Windows10pro: Servergespeicherte Profile: Verzeichnissrechte

UCS - Univention Corporate Server
#1

Hallo,
beim Versuch, Servergespeicherte Profile mit UCS 4.4 einzurichten gibt es
ein merkwürdiges Problem:
Nach der Erstanmeldung am Windows 10 (Mitglied der AD-Domäne) wird auf dem
File-Server sowohl das Profil-Verzeichniss, als auch das Benutzer / Home-Verzeichniss
angelegt.
Im User-Verzeichnis wird Appdata als Ordner erzeugt. Darin befindet
sich der Ordner Roaming, auf den jedoch nicht zugegriffen werden kann. Ähnlich
verhält es sich mit Desktop, Eigene Dokumente, Favorites, etc. (Diese Ordner
werden über eine Gruppenrichtlinie aus dem Profil ins Netzwerk auf den Server
und dort nach Users<username> umgeleitet).

In der Ereignisanzeige (win10) wird bei jedem umgeleiteten Ordner “Zugriff verweigert” gemeldet.
Im UCS sind unter Freigaben die Freigaben users und profiles auf dem Server
\files eingerichtet. Unter Benutzer / Konto / Windows sind die richtigen Pfade
für Heimat-Verzeichniss und Profilverzeichniss sowie ein Laufwerksbuchstabe (h:)
angegeben.

Auf dem FileServer sehen die ACLs wie folgt aus:
getfacl profiles

file: profiles

owner: root

group: Domain\040Users

user::rwx
group::rwx
other::r-x

getfacl users

file: users

owner: root

group: Domain\040Users

user::rwx
group::rwx
other::r-x

Bei einem Beispielnutzer:
getfacl users/mueller

file: users/mueller

owner: mueller

group: Domain\040Users

user::rwx
user:mueller:rwx
group::r-x
group:Domain\040Users:r-x
mask::rwx
other::r-x
default:user::rwx
default:user:mueller:rwx
default:group::r-x
default:group:Domain\040Users:r-x
default:mask::rwx
default:other::r-x

profiles/mueller.V6 ist übrigens leer, was auch komisch ist:
getfacl profiles/mueller.V6

file: profiles/mueller.V6/

owner: mueller

group: Domain\040Users

user::rwx
group::r-x
other::r-x

Die Freigaben in Samba sehen wie folgt aus:
users:
[users]
path = /home/users
vfs objects = acl_xattr
msdfs root = no
writeable = yes
browseable = yes
public = no
dos filemode = no
hide unreadable = no
create mode = 0744
directory mode = 0755
force create mode = 00
force directory mode = 00
locking = 1
blocking locks = 1
strict locking = Auto
oplocks = 1
level2 oplocks = 1
fake oplocks = 0
csc policy = manual
nt acl support = 1
inherit acls = 1
inherit owner = no
inherit permissions = no
map acl inherit = yes

profiles:
[profiles]
path = /home/profiles
vfs objects = acl_xattr
msdfs root = no
writeable = yes
browseable = yes
public = no
dos filemode = no
hide unreadable = yes
create mode = 0744
directory mode = 0755
force create mode = 00
force directory mode = 00
locking = 1
blocking locks = 1
strict locking = Auto
oplocks = 1
level2 oplocks = 1
fake oplocks = 0
csc policy = manual
nt acl support = 1
inherit acls = 1
inherit owner = no
inherit permissions = no
map acl inherit = yes

Wir nehmen an, dass etwas mit der Freigabe und den Rechten nicht korrekt ist …
Aber haben dazu aktuell keine weitere Idee …

Habt ihr einen Tipp?
LG Sebastian/Christian

Mastodon