APPs (Appx Package) und Benutzerprofile

[andrew 15]

Also auf die Roaming Profiles verzichten zu können, wäre generell eigentlich auch kein Problem. Wäre ....
Nur frage ich mich gerade, wie der Zugriff auf Ihre Benutzerdaten bei unseren Aussendienst Mitarbeitern funktionieren wird/ würde, wenn wir denen das Roaming Profile aufheben und Sie nur noch via Ordnerumleitung arbeiten würden?

 

Denn wenn Sie ausser Haus gehen, also einen externen Einsatz haben, nehmen Sie Ihr NB mit und müssen z.B. Zugriff auf Laufwerke haben (Offline Synchronisation) und natürlich auf Ihre Benutzerdaten haben.

 

Die Benutzer hätten dann jedoch nur Zugriff auf Ihre Benutzerdaten und Laufwerke, wenn man die Ordnerumleitung im Zusammenspiel mit Offline verfügbar machen von Dateien arbeitet, seht Ihr das auch so wie ich :-)?

 

Aber Achtung - Homeoffice Umgebung Problematik und zwischengespeicherte Dateien

Melde sich jetzt nun ein solcher Benutzer auf der VMware View Umgebung (kurz: Homeoffice Umgebung) an und wir hätten die klassische Ordnerumleitung im Einsatz, ohne Roaming Profiles, so würden ja dann die Benutzer Dateien (welche in der Ordnerumleitung konfiguriert sind) auch Offline auf den virtuellen Maschinen in der Homeoffice Umgebung lokal auf den virtuellen 10 PCs zwischengespeichert, was natürlich dann nicht so sexy wäre - so finde ich?!

 

Wie könnte man dieser Problematik entgegen wirken?

[daabm 1.184]

Ordnerumleitung auf Laptops ist irgendwie auch von gestern - der moderne Mensch hat One/Google/iCloud-Drive

[andrew 15]

Meine Situation, für welche ich Lösungen suche betreffen nicht mich als Privatperson, sondern schildern eine Situation in meiner Firma mit rund 130 Mitarbeitern.

 

Das einfach mal so zur Klarstellung

 

Die Frage ist daher nicht, was der moderne Mensch will/ braucht, sondern was die Firma, in welcher man arbeitet konkret für Datenschutz Richtlinien hat, ob z.B. versicherte Daten in "irgend" eine Cloud "abwandern" dürfen oder nicht, usw.

 

Und wenn wir schon dabei sind: Nein, dürfen Sie klar nicht!

 

Daher sind wir in der internen ICT auch selber zuständig für die Datenhaltung

 

So, nun habe ich mehrheitlich Ratschläge gehört/ gelesen, was man heute, hier und jetzt nicht mehr nutzt bzw. darüber diskutiert, ob Roaming Profiles noch state of the Art sind oder doch nicht.

 

Ihr wisst nun auch, dass die Synchronisation von Benutzer/ Geschäfts Daten in unserer Umgebung nicht in Clouds gespeichert werden dürfen!

 

Windows Bordmittel interessieren mich.

Ich meine, unseren Aussendienst Mitarbeiter arbeiten seit Jahren mit den bekannten, ebenfalls Steinzeit mässigen Offline Files.

 

Na und? 

solange die Technik funktioniert, interessiert es mich eigentlich nicht gross, ob die Technik veraltet ist oder nicht.

 

Aber ja, klar, ich bin offen für neues, an dem soll es nicht scheitern

 

Der Nachfolger der alten Offline Synchronisation seit Minimum Windows 7 ist ja, sind ja die so genannten Workfolders.

 

Ob diese Technik besser ist?

 

ich meine, was macht eine Firma wie wir, wenn man die Benutzerdaten/ Geschäfts Daten nicht in eine Cloud synchronisieren darf?

 

Ich glaube kaum, dass wir weltweit die einzigen sind, welche mit dieser Situation irgendwie klar kommen müssen

 

Wer bietet noch mehr/ andere Vorschläge oder noch besser, versteht die Problematik, vor welcher ich nun stehe? 

 

bearbeitet 19. Februar 2021 von andrew

[testperson 1.527]

Ein "Vorschlag" in diese Richtung kam bereits indirekt. ;) Hole nicht die Daten zu den Usern sondern die User zu den Daten:

1. Sitzungsbasierte Server Desktops
2. Virtuelle Desktops / VDI

 

[andrew 15]

Eine VDI Umgebung haben wir bereits

Diese wird im Moment, hauptsächlich für das Homeoffice den Usern zur Verfügung gestellt.

 

Mobiles arbeiten wird bei uns vorangetrieben.

Wie am Anfang des Beitrags geschildert, sind wir dabei, neue Notebooks mit dem neuesten Windows 10 20H2 zu installieren, um diese dann unseren Aussendienst Mitarbeitern zur Verfügung stellen zu können.

 

Gut, wir könnten nun den Weg einschlagen, dass wir halt den Aussendienst Mitarbeitern nur ein naktes Windows 10 Tablet zur Verfügung stellen - mit einem View Client drauf installiert Und: wenn Sie extern beim Kunden sind, müssen Sie dann halt hoffen, dass Sie stets eine mobile Datenverbindung haben, damit Sie sich auch auf die Viev Verbindung verbinden können und somit Zugriff auf ALLE Geschäfts relevanten Daten hätten.

 

Was aber, wenn der Standort eines Kunden eine schlechte, mobile Datenanbindung bietet und es unserem Aussendienst Mitarbeiter NICHT möglich ist, eine Verbindung zu unserem Homeoffice Umgebung aufzubauen?

bearbeitet 20. Februar 2021 von andrew

[testperson 1.527]

vor 12 Stunden schrieb andrew:

Was aber, wenn der Standort eines Kunden eine schlechte, mobile Datenanbindung bietet und es unserem Aussendienst Mitarbeiter NICHT möglich ist, eine Verbindung zu unserem Homeoffice Umgebung aufzubauen?

Unsere Kunden, die im Außendienst unterwegs sind, klären teilweise/idealerweise vorher ab, wie es um LTE oder ein (Gast-) Wifi vor Ort steht. Da gibt es dann bspw. auch noch LTE WLAN Router die ggfs. am Fenster platziert werden können bzw. die in Rücksprache mit der vor Ort IT ggfs. einen "Uplink Port" bekommen. Alternativ muss in "Sonderfällen" dran gedacht werden die Daten händisch mitzunehmen. 

 

Ansonsten gibt es auch noch (Branchen) Lösungen, die es ermöglichen Daten oder Kunden- / Projektakten "auszuchecken" und nach der Rückkehr wieder "einzuchecken".

[Sunny61 772]

Bei uns arbeiten ca. 130 User mit Laptops seit vielen Jahre auch mit der Ordnerumleitung, allerdings nur mit ihren Benutzerdaten, erfolgreich.

 

Mit dem Sharepoint und Onedrive for Business lässt sich auch eine Offline Sync der Daten aus dem Sharepoint einrichten, ist auch hier teilweise im Einsatz.

 

Ihr solltet erst mal klären, welche Daten genau *IMMER* oder nur teilweise Offline zur Verfügung stehen müssen. Auch lohnt es einen Blick in eine eigene Cloud zu werfen. Own- oder auch Nextcloud kann man günstig selbst anlegen und zur Verfügung stellen. Das alles bedarf Planung, Planung und einer ausführlichen Testphase.

bearbeitet 20. Februar 2021 von Sunny61

[andrew 15]

OK, das sind hilfreiche Ansätze/ Inputs.

Werde ich gerne so mal überdenken und weitere Abklärungen vornehmen.

 

Cheers

Andrew

 

 

[daabm 1.184]

@andrew Ich kann Deinen Unmut verstehen - und uns geht's in der Firma nicht "wesentlich" besser... Die Direktive ist: Lokale Datenhaltung auf Laptops ist zulässig, deren Sicherung aber nicht gewährleistet. Der MA muß sich im Zweifel selbst darum kümmern, die (lokalen) Daten auf einen Filer zu bringen - oder (mir graust's) in seinem Mailpostfach abzulegen :-( Onedrive ist derzeit grad "so ganz vorsichtig" in der Einführung, weil auch wir massiv das DSGVO-Problem haben.

[andrew 15]

Danke daabm, dass Du nochmals einen Input geliefert hast.

 

Frage: Habe nun Probleme beim Einrichten der Ordnerumleitung. Diese wird beim Benutzer zwar gezogen, jedoch stellte ich fest, dass noch eine vererbte GPO, welche unter anderem die Einstellung Shell Folders via Registry zieht und mir nun "reinfunkt". Kontrolliere ich nun via rechte Maustaste z.B. beim Ordner Desktop, so zeigt dort der UNC Pfad nicht dort hin, wo ich in der Folder Redirection GPO definiert habe, sondern er zeigt auf den UNC Pfad, welche von einer vererbten GPO kommt, welche via Registry die Shell Folders konfiguriert.

 

Ich teste übrigens in der produktiven Umgebung, habe eine Test OU gemacht und meinen Test Benutzer dort hinein gepflanzt. Durch dieses Vorgehen werden aber auch zig GPOs vererbt und vom Benutzer gezogen.

 

Soll ich dieses Problem in einem separaten Beitrag hier auf der Webseite veröffentlichen oder hat gleich Jemand eine Idee?  Sheiss Shell Folders (Registry Einträge)

[andrew 15]

Noch ergänzend: Es stellte sich nun heute heraus, dass es NICHT notwendig ist, eine zusätzliche GPO mit der Ordnerumleitung für z.B. Desktop, Dokumente und Favoriten zu erstellen.
Da wie erwähnt ja bereits eine GPO vorhanden ist, in welcher die sogenannten Shell Folders via Registry konfiguriert sind und für die soeben, genannten Objekte ein UNC Pfad auf den Fileserver hinterlegt ist (Umleitung zeigt jeweils in das Home Verzeichnis der User), welches wiederum bei den Aussendienst Mitarbeitern Offline zur Verfügung gestellt wird.

 

Was aber nun gewünscht ist, dass ich via zusätzliche GPO nur eine Ordnerumleitung aktiviere für den Ordner AppData\Roaming.
Da bestimmte Programme hier Ihre Konfiguration abspeichern, wäre diese dann auch stets immer verfügbar, egal, wo man sich anmeldet. 

 

Kurz: wir hätten dann also folgende Situation

- keine Roaming Profilles mehr

- würden weiterhin die bereits vorhandene Konfig via GPO gelöst (Shell Folders) nutzen

- und neu in Kombination mit den Shell Folders noch eine GPO, welche eine Ordnerumleitung für den Ordner %AppData%\Roaming beinhaltet.

 

Mit dieser Konfiguration sollten wir auf einem guten Weg sein, zukünftig auch ohne servergespeicherte Profile arbeiten zu können.

[Gulp 226]

AppData umzuleiten ist keine gute Idee und funktioniert auch meist nicht, siehe Seite 1, Beitrag 10 in diesem Thread.

 

Was erhoffst Du Dir von sowas eigentlich, bei Roaming Profiles wird zumindest AppData\local per Default auch ausgelassen (wie noch ein paar Folder aus dem eigentlichen Profil), das Argument für Roaming Profiles kann es ja dann nicht sein oder?

 

Hier noch ein bisschen Lesestoff ....

 

https://www.gruppenrichtlinien.de/artikel/unbrauchbar-und-kaputt-roaming-user-profiles-serverbasierte-profile

 

Grüsse

 

Gulp

 

 

[daabm 1.184]

@Gulp hats ja schon geschrieben - Umleiten von irgendwas mit "Appdata" im Pfad hat noch nie wirklich funktioniert... Ich würde dringend empfehlen, das Denkmuster zu verlassen und bei Null anzufangen. Und das Semi-Umleiten durch Umbiegen der ShellFolders mag zwar gut aussehen, ist aber in Offline-Szenarien auch ein Holzweg.

 

Hard Stuff: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html

(Nicht daß Du denkst, ich hätte mich damit nie intensiver beschäftigt - es ist und bleibt #grütze in Offline-Szenarien mit VPN und was weiß ich für Anbindungen.)