Zwervende profielen (SBS-E)

Uit DeVliegendeWiki

Ga naar: navigatie, zoeken

Zie ook Windows Small Business Server 2011 Essentials en Folder redirection (SBS-E)

Zwervende profielen of roaming profiles is een concept binnen Windows Servernetwerken, waarbij gebruikersprofielen centraal beheerd worden. Gebruikers kunnen op verschillende computers inloggen, waarbij ze steeds hetzelfde centraal opgeslagen profiel kunnen gebruiken. Zwervende profielen kent twee voordelen boven een peer-to-peernetwerk:

  • Gebruikers kunnen vanaf verschillende computers werken;
  • Per gebruiker hoeft slechts eenmalig een profiel geconfigureerd worden, en niet voor elke computer. Dat is bij groeiende bedrijven de belangrijkste reden om over te stappen op centraal beheerde profielen;
  • Werkstations zijn stateless: De werkstations kunnen tot op zekere hoogte omgewisseld worden, en spelen geen rol in beheer van gebruikersgegevens.

Zwervende profielen wordt meestal gebruikt in combinatie met folder redirection. Sommige standaardmappen blijven daarbij permanent op de server staan, en worden dus niet gedownload naar de betreffende client als een gebruiker inlogt. Een voorbeeld hiervan is de map My documents/Documents: Het zal doorgaans ongewenst zijn als deze hele map gedownload wordt.

Regelmatig wordt folder redirection genoemd als compleet alternatief voor zwervende profielen. Folder redirection zou namelijk aanzienlijk gemakkelijker zijn om te beheren. Echter, indien je gebruikersinstellingen centraal wilt beheren, zijn zwervende profielen de enige oplossing [1]. Het nadeel van roaming profiles tov. redirects, is de mogelijke netwerkbelasting: Elke keer als een gebruiker in- of uitlogt, wordt er een hoop data over het netwerk verplaatst [2]. Daarnaast weken zwervende profielen niet via Internet.

Inhoud

Wat profielen zijn

Profielen bestaan uit instellingen en een verzameling mappen en bestanden.

Instellingen

De instellingen betreffen het HKEY_CURRENT_USER-gedeelte van het register. Gedeeltes van het register kunnen als losse bestanden worden opgeslagen in zogenaamde hives. Dit gedeelte van het register wordt opgeslagen in bestand NTuser.dat [3]. Voorbeelden van instellingen [4]:

  • Programma-onderdelen;
  • Schermkleuren;
  • Netwerkverbindingen waaronder DNS-serveradressen (geverifiëerd!);
  • Printerverbindingen;
  • Muisinstellingen;
  • Grootte en positie van windows (schermen).

Soorten

De volgende type profielen zijn beschikbaar in Windows Server 2003, Windows XP Professional en Windows 2000 Professional [5]:

  • Local User Profile: Wordt aangemaakt als een gebruiker voor de eerste keer inlogt. Het is alleen beschikbaar op het betreffende werkstation;
  • Roaming User Profile: Een kopie van een lokaal profiel wordt opgeslagen op een server share. Elke keer dat de gebruiker inlogt, wordt dit profiel gedownload naar de betreffende computer. Als de gebruiker uitlogt, worden de wijzigingen aan het profiel gesynchroniseerd met het profiel op de server;
  • Mandatory User Profile: Wordt door beheerders aangemaakt om bepaalde instellingen af te dwingen. Het is het neefje van Group Policy en Group Policy Object (GPO): Deze laatsten zijn handig op het moment dat je profielen voor verschillende groepen gebruikers of computers beheert. Een mandatory user profile kan niet door een gebruiker aangepast worden. Bv.: stel dat de beheerder een bepaalde schermachtergrond heeft ingesteld. Dan kan de gebruiker na inloggen die wel veranderen, maar de volgende keer dat-ie inlogt, is de oude schermachtergrond terug;
  • Super Mandatory User Profile: Vergelijkbaar met mandatory user profiles maar met een extra beveiliging: Als dit profiel niet geladen kan worden, wordt er geen tijdelijk locaal profiel gebruikt, maar kan de gebruiker gewoon niet inloggen'
  • Temporay User Profiles: Wordt gebruikt als het niet mogelijk is om een gebruikersprofiel te laden. Wijzigingen blijven niet behouden na uitloggen.

Soorten locale profielen

Op een versgeïnstalleerde computer met een Nederlandstalige versie van Windows 7, heb je de volgende profielen in de map Gebruikers (Users):

  • All Users - Bevat instellingen die tijdens operationeel gebruik voor alle gebruikers gelden. Dus niet alleen bij aanmaken van een profiel, maar juist daarna ([6], p. 10).
  • Default - Sjabloon voor nieuwe profielen. Zie aparte hoofdstuk
  • Default user
  • Openbaar

Versies van zwervende profielen

Versie 1 van zwervende profielen wordt gebruikt door Windows 2000, XP en Server 2003. Versie 2 wordt gebruikt door Vista, 7, Server 2008 en Server 2011. Deze laatste zouden daarom een extentie V2 hebben. Deze versie-aanduiding moet je niet zelf toevoegen als je in Active Directory een profielpad specificeert.

Als een gebruiker vanaf XP en vanaf Windows 7 inlogt, krijg je dus twee profielen:

  • Profielnaam
  • Profielnaam.V2

Default-profiel

Profiel Default wordt gebruikt als sjabloon voor het aanmaken van nieuwe profielen.

Wat er zoal in wordt opgeslagen:

  • Netwerkinstellingen inclusief DNS-instellingen;
  • Omleidingen. Het is de vraag of dit werkbaar is: Een nieuwe gebruiker moet uiteraard een nieuwe omleiding hebben. Aan de andere kant, dat kun je opvangen met een script dat wel voor alle gebruikers werkt;
  • Objecten die op het buraublad zijn geplaatst

Hoe profielen gebruikt worden

Eerste keer inloggen op standalone-pc

Wanneer een gebruiker voor het eerst inlogt op een standalone-pc (dus zonder domein), wordt er een profiel aangemaakt, met het Default-profiel als sjabloon. Zie eerdere hoofdstuk.

Zwervende profielen komen voort uit locale default-profielen

Op het moment dat een gebruiker voor de eerste keer inlogt op een computer met een domeinaccount, waarvoor een zwervend profiel gespecificeerd is, maar nog niet is aangemaakt, wordt er een locaal profiel aangemaakt, gebaseerd op het default-profiel. Daar wordt dan mee gewerkt, en bij het uitloggen wordt dit profiel naar de server gekopiëerd ([7], p. 29 + getest op 18 feb. 2012).

Het is dus belangrijk dat het locale default-profiel op orde is. Want het verspreid zich via de server op alle werkstations waarop de betreffende gebruiker inlogt.

...Tenzij er iets beters beschikbaar is

Het kan gebeuren dat niet het defaultprofiel wordt gebruikt, maar bv. een oud locaal opgeslagen overeenkomstig profiel, als dat er is.

Dat is belangrijk: Als je zwervende profielen wilt uitrollen, kan het dus zomaar gebeuren dat niet het zojuist geconfigureerde defaultprofiel wordt gebruikt, maar een of ander lijk wat uit de kast komt vallen.

Oplossing: Vantevoren die oude profielen verwijderen.

Praktijkvoorbeeld:

  • secretariaat2
  • SECRETARI

Uitloggen

Als de gebruiker uitlogt, worden wijzigingen aan een zwervend profiel weggeschreven naar de server. Da's belangrijk: Als je functioneren van zwervende profielen wilt testen, moet je dus eerst op een computer uitloggen voordat je op een andere computer weer kunt inloggen.

Default Profile aanpassen

Handig!

Ongetwijfeld zijn er verschillende manieren om een standaardprofiel aan te passen, maar deze oplossing werkt tot op heden feilloos:

  1. Maak een nieuw gebruikersaccount aan. Log daarin in, en pas het aan
  2. Log uit;
  3. Hernoem profiel Default naar Default - Backup;
  4. Kopiëer het nieuw aangemaakte profiel naar Default.

Volgens de bron zou je eventueel nog toegangsrechten moeten bijwerken, maar daar had ik geen last van.

Verder kun je een profiel niet kopiëren als je daarin bent ingelogd: NTUSER.DAT kan op dat moment namelijk niet gekopiëerd worden.

NTUSER.DAT hacken?

Maar ehh, soms wil ik toch graag een instelling hacken in een al bestaand profiel. Kan ik dan gewoon de betreffende hive hacken? Ja, dat kan. Zie deze link. Belangrijk: Je moet eerst HKEY_USERS selecteren voordat je Component laden kunt kiezen in het Bestandmenu.

Zwervende profielen activeren

Er zijn verschillende methodes om zwervende profielen te activeren en te configureren:

  • Tijdens configureren van de Connector-software. Nadeel: Dit werkt alleen als elke gebruiker een eigen computer heeft. Niet doen;
  • Via Active Directory - gebruikers en computers. Dit is de standaardmethode:

1. Maak op de server een share aan waar profielen opgeslagen worden, bv. C:\RoamingProfiles. Dit is hetzelfe als een gedeelde map. Geef iedereen uit de groep Domeingebruikers volledige rechten tot deze map

2. Open Active Directory - gebruikers en computers en ga naar het Profiel-tabblad van de betreffende gebruiker. Specificeer een pad bij Pad naar gebruikersprofiel. Dat pad moet inclusief de naam van de map zijn waarin het uiteindelijke profiel wordt opgeslagen. Bv. 
 \\Server\RoamingProfiles\Hans

Beheerderstoegang tot zwervende profielen

Wanneer een zwervend profiel wordt aangemaakt, gebeurt dat door de betreffende clientcomputer, en niet door de server. De permissies worden als volgt ingesteld:

  • System: Full control
  • <username>: Full control

en zodoende heeft de serverbeheerder geen toegang tot deze profielen [8].

Locale profielen

Op een standalone-PC had ik als beheerder geen toegang tot de map Default User. Als ik toegangsrechten toekende aan de groep Administrators werd dat geweigerd. De interface liep vast, er stonden wel vinkjes op de juiste plaats, maar ik kon nog steeds niet in de map komen.

Ook het specifieke beheerdersaccount toegang tot de map geven, hielp niet.

Het hielp wel om Groep Administrators eigenaar van de map te mapen. Dit lijkt me niet de beste manier, omdat de nu oorspronkelijke eigenaar (SYSTEM) mogelijk beperkt is in wat deze met de map kan doen.

Mogelijke oplossingen

  • Rechten op de map met profielen aanpassen [9]
  • 'Add the administrative security group to the roaming user profiles' [10]
  • Log in als de betreffende gebruiker, en pas rechten op je eigen zwervende profiel aan ([11])

Oplossing

Er lijkt een verschil te zijn tussen rechten op een netwerkshare, en rechten op een 'gewone' map op een computer. De truuk is, om de betreffende locatie te benaderen als een gewone map. Dat kan soms lastig zijn, omdat het niet altijd duidelijk is wat het daadwerkelijke pad is dat bij een share hoort. Indien de map via het Dashboard is aangemaakt, kun je daar het pad achterhalen

Ga als volgt te werk:

  • Log in als de betreffende gebruiker;
  • Navigeer naar de betreffende map (als share of als map)
  • Voeg Administrators toe, met volledige rechten

Als je nu als beheerder het betreffende profiel benadert als map, kun je erbij.

Bron: http://www.domsyard.com/node/92

Bronnen

Logboeken

Problemen rondom up- en downloaden van zwervende profielen kun je vinden in 

Windows-logboeken > Toepassing > Fout - User Profile Service

Vragen & antwoorden - Beantwoord

Waar configureer je zwervende profielen?

Via Active Directory onder Profielen. Je hoeft niet eens de uiteindelijk map eerst aan te maken op de server (wel de hoofdmap voor zwervende profielen). Daarna gewoon inloggen als de betreffende profielen. Dan werkt zwervende profielen automatisch. Echt waar. Je hoeft dus niet elders nog dingen aan te passen.

Tot zoverre de theorie. De praktijk is voor mij nogal eens weerbarstiger gebleken. De problemen die we zijn tegengekomen:

  • Door verkeerde DNS-instellingen (itt. vorige versies van Windows Server, staat SBS-E niet tussen modem en werkstations opgesteld. De SBS-E-server moet dus niet als DNS-server worden geconfigurered) hadden we een haperende netwerkwerkverbinding, waardoor zwervende profielen niet goed werden gedown- of geupload werden;
  • Deze verkeerde DNS-instellingen waren al in bestaande locale en/of zwervende profielen belandt, en we kregen dat er niet meer zomaar uit: Als je was ingelogd met zo'n profiel, mocht je DNS-instellingen niet aanpassen want gebruiekersaccounts, en als beheerder mocht ik ook niet bij de accounts komen, laat staan dat ik op dat moment wist hoe je de NTUSER.DAT moet hacken.

Moet je voor zwervende profielen server-sided dingen instellen?

Ja: Active Directory. Zie elders voor details

Overig

  • Moet de server online zijn om te kunnen functineren? → Nee. Een server hoeft niet met internet te zijn verbonden.
  • Moet je de uiteindelijk map waar een roaming profile belandt, vantevoren aanmaken, of doet-ie dat zelf? → Doet-ie zelf. Alleen moet je wel de hoofdmap aanmaken. De zekerste manier om dat te doen , is via het Dashboard, maar het kan ook via de Verkenner (map+permissies+share configureren)
  • Wat is de locatie van de map RoamingProfiles? Hoe vind ik dat? → Via Dashboard. Anders: Succes met zoeken

Vragen & antwoorden - Open

Bronnen

Links TF

Overig

Teruggeplaatst van "http://www.devliegendebrigade.nl/wiki/index.php/Zwervende_profielen_(SBS-E)"
Persoonlijke instellingen