Serverprofile & Gruppenrichtlinien

[nija 10]

Server 2003 + XP

 

Hallo Leute,

 

ich möchte in unserer Clientumgebung eine einheitlichen Desktop und Startleisten schaffen die nicht geändert werden dürfen.

Es soll lediglich die Möglichkeit bestehen das lokale Profil anpassen zu können, wenn z.B User sich ein Icon oder Verknüpfungen drauflegen wollen.

Veränderungen sollen lokal bleiben.

Der Standard ist aber bindend und soll beim Start geladen werden.

 

Was habe ich bis jetzt gemacht.

 

Testprofil als Serverprofil abgelegt.

Bei User Pfad für Profil angegeben.

Test OU und Testuser in dieser OU eingerichtet.

Neue Gruppenrichtlinie für Test OU angelegt.

Im Serverprofil Berechtigung SCHREIBEN auf Desktop entfernt.

 

Funktioniert soweit. Testuser erhält das Testprofil vom Server.

 

Nun aber das womit ich nicht klar komme.

 

Ich schaffe es nicht die Berechtigungen so zu setzen, das der Desktop nach Änderungen des Users nach Neuanmelden so erscheint wie gewollt.

Also Standard + Veränderungen.

 

z.B User löscht Standards und legt eigene Icon dazu.

Nach Neuanmeldung erscheint genau dieser Desktop. Xp zieht sich also die lokalen Einstellungen.

 

Was mache ich hier falsch ? Geht das überhaupt so wie ich es mir vorstelle ?

 

Wäre für Hilfe dankbar.

 

Grüße

nija

[IThome 10]

Ich denke nicht, dass es so klappt wie Du es Dir denkst. Wenn Du Serverprofile verbindlich machen möchtest, dann wird der Inhalt des lokal zwischengespeicherten Profils nicht an den Server übertragen (mit zwischengespeicherten Profilen wird immer gearbeitet). Wird nicht mit verbindlichen Profilen gearbeitet, wird lokale Profil mit dem Serverprofil "verschmolzen". Also entweder verpflichtend oder nicht, nicht ein bisschen verpflichtend und ein bisschen nicht ...

In Deinem anderen Thread siehst Du ja auch selbst, dass es nicht funktioniert (weil es so nicht gedacht ist) ...

http://www.mcseboard.de/windows-forum-allgemein-28/popup-fenster-benutzerumgebung-deaktiv-143771.html

[nija 10]

Hi,

 

doch es funktioniert. Das Serverprofil bleibt unverändert. Löscht der User den kompletten Desktop, wird nach Anmelden der Standard wieder hergestellt.

 

Geregelt durch setzen von NTFS Berechtigungen.

 

Die Berechtigung den Desktop lokal zu verändern bleibt vorhanden. Diese Änderungen gehen ins lokale Profil.

 

Nun aber noch das Problem in meinem zweiten Thread. Ist dies gelöst merkt der User nichts von den fehlenden Schreibrechten auf dem Serverprofil.

 

So ist jederzeit ein Standard vorhanden und die User können zusätzlich Ihren Desktop einrichten.

 

Gruß

nija

[IThome 10]

Nun ja, Windows versucht bei konfiguriertem Serverprofil zurückzuschreiben, kann es aber nicht und deswegen die Meldung, die man nicht abschalten kann. Bei verbindlichen Profilen (auch eine Windowsfunktionalität) wird gar nicht erst versucht zurückzuschreiben, was auch normales Verhalten ist. Du versuchst, das Standardverhalten von Windows auszutricksen, in dem Du Berechtigungen setzt, die wegen dieses Verhaltens natürlich Fehlermeldungen produziert.

Die "Profilverschmelzung" wird anhand von Zeitstempeln durchgeführt. Der Zeitstempel des lokalen Profils (Desktop) ist auf jeden Fall immer aktueller, als der auf dem Server (er wird ja nie zurückgeschrieben). Du hast eingangs beschrieben, dass das sichtbare Profil eben nicht so aussieht, wie es soll. Dass es so aussieht wie es aussieht, liegt an dem Verhalten von Windows, wie Profile zusammengeführt werden und das kann man IMHO nicht abschalten oder verändern.

Enhancements to User Profiles in Windows Server 2003 and Windows XP

Zitat aus Microsoft Corporation

"Merge Algorithm

 

The Windows 2000 merge algorithm supports the merging of user profiles at the file level and support for last writer wins. New files and updated files are not deleted or overwritten. When a document is updated, the new algorithm compares the timestamp of the destination file with the timestamp of the source file. If the destination file is newer, it is not overwritten.

When a user logs on to a computer, the current time is saved; when the user logs off, the timestamp is used to determine which files are new in the server profile and which files have been deleted in the local profile. For example, if the server profile has a document in the My Documents folder called Review.doc and this file does not exist in the local profile, either it is a new file from a different computer, or it was originally in the local profile and the user deleted it. By knowing the time when this new profile was loaded, you can compare it against Review.doc. If Review.doc was created or written to after the profile load time, the file must be preserved because it came from a different source. If the Review.doc timestamp is older than the load time, Review.doc must be deleted because it would have been copied to the local computer at load time.

 

In addition, some files might need to be removed from the local cache so that items that were deleted between sessions remain deleted. For example:

 

1.

The user logs on to computer A.

2.

The user creates or modifies a document on computer A.

3.

The user logs on to computer B.

4.

The user logs off computer B; computer B has a copy of the document.

5.

The user deletes the document and logs off computer A.

 

To make sure that the files are deleted, the cached version of the profile is synchronized with the profile server when a user logs on. All files in the local cache that are not present in the server and that were not modified since the last logoff time are deleted. By using these changes, Windows 2000 can merge user profiles."

[nija 10]

.... danke dass Du Dir auch Gedanken machst ! ;)

 

ich bin schon seit heute morgen dabei und das Thema läßt mich nicht los.

 

Habe auch schon an Umleiten von Ordern gedacht wobei das Profil generell auf dem Server bleibt .

Setze ich dort Schreibrechte können die Leute ändern oder auch nicht.

 

Es bringt nichts.

 

Wenn diese Fehlermeldung beim Abmelden kommt ( Fenster Benutzerumgebung ) laufen Sekunden von 20 bis 0 runter. Danach gehts weiter mit Abmeldung vom PC.

 

Da muß es doch irgendwas in der Reg. geben. Die Zeit auf "0" setzen ...

Ich habe schon alles abgegoogelt.

 

 

Wie findest Du eigentlich die Idee mit den Profilen ?

 

Ist doch benutzerfreundlich , oder ?

 

Gruß

nija

[IThome 10]

Ich persönlich tendiere eher dazu, dass die Oberflächen einheitlich sind (alleine schon aus Supportgründen), aber das ist leider nicht immer (eigentlich eher selten) möglich. Aber in gewissen Umgebungen würde das schon Sinn machen, funktioniert aber leider nicht (zumindest weiss ich keinen Weg, wie man sowas machen könnte) ...

[nija 10]

einheitliche profile würde ich auch bevorzugen , aber bei uns geht das nicht.

 

Jeder hat da so seine Eigenheiten und das ist auch verständlich.

 

Na gut, sollte ich eine Lösung finden, werde ich es hier schreiben.

 

Danke & Gruß

nija

[NorbertFe 1.799]

einheitliche profile würde ich auch bevorzugen , aber bei uns geht das nicht.

 

Jeder hat da so seine Eigenheiten und das ist auch verständlich.

 

Na gut, sollte ich eine Lösung finden, werde ich es hier schreiben.

 

Danke & Gruß

nija

 

So ganz versteh ich deine Forderung nicht. Wenn du ein änderbares "Standardprofil" haben willst, dann brauchst du doch gar nicht mit serverbasierten Profilen anfangen. Mal angenommen du stellst netzwerkweit ein "default user" profile zur Verfügung. Legst den Nutzern mittels GPO diverse Einschränkungen auf und läßt sie den Rest manuell selbst bestimmen, dann sollte doch deine Forderung weitgehend erfüllt sein, oder?

 

Ansonsten bitte nochmal genauer erklären. ;)

 

Bye

Norbert

[nija 10]

Hi Norbert,

 

Du hast mich nochmal zu nachdenken gebracht.!

 

Ja, so könnte man das machen. Und wenn User von PC A zu B gehen,

 

könnte man Teile des Profils an den Server umleiten ( Ordnerumleitung statt Serverprofile)

damit einiges wieder zur Verfügung steht. Denn diese Funktionalität soll auf jeden Fall erhalten bleiben.

 

Ich bastle morgen gleich mal weiter ... :)

 

Gruß

nija

[lefg 276]

Früher wollte ich auch die User zu etwas drängen, heute sehe ich den Sinn dazu nicht mehr ein.

 

Warum die User in ein bestimmtes Korsett zwängen? Ist das vorgeschrieben von der Leitung? Es kann schon sinnvoll sein, gewisse Dinge wie unnötige Menüeinträge den Usern zu nehmen, zu verbergen. Das beugt Ablenkung und Spielerei vor, kann die Produktivität steigern. Das mache ich meist mit Berechtigungen auf das Menüobjekt, das per Gruppenrichtlinie.

 

Per Gruppenrichtlinie kann man auch die Berechtigung des Users auf den Desktop ändern.

 

Für Schulen, Unterrichtsräume hat sich HD-Sherif oder Ähnliches bewährt. Nach dem nächsten Boot ist alles wieder gut. (Volker Rüdigkeit)

 

Meine User im Verwaltungsbereich habe ich (versucht) aufzuklären über die Folgen des Missbrauchs des Desktops zum Speichern von umfangreichen Ordnern, das schriftlich. Neulich hatte ich da wieder so jemanden, das Anmelden dauere so lange. Nun, ich kenne meine Leute und ihr Verhalten, ich sendete eine Standardmail, danach habe ich nichts mehr davon gehört.

[nija 10]

@lefg

 

.... die User nicht in ein Korsett zwängen.... sehe ich genauso

 

macht dann auch irgendwie kein Spaß mehr am "eigenen" PC zu arbeiten .

 

Deshalb meine Überlegungen Standard und persönliche Einstellungen zu vereinen.

 

Standards sind wichtig für Leute die keinen festen Arbeitsplatz haben ( Studies ) und nur wochenweise kommen.

 

Vielleicht habe ich heute eine zufriedenstellende Lösung.

 

Gruß

nija

[IThome 10]

So ganz versteh ich deine Forderung nicht. Wenn du ein änderbares "Standardprofil" haben willst, dann brauchst du doch gar nicht mit serverbasierten Profilen anfangen. Mal angenommen du stellst netzwerkweit ein "default user" profile zur Verfügung. Legst den Nutzern mittels GPO diverse Einschränkungen auf und läßt sie den Rest manuell selbst bestimmen, dann sollte doch deine Forderung weitgehend erfüllt sein, oder?

 

Ansonsten bitte nochmal genauer erklären. ;)

 

Bye

Norbert

 

Das Default User Profil wird aber ja nur einmalig benutzt, beim Erstellen des Profils auf einem Rechner, auf dem man noch nicht angemeldet war. Wird dann was aus dem Standard verändert, dann bleibt es ja auch so. Es ist dann ja auch unterschiedlich, wenn ich auf Rechner A etwas verändere und mich auf Rechner B erstmalig anmelde.

Irgendwas von der Forderung des TOs bleibt immer auf der Strecke ...

[lefg 276]

...Standards sind wichtig für Leute die keinen festen Arbeitsplatz haben ( Studies ) und nur wochenweise kommen....

Nun, beim erstmaligen Anmelden eines Users erhält dieser ein Standardprofil aus DefaultUser als Vorlage.

 

Nun kann man am Profil DefaultUser rumbasteln, man kann das auch am AllUsers machen; ich würde eher die Möglichkeit prüfen, dass mit den Gruppenrichtlinien und da mit den Berechtigungen auf (System)Ordner und andere Objekte zu realisieren.

[NorbertFe 1.799]

Das Default User Profil wird aber ja nur einmalig benutzt, beim Erstellen des Profils auf einem Rechner, auf dem man noch nicht angemeldet war. Wird dann was aus dem Standard verändert, dann bleibt es ja auch so. Es ist dann ja auch unterschiedlich, wenn ich auf Rechner A etwas verändere und mich auf Rechner B erstmalig anmelde.

Irgendwas von der Forderung des TOs bleibt immer auf der Strecke ...

 

Genau das will der TO doch aber. Er will bestimmte Vorgaben realisieren (bspw. Detaileinstellungen vorgeben im Explorer). Der User soll es aber ändern dürfen. Wenn man jetzt den Desktop und andere Profilordner umleitet hat man auch bei wechselnden Arbeitsplätzen "fast" die gleiche Funktionalität wie bei Serverbasierten Profilen.

 

Bye

Norbert

[IThome 10]

Er will aber auch, dass wenn ein User einen Teil des Standards gelöscht hat, dass er wieder hergestellt wird, selbst erstellte Ordner aber erhalten bleiben ...