none
Unterschiedliche Roaming Profile für unterschiedliche Server nutzen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo,
    mir gehen langsam die Ideen aus für folgendes Problem:
    Bei einem Kunden sind mehrere 2008 Server im Einsatz. Standardmäßig arbeiten die User (meist von ThinClients aus) auf einem 2008 Terminalserver. Das Userprofil wird als Roaming Profil im Netzwerk gespeichert und nach abmelden wird das gecachte Profil auf dem Server durch die GPO gelöscht. Soweit funktioniert auch alles. Nun gibt es aber einige User, welche sich vom Terminalserver aus auf eine weitere Terminalsitzung verbinden. Hier befinden sich Datev Anwendungen und dieses Konstellation ist auch so gewollt (wegen der Administrierbarkeit und in einigen Monaten werden es auch weniger Datevuser). Und hier fangen nun die Probleme an. Der Terminalserver (mit den Datev Anwendungen) holt sich ja die Userinformationen aus der ADS, also auch die Info für das servergespeicherte Profil. Das Problem sind die weitergeleiteten/ im Userprofil bereits hinterlegten Drucker und der gesetzte Standarddrucker. Datev ist da etwas eigen. Die Drucker wurden inzwischen auf dem Server installiert und wenn der User nicht vergisst (und genau hier liegt das Problem) seinen Standarddrucker zu setzen, dann klappt alles prima. Sollte er dies aber vergessen, dann gibt es seltsame Fehler innerhalb Datev.
    Meldet sich der User nun vom Terminalserver mit Datev ab, dann wird das Profil ja zurückgeschrieben. Meldet er sich dann nun auch von der anderen Terminalsitzung ab, dann wird dieses Profil zurückgeschreiben und somit sind natürlich auch alle Einstellungen für den Datevbereich überschrieben. Ich hoffe, ich konnte mein Problem soweit gut verdeutlichen?
    Ich suche eine Lösung, wie ich innerhalb der GPO sagen kann, dass für die Datev-Terminalsitzung ein anderes Profil genommen werden soll und dass sich diese nicht mehr gegenseitig überschreiben. Eine Lösung einen zweiten Useraccount anzulegen ist wegen der aktuellen Userzahl keine Option.
    Dann hoff ich mal, dass es dafür eine Lösung gibt.

    Grüße
    Tidrac
    Freitag, 13. November 2009 10:06
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Tdrac,

    ok, also die User machen eine RDP-Session inerhalb einer RDP-Session.
    d.h. es sind 2 TS'ler am Laufen.

    Eine pauschale Antwort kann ich Dir hier nicht geben, dazu müßte man mehr wissen und sehr ins Detail gehen,
    was hier den Rahmen sprengt und Schulungen wohl auch kaum möglich sind.

    Die Grundsatzfrage ist wie bekommt der User überhaupt sein Profil zugewiesen ?
    Per AD oder per TS-GPOs ?

    Mein Ansatz geht in die Richtung das es per GPO gelöst wird, d.h. über den Lookback-Adapter und der Zuweisung
    innerhalb der GPOs pro TS kann dann dem Benutzer seine Profile zugewiesen werden.

    Einen Startansatz findest Du unter http://www.gruppenrichtlinien.de/index.html?/HowTo/Terminal_Server.htm
    Gruß Ralph Andreas Altermann
    Freitag, 13. November 2009 11:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Tidrac,

    Sorry, war 2 Tage offline.

    >Die GPO wirkt nun auf "Authentifizierte Benutzer"

    Achtung hier mußt Du aufpassen, denn Du willst ja für einen User1 zwei Profile.
    D.H. die "Authentifizierte Benutzer" müssen raus und dafür eine Gruppe nehmen wo User1 Mitglied ist.
    Ebenson sollten sich die Server jeweils in einer Gruppe befinden und auch in den Sicherheitsfilter
    wiederfinden.

    Also z.B. Sicherheitsfilterung der jeweiligen GPOs

    GPOs an Datev.TS - Gruppe_User_Profile1 und Gruppe_ServerTS_Datev

    GPO an Anwend.TS - Gruppe_User_Profile2 und Gruppe_ServerTS_Anwendung

    hier GPO lesen und übernhemen, "Authentifizierte Benutzer"  raus.

    Gruppe_User_Profile1 und 2 dann mit unterschiedlichen Profilpfaden. User1 kann dann in beiden Gruppen sein.

    Ich hoffe das ich mich einigermassen klar ausgedrückt habe.
    Wie geschrieben o.g. Link als Ansatz.
    Gruß Ralph Andreas Altermann
    Dienstag, 17. November 2009 20:23
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Tidrac

    >welche sich vom Terminalserver aus auf eine weitere Terminalsitzung verbinden
    Das mußt Du uns mal näher erklären.

    Warum stellt Du die Profile nicht in Abhängigkeit der Server per GPO ?
    d.h User 1 bekommt ein Profil 1 für TS1 und User 1 bekommt Profile 2 für TS2

    (bei Datev würde ich hier mit seperaten Profilen arbeiten, anstatt mit Standarddruckerzuweisungsscripts bzw. GPOs)
    Gruß Ralph Andreas Altermann
    Freitag, 13. November 2009 10:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Altermann

    >welche sich vom Terminalserver aus auf eine weitere Terminalsitzung verbinden
    >Das mußt Du uns mal näher erklären.
    Die meisten User arbeiten über einen ThinClient und starten auch von dort Ihre RDP Verbindung. Nun sind TC's ja in Ihrer Funktionalität sehr beschränkt und die Connection Bar ist auch bewusst für "normale" Terminalsitzung ausgeblendet. Für die Datevsitzung wird diese wiederum angezeigt. Das switchen muss möglich sein, da auf dem Datevserver NUR Datev läuft und auch laufen soll. Alles andere ist über den Terminalserver zu erledigen. Und damit die User auf Datev zugreifen können, gibt es eben eine RDP Verknüpfung auf dem Haupt-TS, welcher eine Verbindung zum Datev ermöglicht.

    >Warum stellt Du die Profile nicht in Abhängigkeit der Server per GPO ?
    >d.h User 1 bekommt ein Profil 1 für TS1 und User 1 bekommt Profile 2 für TS2
    Über die Terminalserver GPO? Oder lieg ich hier gerade falsch?

    Das mit den seperaten Profilen ist ja die Idee. Ich müsste ja sonst für fast jeden User ein eigenes Script machen.
    Freitag, 13. November 2009 11:21
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Tdrac,

    ok, also die User machen eine RDP-Session inerhalb einer RDP-Session.
    d.h. es sind 2 TS'ler am Laufen.

    Eine pauschale Antwort kann ich Dir hier nicht geben, dazu müßte man mehr wissen und sehr ins Detail gehen,
    was hier den Rahmen sprengt und Schulungen wohl auch kaum möglich sind.

    Die Grundsatzfrage ist wie bekommt der User überhaupt sein Profil zugewiesen ?
    Per AD oder per TS-GPOs ?

    Mein Ansatz geht in die Richtung das es per GPO gelöst wird, d.h. über den Lookback-Adapter und der Zuweisung
    innerhalb der GPOs pro TS kann dann dem Benutzer seine Profile zugewiesen werden.

    Einen Startansatz findest Du unter http://www.gruppenrichtlinien.de/index.html?/HowTo/Terminal_Server.htm
    Gruß Ralph Andreas Altermann
    Freitag, 13. November 2009 11:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Genau, RDP innerhalb RDP. Eigentlich laufen mehr TS'ler aber die zwei Haupt-TS'ler sind im Cluster und ein anderer dient als Anwendungsserver.

    Ich glaub das wird der Punkt sein. Momentan wird der Pfad zum Profil per AD zugewiesen und da sich der Datevserver die Anmeldeinformationen ja auch aus der AD holt, holt er sich auch den Profilpfad. Ich werde mal die TS-GPO's anlegen und nur auf mich testen. Kann es zu Problemen kommen, wenn ich in der GPO für unterschiedliche Server den gleichen Profilpfad angebe?

    Freitag, 13. November 2009 13:12
    |
  • Question
    Anmelden
    0
    Anmelden
    >Kann es zu Problemen kommen, wenn ich in der GPO für unterschiedliche Server den gleichen Profilpfad angebe?
    Mal ja, mal Nein :-)
    Außerdem wolltest Du doch ein User mit zwei Servern und zwei Profilen und nicht umgekehrt.

    Wie gesagt so pauschal kann ich Dir keine Antwort geben, da man das gesamte Design (und Betstand) berücksichtigen muß.
    Hinzu kommt je nach Konfiguration, das es sich um Computer-GPOs handelt und unter Umständen gleich alle
    betrifft, wenn nicht suaber über Gruppenberechtigung gearbeitet wird. Ist halt am Anfang komplex.

    Würde mal erst mit einer VM üben.
    Gruß Ralph Andreas Altermann
    Freitag, 13. November 2009 13:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Das ist ja der Trick dabei. Für die TS-Cluster und den Anwendungsserver das gleiche Profil (wegen Druckern usw), für den Datevserver ein eigenes.
    Die Richtlinie wirkt momentan nur auf meinen Useraccount. Naja, eher gesagt wenn sie endlich wirken würde. Wie immer bei solchen Tests hab ich das große Glück, dass er nun den anderen DC abfrägt und der hat sich noch nicht gesynct. Aber ich denke, dass das mit den TS-Profilen der richtige Ansatz sein könnte. Wenn ich die GPO richtig verstanden habe, dann sollte das Profil automatisch angelegt werden oder zur Sicherheit doch \\server\freigabe\%username% machen?

    Übrigens. Ich bin echt erstaunt und auch sehr erfreut, wie man hier Hilfe bekommt. Und auch noch schnell. Respekt.
    Freitag, 13. November 2009 13:59
    |
  • Question
    Anmelden
    0
    Anmelden

    >Übrigens. Ich bin echt erstaunt und auch sehr erfreut, wie man hier Hilfe bekommt. Und auch noch schnell. Respekt.
    Danke fürs Kompliment an die Technet. Wir geben uns halt mühe, wenn die Zeit es zu lässt.
    Sososagen freiwillig gezwungen.


    > Für die TS-Cluster und den Anwendungsserver das gleiche Profil
    Ok, hier die eigenen GPOs machen für TS-Cluster.

    > für den Datevserver ein eigenes.
    hier das Zweite in unserem Szenario

    >dann sollte das Profil automatisch angelegt werden oder zur Sicherheit doch \\server\freigabe\%username% machen

    Kurz gefasst: per GPO\Computer\Benutzerprofile => \\server\freigabe1  für Cluster
    und \\server\freigabe2 für DatevTS

    Die Steuerung erfolgt über GPO und den entsprechenden Gruppen mit "Gruppenrichtlinien lesen und übernehmen"
    Gruß Ralph Andreas Altermann
    Freitag, 13. November 2009 19:29
    |
  • Question
    Anmelden
    0
    Anmelden
    OK, nur mal ganz kurz:
    Computerrichtlinien -> Adminstrative Vorlagen -> Windows Komponenten -> Terminaldienste -> Terminalserver -> Profile
    und hier dann den Pfad zur jeweiligen Freigabe einrichten. Ich bin hier schon richtig, oder?

    Ich hab eine Gruppe mit 2 Usern mal angelegt, dass nur auf diese beiden die GPO wirkt. Die GPO der OU vom Datevserver sind im Loopbackmodus gesetzt und haben ersetzen. Soll ja so sein, da hier eigene GPO's gelten sollen.
    In jeder OU ist wiederum eine entsprechende GPO gesetzt, datevprofil und wtsprofil (hab sie mal so zum test genannt).
    Sie soll nur auf eine bestimmte Gruppe wirken und bei dieser ist auch Grupennrichtlinie lesen/ übernehmen gesetzt.
    datevprofil verweist auf \\server\datevprofil$
    wtsprofil verweist auf \\server\wtsprofil$

    Aber irgendwie wird die GPO nicht übernommen. Innerhalb der AD wird den Test-Usern kein Profilpfad mehr zugeordnet. Allerdings werden die Profile auch nicht angelegt. Mit den Test-Usern ist ein anmelden nur möglich, weil noch ein gecachtes Profil auf dem Server liegt. Wir diese gelöscht, dann meldet sich der Benutzerprofildienst zu Wort. Mehrfaches ab- und anmelden, wie auch mehrere gpupdate /force /wait:0 bringen keinen Erfolg. Wenn ich mich recht erinnere, dann bekomme ich ja als User mit gpupdate /r nur die Benutzerrichtlinien angezeigt.
    Und laut der schönen Übersicht aller GPO's, welche es hier irgendwo zum download gab, benötigt diese GPO keinen Neustart.
    Ich finde einfach gerade den Fehler nicht, weshalb die GPO nicht angwendet wird. Gibt es eine Möglichkeit, dafür irgendwie einen art Report zu bekommen?

    Grüße
    Tidrac
    Montag, 16. November 2009 10:27
    |
  • Question
    Anmelden
    0
    Anmelden
    Ok, hier das Feedback.
    Sämtliche Gedanken und Lösungsvorschläge sind so ziemlich richtig.

    Da ich das nun nicht gerade in der aktuellen Domäne testen konnte, habe ich schnell einen Testserver in der VM angeworfen und die ganzen GPO's, welche für den Datevserver gelten, dort hinein übernommen. Dann wie besprochen die GPO für die Profile erstellt.
    Die GPO wirkt nun auf "Authentifizierte Benutzer" und der Testerver wurde neu gestartet. GPO wirkt. Ich kann nun aber leider nicht genau sagen, ob es der Reboot oder die Delegierung war. Hoffe aber, dass das eventuell anderen Leuten weiterhelfen kann.

    Grüße
    Tidrac
    Montag, 16. November 2009 12:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Tidrac,

    Sorry, war 2 Tage offline.

    >Die GPO wirkt nun auf "Authentifizierte Benutzer"

    Achtung hier mußt Du aufpassen, denn Du willst ja für einen User1 zwei Profile.
    D.H. die "Authentifizierte Benutzer" müssen raus und dafür eine Gruppe nehmen wo User1 Mitglied ist.
    Ebenson sollten sich die Server jeweils in einer Gruppe befinden und auch in den Sicherheitsfilter
    wiederfinden.

    Also z.B. Sicherheitsfilterung der jeweiligen GPOs

    GPOs an Datev.TS - Gruppe_User_Profile1 und Gruppe_ServerTS_Datev

    GPO an Anwend.TS - Gruppe_User_Profile2 und Gruppe_ServerTS_Anwendung

    hier GPO lesen und übernhemen, "Authentifizierte Benutzer"  raus.

    Gruppe_User_Profile1 und 2 dann mit unterschiedlichen Profilpfaden. User1 kann dann in beiden Gruppen sein.

    Ich hoffe das ich mich einigermassen klar ausgedrückt habe.
    Wie geschrieben o.g. Link als Ansatz.
    Gruß Ralph Andreas Altermann
    Dienstag, 17. November 2009 20:23
    |