nemesis
Goto Top

Benutzer Umgebungsvariable nutzen für Roaming Profile

Hi

wir haben 3 Standorte.
An jedem Standort sind DFS-N Freigabe die wie folgt lauten angelegt:
\\Firma.com\dfs\Profiles\ProfilesABC\
\\Firma.com\dfs\Profiles\ProfilesFGH\
\\Firma.com\dfs\Profiles\ProfilesXYZ\

(Es ist zwischen den Standorten kein DFS-R eingerichtet)

Unsere OU Struktur sieht wie folgt aus (Auszug):

Clients \ Notebooks
Clients \ Workstations
ABC
FGH
XYZ

(Sprich eine OU pro Standort für die Benutzer, aber die Computer sind alle unter Clients untergebracht)

Nun zu meiner Überlegung:

Ich würde gerne auf die Benutzer der OU "ABC" eine GPP mit der Umgebungsvariable PROFILESFOLDER = ProfilesABC anwenden, dass das Benutzerprofil (welches via GPO in der Computerconfiguration gesetzt wird und auf die OU Clients angewendet wird) und \\Firma.com\dfs\Profiles\%PROFILESFOLDER%\%USERNAME%\ lauten soll.

Auf dem Fileserver soll dann das Profil für den User "Test" der in der OU "ABC" ist dann wie folgt automatisch gesetzt werden: \\Firma.com\dfs\Profiles\ProfilesABC\Test

Für die OU "FGH" die Umgebungsvariable PROFILESFOLDER = ProfilesFGH und dem Benutzer "Hans" soll dann automatisch der Pfad \\Firma.com\dfs\Profiles\ProfilesFGH\Hans beim anmelden erstellt und zukünftig genommen werden.

Vielleicht hat es jemand schon so realisiert und kann mir Tips geben sofern das überhaupt funktioniert, da ja vor dem Profil erstellen die Umgebungsvariable erstellt sein muss. Daher meine Frage ob das überhaupt so klappt.

Hoffe ihr könnt mir folgen, sonst fragt einfach wenn etwas unklar ist.

Mit freundlichen Grüßen Nemesis

Content-Key: 258135

Url: https://administrator.de/contentid/258135

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: emeriks
emeriks 19.12.2014 aktualisiert um 16:02:27 Uhr
Goto Top
Hi,
warum so kompliziert?

Anmerkung: Mutti unterstützt kein DFS für Roamingprofiles. Aber ok, Du hast ja keine Replikation, das lindert ...

Du kannst bei allen Benutzern den selben Profilpfad eintragen: \\Firma.com\dfs\Profiles
Du musst nur für diese Node mehrere Ziele eintragen, je Standort eins.
Wenn Du im AD sauber die Standorte und IP-Subnetzte gepflegt hast, dann erkennen die Clients automatisch, an welchem Standort sie sind und greifen dann auf das Ziel am selben Standort zu.

Aber!
Wie gesagt, Mutti unterstützt das nicht. Grund ist, dass man nicht 100% ausschließen kann, dass sich ein Client - warum auch immer - mal ein Ziel vom anderen Standort nimmt. Das kann dann sogar wärend des Ladens oder Speicherns des Profils auftreten. Mit geringer Wahrscheinlichkeit, aber möglich. Also eine potentielle Feherquelle.

E.

Edit:

Habe die Alternative vergessen:
Du könntest per GPO Startup Script auf den Clients die lokale Hosts Datei bearbeiten und dort einen Alias für den jeweils lokalen Server eintragen. Die GPOs mit den Scripten verlinkst Du auf die jeweiligen AD-Standorte.
Am Benutzerobjekt trägst Du dann den Alias ein: \\ALIAS\Profiles

E.
Mitglied: nEmEsIs
nEmEsIs 19.12.2014 aktualisiert um 19:08:07 Uhr
Goto Top
Hi

An jedem Node ist es auch so eingetragen worden, dass er für den jeweiligen Standort der Zugangspunkt ist mittels AD Sites und den Netzen. Es ist kein Fallback definiert. Habe es getestet, er nimmt dann nicht den von einem anderen Standort wenn seiner nicht verfügbar ist.

Alle Server sind Windows Server 2012 R2.

Nein unser Ziel ist es nicht, die Ordner per DFS-R zu replizieren! Das ist nicht supportet.

So warum ich das so "kompliziert" haben möchte ist, da es sich bei den Standorten um Firmen handelt, aber unter der Mutterfirma AD seitig (Firma.com) stehen und es vorkommt, dass MA´s am anderen Standort arbeiten und das ggf. für längere Zeit. Daher war es Wunsch, dass die Profile, wenn ein MA mittels Laptop (Ursprung Standort ABC) zu Standort XYZ wechselt, sein Profil über die Zeit in der anderen Firma dort dann am Standort im ProfilesABC Sicherheit halber ablegt.

Warum wir das nicht allgemein unter Profiles machen, ganz einfach bei über 3000 Usern blickt man dort dann nicht mehr durch welches Profil an welchem Standort benutzt wird und welches nicht, da die Benutzer doch recht häufig in den anderen Standorten unterwegs sind, deswegen die Aufteilung nach ProfilesABC ProfilesFGH etc.

Zu deinem Edit:

Nein, da es leider nicht fest sein soll, da es auch mal vorkommt das ein MA sich am anderen Standort an einem Rechner anmeldet. Daher meine Überlegung mit der Benutzervariable, so dass das dann dynamisch sein soll, weil wenn ich das fest an den Geräten setzten will, nehme ich keine Host Datei sondern setzte das via GPP als WMI Filter mit der Abfrage auf den Hostname des Rechners und gebe dem Rechner eine Umgebungsvariable. Weil Rechnername hat ABCXXX oder FGHXXX als Rechnername.

Mit freundlichen Grüßen

Nemesis
Mitglied: emeriks
emeriks 19.12.2014 um 20:13:18 Uhr
Goto Top
Hi,
Mißverständnis!

  1. Dass es jetzt nicht zu Über-WAN-Zugriffen kommt liegt daran, dass Du drei Nodes hast, welche jede nur ein Ziel haben - jenes am Standort.
  2. Wenn jeder Standort sein eigenes Ziel hat und die Ziele nicht repliziert werden, dann musst Du nur jeweils direkt über den Server gehen und siehst dann, wer auf diesem Server (an diesem Standort) ein Profil hat. Keine Sucherei.
  3. Alias: Je Standort wird bekommen die Clients per GPO-Script die Host gepflegt. Wechselt ein Client den Standort, dann gilt bei Anmeldung im LAN eine andere GPO --> anderes Script --> andere IP für den Alias in der Hosts --> bei gleichemPfad Zugriff auf enderem Server

E.
Mitglied: nEmEsIs
nEmEsIs 19.12.2014 um 20:40:30 Uhr
Goto Top
Hi

erstmal Danke das du dich dem Thema gewidmet hast.

1. Jup

2. Ja solange der User an seinem Standort bleibt stimmt das wenn ich die GPO auf den AD Standort anwende jetzt kommt aber das große ABER face-smile wir haben Citrix Server und die haben ein andere Profilmanagement. Somit würde das die Profile entweder an den CTX Servern kaputt machen oder die User bekommen Ihre CTX Profile gemappt. Beides so nicht gewünscht und empfohlen.
Da wir aber die Profile nach Firmenstandorten an jedem der 3 Standorte aufsplittern wollen müssen wir das über die User irgendwie als Variable oder so machen. Da spielt aber rein das User Test von Standort ABC ja sich an einem PC an Standort FGH anmelden kann und dies ggf. auch soll weil ihm nur da bestimmte Programm zur Verfügung stehen die auf seinem Rechner nicht gewünscht sind.
Aber er soll eben nicht sein Profil in ProfilsFGH schreiben soll sondern eben in den ProfilesABC.

3. Es ist so gewünscht das es an den User haftet weil wie ich es am Computer fest mache weiß ich mindestens 10 Wege.

Vielen Dank.


Nemesis
Mitglied: emeriks
emeriks 20.12.2014 um 18:29:25 Uhr
Goto Top
Prima! Das mit dem Terminalserver hättest Du wirklich eher erwähnen sollen ...

Du willst also, dass ein Benutzer auch bei Anmeldung an einem TS den Profilpfad abhängig vom Standort des Client hat und nicht abhängig vom Standort des TS oder des Benutzers an sich?
Oder benutzt er dann auch nur jeweils TS von jenem Standort, an welchem er sich gerade befindet?

Falls erstes: Geht nicht. Vergiss es.
Oder: Du gibst dem Benutzer das Rechst, seinen TS-Profilpfad selbst ändern zu dürfen. Dann lässt Du je Standort ein Loginscript für Anmeldung am PC laufen, welches dann dem Standort entsprechend am Benutzerobjekt den TS-Profilpfad setzt. Hinsichtlich Replikationslatenz musst Du dann aber aufwändig scripten. Das Ganze wäre aber nur ein Krücke. Nicht zu empfehlen.

Falls zweites: Man kann den Speicherort der Profile je Computer per GPO festlegen. Das übersteuert dann die Einstellung am Benutzer.

E.
Mitglied: nEmEsIs
nEmEsIs 20.12.2014 um 19:02:24 Uhr
Goto Top
Hi

Sorry. Das habe ich vergessen.

Also die Citrix Server haben Ihre eigene GPO für den Profilpfad der ist dann ***\ProfilesTSABC usw. ist.

Nein der Benutzer kann beides benutzen und das von jedem Standort.

Zu zweitens: Ja das ist klar der Profilpfad ist auch nicht im Userobjekt im AD gesetzt sondern auf die jeweiligen Computerobjekte als GPO. Citrix ist anderes als FAT Client.

Also nochmal ganz langsam.
Ich habe eine GPO welche auf die OU Clients wirkt wo eingestellt ist
"Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden".
Dort würde ich gerne hinterlegen \\firma.com\dfs\Profiles\%PROFILSFOLDER%\%USERNAME%

Gleichzeitig aktiviere ich im Userteil als GPP unter Umgebungsvariablen auf die
OU ABC das die Benutzervariable PROFILSFOLDER = ProfilesABC
für die OU FGH PROFILSFOLDER = ProfilesFGH
und für die
OU XYZ PROFILSFOLDER = ProfilesXYZ

Bzw. der untere Teil würde dann jeweils als eine GPP auf die einzelen OU´s, wo die Benutzer drinnen sind, dass dann jeder Benutzer der einzelen OU´s die Variablen als Umgebungsvariable bekommen.

Soweit meine Vorstellung.

Vielen Dank für deine Mühe.

MfG Nemesis
Mitglied: emeriks
emeriks 20.12.2014 aktualisiert um 19:35:33 Uhr
Goto Top
Was Du vorhast geht nicht. Ende. Warum? Logik! Wo das Roamingprofile liegt, das entscheidet der Computer und nicht der Benutzer. Deshalb ist es vollkommen zwecklos, da irgendwas in dieser Richtung über Benutzer-GPO's zu steuern zu versuchen.

Wenn am Benutzer ein Profilpfad konfiguriert ist, dann liest der Computer diesen aus und wendet ihn an. Wenn der Profilstammpfad per Computer festgelegt ist, dann weiß der Computer das und wendet diesen an. Und das alles bevor das Profil geladen wird. Und solange das Profil nicht geladen ist, ist die Benutzersitzung auch nich nicht aktiv. Und solange diese nicht aktiv ist, kann diese keinen Einfluss nehmen.


Mal was anderes:
Was willst Du denn ursächlich mit dieser strikten Profil-Trennung erreichen? Warum darf ein Benutzer, wenn er sich an ein und demselben TS anmeldet, bei Anmeldung von einem Client des Standorts B nicht das selbe Profil verwendet, welches auch bei Anmeldung von einem Client des Standorts A verwendet wird? Worauf kommt es Dir dabei an? Vielleicht kann man das, was Du damit erreichen willst, auch ganz anders erreichen?

E.