ghsknecht
Goto Top

An Domain anmelden, aber ein festes lokales Profil nutzen

Moin!

Ich habe folgendes Problem/ Wunsch:
Es sollen sich Schüler an einer Domain anmelden (Iserv, Samba 3.x), aber trotzdem soll, egal, wer sich anmeldet, ein ganz bestimmtes lokales Benutzerprofil benutzt werden. Dort soll ein bestimmter Desktophintergrund, positionierte Desktopsymbolen, Softwareoptionen etc eingestellt sein. Die Clients haben Windows 7 Pro oder noch vereinzelnd XP Pro, jeweils mit HDGuard oder PC-Wächterkarte.

Das Problem ist also, dass jeder Nutzer an einem bestimmten Client, das selbe lokale Profil bekommt. Das persönliche Anpassen ist in der Schule nicht notwendig/ erwünscht. Dieses Profil soll aber nicht das Default-Profil sein. Das kann ja unter Windows 7 nicht angepasst werden. Das lokale Standardprofil soll z.B. "schulprofil" heißen.
Durch die Anmeldung an der Domain, haben die Schüler u. a. aber Zugriff auf ihre persönlichen Netzwerklaufwerke oder Gruppenlaufwerke. Außerdem wird durch Verzicht auf die serverseitigen Profile die Anmeldezeit verkürzt. Die Schüler müssen auch nicht ständig irgendwelche Update-Aufrufe oder Angaben bei Office 2010 machen.
Außerdem, kann man jeden PC individuell konfigurieren.

Ist sowas prinzipiell möglich?

Eine Möglichkeit wäre, das "schulprofil" per Autologin zu laden und sich dann nachträglich per Startskript an die Domain anzumelden. Wie macht man das am Geschicktesten?

Oder mache ich einen Gedankenfehler?
Wenn wir servergespeicherte Profile nutzen würden, was würde ein Nutzer vorfinden, wenn er sich nacheinander auf zwei völlig verschieden konfigurierten PCs anmelden und abmelden würde? Hat er dann plötzlich verwaiste Verknüpfungen auf dem Desktop?
Serverseitige Benutzerprofile machen meiner Ansicht nur Sinn, wenn alle PC relativ gleich konfiguriert sind

Also noch mal kurz:

1. Schüler melden sich an der Domain mit ihren persönlichen Daten an
2. Auf dem PC gibt es ein lokales Benutzerprofil "schulprofil", das immer geladen wird - unabhängig vom Nutzer (Roaming ist serverseitig abgeschaltet)
3. Die Schüler haben aber Zugriff auf ihre persönlichen Netzlaufwerke

Konfiguration:
Server: Samba 3.x
Clients: Windows xp Pro oder Windows 7 Pro

Für Hinweise oder Lösungen wäre ich sehr dankbar!

Mit freundlichen Grüßen
Jörg

Content-ID: 165754

Url: https://administrator.de/contentid/165754

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

bennnib
bennnib 06.05.2011 um 06:46:26 Uhr
Goto Top
Hallo Jörg,

Also ich würde so vorgehen:
Erstmal servergespeicherte Profile ausschalten. Dann:

1. Du meldest dich (mit lokalen Adminrechten) mit einem Rechner an der Domain an (bzw. einmal mit XP-Client, einmal mit Win7-Client), dort erstellst du dir ein Profil.
2. Sichere den Ordner „Default user“ irgendwohin falls was schief geht.
3. Lösche den Inhalt des Ordners (Wichtig: der Ordner muss erhalten bleiben!)
4. Kopiere das erstellte Profil dort rein.
5. Benenne in dem Ordner die NTUSER.DAT in NTUSER.MAN um.
6.Fertig.

Jetzt hast du das natürlich nur für einen Rechner gemacht, d. h. an allen anderen die gleichen Schritte 3 und 4 wiederholen bzw. per Script (vorsicht XP hat v1-Profile und Win7 hat v2-Profile).

Hoffe ich konnte dir helfen und hab dich nicht falsch verstanden.
Jochem
Jochem 06.05.2011 um 08:35:11 Uhr
Goto Top
Moin,

@BenniB:

Du meldest dich (mit lokalen Adminrechten) mit einem Rechner an der Domain an

Kopiere das erstellte Profil dort (Default User) rein.

Nach meinem Verständnis hat dann der "Default User" auf dem Client lokale Admin-Rechte. Ob das so gewollt ist?

Gruß J face-smile chem
Edi.Pfisterer
Edi.Pfisterer 06.05.2011 um 09:40:36 Uhr
Goto Top
hallo!
als Ergänzung zu bennibs Vorgangsweise:

nicht das Default-Profil sein. Das kann ja unter Windows 7 nicht angepasst werden.

das stimmt so nicht ganz...

ich würde bei bennibs Anleitung den Punkt 4 dahingehend ändern:

4.) windows enabler installieren / aktivieren;
rechte Maustaste auf Computer / Eigenschaften / erweitert / Benutzerprofile / Einstellungen -->
das zuvor veränderte Profil kann nun nach default_user kopiert werden
(die Schaltfläche "kopieren" bleibt ohne windows enabler grau....)
[durch diese Vorgangsweise werden nicht nur die Daten im Profil, sondern auch die Registryeinträge kopiert]

gutes gelingen
lg
ghsknecht
ghsknecht 09.05.2011 um 23:44:00 Uhr
Goto Top
Hallo!
Danke erst einmal für die Antworten. Aber ich habe gelesen, dass man den Default User von Windows 7 nicht verändern sollte - außer mit sysrep. Sonst soll es zu Problemen mit Verlinkungen geben. Dies merkt man dabei meist nicht sofort.
Mir schwebt deshalb vor, dass sich die Schüler und Kollegen mit ihren persönlichen Daten einloggen (Zugriff auf die persönlichen Netzwerkordner), aber ein lokales Benutzerkonto "schulprofil" geloggt wird.
Gibt es dafür wirklich keine Möglichkeit. Eventuell per Skript? Profis, wo seid ihr...? face-wink

Zur Zeit habe ich das Roaming ausgeschaltet und alles, was in einem persönlichem Profil wäre, in den All User bzw. in den öffentlichen Desktop gepackt. Da die PCs mit HDGuard bzw. teilweise mit PC-Wächterkarten geschützt sind, wird ständig der "Desktop neu eingerichtet" und ein temporäres Profil benutzt. Stört mich eigentlich nicht wirklich, aber ich kann so kein definiertes Profil vorgeben (Default User soll halt nicht verändert werden). Unter XP war das mit dem Default User kein Problem. Da konnte man ja hin-und-her kopieren was man wollte.

Gruß
Jörg
Edi.Pfisterer
Edi.Pfisterer 10.05.2011 um 09:33:46 Uhr
Goto Top
Hallo!

ich würde Deine Anforderung wie folgt lösen:

1.) mit einem beliebigen User am Client einloggen, das Profil nach Deinen Anforderungen ändern (desktophintergrund, favoriten, maileinstellungen, etc)
2.) windows enabler am client aufrufen (einfach danach googeln) und aktivieren
3.) computer/eigenschaften/blabla/benutzerprofile... -> das von dir vorbereitete profil kopieren (erst durch aktivieren von windows enabler wird diese schaltfläche klickbar) nach "default user" kopieren (berechtigungen beachten!!!)

wichtig: bevor du den client mit sysprep herrichtest, solltest Du noch einmal überprüfen, dass es keine inkonsistenten profile gibt!
(dh, für jedes profil mit einer ntuser.dat muss es einen profileintrag geben, falls eines von beiden fehlt, musst du das andere löschen!)
(ansonsten kommt es genau zu dem von dir geschilderten problem von wegen "Sie wurden mit einem temporären profil angemeldet...)
siehe hier oder hier

danach verteilst Du das Image auf die Clients.

Default User soll halt nicht verändert werden
der kann gar nicht verändert werden, wenn Du die Berechtigung auf "LESEN" für authentifizierte User setzt!!!
Anmerkung: "Default User" ist so zu verstehen, wie eine kopiervorlage! nicht mehr, nicht weniger!
Falsch ist die Annahme, jemand arbeitet mit "default user"!!!

beim anmeldevorgang wird für jeden user ein eigenes profil am client angelegt, dass "default user" als vorlage kopiert. dazu kommt noch alles aus "all users".

bsp: dadurch hat der user nun die möglichkeit, seine eigenen favoriten etc einzurichten, hat aber zusätzlich jene aus dem default user und all users....

wenn Du verhindern möchtest, dass der User manche Einstellungen selbständig ändert (Bildschirmhintergrund mit einem Foto des Administrators, etc face-wink
dann geht das bequem über Gruppenrichtlinien (in der Benutzerkonfiguration)...

was Du mit
Unter XP war das mit dem Default User kein Problem. Da konnte man ja hin-und-her kopieren was man wollte.
meinst, kann ich nicht nachvollziehen. Das Verhalten von Default User hat sich NICHT maßgeblich geändert! lediglich "windows enabler" muss zum kopieren verwendet werden!

Hoffe, etwas Licht in die Sache gebracht zu haben

gutes Gelingen
lg
Edi Pfisterer
ghsknecht
ghsknecht 16.05.2011 um 17:16:16 Uhr
Goto Top
So! Habe jetzt die Faxen dicke! face-wink
Die Clients melden sich nun automatisch lokal mit einem definierten Profil an. Per Anmeldeskript wird sich dann an die Domain angemeldet; unter Angabe von Benutzernamen und Kennwort.
So könnte ich jetzt sogar jeden PC individuell einrichten - obwohl sie in unserem PC-Raum identisch sind. Die Einstellungen wurden alle gemacht. Roaming abgeschaltet.
Beim Abmelden am PC wird sich auch per Abmeldeskript von der Domain abgemeldet.

Die PCs sind per Wächterkarte bzw. per HDGuard gesichert. Dadurch kam es jedes mal beim Anmelden zu einer Flut von Einstellungen, die der Benutzer machen sollte. Office 2010 wollte jedes mal gleich drei verschiedene, wenn man z.B Word startete.
Dies ist nun durch den definierten lokalen Benutzer Geschichte.

Jetzt läuft alles sauber und klar definiert.

Danke an alle, die mir mit Ratschlägen und Hinweisen zur Seite standen.

Gruß
Jörg
hpschneider
hpschneider 22.02.2012 um 19:05:45 Uhr
Goto Top
Hallo Jörg,

ich habe genau die gleiche Baustelle und schon einige Zeit nach einer guten Lösung gesucht. Aber viel weiter als Dein Ansatz mit dem Skript bin ich bisher nicht gekommen. Ich habe ein einfaches Programm geschrieben, das auf dem Desktop liegt und dann nach Eingabe von Benutzername und Passwort die Netzlaufwerke verbindet.

Der Ansatz mit dem Skript ist etwas klarer definiert, da wird beim starten von Windows die Authentifizierung durchgeführt. Was für eine Art von Skript setzt Du denn ein und wie läuft hier die Authentifizierung? Können die User auch ohne korrekte Authentifizierung am PC weiterarbeiten oder kommt man nicht weiter? Wo liegt das Skript (lokal / auf dem Server)?

Gruß

Hans-Peter
khos-kala
khos-kala 18.04.2017 um 14:29:02 Uhr
Goto Top
Hallo Jörg,
haben Sie im zwischen eine Lösung?
Ich habe genau das gleiche Problem, das Sie geschildert haben.

Mit freundlichen Grüßen
Kala