Automatische Uhrzeit Synchronisation

Bei mir wars mal wieder so weit. Der Windows Client zeigte Tage lang eine falsche Uhrzeit an. Da der Rechner in einer Windows Domain eingebunden ist und die Änderung am Client direkt am nächsten Tag wieder zurück gestellt war war der Server schnell als Fehlerquelle ausgemacht.

Um jetzt die Zeit automatisch mit Zeitservern abzugleichen hat man unter Windows Server 2003 die Möglichkeit den Zeitdienst anzupassen. Das ist mit ein paar feinen Zeilen schnell erledigt und muss danach nicht erneuet durchgeführt werden.

w32tm /register
w32tm /config /syncfromflags:manual /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de"
w32tm /config /update
w32tm /resync

Die verwendeten Server gehören der Physikalisch-Technische Bundesanstalt und sollten somit auch noch eine ganze Zeit lang verlässliche Werte liefern. Alternativ kann man die Server der technischen Universität Berlin nehmen ntps1-0.cs.tu-berlin.de ntps1-1.cs.tu-berlin.de

Temporäres Profil wird geladen

Für den Fall, dass Windows nur noch ein temporäres Profil laden will hält Microsoft folgende Lösung bereit:

Im Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList sämtliche *.bak Einträge löschen.

Server gespeicherte Profile

Welche Rechte müssen auf welchem Ordner gelten?

Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen

  • Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
  • Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
  • Administrator: Keine
  • Jeder: Keine
  • Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien

Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen

  • Jeder: Keine
  • Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff

Minimale NTFS Berechtigungen für jeden Ordner von servergespeicherten Profilen

  • %Username%: Vollzugriff, Besitzer des Ordners (!)
  • Lokales System: Vollzugriff
  • Administratoren: Keine
  • Jeder: Keine

Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen.

Wofür brauchen wir das? Nun um auch als Administrator noch Zugriff auf Userprofile zu erhalten muss diese Einstellung über die Gruppenrichtlinienverwaltung gesetzt werden. In der "Default Domain Policy" wird die Einstellung in "Computerkonfiguration > Richtlinien > Administrative Vorlage > System > Benutzerprofile" aktivieren.

Danach noch gpupdate /force auf aktuell laufenden Clients ausführen um die Richtlinie direkt zu verteilen.

Meine Mission

Ziel meiner Veröffentlichungen ist es, meine Begeisterung für die Programmierung und das über die Jahre gewonnene Wissen mit anderen Entwicklern zu teilen. Dabei ist es mir wichtig, Lösungen zu thematisieren für die ich in Suchmaschinen keine Antworten finden konnte. Außerdem versuche ich die von mir veröffentlichten Extensions an Beispielen zu erläutern.

evoWeb © 2019