WG: [slss] Serverbasierte Profile unter XP nutzen
Hallo, vielen Dank für die ausführliche Antwort, allerdings habe ich noch eine Frage: Bedeutet "erstmalige Anmeldung" die Anmeldung unter XP oder die Anmeldung am Server prinzipiell? Ich dachte ersteres sei der Fall, allerdings wurde bei der erstmaligen Anmeldung eines Testbenutzers nicht das Default Profil aus "Default User" verwendet, sondern irgendein Windows-Standardprofil! War meine Annahme falsch oder liegt noch ein anderer Fehler vor? Falls meine Annahme falsch war, wie kann ich die Internet-Explorer-Einstellungen (Startseite, proxy) für 800 Schüler zeitökonomisch tätigen. Danke, Oliver Frühwein -----Ursprüngliche Nachricht----- Von: ba1559@fen-net.de [mailto:ba1559@fen-net.de]Im Auftrag von Markus Bölling Gesendet: Dienstag, 25. Mai 2004 14:27 An: slss@suse.com Betreff: Re: [slss] Serverbasierte Profile unter XP nutzen
Hallo,
trotz intensiven Studiums der zugehörigen Artikel bzw. Handbuch gelingt es
mir nicht unter XP einheitliche Profile für alle Benutzer herzustellen. Ich
habe wie früher schon beschrieben ein Verzeichnis "Default User" unter /var/lib/samba/netlogon eingerichtet und dort ein Musterprofil abgelegt. Doch dies wird bei erstmaliger Anmeldung scheinbar nicht verwendet. Die Abspeicherung des lokalen Profils auf dem Server gelingt hingegen. Was mache ich falsch ??? Das mit den Profilen ist nicht so einfach. Hier ein paar Punkte. Das Default Profile (Default User)greift nur, wenn der Benutzer sich das erste Mal anmeldet! Hat der User bereits ein Profil, wird dieses hergenommen.
Der Schulserver ist per se auf uneinheitliche Profile eingstellt. Was auch nützlich ist. Man könnte diese techniken perfektionieren. Hier ein Versuch der Erklärung in vorm einer FAQ: Wo werden die Profile gespeichert? Es gibt mehrere Profile die beider Anmeldung des Benutzers eine Rolle spielen. Der Schulserver speichert das serverbasierte Profile eines Benutzer per default unter /home/profile/<benutzername> (Windowspfad: \\[netbiosname-SLSS]\profiles\<benutzername>. Dieses Profil wird mit dem Profil der Workstation abgeglichen Kann ich den Speicherort für ein Profil ändern? Das Profilverzeichnis eines Benutzers ist durch zwei Konfigurationswerte in SAMBA bzw. LDAP festgelegt. Ist in LDAP kein Profilverzeichnis angegeben, so wird das default-Verzeichnis aus der Samba Konfigurationsdati hergenommen. Dieses würde ich beim Schulserver nicht verändern! Man kann für Benutzer mit einem Kommandozeilentool das Profileverzeichnis ändern. Dieses Tool heißt pdbedit. Mit pdbedit -p Pfad kann man für einen Benutzer den Profilpfad ändern. Das Verzeichnis muss als Windowspfad eingegeben werden. Das Verzeichnis auf das dann der Profilpfad zeigt muss in der smb.conf als Freigabe eingetragen sein und eine spezielle acl haben, damit Windows NT/2000/XP dieses benutzen kann. Können mehrere Benutzer sich ein servergespeichertes Profil teilen? ja, aber nur unter ganz bestimmten Bedinungen, die sehr schwer konsistent zu halten sind und nur mit Fehlermeldungen. Wenn mehrere Benutzer auf das selbe Profile zugreifen kommt es zumeist zu Rechteproblemen. Konkret können sich mehrer Benutzer nur ein Profil teilen, wenn die Berechtigung innerhalb des Registryteils (ntuser.dat bzw. ntuser.man) erhalten bleibt. Also nicht beschreibbar ist. Die Dateirechte müssen gesetzt sein, so dass alle Benutzer lesen aber nicht schreiben können. Beim Abgleich von Windows kommt es dann zu Fehlermeldungen. Die Profile sind ein Problem mit dem nicht nur Linux-Admins unter Samba zu kämpfen haben!! Ich möchte alle aufrufen Lösungsvorschläge/Techniken hier bei zu tragen. Gruß Markus Bölling Systembetreuer Realschule am Europakanal * Gesendet mit / Sent by: FEN-Webmail * http://www.fen-net.de * -- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Oliver Frühwein wrote:
Hallo,
vielen Dank für die ausführliche Antwort, allerdings habe ich noch eine Frage: Bedeutet "erstmalige Anmeldung" die Anmeldung unter XP oder die Anmeldung am Server prinzipiell?
erste Anmeldung bedeutet, dass der Benutzer im Kontext der Workstation kein Profil haben darf, d.h. kein lokales Profil auf der Workstation, kein Profile auf dem Server, dies ist nur bei der allerersten Anmeldung der Fall. Ich habe in diesem Forum schon einmal über diese Sache berichtet. Die Deafult Profile Technik hilft nur, bei der alleresrten Anmeldung. Will man im laufenden Betrieb etwas ändern ist dies damit nicht zu machen. Ich habe ein default profile erzeugt um für die Erstanmeldung den Desktop für Schüler und Lehrer entsprechend zu gestallten. Ein Fehler wird immer wieder aus Unkenntnis der internen Zusammenhänge von Profilen und Berechtigungen gemacht, nämlich das beim hochkopieren des Profils in den Default User Ordner auf dem netlogon Verzeichnis, die normale Windows Dateimanager genommen wird. Dieser läßt allerdings die Berechtigungen innerhalb der Registry unangetastet. Was bedeutet dies? Ein Beispiel: Ich melde mich an und erzeuge ein Musterprofil mit allen Einstellungen für Desktop usw., sagen wir der Benutzer heißt musteruser. Dann melde ich mich ab. Nun hat dieser Musteruser auf der Workstation ein Profil. Dieses Profil enthält den Useranteil der Registry. Nur der User musteruser hat nun das Rechte den Useranteil der Registry zu nutzen. Dies alles steckt in der ntuser.dat und ein paar abgleichdateien im Profilverzeichnis des Benutzers. Bei einem einfachen kopiervorgang wird dieses Recht nicht geändert. Kopiert man nun das ganze auf normalen Wege in das Default User Verzeichnis auf dem Server so geschieht gar nichts, da eine neu angemeldeter Benutzer keine Rechte hat dieses Profil zu nutzen. Die Übernahme des Profils scheitert. Da aber der Buntzer ein Profil benötigt (immer) wird als Grundlage das Profil Default User auf der Workstation benutzt.
Ich dachte ersteres sei der Fall, allerdings wurde bei der erstmaligen Anmeldung eines Testbenutzers nicht das Default Profil aus "Default User" verwendet, sondern irgendein Windows-Standardprofil! War meine Annahme falsch oder liegt noch ein anderer Fehler vor? Falls meine Annahme falsch war, wie kann ich die Internet-Explorer-Einstellungen (Startseite, proxy) für 800 Schüler zeitökonomisch tätigen.
Dazu gibt es ein andere deployment Technik. Entweder ADS- gruppenrichtlinien (haben wir bei Samba nicht) oder eben NT4-Sytle Policies. Die gehen auch mit Windows 2000 und XP. Mit diesen kann man Registryeinstellungen bei jedem Start zuweisen. So auch Internet-Explorer-Einstellungen. Wie funktioniert die Technik? 1. Erzeuge mit dem Policy-Editor von MS eine Datei namesn ntuser.pol 2. Speichere diese im netlogon Verzeichnis Für den Policy-Editor gibt es bereits gute Vorlagen mit denen man alle möglichen Einstellungen machen kann. Vorlagen gibts auf dem SuSE Server und bei heise. So mache ich das mit den zentralen Einstellungen. Nur mit beiden Techniken kann man etwas erreichen. Ein Überblick um Windows zu steuern: 1. Profile effizient verwenden. Severgespeicherte Profile verändern, diese mandatory für Schüler machen! 2. Startskripte verwenden. 3. Policies verwenden Für die lästige Sache mit dem unsicheren Browser Internet-Explorer ein kleiner Tipp. Verwende doch einfach den Mozilla- Browser /Firefox. Dort kann man in der Datei all.js auf der Workstation für alle Benutzer das gewünschte einstellen. Ist eine Textdatei. Suchen und mit einem Texteditor öffnen. Ist gut dokumentiert.Oder bei der Anmeldung auf die WKS kopieren oder .. Mozilla bzw. Firefox hat den Vorteil, dass dieser sicherer ist, alle modernen Standards des W3C unterstützt und Popups blockiert. Gruß Markus Bölling Systembetreuer Realschule am Europakanal
Danke, Oliver Frühwein
-----Ursprüngliche Nachricht----- Von: ba1559@fen-net.de [mailto:ba1559@fen-net.de]Im Auftrag von Markus Bölling Gesendet: Dienstag, 25. Mai 2004 14:27 An: slss@suse.com Betreff: Re: [slss] Serverbasierte Profile unter XP nutzen
Hallo,
trotz intensiven Studiums der zugehörigen Artikel bzw. Handbuch gelingt es
mir nicht unter XP einheitliche Profile für alle Benutzer herzustellen. Ich
habe wie früher schon beschrieben ein Verzeichnis "Default User" unter /var/lib/samba/netlogon eingerichtet und dort ein Musterprofil abgelegt. Doch dies wird bei erstmaliger Anmeldung scheinbar nicht verwendet. Die Abspeicherung des lokalen Profils auf dem Server gelingt hingegen. Was mache ich falsch ???
Das mit den Profilen ist nicht so einfach. Hier ein paar Punkte. Das Default Profile (Default User)greift nur, wenn der Benutzer sich das erste Mal anmeldet! Hat der User bereits ein Profil, wird dieses hergenommen.
Der Schulserver ist per se auf uneinheitliche Profile eingstellt. Was auch nützlich ist. Man könnte diese techniken perfektionieren. Hier ein Versuch der Erklärung in vorm einer FAQ:
Wo werden die Profile gespeichert?
Es gibt mehrere Profile die beider Anmeldung des Benutzers eine Rolle spielen. Der Schulserver speichert das serverbasierte Profile eines Benutzer per default unter /home/profile/<benutzername> (Windowspfad: \\[netbiosname-SLSS]\profiles\<benutzername>.
Dieses Profil wird mit dem Profil der Workstation abgeglichen
Kann ich den Speicherort für ein Profil ändern?
Das Profilverzeichnis eines Benutzers ist durch zwei Konfigurationswerte in SAMBA bzw. LDAP festgelegt. Ist in LDAP kein Profilverzeichnis angegeben, so wird das default-Verzeichnis aus der Samba Konfigurationsdati hergenommen. Dieses würde ich beim Schulserver nicht verändern!
Man kann für Benutzer mit einem Kommandozeilentool das Profileverzeichnis ändern. Dieses Tool heißt pdbedit. Mit pdbedit -p Pfad kann man für einen Benutzer den Profilpfad ändern. Das Verzeichnis muss als Windowspfad eingegeben werden. Das Verzeichnis auf das dann der Profilpfad zeigt muss in der smb.conf als Freigabe eingetragen sein und eine spezielle acl haben, damit Windows NT/2000/XP dieses benutzen kann.
Können mehrere Benutzer sich ein servergespeichertes Profil teilen?
ja, aber nur unter ganz bestimmten Bedinungen, die sehr schwer konsistent zu halten sind und nur mit Fehlermeldungen. Wenn mehrere Benutzer auf das selbe Profile zugreifen kommt es zumeist zu Rechteproblemen. Konkret können sich mehrer Benutzer nur ein Profil teilen, wenn die Berechtigung innerhalb des Registryteils (ntuser.dat bzw. ntuser.man) erhalten bleibt. Also nicht beschreibbar ist. Die Dateirechte müssen gesetzt sein, so dass alle Benutzer lesen aber nicht schreiben können. Beim Abgleich von Windows kommt es dann zu Fehlermeldungen.
Die Profile sind ein Problem mit dem nicht nur Linux-Admins unter Samba zu kämpfen haben!!
Ich möchte alle aufrufen Lösungsvorschläge/Techniken hier bei zu tragen.
Gruß Markus Bölling Systembetreuer Realschule am Europakanal
* Gesendet mit / Sent by: FEN-Webmail * http://www.fen-net.de *
-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Am Dienstag, 25. Mai 2004 16:50 schrieb Oliver Frühwein:
wie kann ich die Internet-Explorer-Einstellungen (Startseite, proxy) für 800 Schüler zeitökonomisch tätigen.
Ich habe den Win2003-Rechner nur in der Schule stehen, daher keine ganz genauen Angaben: mit gpedit.msc kann man irgendwo unter Software auch Einstellungen für den Internet-Explorer vornehmen und dort die Proxyeinträge und anderes vornehmen (sollte für WinXP genauso funktionieren). Außerdem gibt es in meinen Augen den hervorragenden Vorteil, dass man diese (in meinen Augen) nervige Profilkopiererei seit WinXP/2003 ausschalten kann und so einen Rechner installieren kann, bei dem man mit dem User default die wichtigsten Einstellungen vornehmen kann, die dann automatisch jeder Schüler auch erhält, der sich an diesem Rechner anmeldet. Es wird allerdings einmalig an diesem Rechner lokal einmal ein Profil angelegt, das aber nicht mehr ins HOmeverzeichnis zurückkopiert wird und so der Traffic in grenzen bleibt. dieses lokale Profil könnte man natürlich auch per Script wieder löschen lassen, aber stören tut es ja auch nicht. Viele Grüße Dieter
participants (3)
-
Dieter Kroemer
-
Markus Bölling
-
Oliver Frühwein