Servergespeicherte Profile
Vorwort:
Was sind Servergespeicherte
Profile:
Wenn ein Clientbenutzer sich in einem Netzwerk anmeldet, so wird ein Ordner
mit dem jeweiligen Benutzernamen in
C:\Dokumente und Einstellungen erzeugt. In diesem Ordner wird das gesamte
Profil des Benutzers sprich (Netzdrucker,
Registrierungsinfos, Desktop, Spezifische Einstellungen...) abgespeichert.
Dieses sog. "Profil" wird normalerweise
loka gespeichert. Dies ist in einem Netzwerk natürlich äußerst ungünstig,
da das Profil des jeweiligen Benutzers
auf jeder Workstation natürlich unterschiedlich sein wird bzw. bei manchen
Rechnern gar nicht vorhanden.
Aus diesem Grund gibt Microsoft eine hervorragende Lösung vor.
Die sog. "Servergespeicherten Profile". Hiermit wird das Profil des jeweiligen
Benutzers nicht mehr lokal sondern
auf einem gewünschten Netzlaufwerk auf dem Server abgespeichert. Der Vorteil
dabei ist, das Profil wird bei jeder Anmeldung
vom Server an die Workstation übertragen, und bei jeder Abmeldung von der
Workstation zum Server übertragen.
Dadurch hat der Bentutzer, egal wo er ist, immer seine eigenen gleichen Einstellungen.
Ordner Organisation
Für Homeverzeichnisse, servergespeicherte Benutzerprofile, Loginscripts,
Systemrichtlinien, Daten, Applikationen ...muss zuerst
eine ordentliche Ordnerstruktur am Server erstellt werden, die dann durch Freigaben
den Clients zur Verfügung gestellt werden können.
In folgenden Beispiel für eine Ordnerstruktur verwende ich den Zusatz "F$"
dieser steht für eine sog. "$Freigabe" ein Beispiel
dafür wäre eine Freigabe mit dem namen "Freigabename$" das $ am ende bewirkt
eine adminstrative Freigabe.
Diese sind in der Netzwerkumgebung nicht zu sehen. Benutzer müssen freigegebene
Laufwerke anderer Benutzer
sowieso nicht sehen, also würden diese die Struktur der Netzwerkumgebung nur
unötig unübersichtlich machen.
Aus diesem Grund ist das Ausblenden durchaus sinnvoll.
Andere Ordner wie zB. geimeinsame Ordner müssen natürlich
ohne $ erstellt werden, da diese Ordner von jedem
gesehen werden sollten.
In meinem Beispiel verwende ich für die Profilfreigaben den zusatz "p" für
Profil. Somit habe ich pro Benutzer dann
2 Freigaben zB.:
=>User1$ (für das Homelaufwerk)
=>User1p$ (für das servergespeicherte Profil)
Ein Beispiel wäre folgende Ordnerstruktur:
Ordner auf Laufwerk D (Daten):
Abb.1 Ordnerstruktur
Es ist wichtig bei den Freigaben die "Freigaberechte" und
die "NTFS Rechte" sinngemäß zu setzen.
Ein paar Tipps:
Niemals Jeder
verwenden
Maximal das
Recht "ändern" für User vergeben.
Mit Gruppen
anstelle von einzelnen Benutzern arbeiten
Bei NTFS Rechten
niemals das Konto "System" mit Vollzugriff vergessen.
Logon Scripts:
Im standardmäßig freigegebenen Verzeichnis NETLOGON (C:\WINNT\SYSVOL\sysvol\domänenname.xxx\scripts)
werden
später die Loginscripts abgelegt:
Abb.2 Speicherort von Logonscripts
Die Logon Scripts können verwendet werden um die Netzlaufwerke für den jeweiligen
User zu verbinden.
Das Logon-Script kann für jeden user einzeln angefertigt werden oder für alle
User verwendet werden, indem
man das Script allgemein programmiert.
Ein Beispiel für ein Logonscript für eine einzelne Person:
Abb.3 Logonscript für eine Person
Ein Beispiel für ein Logonscript für eine Gruppe von Personen:
Abb.4 Logonscript für mehrere Personen
Interessant ist hier der Befehl "%username%". Dies ist eine sehr pratktische
Variable
da man hierdurch erreichen kann, dass dieses Logonscript für alle Personen
verwendet
werden kann. Das Script lässt sich natürlich durch unzählige weitere Parameter
sogar so
weit ausdehnen, dass bei ausfall des zB. hier genannten "Server1" das Laufwerk
eines anderen Servers verbunden werden soll.
Profile
Das Benutzerprofil wird bei einer Anmeldung an einem Client wie bereits oben
erwähnt vom Server an den Client übertragen und dort für die Dauer der Sitzung
zwischengespeichert. Wenn der betroffene Benutzer sich zum ersten mal an der
Domäne
anmeldet, seid dem Ihm ein Serverprofil zugewiesen wurde, wird das Profil beim
Abmelden
an den Server übertragen. Tatsächlich wird jedesmal beim Abmelden das Profil
wieder
an den Server übertragen.
Hinweis!
Jetzt würde u.a. das Lokale C Laufwerk mit der Zeit immer Größer werden, da bei
jeder Anmeldung ein neuer Profilordner im Ordner C:\Dokumente und Einstellungen
angelegt werden würde. Aus diesem Grund sollte in den Gruppenrichtlinien
die Option "Servergespeichertes Profil beim Abmelden löschen" aktiviert werden.
Wie das genau funktioniert ist in der Dokumenation über Gruppenrichtlinien enthalten.
Hier ein Screenshot von "C:\Dokumente und Einstellungen".
Abb.5 Lokaler Ordner für Benutzerprofile
Damit die Profile nun auch an den Server übertragen werden
bzw. damit aus dem Profil überhaupt
ein Servergespeichertes Profil wird
muss im ADS bei dem jeweiligen Benutzer unter "Eigenschaften"
der Profilpfad angegeben werden. Der Profilname mus in "UNC Schreibweise" also
in der Form
\\servername\freigabename. Ein Vorschlag ist jedoch, das Kürzel %Username% zu
verwenden da
das Server Betriebssystem dieses Kürzel in den jeweiligen Benutzer umrechnet.
Zb. bewirkt die Eingabe von \\server1\%username%$ in den Eigenschaften des User1,
das Ergebnis
\\server1\user1$. Dies ist auch praktisch, da man sich dadurch nicht verschreiben
kann.
Schreibgeschützt oder Offenes Profil - Die Datei
USER.DAT/USER.MAN
Nachdem Sie bei einem Benutzer einen Profilpfad in den Eigenschaften im ADS
angegeben haben,
und Sie sich einmal angemeldet haben können Sie in dem jeweilgen Ordner der
für die Freigabe
verwendet wurde den Inhalt betrachten.
Es wird u.a. eine Datei erzeugt mit dem Namen "user.dat".
Wenn Sie diese Datei in "USER.MAN" (man steht für manuell) umbenennen, wird
das Profil
dadurch als quasi schreibgeschützt markiert. Wenn sich nun ein Benutzer bei
welchem Sie die Datei
user.dat in user.man umbenannt haben anmeldet, Änderungen an zB. seinem Desktop
vornimmt
so werden diese Einstellungen nicht wie normal beim Abmelden zurückgeschrieben,
sondern werden
ignoriert. Das ist dann vorteilhaft, wenn Sie einen Benutzer haben welcher
immer den gleichen
Desktop und sonstige Einstellungen vorweisen soll (zB. bei einem Benutzer
für Schulungsräume).
Wenn Sie die Datei user.man wieder umbenennen in user.dat so wird das Profil
wieder als "offen" markiert
und Änderungen werden wieder zurückgeschrieben.
Bedenken Sie bitte, dass Ordner wie "Temporary Internet Files" und Ähnliches
vom Servergespeicherten
Profil ausgeschlossen werden sollte. Es ist nicht notwendig Cookies, Temp
Daten, oder Verläufe
jedesmal abzuspeichern, da diese ohnehin mehr Ärger als Nutzen erzeugen.
Sie können dies erreichen indem Sie wiederum einen Schalter in den nützlichen
Gruppenrichtlinien drehen.
Die Option heist logischerweise "Ordner aus servergespeicherten Profil ausschließen".
Eine Anleitung dazu finden Sie ebenfalls in der Dokumentation zu den Gruppenrichtlinien.
Wenn Sie den Ordner indem das jeweilige Benutzerprofil
Durch Umbenennen der Datei in NTUSER.MAN wird dem Benutzer ein verbindliches
und unveränderbares Profil zugewiesen.
NTUSER.DAT = veränderbares
Profil <<<<<<<<======>>>>>>>NTUSER.MAN
= gesperrtes Benutzerprofil
Abb.6 Ordnerinhalt eines Profiles
Erstellt von: Haßlinger Stefan
Im: Febuar 2003
Kontakt: stefan@hasslinger.com