robbery

Hallo,

 

dieses Thema beschäftigt mich nun schon seit ein paar Tagen, eine wirklich saubere Lösung habe ich allerdings noch nicht herausfinden können.

Unsere Umgebung beinhaltet ca. 80 Arbeitsplätze/Profile. Diese sind derzeit alle noch mit XP installiert und werden dann wohl Stück für Stück auf Win7 gestuft. In diesem Zuge würde ich, wenn möglich, soviel wie möglich benutzerspezifische Einstellungen übernehmen (Desktop, Anwendungsdaten usw). Die Frage ist nur, ob dies möglich ist oder ob man doch ein serverseitiges Default User-Profil aufsetzt und die User wieder bei (fast) Null anfangen lässt.

 

Bis jetzt habe ich folgende Dinge betrachtet und zum Teil getestet:

 

1. Windows EasyTransfer

Für meine Zwecke/Umgebung nicht relevant, dieses Tool übernimmt ohne großartige Selektierung einfach alles, was es findet (uneffektiv).

 

2. USMT

Damit haben wohl schon mehrere ihre Profile umgezogen, allerdings scheint mir dieses Programm einige Lücken zu haben (z.B. Übernhame v. Anwendungsdaten nicht möglich?!?). Zumal ja auch noch die Reg-einträge der Anwendungsdaten jedes einzelnen Nutzers mit übernommen werden müssten. Dies ist durch vorhandene Passwortrichtlinien nur schwer umsetzbar.

 

3. Neues Default Profil erstellen

Dies hat auf den ersten Blick zuverlässig funktioniert, ist allerdings die letzte Alternative, falls sich eine Übernahme der Profile zu kompliziert darstellt.

 

Meine Frage/Bitte an euch ist, ob ihr mir Tipps/Hilfestellung geben könnt, wie sich eine Übernahme am besten zu realisieren lässt, auf welche Dinge womöglich besonders geachtet werden muss, wovon abzuraten ist usw?!

 

Über jegliche Art von Hilfe würde ich mich freuen - Danke!

Sorry, aber kam gestern leider nicht mehr dazu, etwas zu posten. Wenn ich eine Möglichkeit sehen würde, wie ich den Screenshot freischalten lassen könnte, würde ich diese nutzen... Ich dachte, es gibt da sowas wie eine automatische Weiterleitung an die Mods?!?

 

@Sunny:

Danke für deine "Verteidigung" - du hast Recht, ich kann mich noch nicht auf eine Möglichkeit festlegen, die ich anwenden möchte ;)

 

Mittlerweile stellt sich der Zustand auch wieder anders dar:

Ich habe nun zwei Laufwerke per Laufwerkszuordnung (GPP) und Zielgruppenadressierung in der Default GPO angelegt. Anfangs ging das Mapping noch nicht, mittlerweile werden sie gemappt, sogar mit filtern des IP-Adressbereiches (Dauert es womöglich ein wenig, bis die Einstellungen in der Domäne verteilt werden?).

 

Nun muss ich mir nur noch Gedanken darüber machen, wieviele GPO's ich benötige/erstelle und darin dann in einer sinnvollen Abstufung die Laufwerkszuordnungen aufteile. Denn bei 2 Subnetzen gibt es keine Abteilungen, in einem Subnetz gibt es aber mehrere Abteilungen (Vertrieb, Beschaffung, Lager usw.), die eben verschiedene Netzlaufwerke bekommen sollen.

 

Also danke für die Hilfe - zwar ist es etwas anderes geworden wie es in meinem Thema steht, aber das Endprodukt ist ja das Gewünschte :)

Bzgl. der Zielgruppenaddressierung fällt mir noch was ein...

Kann man diese auch über Batchanmeldeskripte laufen lassen? Weil das Problem bei der Adressierung ist ja, das ich jeden Laufwerksbuchstaben einzel angeben müsste.

 

Des Weiteren habe ich es mit einem Buchstaben probiert, bin aber leider gescheitert... Folgendes habe ich eingetragen:

Ach ja stimmt da kann ich über die Zielgruppenadressierung ja IP-Adressbereiche definieren :) Da werde ich es also mal über diesen Weg probieren.

 

Muss ich nur noch meine derzeitige Batch-Datei in ein VB-Script ändern - ich hoffe das wird nicht allzu verschieden/anders sein...

 

Ich werde "mein Glück" probieren - DANKE

Diese Anforderung stand so nicht im OP. Beschreib doch zuerst einmal ganz genau was Du eigentlich möchtest.

 

Folgendes:

Ich habe in meiner Domäne 3 Standorte. Alle 3 haben verschiedene IP's (192.168.2.x, 192.18.5.x, 192.168.100.x), die per DHCP verteilt werden. Jeder Benutzer der Domäne kann sich an jedem Standort anmelden, das soll so sein. Und genau da soll mein Anmeldeskript eingreifen.

Z.B. gehört ein Nutzer der OU Vertrieb an. Somit würde ich gerne in seinem Benutzerprofil im Anmeldeskript "vertrieb.vbs" oder so stehen haben. Und in dem Anmeldeskript soll zuerst die IP-Abfrage kommen und danach anhand seiner IP entschieden werden, welche Laufwerke er bekommt.

Ist das jetzt halbwegs durchsichtlich?

 

Leg doch einfach mal den Kopf quer und überleg dir die Sache mit den IP-Adressen WMI-Filter nochmal. Du mußt das globaler sehen, mehrere GPOs pro Standort, die wirken allerdings nur, wenn die IP-Adresse des Clients auch dazu passt.

 

Und wenn ein Benutzer oder Computerobjekt in OU A abgelegt ist, kann es nicht einfach die GPOs von OU B lesen, außer Du erstellst einen WMI-Filter.

Genau die Sinnhaftigkeit von WMI-Filtern habe ich noch nicht in meinen Überlegungen. Ich wollte meine Domäne eben nicht mit GPO's "überfluten"... Also grundsätzlich würdest du es eher mit Filtern realisieren. Hast du trotzdem eine Idee, wie ich alles mit einem Anmeldeskript abdecken könnte?

Per GPO oder GPP sehe ich das Problem eher darin, dass die Nutzer fest zu OU's zugeordnet sind. Eine GPP/GPO bezieht sich ja auf eine OU, oder sehe ich das falsch?

Weil wenn ja, dann besteht ein Problem, wenn sich z.B. ein Nutzer aus dem Subnetz der ersten OU plötzlich im Subnetz der zweiten OU anmeldet. Dann sollte er ja die GPO-Einstellungen der zweiten OU beziehen, allerdings ist er ja Mitglied der ersten OU. Somit wird er sich ja nicht die gewünschten GPO-Einstellungen (der zweiten OU) ziehen. Oder?

 

Deswegen wollte ich lieber zentral liegende Anmeldeskripte, die die IP-Adresse auslesen und darüber entscheiden, welche Laufwerke gemappt werden.

 

Oder habe ich einen größeren Denkfehler?

Hallo,

 

ich stehe vor einem spannendem Problem...

Ich möchte gerne per VBS das Netlogon/Anmeldeskript für Domänenbenutzer laufen lassen. Derzeit habe ich dies immer mit Batchdateien gelöst!

Ich denke, dass das wohl nicht das allzu große Problem darstellt.

 

Allerdings möchte die jeweiligen Netzlaufwerke in Abhängigkeit zur IP-Adresse mappen lassen. Grund: Ich habe 3 verschiedene Subnetze und jedes Subnetz soll unterschiedliche Netzlaufwerke mappen.

 

Hat darin schon jemand Erfahrung oder zumindest einen kurzen Anhaltspunkt?

Denn mit VBS-Programmierung habe ich bis jetzt noch nicht wirklich viel am Hut gehabt...:confused:

 

Danke, Enrico

OK genau die Variante schwebte mir auch vor (über GPO's Einfluss darauf nehmen).

 

Aber leider konnte ich meine Arbeitsweise noch nicht umstellen, weil wir (Ich weiß, ihr werdet es kaum glauben...) bis zum heutigen Tag noch mit einer NT4-Domäne gearbeitet haben - d.h. nix mit GPO's ;)

 

Aber jetzt kommt endlich eine 2008er Domäne! Da kann ich nur froh sein, das Microsoft nicht schon eher die Idee hatte, nach jedem Neustart die FW zu aktivieren.

 

Danke

Hallo ihr,

 

ich habe seit ca. 1 Woche das Problem, dass auf allen Windows-XP-Rechnern nach jedem Neustart die Firewall aktiv ist. Ich verteile die Windows-Updates per WSUS und ich vermute stark, dass eines der Updates für dieses "Feature" veratnwortlich ist.

 

Hat jemand eine Idee, wie man es wieder rückgängig machen kann und die Clients keine aktivierte Firewall mehr haben?

 

Hoffentlich habt ihr eine Idee, denn eine aktivierte Firewall macht sich bei meiner Arbeitsweise extrem bemrkbar - leider negativ...

So, habe jetzt das SP3 drauf und extra noch das eine benötigte Update installiert. Und siehe da, es wird die GPP übernommen!!!

 

Also sozusagen ist mein GPP-Problem von euch gelöst worden - Dankeschön!!!

Naja wie gesagt: es ist bis jetzt nur ein Testnetz und habe nur fix alte Iso's zum Installieren verwendet. Bin aber mittlerweile dabei, über unseren WSUS den Rechner zu aktualisieren! Also heißt es erstmal warten... "Leider" ist für mich jetzt erstmal Feierabend, aber werde mich morgen dazu nochmal äußern!

Ich dachte wir sind hier per du? Oder regst du dich grad so auf, dass du lieber Sie-***** sagen willst?

Nein nein noch bin ich die Ruhe in Person - zwischen förmlichen Mails und Forenbeiträgen schaltet man im Kopf nicht immer gleich um ;)

Mal ehrlich, deine Konfigurationen sind jetzt nicht klar rübergekommen, dass man sofort sieht wo der Fehler ist. Erklärt vielleicht auch, warum der Thread hier schon 3 Seiten hat. Wenn du GPP nutzt, sollte eigentlich im Eventlog des Clients auch eine Fehlermeldung auftauchen, wenn er das Laufwerk nicht mounten kann. Tut es das? Oder hast du es nicht probiert? Kann es vielleicht sein, dass einfach die Slow Link Detection bei dir zuschlägt?

Naja die ersten beiden Seiten sind ja eher Rätselspiele, wo der Fehler liegen könnte, da auch andere nicht auf Anhieb eine Lösung haben. Und nein, es erscheint eben leider keine Fehlermeldung im Log. Und das die Slow Link Detection zuschlägt glaube ich eher nicht, da mein Testnetz ein Gigabitnetz ist...

Wie wäre es denn mal mit mehr Infos? Was funktioniert nicht? Was steht im Eventlog? Was genau hast du konfiguriert? Wie sehen die Berechtigungen aus? Wohin hast du das GPO verlinkt? Wo befinden sich deine Benutzer? Wendest du das GPO eventuell auf Computer ohne Loopback an? Ist die GPP CSE auf Windows Vista und XP installiert worden? Fragen über Fragen.

Im Eventlog steht nichts bzgl. GPO's (Nur profilseitige "Probleme" zwecks Offlinezwischenspeicherung). Meine Benutzer befinden sich in OU's (unterteilt ist dies in Niederlassungen und den dazugehörigen Abteilungen), also z.B. NL Mitte und Abt. Beschaffung. Und in der OU Beschaffung sind die Benutzer und darin habe ich auch eine neue GPO erstellt. Was genau meinst du mit Loopback - die Frage ist mir nicht ganz klar. Prinzipiell hat doch jeder eine Loopback...

Kann es vllt daran liegen, dass die Clients alle noch mit XP SP2 laufen? Weil es ist ja bislang nur ein Testnetz und da habe ich noch keine Updates gefahren.

Und wenns nur 2 wären würde ich es nicht per Hand tun.

Richtig, sie WÜRDEN es nicht tun - ich auch nicht! Aber ich finde wie gesagt keine Lösung... Außer du hast eine Idee und wirst sie Preis geben.

mach doch einfach mal ein pause in deine batchdatei am Ende. Da siehst du schonmal ob dein Skript überhaupt ausgeführt wird als normaler Nutzer. Wenn ja siehst du dann auch gleich eventuelle Fehler.

Es wird nicht ausgeführt bzw. wird es nur sehr kurz aufgepopt. Ich vermute, dass der Zugriff verweigert wird, kann mir aber nicht erklären warum. Denn die Rechte auf Netlogon und auch auf die jeweiligen freizugebenden Ordner sind für die Nutzer gesetzt...

Hallo,

 

auch wenn ich derzeit die andere Frage los werde, hoffe ich, dass ihr mir weiter helfen könnt. Ist ja auch Sinn und Zweck eines Forums ;)

 

Und zwar bekomme ich es einfach nicht hin, dass Laufwerke über die GPP's gemappt werden. Habe dazu auch schon folgende Anleitung befolgt, doch ohne Erfolg... Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Gibt es denn über die GPP's eine Variante, dass je nach Nutzer ein Nutzerverzeichnis als Laufwerk zur Verfügung gestellt wird?

 

Ich weiß, dass kann man im AD-Ben.&Comp. beim Nutzer als Basisordner mappen lassen, doch ich möchte dieses Nutzerverzeichnis je nach OU mappen lassen - also müsste ich das ja über GPO's realisieren. Oder?

- Fehleranfälligkeit und wohl keine Fehlertoleranz durch Abhängigkeit von normalen DC

- Unterschiede bei der Handhabung im Vergleich zu DC's --> Einarbeitungsaufwand

- wenn Passwörter nicht übertragen werden, kann bei Leitungsstörung o.ä. keine Anmeldung mehr erfolgen

 

Nur habe ich leider nicht die Zeit, einen RODC komplett zu testen - deswegen ja hier meine Bitte um Rat?!?

Trotzdem wäre es schön zu wissen, weshalb es nicht mit der GPO geklappt hat.

Ja, das würde ich auch gerne mal wissen. Aber naja wenns von uns eben keiner weiß, dann werden wir in der Hinsicht wohl erstmal weiterhin im dunkeln tappen :)

 

Also weiterhin einen fleißigen Finger und den Wissensaustausch vorantreiben :)

die zwei wichtigsten Gründe für einen RODC sind meiner Meinung nach die beiden folgenden:

- Es nicht genügend gesicherte Räumlichkeiten vorhanden um einen DC vor unbefugtem Zugriff zu schützen

- Es sind keine lokalen Administratoren in den Aussenstellen vorhanden

Bei der Sicherheit der Räumlichkeiten sehe ich keine Probleme und mit den lokalen Admins gebe ich dir natürlich recht. Grundsätzlich habe ich allerdings auch genügend contras bzgl. RODC gelesen...

Und wenn die Anforderungen definiert sind, d.h. auch tatsächlich DCs an den Aussenstandorten erforderlich sind (z.B. langsame WAN-Verbindungen, lokale Instanzen einer Exchange-Organisation, zahlreiche Benutzer), dann noch folgender Gedanke:

 

Ein zusätzlicher schreibbarer DC an Stelle eines RODCs an mindestens einem Aussenstandort ist auch eine Sicherheit für den Fall, dass der Hauptstandort mit den sonst einzigen schreibbaren DCs abbrennt.

Derzeit sind die WAN-Verbindungen zu den Standorten noch nicht sonderlich schnell, aber dies wird sich ab April 2011 ändern. Exchange verwenden wir gar nicht, also ist das ausgeschlossen!? Von zahlreichen Nutzern kann auch nicht die Rede sein, es sind pro Standort etwa 10-15 Leute.

 

Was das Argument mit dem Abbrennen betrifft ist das prinzipiell richtig, allerdings haben wir im Hauptsitz einen Brandschutzschrank stehen. Somit sollte diese Technik stets vorhanden sein...

 

Also was meint ihr wäre für meine Zwecke "besser"?

Hallo,

 

ich habe nun mittlerweile einige Beiträge gelesen bzgl. der neuen EInführung in Server2008 von RODC's. Allerdings kam ich auf noch keinen Entschluss, für welche Methode ich mich entscheide...

 

Also wir bauen in naher Zukunft eine neue Domänenstruktur auf, in der es einen Hauptsitz und 2 Standorte gibt (ein 24er und zwei 22er Netze).

 

Nun zu meiner Frage:

Was ist sinnvoller/besser in den beiden Standorten einzusetzen - einen RODC oder einen klassischen DC? Was meint ihr dazu?

 

Danke

Enrico

Jetzt habe ich es nochmal mit den GPP's probiert, hat auch nicht zur Abhilfe geführt.

 

Aber jetzt kommts: Ich habe es einfach mal auf die alte Tour probiert, d.h. ich habe das Skript als Anmeldeskript im Nutzerprofil eingetragen. Und siehe da - ES GEEEHT!!!!

 

Ich frage mich nur gerade, warum ich das nicht mal eher probiert habe:confused: Anscheinend weil man immer "schönsten" Weg wählen will...

 

Da es in beiden Standorten nur je 10 Nutzer betrifft, nehm ich den "Aufwand" in Anspruch und trage es händisch ein.

 

Also der Thread kann geschlossen werden...

 

Trotzdem danke an euch zwei, ihr habt mir trotz alledem wieder neue Dinge gezeigt und nahe gebracht!!! Thanks!!

Jetzt schon? Hast Du für heute einen halben Tag frei genommen

Nee, aber ich fange schon früh an (ja das gibt es auch als IT-Mensch ;)) und bin deshalb auch eher fertig...

 

Habe es mal per GPO eingestellt, dass es sichtbar durchlaufen soll, aber es läuft nicht sichtbar -.-

Nicht mal dann, wenn sie in der Admingruppe sind und auch tatsächlich die Laufwerke gemappt bekommen. Oder soll ich es auf anderen Wege sichtbar machen?

OK werde ich morgen mal probieren, für heute mach ich erstmal Feierabend ;) Danke schon mal im Voraus :)

Also wenn ich RSOP.msc ausführe und mich nach "Ben.konfig > Windwos-Einst. > Skripts > Anmelden" klicke, sehe ich das Benutzeranmeldeskript liegen.

Das bedeutet für mich, dass es zumindest erkannt wird und zumindest ausgeführt werden möchte, oder?!?

 

Es muss doch irgendeine Rechteproblematik sein...

 

Dann hättest Du ein Zugriff verweigert oder ähnliches im Log.

 

Aber warum geht es dann, wenn die Nutzer in der Admingruppe sind??

Es taucht KEINE Fehlermeldung bzgl. des Netlogon-Skripts auf... Weder im Anwendungs-, Sicherheits- oder Systemprotokoll. Habe auch mal mit Absicht paar andere Fehler produziert, die wurden auch anstandslos angezeigt!

 

Es muss doch irgendeine Rechteproblematik sein...

Habe ich gemacht, ergab leider auch keine Besserung!

 

Ach ja was mir noch einfällt:

Wenn sich die Benutzer im "Hauptnetz" anmelden, in dem sich auch die primären DC's befinden, bekommen sie aus dem Skript das Netzlaufwerk (in dem Fall "Projekte auf 192.168.18.20").

 

Also der Fehler tritt nur in den beiden Subnetzen auf!

 

Enrico