Wie ändert man ein lokal gespeichertes Profil in ein servergespeichertes Profil ?

   1. Der Benutzer meldet sich zum ersten Mal an einem Client im Netzwerk an
   2. Der Benutzer bekommt auf C:\Dokumente und Einstellungen\%username% unter seinem Benutzernamen lokal auf dem Client, ein neues Profil erstellt
   3. Nun muss das lokale Profil des Benutzers auf einem Server zentralisiert werden. 
      - Dazu richtet man auf dem Server zuerst ein Verzeichnis ein (z.B.: D:\Profile) und vergibt die NTFS-Rechte folgendermaßen:
                          - Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
                          - Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen,
                            Erstellen/schreiben - Nur dieser Ordner
                          - Administrator: Keine 
                          - Jeder: Keine
                          - Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien

      - Danach gibt man das Verzeichnis frei (Idealerweise versteckt: Profile$) mit folgender Freigabeberechtigung:
                          - Jeder: Keine Rechte
                          - Die Sicherheitsgruppe der Domänen-Benutzer, die Dateien sowie Ordner in der Freigabe hinterlegen: Vollzugriff
 
      - Als nächstes kopiert man das lokale Profil auf die Freigabe, idealerweise über die Systemsteuerung-System-Reiter Erweitert-      
        Benutzerprofile. Denn auf diese Art werden die NTFS-Rechte auf dieses Verzeichnis gleich gesetzt (Benutzer bekommt Vollzugriff).

Hinweis: Wie die einzelnen Rechte auf der Freigabe-, NTFS-Berechtigungen des übergeordneten Ordners oder die minimalen
NTFS Berechtigungen für jeden Ordner von servergespeicherten Profilen auszusehen haben,
können im folgenden Artikel nachgelesen werden: Security Recommendations for Roaming User Profiles Shared Folders  

      - Im Snap-In "Active Directory Benutzer und Computer" gibt man im Reiter „Profil“, 
        der Benutzerkonto-Eigenschaften im Feld "Pfad zum Benutzerprofil" den Pfad ein: \\Server\Profile$\%username%

Fertig

   
   4. Das ganze funktioniert natürlich auch, wenn kein lokales Profil besteht (neuer Benutzer). Dann fallen die Punkte 1 und 2 weg und man braucht nur noch in den Benutzereigenschaften den „Pfad zum Benutzerprofil“ anzugeben. Der Benutzer meldet sich jetzt von irgendeinem Client im Netzwerk an, dann

wird sein eigener Profilordner in der Freigabe „Profile$“ erstellt und wenn er sich abmeldet, wird sein lokales Profil auf den Server kopiert.

   5. Wenn der Benutzer nun den Client wechselt, wird sein ganzes Profil (Desktop, Eigene Dateien etc.) vom Server über das Netzwerk, auf diesen anderen Client gezogen.

   6. Nimmt der Benutzer eine Änderung in seinem Profil vor (Desktop, Hintergrundbild, Bildschirmschoner etc.), wird vom Client beim Abmelden des Benutzers, auf dem Server "geschrieben".

   7. Das kann man verhindern, indem man die Datei „ntuser.dat“ im serverbasierten Profil umbenennt in „ntuser.man“ (Mandatory). Das könnte interessant sein, wenn z.B. ein einheitliches Profil im Unternehmen gewünscht wäre. Somit kann der Benutzer während seiner Session zwar Änderungen vornehmen, wie z.B. das er Dateien auf seinem Desktop ablegt, diese aber nicht gespeichert werden.

   8. Wenn man das Profil nicht mehr „fest“ vorgeben möchte, kann man diese Einstellung rückgängig machen, indem man die Datei (ntuser.man) einfach löscht, falls durch die erstmalige Verwendung des Mandatory-Profils automatisch eine neue .dat Datei entstanden ist. Existiert noch keine neue .dat-Datei, kann man einfach die Datei „ntuser.man“ Zurückumbenennen in „ntuser.dat“.

Zusätzliche Informationen:

How to create a custom default user profile

Wie kann man bestehende Windows 2000/XP/Windows Server 2003 servergespeicherte Profile,
zu Windows Vista oder Windows Server 2008 migrieren?
Support guidelines for migrating roaming user profiles data to Windows Vista or to Windows Server 2008

So wird das lokale Benutzerprofil auf den Server kopiert:

1. Man öffnet das Dialogfeld Systemeigenschaften (Systemsteuerung - System) und klickt dann auf die Registerkarte Benutzerprofile
2. Auf der Registerkarte Benutzerprofile klickt man auf das Benutzerprofil, das kopiert werden soll
3. Danach gilt es auf „Kopieren“ zu klicken und anschließend entweder den Namen des Zielordners einzugeben oder im Netzwerk danach zu suchen

Wie kann man servergespeicherte Profile von einem Server auf den anderen umziehen:

• Man erstellt auf dem „neuen“ Server eine Freigabe
• Mit „xcopy /o“ kopiert man die vorhandenen Profile in die neue Freigabe
• Die Rechte auf der Freigabe- sowie in den NTFS-Berechtigungen sollten nach diesem Artikel eingestellt werden:
  Security Recommendations for Roaming User Profiles Shared Folders
• Im Snap-In „Active Directory Benutzer und Computer“ den UNC-Pfad in allen Benutzereigenschaften - „Pfad zum Benutzerprofil“ - anpassen
• Fertig

Eine andere Art Benutzerprofile zu migrieren (wenn die Domäne bloß aus einem DC besteht), kann man in diesem Artikel nachlesen:
Wie kann ich Benutzerprofile migrieren?

Wenn sich ein Benutzer von einer Niederlassung mit seinem servergespeicherten Profil (das in der Zentrale existiert) anmelden möchte, kann im folgenden Pfad eingestellt werden, dass ein Profil auch über „langsame“ Verbindungen geladen werden soll:

„Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile“

Die Profilgröße kann über folgende Richtlinie eingestellt werden (wobei der größte Wert 30.000 KB = 30 MB wäre):

Benutzerkonfiguration\Administrative Vorlagen\System\Benutzerprofile\Profilgröße beschränken

Falls man die Profilgröße selbst bestimmen möchte, so kann man einen eigenen Wert setzen.
Zu beachten wäre aber, umso größer das Profil - desto länger ist die Wartezeit, bis das Profil geladen ist.
http://support.microsoft.com/kb/290324/en-us

Unter Windows Vista liegt der Wert für die Profilgröße ebenfalls bei 30 MB.
Die Größe lässt sich aber nun unter Vista, in der genannten Richtlinie verändern. 

Profile löschen:

Falls der Benutzer ein servergespeichertes Profil nutzt und man die lokale Kopie löschen möchte, gilt es folgende Richtlinie zu aktivieren:

Computerkonfiguration\Administrative Vorlagen\System\Benutzerprofile\"Zwischengespeicherte Kopien von servergespeicherten Profilen
löschen"

Existiert ein lokales Profil, so kann man das mit DelProf löschen (aus dem Windows Server 2003 Ressouce Kit):

http://www.microsoft.com/downloads/details.aspx?FamilyID=901A9B95-6063-4462-8150-360394E98E1E&displaylang=en

Bei Profil - Problemen kann man das "User Profile Hive Cleanup Service" installieren, handele es sich um ein lokales oder servergespeichertes Profil:

1. Zuerst gilt es die IP-Informationen der eingebauten NIC zu notieren (IP-Adresse+SubnetMaske+Gateway+DNS+WINS)
2. Dann fährt man den DC/Server herunter und baut die neue Netzwerkkarte ein
3. Nach dem Einbau der NIC fährt man den DC/Server erneut hoch und deinstalliert die alte Netzwerkkarte im Gerätemanager (zu finden unter "Start - Einstellungen - Systemsteuerung - System")
4. Nun konfiguriert man die "neue" Netzwerkkarte mit den notierten IP-Informationen (von der "alten" NIC) und fährt erneut den DC/Server herunter und baut die "alte" Netzwerkkarte aus
5. Zum Schluss gilt es den DC/Server zu starten und sicherheitshalber das DNS, WINS und Eventlog zu kontrollieren

Das man mit dem Active Directory-Assistenten DCPROMO einen Server zum Domänencontroller promoten (Heraufstufen)
sowie demoten (Herabstufen) kann, dürfte allen bekannt sein.

Was aber, wenn während dem Herabstufen eines DCs ein Fehler auftaucht bzw. der DC keine Verbindung zur Domäne hat?

Dann könnte man dennoch das Herunterstufen des DCs über Dcpromo /Forceremoval erzwingen.
Mit diesem Befehl werden die AD-Daten lokal vom DC entfernt. Die Einträge im AD bleiben aber weiterhin bestehen.
Siehe auch: Die Metadaten des Active Directory unter Windows Server 2008 bereinigen



Klappt es damit auch nicht, gibt es noch einen anderen Weg wie man das Active Directory lokal von einem DC entfernen kann.

Man navigiert in der Registry des DCs (Start - Ausführen - Regedit) zu dem folgendem Pfad und ändert den Wert im Schlüssel ProductType:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions\"ProductType"="LanmanNT" zu "ServerNT"

Danach muss der Server neu gestartet werden. Alles weitere wird in diesem Artikel erläutert:
Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

Möchte man die Protokollierung auf einem DC was das Active Directory (AD) betrifft erhöhen, so kann man dies in der Registrierung (Registry) des DCs einstellen.
Denn standardmäßig werden kritische Ereignisse und Fehlerereignisse im Verzeichnisdienstprotokoll des DCs protokolliert.
Durch die entsprechende Bearbeitung der Registry auf dem DC kann die Protokollierungsstufe des AD erhöht werden, um auch andere Ereignisse zu protokollieren.

Der Registry-Schlüssel mit dem man das Protokollverhalten beeinflussen kann ist:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Hier können für einzelne Bereiche die Protokollierung angepasst (erhöht) werden, über die detaillierter protokolliert werden soll.
Die Protokollierung wird aber nur auf dem DC erhöht, auf dem die entsprechende Registryänderung durchgeführt wurde!
Diese Einstellung wird auch nicht auf andere DCs repliziert.

Es stehen folgende Ereignistypen ab Windows 2000 zur Verfügung:

1 Knowledge Consistency Checker (KCC)

2 Security Events

3 ExDS Interface Events

4 MAPI Interface Events

5 Replication Events

6 Garbage Collection

7 Internal Configuration

8 Directory Access

9 Internal Processing

10 Performance Counters

11 Initialization/Termination

12 Service Control

13 Name Resolution

14 Backup

15 Field Engineering

16 LDAP Interface Events

17 Setup

18 Global Catalog

19 Inter-site Messaging

Ab Windows Server 2003 stehen zusätzlich noch diese Ereignistypen zur Verfügung:

20 Group Caching

21 Linked-Value Replication

22 DS RPC Client

23 DS RPC Server

24 DS Schema

Jeder dieser Ereignistypen, stellt ein REG_DWORD-Wert dar und haben alle als eingestellten Wert „0“ eingetragen.

Durch die Erhöhung dieses Wertes, kann die Protokollierung detaillierter stattfinden, aber Vorsicht, zu viele Einstellungen (z.B. man aktiviert auf allen Typen den höchsten Wert), kann den DC Performancetechnisch in die Knie zwingen. Daher sollte die vorgenommene Einstellung auch wieder rückgängig gemacht werden, wenn es nicht mehr benötigt wird.

Es stehen sechs Stufen (0-5) zur Verfügung:

0 (None) = In dieser Stufe werden ausschließliche kritische Fehler protokolliert. Dies ist die Standardeinstellung für alle Ereignistypen, die nur geändert werden sollte wenn Probleme bestehen.

1 (Minimal) = Bei dieser minimalen Einstellung werden auch die etwas weniger kritischen Ereignisse protokolliert. Wenn man nicht weiß wo genau das Problem besteht, sollte mit dieser Einstellung das Troubleshooting begonnen werden.

Alleine in dieser Stufe werden bereits deutlich mehr Ereignisse in der Ereignisanzeige verzeichnet, daher sollte genauestens überprüft werden, ob diese Stufe für die Problemsuche ausreicht bevor man „erhöht“.

2 (Basic) = Diese Stufe erhöht die Protokollierung noch etwas. Falls Stufe 1 nicht ausreicht, sollte - ganz nach dem Motto „Schritt für Schritt“ - diese Stufe angewendet werden.

3 (Extensive) = In dieser Stufe werden alle Schritte der einzelnen Aufgaben im Active Directory detailliert protokolliert. Hier wird schon sehr viel protokolliert, im Gegensatz zu den Stufen 0 bis 2. Ab der Stufe 3 wird auch der Server durch die starke Protokollierung extrem belastet, daher sollten leistungsfähige Maschinen zur Verfügung stehen. Die Stufen 0-2 reichen für die Fehlerbehebung im Active Directory normalerweise aus.

4 (Verbose) = Bei dieser Stufe wird der Protokollierungsgrad noch weiter erhöht als die Stufe 3. Allerdings ist die Steigerung der Protokollierung nicht so hoch, als bei der Erhöhung von der Stufe 2 zu 3.

5 (Internal) = Das ist die höchste Stufe die man einstellen kann. In dieser Stufe werden alle Informationen in das Ereignisprotokoll geschrieben, die das Active Directory protokollieren kann. Diese Stufe sollte nur für wenige Ereignistypen gleichzeitig eingestellt werden, denn ansonsten wird es sehr schnell unübersichtlich in der Ereignisanzeige. 

Es können noch bei weiteren Diensten eine höhere Protokollierung aktiviert werden, z.B. für:

NTFRS Diagnostic Logging

HKLM\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters

Mit dieser Einstellung, wird ein  Debug Log im Verzeichnis: „%windir%\debug\NtFrs_0000n.log“ erstellt (ebenfalls mit den Stufen 0-5).

Debug Maximum Log Messages

Debug Log Files

Falls es Probleme mit Benutzerkonten bzw. Anmeldungen kommen sollte, so kann man die Netlogon Protokollierung aktivieren:
How to enable user environment debug logging in retail builds of Windows 

Enabling debug logging for the Net Logon service

Mit dem Tool NLPARSE kann man sich die Auswertung der Netlogon-Protokolldatei erleichtern:

Account Lockout and Management Tools

Die beiden Tools DCDIAG und NetDIAG aus den Windows Support Tools (die sich auf der Windows Server 2003 CD im Ordner Support befindet),
sind bei der Fehlersuche ebenfalls behilflich.

„DCDIAG /v“ und „NetDIAG /v“ sollten zur Diagnose herangezogen werden.

Für die Auswertung des DCDIAGs, hatte ich hier einen Artikel geschrieben:

Domänencontroller mit DCDIAG prüfen

Für weitere Log-Möglichkeiten siehe diese Links:
How to configure Active Directory diagnostic event logging in Windows Server 2003 and in Windows 2000 Server

How to enable folder redirection logging to gather verbose troubleshooting information in Windows 2000

Troubleshooting SCECLI 1202 Events

How to configure Active Directory diagnostic event logging in Windows Server 2003 and in Windows 2000 Server

Fixing Group Policy problems by using log files

Enable Logging for Group Policy Management Console

Enabling Logging for Group Policy Editor

Enable Logging for Group Policy Editor Client Side Extensions