Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Galileo Computing
ISBN 3-89842-847-8

>>Jetzt bestellen!
gp Kapitel 14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse
  gp 14.1 Servergespeicherte Benutzerprofile
    gp 14.1.1 Funktionsweise von servergespeicherten Benutzerprofilen
    gp 14.1.2 Servergespeicherte Profile einrichten
    gp 14.1.3 Der Gruppe »Administratoren« Vollzugriff auf servergespeicherte Profile erteilen
    gp 14.1.4 Die Rechte auf ein servergespeichertes Profilverzeichnis neu setzen
    gp 14.1.5 Verzeichnisse aus servergespeicherten Profilen ausnehmen
  gp 14.2 Basisordner und Ordnerumleitung
    gp 14.2.1 Funktion von servergespeicherten Basisverzeichnissen
    gp 14.2.2 Basisverzeichnisse auf dem Server zuweisen
    gp 14.2.3 Eine Ordnerumleitung für das Verzeichnis »Eigene Dateien« einrichten
  gp 14.3 Als Systemadministrator unter drei Kennungen diszipliniert arbeiten
  gp 14.4 Offline-Synchronisation für Benutzer mit mobilen Geräten
  gp 14.5 Zentrale Verzeichnisse für Dokumentvorlagen definieren
    gp 14.5.1 Benutzervorlagen und Arbeitsgruppenvorlagen
    gp 14.5.2 Das AutoStart-Verzeichnis über eine Gruppenrichtlinie festlegen
  gp 14.6 Dokumentvorlagen über mehrere Standorte synchronisieren

Kapitel 14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse

Servergespeicherte Benutzerprofile, auf dem Dateiserver eingerichtete, persönliche Ablageverzeichnisse und die Ordnerumleitung des Standardordners »Eigene Dateien« erfüllen mehrere Funktionen. Alle Einstellungen des Benutzers und alle von ihm erstellten Dokumente werden regelmäßig gesichert.

Der Benutzer kann sich an einem beliebigen Client anmelden und findet sowohl seine Einstellungen als auch seine Dokumente wieder. Jeder defekt gewordene Client kann ausgetauscht oder mit einem neuen Abbild bespielt werden, ohne dass Daten oder Einstellungen verloren gehen. Schutzwürdige Daten können nicht mehr so einfach missbraucht werden, da sie auf zentralen, leichter zu schützenden Servern statt dezentral und außerhalb der Kontrolle der IT-Abteilung gespeichert sind.


Galileo Computing

14.1 Servergespeicherte Benutzerprofile  downtop


Galileo Computing

14.1.1 Funktionsweise von servergespeicherten Benutzerprofilen  downtop

Servergespeicherte Benutzerprofile dienen eigentlich dazu, Benutzer zu unterstützen, die sich an mehreren Computern anmelden. Deshalb werden sie auch als wandernde Benutzerprofile bzw. Roaming User Profiles (RUPs) bezeichnet. Doch möchte ich gleich betonen, dass es sinnvoll ist, für alle Anwender – bis auf Ausnahmen wie z.B. die Systemadministratoren – servergespeicherte Benutzerprofile anzulegen, also auch dann, wenn sich die Benutzer immer am selben Computer anmelden.

Eine Ausnahme bilden auch Benutzer, die sich regelmäßig an verschiedenen Standorten anmelden, denn in den Pfad des servergespeicherten Benutzerprofils geht der Servername ein, und der Anmeldevorgang würde sich für diese Benutzer hinziehen, wenn das Profil über eine WAN-Leitung geladen werden müsste.

Wenn sich ein Benutzer an einem Computer anmeldet, werden seine persönlichen Einstellungen für das Betriebssystem Windows XP Professional, aber auch die Microsoft Office-Einstellungen und die persönlichen Einstellungen für andere Anwendungen im Verzeichnis C:\Dokumente und Einstellungen\<Anmeldekennung> gespeichert. Meldet sich der Benutzer an einem anderen Computer an, so findet er dort nicht die Einstellungen des ersten Computers wieder, sondern die Standardeinstellungen. Aber auch die Favoriten, die im Internet Explorer angelegt werden, sowie die in Word erstellten Dokumentvorlagen und die selbst angelegten und gepflegten Wörterbücher sind auf dem anderen Computer nicht verfügbar. Alle diese wichtigen Einstellungen und die Favoriten sowie die mit viel Mühe erstellten Dokumentvorlagen und Wörterbücher gehen aber auch verloren, wenn der Computer des Anwenders neu installiert werden muss, weil z.B. die Festplatte den Geist aufgegeben hat und diese Daten vorher nicht gesichert wurden.

Durch servergespeicherte Benutzerprofile werden nun Kopien der clientgespeicherten Benutzerprofile auf dem Server gehalten und bei jeder An- und Abmeldung mit diesen lokalen Profilen synchronisiert. Meldet sich ein Benutzer, für den ein servergespeichertes Benutzerprofil erstellt wurde, zum ersten Mal an einem anderen Computer an, so wird das servergespeicherte Profil nach C:\Dokumente und Einstellungen herunterkopiert und der Benutzer findet seine Einstellungen, Favoriten und Dokumentvorlagen sowie die persönlichen Wörterbücher vor. Wenn der Computer des Benutzers ausgetauscht oder ein neues Standardabbild eingespielt wird, gehen diese wichtigen Dinge nicht verloren.


Galileo Computing

14.1.2 Servergespeicherte Profile einrichten  downtop

Um servergespeicherte Profile für die Anwender einzurichten, legen Sie auf dem Server ein Verzeichnis z.B. mit dem Namen Profiles an und geben es unter derselben Bezeichnung frei. Während unter Windows 2000 Server die Gruppe Jeder für eine neu erstellte Freigabe standardmäßig die Freigabeberechtigung Vollzugriff erhielt, erhält diese Gruppe unter Windows Server 2003 standardmäßig nur die Berechtigung Lesen. Das ist aber nicht ausreichend, denn ein Benutzer, für den ein servergespeichertes Profil eingerichtet wurde, muss die Berechtigung besitzen, in dieser Freigabe einen Unterordner einzurichten. Erweitern Sie deshalb die Freigabeberechtigung für die Gruppe Jeder auf Ändern. Wenn aus Sicherheitsgründen nicht gewünscht ist, dass die Gruppe Jeder auf einem Serververzeichnis Rechte besitzt, können Sie Jeder auch durch die Sicherheitsgruppe Domänen-Benutzer ersetzen und dieser Gruppe dann das Freigaberecht Ändern gewähren.

Bei jeder Kennung, für die ein servergespeichertes Profil angelegt werden soll, tippen Sie in der Registerkarte Profil des Benutzers nun hinter Profilpfad Folgendes ein: \\s1\profiles\%username%

Abbildung
Hier klicken, um das Bild zu Vergrößern

Wenn Sie auf Übernehmen klicken, wird die Variable %username% durch die Kennung des Benutzers ersetzt. Das Verzeichnis \\s1\Profiles\testuser wird aber erst erzeugt, wenn sich der Benutzer Testuser zum ersten Mal anmeldet.

Sobald sich alle Benutzer, für die auf diese Weise ein servergespeichertes Profil definiert wurde, einmal an- und abgemeldet haben, finden Sie für diese Benutzer in der Freigabe \\S1\Profiles Unterverzeichnisse. Jeder Benutzer, der nach Netzfreigaben suchen darf, kann diese Unterverzeichnisse zwar sehen, jedoch nur sein eigenes Verzeichnis öffnen. Wenn Sie darin ein nicht vertretbares Sicherheitsrisiko sehen, so können Sie das Verzeichnis Profiles auch unter dem Namen Profiles$ freigeben, müssen dann aber bei jedem Benutzer in der Registerkarte Profil auch \\s1\profiles$\%username% eintragen. Freigabenamen mit angehängtem $-Zeichen werden im Active Directory nicht angezeigt.


Galileo Computing

14.1.3 Der Gruppe »Administratoren« Vollzugriff auf servergespeicherte Profile erteilen  downtop

Bei der Erstellung von servergespeicherten Benutzerprofilen stoßen Sie nun auf folgendes Problem: Standardmäßig erhält nur der Benutzer selbst Vollzugriffsrechte auf dieses Verzeichnis, sobald es bei der ersten Anmeldung erstellt wird. Die Domänenadministratoren können somit das Profilverzeichnis nicht einsehen und auch nicht löschen. Der Grund dafür ist, dass es sich um ein privates Verzeichnis handelt, das auch vor zu neugierigen Augen von Systemadministratoren geschützt werden soll. Für mich ist jedoch ein Systemadministrator vergleichbar mit einem Bankkaufmann. Als Systemadministratoren eignen sich nur vertrauensvolle und verschwiegene Mitarbeiter. Ein Bankkaufmann, der in einer Kleinstadt arbeitet, hat aufgrund seiner Tätigkeit sehr viele Einblicke in die finanzielle Situation der Bürger und Unternehmen dieser Stadt. Er kennt die Gehälter der Bankkunden und weiß sehr früh, wann ein Kunde kurz vor der Zahlungsunfähigkeit steht. Wenn ein Bankkaufmann nachts angetrunken in einer Kneipe derartige Bankgeheimnisse ausplaudert, richtet er immensen Schaden an, nicht nur für den Kunden, sondern auch für seine Bank, was das Vertrauen anderer Kunden in das Bankgeheimnis angeht. Zu Recht müsste er mit einer fristlosen Kündigung rechnen.

Auch Systemadministratoren müssen aufgrund ihrer besonderen Systemrechte Vertrauenspersonen sein. Ein Domänenadministrator kann sich jederzeit selbst Zugriffsrechte auf jedes Serververzeichnis erteilen, ohne dass der Mitarbeiter, dem die zugehörigen Datenbestände gehören, dieses merkt. Doch sollte jeder Administrator sich hüten, von dieser Möglichkeit nur aus Neugierde Gebrauch zu machen. Fällt es irgendwann auf, dass ein Administrator unberechtigt und ohne technisch verursachte Veranlassung Datenbestände einsieht, die dem Datenschutz unterliegen, so ist das zumindest ein Grund zu einer Abmahnung und ein großer Vertrauensbruch gegenüber der Geschäftsleitung und den Mitarbeitern.

Dennoch liegen eigentlich im servergespeicherten Profil eines Benutzers weniger persönliche Daten, vielleicht mit Ausnahme der Favoriten. Das Internet-Cache-Verzeichnis Anwendungsdaten\Temporary Internet Files, das Aufschluss über die Internetaktivitäten eines Benutzers gibt, ist standardmäßig wie auch das Verzeichnis Verlauf nicht als Duplikat im servergespeicherten Profil vorhanden. Das Basisverzeichnis Eigene Dateien wird später in eine Freigabe Users auf den Server umgeleitet und befindet sich dann nicht mehr im Benutzerprofil. Und das Verzeichnis Favoriten lässt sich zum Beispiel in das Basisverzeichnis (Home Directory) des Benutzers umleiten. Überhaupt ist das Basisverzeichnis des Benutzers dasjenige, das Informationen enthält, die die Privatsphäre des Benutzers betreffen, denn in diesem Verzeichnis legt er Dokumente von privater Natur ab.

Werden jedoch Kennungen von Benutzern gelöscht, weil diese Benutzer das Unternehmen verlassen haben, so müssen auch die servergespeicherten Profile manuell gelöscht werden. Dieser Löschvorgang ist aber sehr aufwändig, wenn der Administrator nicht bereits bei der Erzeugung des Verzeichnisses das Vollzugriffsrecht erhalten hat. Sie können das Verhalten beim Erzeugen von servergespeicherten Profilen durch die Aktivierung einer Gruppenrichtlinie verändern: In der Kategorie Computerkonfiguration · Administrative Vorlagen · System · Benutzerprofile aktivieren Sie die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen:

Abbildung
Hier klicken, um das Bild zu Vergrößern

Überfliegen Sie bei dieser Gelegenheit auch einmal die Hilfetexte zu den anderen Richtlinien in Computerkonfiguration · Administrative Vorlagen · System · Benutzerprofile, speziell zu den Richtlinien Eigentümer von servergespeicherten Profilen nicht prüfen und Benutzer bei Fehlschlag des servergespeicherten Profils abmelden.

Die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen wird auf die Kategorie Computerkonfiguration und nicht auf die Kategorie Benutzerkonfiguration angewendet. Dies ist verwunderlich, da durch die Richtlinie eigentlich ein Verhalten betroffen ist, das logisch die Benutzeranmeldung und weniger die Computer-Authentifizierung bezüglich der Domäne angeht. Durch die Aktivierung der Richtlinie wird im Zweig HKEY_LOCAL_MACHINE der Clients im Schlüssel Software\Policies\Microsoft\Windows\System der Wert AddAdminGroupToRUP erzeugt und auf 1 gesetzt.

Der Client muss neu gestartet werden, damit die Richtlinie übernommen wird. Sie können auf dem Client aber auch den Befehl gpupdate /force absetzen, um die Übernahme der Gruppenrichtlinien sofort zu erzwingen. Wenn Sie sich danach mit der Kennung Testuser anmelden und es bisher in der Freigabe \\S1\Profiles noch kein Unterverzeichnis Testuser gab, so wird das Verzeichnis erzeugt und bei der Abmeldung von Testuser wird der Inhalt von C:\Dokumente und Einstellungen\testuser in das servergespeicherte Verzeichnis \\S1\Profiles\testuser übernommen. Doch jetzt hat neben der Kennung Testuser auch die Gruppe Administratoren und die systeminterne Gruppe SYSTEM die Berechtigung Vollzugriff auf das Verzeichnis.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Die systeminterne Gruppe SYSTEM muss Vollzugriffsrechte haben, damit alle servergespeicherten Profile durch die interne Gruppe Sicherungs-Operatoren gesichert und auch zurückgesichert werden können.

Doch wie verschaffen Sie sich nachträglich die benötigten Zugriffsrechte, um zum Beispiel ein servergespeichertes Profil löschen zu können, das generiert wurde, bevor Sie die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen aktiviert hatten? Der nächste Abschnitt erklärt die Vorgehensweise Schritt für Schritt.


Galileo Computing

14.1.4 Die Rechte auf ein servergespeichertes Profilverzeichnis neu setzen  downtop

Wenn bereits in der Freigabe \\S1\profiles Profilverzeichnisse erstellt wurden, bevor die Richtlinie Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen aktiviert wurde, können Sie auch nach der Aktivierung dieser Richtlinie nicht auf diese Verzeichnisse zugreifen. Sie müssen zuerst den Besitz am Verzeichnis übernehmen.

Im Windows Explorer öffnen Sie die Eigenschaften des Verzeichnisses Profiles\Testuser und dann die Registerkarte Sicherheitseinstellungen. Es erscheint eine Sicherheitsmeldung.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Bestätigen Sie die Meldung mit OK. Im Fenster Sicherheitseinstellungen wählen Sie die Schaltfläche Erweitert. In der Registerkarte Besitzer markieren Sie den Administrator mit der Maus und aktivieren die Option Besitzer für Untercontainer und Objekte ersetzen.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Es erscheint eine Warnmeldung, die Sie mit Ja quittieren. Unter Windows Server 2003 können Sie das Verzeichnis Profiles\Testuser jetzt problemlos löschen. Unter Windows 2000 Server konnten Sie zwar das Verzeichnis Profiles\Testuser öffnen, der Versuch, es zu löschen, schlägt jedoch fehl. Gehen Sie wie folgt vor, um das Verzeichnis Profiles\Testuser unter Windows 2000 Server löschen zu können: Öffnen Sie erneut die Eigenschaften des Verzeichnisses Profiles\Testuser und die Registerkarte Sicherheit. Klicken Sie in der Registerkarte Berechtigungen auf Erweitert und aktivieren Sie die Option Berechtigungen in allen untergeordneten Objekten zurücksetzen und die Verbreitung vererbbarer Berechtigungen aktivieren.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Bestätigen Sie die Warnmeldung, ob der Vorgang fortgesetzt werden soll.


Galileo Computing

14.1.5 Verzeichnisse aus servergespeicherten Profilen ausnehmen  toptop

Unter Windows XP werden übrigens bestimmte Unterverzeichnisse des lokalen Profilverzeichnisses nicht in das servergespeicherte Profil kopiert. Dazu gehört das Verzeichnis Lokale Einstellungen mit den Unterverzeichnissen Temp, Temporary Internet Files und Verlauf. Windows XP reserviert standardmäßig einen beträchtlichen Teil der lokalen Festplatte als Cache für Internetseiten. Würde das Verzeichnis Temporary Internet Files bei jeder Anmeldung mit dem serverbasierten Profilverzeichnis abgeglichen, so würde diese Synchronisation den Anmeldevorgang erheblich verzögern. Außerdem würde ein erheblicher Plattenplatz des Servers für die Summe sämtlicher Cache-Verzeichnisse aller Anwender verschwendet. Im Verzeichnis Temp des lokalen Profils sammelt sich ebenfalls im Laufe der Zeit eine Fülle unnützer temporärer Dateien an, die nicht in das servergespeicherte Profil übernommen werden dürfen.

Die Gruppenrichtlinie Verzeichnisse aus servergespeichertem Profil ausschließen unter Benutzerkonfiguration · Administrative Einstellungen · System · Benutzerprofile ermöglicht es, Ordner der Liste der ausgeschlossenen Ordner eines servergespeicherten Benutzerprofils hinzuzufügen. Diese Richtlinie erstellt in der Registrierdatenbank unter [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System] den Schlüssel ExcludeProfileDirs und weist ihm als Wert weitere auszuschließende Verzeichnisnamen zu. Im Hilfetext dieser Gruppenrichtlinie finden Sie folgende Erklärung:

Mit Hilfe dieser Einstellung können Sie Ordner ausschließen, die normalerweise Teil des Benutzerprofils sind. Folglich müssen diese Ordner nicht auf dem Netzwerkserver, auf dem das Profil gespeichert ist, gespeichert werden. Außerdem werden diese Ordner nicht auf die Computer, die die Benutzer verwenden, übertragen.

Standardmäßig werden die Ordner »Verlauf«, »Lokale Einstellungen«, »Temp« und »Temporäre Internet Dateien« aus den servergespeicherten Benutzerprofilen ausgeschlossen. Durch Aktivieren dieser Einstellung können Sie zusätzliche Ordner ausschließen.

Kontrollieren Sie regelmäßig mit einem Tool wie GetFoldersize (auf der Buch-DVD) die Größe der servergespeicherten Benutzerprofile in der Serverfreigabe Profiles, um Unterverzeichnisse aufzuspüren, die besonders viel Speicherplatz verbrauchen. Über die genannte Gruppenrichtlinie bzw. über eine selbst erstellte Gruppenrichtlinie können Sie dann verhindern, dass diese Verzeichnisse zukünftig auf dem Server und dem Sicherungsband landen.

 << zurück
  
  Zum Katalog
Zum Katalog: Integrationshandbuch Microsoft-Netzwerk
Integrationshandbuch Microsoft-Netzwerk
Jetzt bestellen!
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und Lösungen
 für Microsoft-Netzwerke


Zum Katalog: Windows Server Longhorn






 Windows Server
 Longhorn


Zum Katalog: Small Business Server 2003 R2






 Small Business
 Server 2003 R2


Zum Katalog: SharePoint Portal Server 2003 und Windows SharePoint Services






 SharePoint Portal Server
 2003 und Windows
 SharePoint Services


Zum Katalog: Exchange Server 2003 und Live Communications Server






 Exchange Server 2003
 Live Communications
 Server


Zum Katalog: Praxisbuch Netzwerk-Sicherheit






 Praxisbuch
 Netzwerk-Sicherheit


Zum Katalog: VMware und Microsoft Virtual Server






 VMware und
 Microsoft Virtual Server


Zum Katalog: VMware Server und VMware Player






 VMware Server und
 VMware Player


Zum Katalog: Citrix Presentation <br /> Server 4






 Citrix Presentation
 Server 4


Zum Katalog: ITIL






 ITIL


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo





Copyright © Galileo Press 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de