Troubleshooting von Roaming Profiles: Tipp-Sammlung: Unterschied zwischen den Versionen
Flo84 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: Der nachfolgende Artikel ist ein Auszug aus dem Beitrag des [http://blogs.technet.com/b/austria/archive/2007/10/05/roaming-profiles-unter-windows-xp-und-vista.aspx Tech...) |
Flo84 (Diskussion | Beiträge) |
||
| Zeile 22: | Zeile 22: | ||
Diese Einstellung funktioniert aber nur während der Profilerstellung, hat also keinen Einfluß auf bestehende Profile. Ist das Profil bereits angelegt und hat der Administrator keinen Zugriff so ist es nötig zuerst als Administrator den Besitz über das komplette Profil zu übernehmen, die Rechte nach obigen Schema wiederherstellen und abschließend unbedingt wieder den User als Besitzer festlegen. Dies ist insofern nötig, da durch die obigen Einstellungen explizit dem Besitzer Rechte gegeben werden. | Diese Einstellung funktioniert aber nur während der Profilerstellung, hat also keinen Einfluß auf bestehende Profile. Ist das Profil bereits angelegt und hat der Administrator keinen Zugriff so ist es nötig zuerst als Administrator den Besitz über das komplette Profil zu übernehmen, die Rechte nach obigen Schema wiederherstellen und abschließend unbedingt wieder den User als Besitzer festlegen. Dies ist insofern nötig, da durch die obigen Einstellungen explizit dem Besitzer Rechte gegeben werden. | ||
| − | Sollte dieses Verfahren aus historischer Sicht nicht so leicht umzusetzen sein, so kann man natürlich auch dem Benutzer selbst mit Vollzugriff auf sein Verzeichnis ausstatten. Die Notwendigkeit der Besitzrechte lassen sich mittels Gruppenrichtlinie auch ausschalten: | + | Sollte dieses Verfahren aus historischer Sicht nicht so leicht umzusetzen sein, so kann man natürlich auch dem Benutzer selbst mit Vollzugriff auf sein Verzeichnis ausstatten. Die Notwendigkeit der Besitzrechte (bis Windows XP SP 1) lassen sich mittels Gruppenrichtlinie auch ausschalten: |
Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Eigentümer von servergespeicherten Profilen nicht prüfen | Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Eigentümer von servergespeicherten Profilen nicht prüfen | ||
Aktuelle Version vom 9. August 2010, 09:36 Uhr
Der nachfolgende Artikel ist ein Auszug aus dem Beitrag des Technet Artikels und hat mir bei einigen Problemen mit Servergespeicherten Profilen (Roaming Profiles) sehr weitergeholfen.
Inhaltsverzeichnis
Auszug TechNet Artikel: Roaming Profiles unter Windows XP und Vista[Bearbeiten]
Eigentlich sind doch Roaming Profiles schon hinlänglich bekannt und es sollte kein Thema sein dies einzurichten beziehungsweise zu verwenden. In der Praxis sieht es leider jedoch anders aus. Ich treffe immer wieder auf Installationen wo zum Beispiel jeder User einen eigenen Share nach der Art \\Server\username$ erhält, was die Useranlage deutlich verkompliziert oder sich Administratoren darüber beschweren, dass es Ihnen nicht möglich ist, die User Profile auf Grunde fehlender Rechte zu administrieren. Da diese Probleme in der Praxis häufiger zu finden sind als man glaubt, möchte ich hier ein paar Tips geben, um den Umgang mit Roaming Profiles zu erleichtern.
Wie legt man die Profil Ordner am Server an?[Bearbeiten]
Die einfachste Antwort ist oft die Beste: Gar nicht. Der Client kann seinen Ordner selbst anlegen und auch gleich die notwendigen Rechte vergeben. Um hier jedoch nicht Tür und Tor zu öffnen ist es aber nötig, den darüber liegenden Ordner mit entsprechenden Rechten zu versehen. Microsoft Technet empfiehlt dazu folgende NTFS Zugriffsrechte:
Benutzergruppe, Rechte, Bereich ERSTELLER-BESITZER, Vollzugriff, Nur Unterordner und Dateien Administratoren, Keine SYSTEM, Vollzugriff, Diesen Ordner, Unterordner und Dateien User Benutzergruppe, Ordner auflisten / Daten lesen, Ordner erstellen / Daten anhängen, Nur diesen Ordner
Die "User Benutzergruppe" sollten jene Gruppe kennzeichnen, in der sich die entsprechenden Benutzer der Domäne befinden. Für kleinere Installation wird es sich meist um die Gruppe "BENUTZER" handeln.
Ob Administratoren Profile lesen dürfen ist eine Unternehmens-Politische Entscheidung. Bei großen Installationen ist eine feine Aufteilung der Administrations-Rollen unbedingt erforderlich und es macht Sinn den Zugriff auf die Daten zu begrenzen. Bei den meisten Installation im KMU Bereich genießt die EDV-Abteilung jedoch vollstes Vertrauen und ist auch mit vollen Rechten ausgestattet. Daher wird auch der Administratoren Gruppe Vollzugriff auf "Diesen Ordner, Unterordner und Dateien" gegeben. Um zu verhindern, daß Administratoren der Zugriff auf die Profile selbst wieder weggenommen wird (Standardeinstellung bei Roaming Profiles) ist es nötig eine Gruppenrichtlinien Einstellung zu aktivieren:
Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen
Diese Einstellung funktioniert aber nur während der Profilerstellung, hat also keinen Einfluß auf bestehende Profile. Ist das Profil bereits angelegt und hat der Administrator keinen Zugriff so ist es nötig zuerst als Administrator den Besitz über das komplette Profil zu übernehmen, die Rechte nach obigen Schema wiederherstellen und abschließend unbedingt wieder den User als Besitzer festlegen. Dies ist insofern nötig, da durch die obigen Einstellungen explizit dem Besitzer Rechte gegeben werden. Sollte dieses Verfahren aus historischer Sicht nicht so leicht umzusetzen sein, so kann man natürlich auch dem Benutzer selbst mit Vollzugriff auf sein Verzeichnis ausstatten. Die Notwendigkeit der Besitzrechte (bis Windows XP SP 1) lassen sich mittels Gruppenrichtlinie auch ausschalten:
Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Eigentümer von servergespeicherten Profilen nicht prüfen
Bei den beiden Gruppenrichtlinien Einstellungen sei zu beachten, dass es sich um Computereinstellungen und nicht um Benutzereinstellungen handelt, dies bedeutet, daß die Einstellung nur auf Computerobjekte vererbt wird. Zum Thema Gruppenrichtlinien sei auch folgende Einstellung unbedingt empfohlen:
Computerkonfiguration/Administrative Vorlagen/System/Anmeldung/Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten
Diese Einstellung bewirkt, dass der komplette Netzwerkstack gestartet wird bevor der Anmeldeschirm erscheint. Dies mag auf den ersten Blick den Anmeldeprozess verlangsamen bringt aber bei genaueren Betrachtung innerhalb von Domänen eine Geschwindigkeitsverbesserung mit sich. Insbesondere dann, wenn auch mit Ordnerumleitung und Offline Dateien gearbeitet wird.
Die Freigabe[Bearbeiten]
Nachdem nun die Verzeichnisstruktur entsprechend erstellt wurde muss natürlich auch noch ein Zugang für die Clients geschaffen werden. Freigegeben wird empfohlenerweise der Stammordner der Profile selbst. Hier wird auch oft ein "$"-Zeichen verwendet um die Sichtbarkeit in der Netzwerkumgebung zu unterdrücken. Es ist aber auch möglich, die Freigabe über DFS zu veröffentlichen und in weiterer Folge über DFSR auf mehrere Server zu replizieren um die Ausfallssicherheit zu erhöhen. Die Rechte sollten so gesetzt sein, daß Administratoren, SYSTEM und die entsprechende Benutzergruppe Vollzugriff erhalten. Einen wichtigen Punkt gibt es noch zu beachten. In den Ordnereigenschaften des Profilordners bei dem Punkt "Zwischenspeichern" bei der Freigabe ist unbedingt der Punkt "Dateien oder Programme der Freigabe nicht offline verfügbar machen" auszuwählen, da es sonst zu Problemen kommen kann.
Offline Settings[Bearbeiten]
Offlinedateien werden im Bereich der Profile nicht unterstützt. Aus diesem Grunde ist es auch wichtig für die Profile eine separate Stamm-Freigabe einzurichten und diese nicht mit anderen Daten wie umgeleitete Ordner, Homeverzeichnisse oder Arbeitsgruppenverzeichnisse zu mischen.
Active Directory[Bearbeiten]
Damit nun Roaming Profiles für die einzelnen Benutzer auch aktiv werden ist natürlich ein entsprechender Eintrag im Benutzerobjekt im Active Directory vorzunehmen. Hier möchte ich dringend anraten den Loginnamen zu verwenden. Am einfachsten erreicht man dies, indem man immer %username% verwendet. Diese Methode ermöglicht es z. B. dieses Attribut gleich bei mehreren Benutzerobjekten gleichzeitig zu ändern. Es hat auch Vorteile wenn ein neuer Benutzer durch das Kopieren eines bestehenden Benutzers angelegt wird. In diesem Fall erhält auch der neue Benutzer den richtigen Pfad, da beim Kopieren der Loginname erkannt und ersetzt wird. Vorsicht ist nur beim Ändern des Loginnames (z. B. wegen Namensänderung) geboten, hier wird weder das Profil Attribut noch der Pafd selbst nachgezogen. Hier ist Handarbeit nötig.
