[Windows200X] Howto:Roaming profiles, redirection & policies

Pagina: 1
Acties:
  • 20.555 views sinds 30-01-2008

Acties:
  • 0 Henk 'm!

  • mutsje
  • Registratie: September 2000
  • Laatst online: 31-05 09:16

mutsje

Certified Prutser

Topicstarter

HOWTO: Roaming Profiles, Redirection & Policies

Inleiding


Omdat er de laatste tijden nogal veel roaming profile vragen voorbij komen en ook redirection van desktops en dergelijke is besloten om een howto hierover te maken.



·^

Wat heb je nodig?


Om successvol met roaming profiles, redirection en policies te kunnen werken, heb je tenminste het volgende nodig:

  • Een Windows 200X server met Active Directory
  • Een Windows 2000 of hoger client aangesloten op het domain
  • Adminstrative Tools van Windows 2000 server of hoger.

NOTE: Hier is gebruik gemaakt van de Admin Pack 2003.
Admin pack kun je vinden op je server onder \%windir%\system32\adminpak.msi


De Server dient op NTFS niveau geinstalleerd te zijn en ook de partitie waar de profiles komen te staan dient NTFS te zijn anders kun je geen gebruik maken van de juiste Security items van Windows 200X.



·^

Aan de slag ...


Stap 1: Het aanmaken van de profiles share.


Om profiles op te kunnen slaan moet je een share (gedeelde bron) op de server aanmaken. In dit geval is gekozen voor de naamgeving "profile" om het overzichtelijk te houden.
Het is handig om de directory een overzichtelijke naam te geven en bijvoorbeeld in de comments aan te geven dat het een profile directory betreft.



Fig. 1:
Aanmaken van een profile directory



Welke rechten moeten de gebruikers op de share hebben. Simpelweg "Full Control". Dit wil namelijk nog niet zeggen dat ze ook Full Control op de onderliggende directories hebben.


Fig. 2:
Opgeven rechten op de profiles share



Zoals je ziet kun je bij "Security" de NTFS rechten zetten.


Fig. 3:
Rechten zetten op NTFS niveau



Stap 2: Aanmaken van een user


De share is nu aangemaakt en nu moet er een user aangemaakt worden met als path de share.
Zoals je ziet verwijst het path naar \\FQDN servernaam\profiles\roaming.
Men kan voor Roaming ook '%username%' gebruiken.


Fig. 4:
Instelling roaming profile path in de properties



Na de eerste keer inloggen gebeurd er nog niet zoveel pas bij de 2e keer uitloggen zal de gebruiker zien "synchronisation complete".



Stap 3: Configureer een policy zodat het profile niet gecached wordt op het werkstation waar de user inlogt


Men kan er voor kiezen om een profile lokaal op een werkstation op te slaan en op de server of alleen op de server.

Rechts klik op de OU die aangemaakt is voor de roaming profiles of waar de gebruikers in zitten die roaming profiles hebben. Ga nu naar Group Policy en maak hier een nieuwe policy aan. Let wel op dat je hier een duidelijk naam aangeeft zodat je er later eventueel meer policies over heen kunt zetten.

From the field: Het is aan te raden 1 policy te hanteren zodat je niet in de resultant set of policies moet gaan zoeken omdat er iets fout gaat.



Fig. 5:
Aanmaken van een policy



Klik nu op 'Edit'
De default Group Policy editor komt nu te voorschijn.



Fig. 6:
Group policy editor


Ga nu naar Computer Configuration\Administartive Templates\System\User Profiles\



Fig. 7:
GPO editor - user profile settings



Dubbelklik nu op "Delete cached copies of roaming profiles", selecteer "Enable" en klik op OK.
Nu worden de roaming profiles niet meer lokaal op de werkstations op geslagen.
Dit heeft als voordeel dat je nu minder troubleshooting hoeft te doen als een roaming profile corrupt is maar slechts op 1 plek de roaming profile hoeft terug te zetten van backup tape.


Fig. 8:
GPO voor roaming profiles lokaal te wissen



Stap 4: Jezelf als administrator toevoegen aan de roaming user profiles


Zoals je inmiddels wel gemerkt zul hebben krijgt men doodleuk "Acces is denied" te zien als men een profile op de server wilt openen. Wel dit heeft te maken met het aspect privacy maar om te kunnen troubleshooten is het soms handig om ook daar rechten te hebben.
Je zult weer in de Group Policy editor moeten en dan de "Add the Administrators security group to roaming users profiles" moeten "Enablen"



Fig. 9:
Administrator toevoegen aan de profiles map via een policy


Nu kan men als administrator de userprofiles in zien. Dit heeft verder weinig zin behalve dan als je scans wilt uitvoeren en dergelijke.



Stap 5: Een limiet zitten op de hoeveelheid data van de user profiles


Open weer de Group Policy editor en ga nu naar
"User Configuration\Administrative Templates\System\User Profiles\".
Activeer hier de "Limit profile size" policy. Men kan een Custom Message mee geven als de user zijn qouta gepasseerd is.

De default waarschuwing is "You have exceeded your profile storage space. Before you can log off, you need to move some items from your profile to network or local storage."

Nadat je de quota ingesteld hebt en eventueel de waarschuwing veranderd hebt kun je de gebruikers ook nog fijn irriteren door de gebruikers elke minuut een message te laten sturen. Je maakt jezelf hier niet echt geliefd mee, maar hopelijk gaan ze hun rotzooi dan opruimen.


Fig. 10:
Instellen maximum profile size



Stap 6: Roaming profiles groeien erg snel - hoe voorkom je dit


In de Group Policy zit nog een optie namelijk "Exclude directories in roaming profiles"
Deze vind je in "User Configuration\Administrative Template\System\User Profiles\"

Default zijn volgende directories excluded van een roaming profile.



  • History
  • Local settings
  • Temp
  • Temporary internet files


Stap 7: Timmer de boel dicht zodat de gebruiker niets meer kan/mag.


In sommige omgevingen wil je niet dat gebruikers zaken kunnen veranderen.

NOTE: Ga hier eerst overleggen met management over eventuele restricties op gebruikers. Het kan tot frustratie leiden als een gebruiker sommige dingen niet mag/kan. Spreek een algemene policie af en communiceer dat duidelijk naar de gebruikers toe.

Gebruikers rechten kun je beperken in de Group Policy "User Configuration\administrative Templates\"
Je kunt allerlei settings hier disabelen of veranderen.
Bijvoorbeeld bij de setting "System\Ctrl+Alt+del options" kun je Task manager verwijderen, Lock Computer, Remove Change Password, Remove Logoff.

From the field: Ga hier eerst mee experimenteren voordat je dit voor het hele domain laat gelden. Maak een apparte OU aan een test user en gebruik een test computer.



·^

Thanks to


Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).
Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators



·^

Lijst met figuren


  • Figuur 1: Aanmaken van een profile directory
  • Figuur 2: Opgeven rechten op de profiles share
  • Figuur 3: Rechten zetten op NTFS niveau
  • Figuur 4: Instelling roaming profile path in de properties
  • Figuur 5: Aanmaken van een policy
  • Figuur 6: Group policy editor
  • Figuur 7: GPO editor - user profile settings
  • Figuur 8: GPO voor roaming profiles lokaal te wissen
  • Figuur 9: Administrator toevoegen aan de profiles map via een policy
  • Figuur 10: Instellen maximum profile size


·^

Inhoudsopgave



[ Voor 208% gewijzigd door sanfranjake op 12-06-2008 20:37 ]


Dit topic is gesloten.