst ;-)

Nützliche Links