doubleo
Goto Top

Synchronisieren beim abmelden des clients unterbinden

Daten zentral lagern
Anmeldung nur bei Verbindung mit Server

Hallo,
bräuchte kurz Hilfe bezüglich folgendem Problem. Hab auf meinem Server mehrere Benutzer über AD angelegt. Habe deren Eigene Dateien und Profile auf dem Server gespeichert. Mein Problem ist, das der Ordner Eigene Dateien im Schnitt über 2 GB groß ist und dadurch beim abmelden des Clients jedes mal eine "stundenlange" Synchronisierung stattfindet.

Wie kann ich das unterbinden? Die Daten sollen aber trotzdem zebtral auf dem Server abgelegt sein.

Desweiteren sollen die einzelnen Benutzer sich nur anmelden können wenn eine Verbindung zum Server besteht. Wo ist dies bei den Gruppenrechtlinien im gpsc zu finden?

Vielen Dank
Gruss Olli

Content-ID: 45220

Url: https://administrator.de/forum/synchronisieren-beim-abmelden-des-clients-unterbinden-45220.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

Kosh
Kosh 24.11.2006 um 07:57:08 Uhr
Goto Top
moin.

also problem 1 versteh ich nicht ganz. wir haben auch ordnerumleitung mit teilweise 5GB daten und die synchronisierung dauert beim abmelden so ca. ne minute maximal.
aber egal:
du musst die offlineverfügbarkeit des profilordners am server deaktivieren.
dann greifen deine user immer direkt auf den server zu und die dateien werden nicht mehr synchronisiert.
ist aber nicht empfehlenswert da, sollte ein netzwerkproblem auftreten oder der fileserver was haben, deine clients dann ohne daten dastehen.

bzgl problem 2:
google mal nach "cached credentials"
es gibt da eine eintrag in der registrierung den man einfach auf 0 setzt. dann müssen die user zwingend verbindung zum dc haben um sich anzumelden.

EDIT: habs mal hier gefunden: http://support.microsoft.com/kb/172931/en-us
y3k
y3k 24.11.2006 um 12:12:11 Uhr
Goto Top
Hi,

schau Dir mal die Datei NTUSER.INI in den Profilverzeichnissen an - da kann man reinschreiben, was alles nicht synchronisiert werden soll...

Viele Grüße
Stephan
doubleo
doubleo 24.11.2006 um 12:13:02 Uhr
Goto Top
Hallo, danke für die schnelle Antwort.
Zu Problem 1:
Die Clients sind für Kinder im Alter von 5-18 Jahre. Sprich die verstehen nicht warum die abwarten sollen bis die Synchr. abgeschlossen. Für die reicht zur Beschleunigung des Abchaltsvorgang einfach den Stromstecker ziehen. Daraufhin hab ich mir gedacht es ist einfacher die Synchronisierung zu bechleunigen (also nur die reinen Profildaten; und nicht deren kompletten MP3s oder ähnliches) als den rest meines Lebens daruf zu hoffen, dass die es irgendwann begreifen werdenface-wink
Also wenn die aufgrund eines Netzwerkproblems dann nicht an ihre eigen dateien kommen sollten. Hab ich ein gutes Argument für das abwarten bei der Synchronisierungface-wink

Zu Probl. 2:
Muss ich die Einstellungen an jedem einzelenn Rechner (Client) als Admin einstellen oder geht das nicht über Einstellungen am Server?
Hätte gedacht dies wäre vielleicht über Gruppenrechtlinien möglich?
Kosh
Kosh 24.11.2006 um 12:40:57 Uhr
Goto Top
und zu problem 2:
änders einfach bei einem client, dann exportiere das .reg file, und importiere es einfach mit einem logonscript bei allen rechnern.
doubleo
doubleo 24.11.2006 um 14:10:03 Uhr
Goto Top
Ok das hört sich gut an. Hättest du vielleicht noch nen Tipp wo ich eine Anleitung für diese Aktion herbekomme. Weil das wäre absolutes Neuland!!!
Kosh
Kosh 24.11.2006 um 14:25:28 Uhr
Goto Top
hmm na dann lass mich dich leiten ; )

am client als admin einsteigen.
regedit ausführen

erstelle eine neue textdatei mit folgendem inhalt:

ab hier kopieren------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"cachedlogonscount"="0"

bis hier kopieren------

diese datei speicherst du unter chgcount.reg
wenn du schon ein logon-script hast, füge folgende zeile dazu:
regedit -s chgcount.reg

das .reg file muss unbedingt im gleichen ordner liegen wie das logon script.

wenn du noch kein script hast gib bescheid dann führ ich das auch noch kurz aus.

EDIT: cachedlogonscount muss natürlich 0 sein ; )
doubleo
doubleo 24.11.2006 um 16:19:21 Uhr
Goto Top
Alles klar. Eine Millionen Dank. Hab ein script. zum verbinden der profile mit dem netzlaufwerk. kann ich ja dann eintragen oder?
Kosh
Kosh 27.11.2006 um 07:23:01 Uhr
Goto Top
klaro.

aber vergiss nicht das .reg file entweder zum script dazuzulegen, oder es auf einem für alle zugänglichen share bereitzustellen.
doubleo
doubleo 02.12.2006 um 13:00:52 Uhr
Goto Top
Hallo. hab es jetzt erst geschafft zu testen ob es klappt. Leider muss ich irgendwo einen Fehler gemacht haben. Da die Clients offline immer noch das lokal gespeicherte Profil aufrufen. Und in der Regestry der Wert von "cachedlogonscount" immer noch bei 10 steht.
Also ich habe mit dem Notepad folgende "chgcount.reg" erstellt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"cachedlogonscount"="0"

Diese habe ich dann in dem Ordner gespeichert in der sich meine login.bat befindet.
In der Login.bat habe ich einfach die Zeile:
regedit -s chgcount.reg
hinzugeschrieben. Also was hab ich übersehen?
Kosh
Kosh 04.12.2006 um 07:19:58 Uhr
Goto Top
starte das logonskript am client mal manuell und schau obs fehler rauswirft.

ansonsten am client testweise einfach mal "gpupdate /force" ausführen.
gemini
gemini 04.12.2006 um 07:53:55 Uhr
Goto Top
Hallo doubleo,

also ich versteh nicht ganz warum du hier mit Scripts rumwurschtelst und versuchst Registrierungsschlüssel zu setzen wo du dich einen Domänencontroller hast, der das auch kann und zwar zentral.

Guckst du unter Comp.konfig. > Adm. Vorlagen > System > Benutzerprofile > Benutzer bei Fehlschlag des servergespeicherten Profils abmelden
Außerdem: Comp.konfig. > Wind.-Einst. > Sicherheitseinst. > Lokale Richtl. > Sicherheitsoptionen > Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen...
Des Weiteren: Wenn wirklich Schlüssel zu setzen sind kann man das auch einfach machen und zwar hier: Comp.konfig. > Wind.-Einst. > Sicherheitseinst. > Registrierung

HTH,
gemini
gemini
gemini 04.12.2006 um 07:54:17 Uhr
Goto Top
doppelt gemoppelt face-wink
Kosh
Kosh 04.12.2006 um 07:56:28 Uhr
Goto Top
hört hört.
man lernt halt nie aus.
doubleo
doubleo 06.12.2006 um 11:51:42 Uhr
Goto Top
Hallo,
genau das hatte ich gesucht. Hab jetzt wohl ein Problem mit dem anwenden. Habe unter "GroupPolicyManagement" ein Gruppenrichtlinienobjekt "Ordnerumleitung". Bin dort auf Bearbeiten gegangen und habe die beiden Einstellungen vorgenommen.
Wenn ich jetzt zum testen mich an einem Client (ohne Netzwerkverbindung) anmelde. Kommt die Fehlermeldung und er meldet sich trotzdem mit dem lokal gespeicherten Profil an.
Hätte ich eins von den "Default-" Objekten nehmen müssen?
gemini
gemini 06.12.2006 um 12:43:32 Uhr
Goto Top
Hallo Oliver,
... Habe unter "GroupPolicyManagement" ein Gruppenrichtlinienobjekt
"Ordnerumleitung". Bin dort auf Bearbeiten gegangen und habe die beiden
Einstellungen vorgenommen.
Welche beiden? Die beiden, von mir beschriebenen Einstellungen sind woanders.

Wenn ich jetzt zum testen mich an einem Client (ohne Netzwerkverbindung) anmelde.
Kommt die Fehlermeldung und er meldet sich trotzdem mit dem lokal gespeicherten Profil an.
Das ist normales Verhalten ohne die Einstellungen, da der Client, sofern er kein servergespeichertes Profil findet, den lokalen Profilpfad durchsucht.

Hätte ich eins von den "Default-" Objekten nehmen müssen?
Mit den Default-Policies solltest du vorsichtig umgehen und nicht zuviel daran rumspielen. Wenn hier was verkonfiguriert wird, gibt es keine übergeordnete Ebene mehr, d.h. man kann sich hier durchaus aussperren.
Ausnahme sind Kennwortrichtlinien, die in der Default Domain Policy definiert werden müssen.

Gruß,
gemini
doubleo
doubleo 06.12.2006 um 13:07:24 Uhr
Goto Top
Ich dachte deine Einstellungen müsste ich in der "GroupPolicyManagement" vornehmen. Wo wäre es denn richtig gewesen?
gemini
gemini 06.12.2006 um 13:24:49 Uhr
Goto Top
Ich dachte deine Einstellungen müsste ich in der "GroupPolicyManagement"
vornehmen. Wo wäre es denn richtig gewesen?
Ja schon, aber nicht bei Ordnerumleitung.
Wie ich oben schon geschrieben habe, handelt es sich um Computereinstellungen; die Ordnerumleitung hingegen ist eine Benutzereinstellung.

Oder hast du etwa die Richtlinie 'Ordnerumleitung' genannt? *confused*

gruß,
gemini
doubleo
doubleo 06.12.2006 um 13:36:25 Uhr
Goto Top
Also wenn ich die GPM öffne.
Gesamtstruktur
+Dömanen
+meine domäne
-default domain policy
-loginscript
-ordnerumleitung
+domain comtrollers
-.....
+Gruppenrichtlinienobjekte
-default domain controller
-default domain policiy
-loginscript
-ordnerumleitung

+usw.

So hoffe jetzt ist ein wenig ersichtlicher wie es bei meiner GPM aussieht.
gemini
gemini 10.12.2006 um 19:30:21 Uhr
Goto Top
Hallo,

deinem letzten Posting entnehme ich, dass du eine OU Ordnerumleitung hast und eine Richtlinie Ordnerumleitung.
Meine Verwirrung kam daher, dass es eben auch eine Einstellung 'Ordnerumleitung' gibt.

In der Annahme, dass die bereits genannten Einstellungen in der Richtlinie 'Ordnerumleitung' getroffen wurden, diese mit der OU 'Ordnerumleitung' verlinkt ist und sich die betreffenden Clients, sprich die Computer, in eben dieser OU befinden, sehe ich keinen Grund warum die Richtlinie nicht greifen sollte.

Es gibt zusätzlich auch noch eine Richtlinie 'Zwischengespeicherte Kopie des servergespeicherten Profils beim Abmelden löschen' (o.ä. hab grad keinen DC hier), die du zusätzlich noch aktivieren könntest.

Eine Durchstarten lässt die Richtlinien wirksam werden. Alternativ kannst du den Aktualisierungsintervall abwarten oder am Client gpupdate /force ausführen.
gpresult zeugt dir an, welche Richtlinien durchgesetzt wurden und welche nicht.

Gruß,
gemini
doubleo
doubleo 12.12.2006 um 11:19:08 Uhr
Goto Top
Hallo, hab leider keine Ahnung mehr wo der Fehler liegen könnte. Hab meiner Meinung nach alles korrekt eingestellt und auch verlinkt. Der Bericht zu meiner Richtlinie sieht folgendermaßen aus:


Ordnerumleitung
Daten ermittelt am: 12.12.2006 11:14:34
Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
Sicherheitsfilterung
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:
Name
NT-AUTORITÄT\Authentifizierte Benutzer
WMI-Filterung
Name des WMI-Filters Kein
Beschreibung Nicht anwendbar
Delegierung
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt
Name Erlaubte Berechtigungen Geerbt
KINDERHAUS\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
KINDERHAUS\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
Computerkonfiguration (Aktiviert)
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien/Sicherheitsoptionen
Interaktive Anmeldung
Richtlinie Einstellung
Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) 0 Anmeldungen
Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Aktiviert
Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen Aktiviert
Administrative Vorlagen
System/Benutzerprofile
Richtlinie Einstellung
Benutzer bei Fehlschlag des servergespeicherten Profils abmelden Aktiviert
Zwischengespeicherte Kopien von servergespeicherten Profilen löschen Aktiviert
Benutzerkonfiguration (Aktiviert)
Windows-Einstellungen
Ordnerumleitung
Eigene Dateien
Einstellung: Standard (Leitet alle Ordner auf den gleichen Pfad um)
Pfad: \\%HOMESHARE%%HOMEPATH%
Optionen
Benutzer exklusive Zugriffsrechte für "Eigene Dateien" erteilen Aktiviert
Den Inhalt von "Eigene Dateien" an neuen Ort verschieben Aktiviert
Verhalten bei Entfernen der Richtlinie Inhalt belassen




Kann nirgendwo einen Fehler entdecken. Vielleicht siehst du ja was. Ansonsten erstell ich am besten ein neues Gruppenrichtlinienobjekt, oder?
gemini
gemini 12.12.2006 um 12:05:26 Uhr
Goto Top
Ordnerumleitung
Eigene Dateien
Einstellung: Standard (Leitet alle Ordner auf den gleichen Pfad um)
Pfad: \\%HOMESHARE%%HOMEPATH%
Ersetze mal die Umgebungsvariablen durch den richtigen UNC-Pfad.
doubleo
doubleo 12.12.2006 um 13:08:31 Uhr
Goto Top
Hat sich nichts getan.
gemini
gemini 12.12.2006 um 13:19:37 Uhr
Goto Top
Nach dem Ändern der Einstellungen hast du den Client einmal korrekt mit Netzwerkanbindung gestartet, right?
Ansonsten hat er ja keine Möglichkeit die geänderte Policy zu ziehen.
gpresult bringt auch keine Fehler?

Wenn ja, fällt mir momentan nichts mehr dazu ein, Sorry.
doubleo
doubleo 12.12.2006 um 13:35:27 Uhr
Goto Top
Ja hab alles so gemacht. Wofür waren den die Einstellungen an dem Pfad gut?
Ansonsten dank dir
doubleo
doubleo 12.12.2006 um 14:39:59 Uhr
Goto Top
Mit der neuen Gruppenrichtlinie geht es jetzt ohne Probleme. Also vielen Dank für die ganzen Mühen!!!
gemini
gemini 12.12.2006 um 14:45:12 Uhr
Goto Top
Ja hab alles so gemacht. Wofür waren den die Einstellungen an dem Pfad gut?
Deine Frage erstaunt mich jetzt doch etwas *kopfkratz*

Das ist der Pfad in den die Eigenen Dateien umgeleitet werden.
In den Eigenschaften der Einstellung Ordnerumleitung > Zielordner wird er angegeben.
doubleo
doubleo 12.12.2006 um 15:18:04 Uhr
Goto Top
Haben uns falsch verstanden. Wollte nur wissen ob es nen gravierenden Unterschied macht wie ich den Zielordner angebe. Weil klappt ja mit beiden Möglcihkeiten. Habs aber jetz hinbekommen. Dank dir für alles