[Win2k3]Domein vragen - Windows clients

maandag 21 juni 2004 13:18

Acties:

Topicstarter

Wellicht kunnen jullie mij helpen met de volgende situaties en vragen:

Ik heb hier op een basis school een DC staan die tevens als applicatie server dient.

Korte specs netwerk:

DC :

Fujitsu Prime-energy Server
celeron 2,4
1gb ram
Raid 1 2x 37gb 10(15k?)scsi hot swap.
Win2k3 standard + custom ou's/gebruiker situatie

Clients:

25x AMD 2000+ machines met 256MB ram en windows xp prof als os

[/B] Netwerk Medium: [/B]

CAT5E Bekabeling, 10/100 3com Switched netwerk

Internet :

4mbit ADSL

Situatie/Vragen

Clients in laten loggen op domein, daarbij roaming profiles mee geven en een public share met read acces die toegangelijk is voor iedereen.
--------------------------------------------------------------------------------------------------

We hebben hier 8 klas lokalen, administratie pc's en pc's in de gang.

In eerste instantie was mijn idee om de lokalen groep1 t/m 8 te voorzien van 1 gebruikersnaam, omdat een eigen gebruikersnaam per leerling te ingewikkeld en ook wat overdreven is voor de leerlingen. (Wellicht kan hier nog verandering in worden gebracht, maar na mijn idee is dit overbodig voor een basis school?)

Mijn probleem is nu, dat ik dus 2-3 computers per klas lokaal in laat loggen op dezelfde account.

Wat voor gevolgen heeft dit? En dan heb ik het vooral wat betreft de roaming profiles?

Krijg ik nu problemen en of lees/schrijf fouten als gebruikers zich tegelijkertijd inloggen en of uitloggen? Zijn hier verder nog nadelen aan verbonden? Of kan ik beter Groep7pc1-pc3 doen? Bij het laatste heb ik het idee dat ik dan net zo goed elke leerling een account mee moet geven, omdat dit nog enigszins gemakkelijker is omdat de leerlingen dan alleen zijn of haar eigen naam in moeten vullen.

Voordeel van een eigen naam is daarmee wel dat leerlingen niet in andermans werk kan zitten of verprutsen, nadeel is dan weer wel dat er meer beheer nodig is. Dus bij nieuwe leerlingen en of verlatende scholieren gebruikersaccounts aanmaken of verwijderen.

Ik wacht nu vervolgens maar even wat reacties en advies af, want me verder verdiepen in de situatie hier is op dit moment nog even overbodig.

[ Voor 4% gewijzigd door Workaholic op 21-06-2004 13:19 ]

Mijn V&A

maandag 21 juni 2004 15:05

Acties:

mutsje

Certified Prutser

een roaming profile laten openen door 3 gebruikers gelijkertijd vind je dat niet een beetje vragen om moeilijkheden. Apparte gebruikersnamen niet willen aanmaken lijkt me meer een kwestie van luiheid want het bied namelijk veel voordelen. Men zit niet in elkaars profiel te hakken heeft eigen instellingen dus de instellingen worden niet constant verneukt... etc.

Gewoon script maken die de namen uit kan lezen uit bv xls sheet en ze automatisch aanmaakt. Per klas OU aanmaken lijkt me ook erg handig kun je de boel fijn dicht timmeren.

maandag 21 juni 2004 15:35

Acties:

Workaholic

Topicstarter

mutsje schreef op 21 juni 2004 @ 15:05:
een roaming profile laten openen door 3 gebruikers gelijkertijd vind je dat niet een beetje vragen om moeilijkheden. Apparte gebruikersnamen niet willen aanmaken lijkt me meer een kwestie van luiheid want het bied namelijk veel voordelen. Men zit niet in elkaars profiel te hakken heeft eigen instellingen dus de instellingen worden niet constant verneukt... etc.

Gewoon script maken die de namen uit kan lezen uit bv xls sheet en ze automatisch aanmaakt. Per klas OU aanmaken lijkt me ook erg handig kun je de boel fijn dicht timmeren.

Ik heb al dmv technet scripting toch de nodige gebruikers aangemaakt.

Ik heb nu de klas lokalen onder een algemene ou in de root van mijn domein geplaatst. En deze leerlingen map een algemene leerling policy mee gegeven en de block policy inheritance meegegeven aangezien ik hier strenge/custom policies voor wil hebben.

code:

overzicht :

domein.nl - (ou)leerlingen- (ou)klaslokaal1
                                           (ou)klaslokaal2
                                            enz

Maar als ik nou bijvoorbeeld klaslokaal 7 strenger wil beveiligen, en dus voor de ou lokaal7 een aparte ou policie maak. Begrijp ik het dan goed dat ik hierbij policy inhertance aan moet vinken en opnieuw alles in stel na wens? Zodat hij geen policies overneemt van de ou boven lokaal 7?

ik zit nu alleen nog met het probleem dat ik nu lokaal op de pc's (winxp) via gebruikersaccounts alle usernames lokaal toe moet voegen? Via mmc kan ik geen lijst importeren en via een script is het me ook nog niet gelukt. Iemand een idee?

Het exporteren van gebruikers in een txt bestand is me wel gelukt vanaf de server, alleen ik zie nergens een mogelijkheid om gebruikers te importeren?

Mijn V&A

maandag 21 juni 2004 15:39

Acties:

mutsje

Certified Prutser

gebruikers toevoegen aan een lokaal werkstation? waarom zou je dat willen. je laat ze gewoon inloggen op het domain en lokaal zijn ze dan gewoon user en op het domain zijn ze dan gewoon user.

Misschien handig om een boek aan te schaffen? (zonder lullig te bedoelen)

maandag 21 juni 2004 15:51

Acties:

Workaholic

Topicstarter

mutsje schreef op 21 juni 2004 @ 15:39:
gebruikers toevoegen aan een lokaal werkstation? waarom zou je dat willen. je laat ze gewoon inloggen op het domain en lokaal zijn ze dan gewoon user en op het domain zijn ze dan gewoon user.

Misschien handig om een boek aan te schaffen? (zonder lullig te bedoelen)

edit : stom van me, ik heb nu gewoon domain users aan de groep adminstrators toegevoegd. En alles werkt naar behoren

.

Als laatste vraag/probleem :

Deze clients waren voorzien van windows98, deze zijn dmv winxp upgrades ge-update naar windows xp.(licentie redenen)

Na de update functioneerde de clients naar behoren maar na het lidmaken van het domein en inloggen van de gebruikers werken bepaalde software pakketten niet zoals microsoft word. Moet ik deze opnieuw gaan installeren? Of kan dit op een andere manier worden opgelost, het is namelijk een behoorlijke klus om 30 clients langs te gaan en 1v1 (24x cdroms). Gaan de zogenaamde installatie/licentie waardes nou per client profiles in werking?

[ Voor 78% gewijzigd door Workaholic op 21-06-2004 16:01 ]

Mijn V&A

maandag 21 juni 2004 16:10

Acties:

lordgandalf

edit : stom van me, ik heb nu gewoon domain users aan de groep adminstrators toegevoegd. En alles werkt naar behoren .

Begrijp ik het nu verkeerd of geef je iedereen lokaal admin rechten ????.
Als dat waar is dan zouw ik het gouw terug veranderen want dat is niet echt safe.
Ik heb met win2k3 al eens een netwerk je op gezet en kan je zeggen dat gebruikers echt geen admin rechten nodig hebben op de werkstations.
gewoon gebruiker aan een OU toevoegen en klaar gebruiker kan overal in loggen.
Voor je apps kan je de policy in de ou gebruiken dacht ik zodra de gebruiker inlogd worden de apps die hij/zij nodig heeft van de server af gehaald als ze er nog niet op staan.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

maandag 21 juni 2004 16:16

Acties:

Workaholic

Topicstarter

lordgandalf schreef op 21 juni 2004 @ 16:10:
[...]

Begrijp ik het nu verkeerd of geef je iedereen lokaal admin rechten ????.
Als dat waar is dan zouw ik het gouw terug veranderen want dat is niet echt safe.
Ik heb met win2k3 al eens een netwerk je op gezet en kan je zeggen dat gebruikers echt geen admin rechten nodig hebben op de werkstations.
gewoon gebruiker aan een OU toevoegen en klaar gebruiker kan overal in loggen.
Voor je apps kan je de policy in de ou gebruiken dacht ik zodra de gebruiker inlogd worden de apps die hij/zij nodig heeft van de server af gehaald als ze er nog niet op staan.

Nee, gebruikers staan gewoon netjes in een ou en als ze inloggen komen kunnen ze al bijna niets(ze krijgen dus de instellingen/rechten van de ou leerlingen policie). Dus dat ik ze administrator lokaal mee geef heeft blijkbaar geen invloed op de account zelf. Als ik ze lokaal lid maak van hoofd gebruikers kunnen ze niet interactief aanmelden.

Wellicht moet ik hier een policy voor veranderen (lokaal) net zoals je dat op de server zou doen als een gebruiker behalve een admin zou willen inloggen op de server. Maar of dit nodig is, ik weet het niet? De gebruiker krijgt nu toch geen admin rechten op het domein account? Wat ik me dan wel bedenk is dat als hij niet op het domein account inlogt hij wel admin rechten heeft op de lokale computer? Dan toch maar ff de lokale inlog policy veranderen.

Wat betreft die software problemen, dat snap ik niet helemaal. Volgens mij bedoel je nu meer netwerk versies, en zogenaamde packages? Hier zijn volgens mij andere school licenties en cd's voor nodig, kan ik niet gewoon de huidige desktop versie licenties lokaal gebruiken met de daarbij horende domein accounts? Wij hebben zogenaamde licenties per computer en niet per gebruiker.

[ Voor 18% gewijzigd door Workaholic op 21-06-2004 16:24 ]

Mijn V&A

maandag 21 juni 2004 18:59

Acties:

Verwijderd

[haha mode]

ik zou per leerling maar 1 account aanmaken. op die manier kan je misschien nog zien wie de pc verneukt heeft voordat je gaat herinstalleren

kop in volgende schoolkrant:
GROEP 3 HACKED GROEP 8

[/haha mode]

kon het niet laten... maar domain users local admins maken is uit de boze. Dat doe je echt NOOIT. wil je niks met de clients te maken hebben voeg dan alleen de leraren als local admins toe ofzo. kunnen zij evt. installs doen.

als je 1 account per pc wil gebruiken, waarom zou je dan in vredesnaam roaming profiles gebruiken? echt totaal geen meerwaarde, alleen inloggen wordt trager...

[ Voor 58% gewijzigd door Verwijderd op 21-06-2004 19:11 ]

maandag 21 juni 2004 19:02

Acties:

mutsje

Certified Prutser

Wellicht moet ik hier een policy voor veranderen (lokaal) net zoals je dat op de server zou doen als een gebruiker behalve een admin zou willen inloggen op de server. Maar of dit nodig is, ik weet het niet? De gebruiker krijgt nu toch geen admin rechten op het domein account? Wat ik me dan wel bedenk is dat als hij niet op het domein account inlogt hij wel admin rechten heeft op de lokale computer? Dan toch maar ff de lokale inlog policy veranderen.

misschien moet je zelf ook maar in de schoolbanken gaan zitten, hoe meer ik lees hoe meer rechten je ze geeft.. waarom voeg je ze niet gewoon toe bij Enterprise Administrators en gaat dan weer naar school...... om te leren wat een domain account is , wat voor licentie vormen men heeft etc. Als ik de structuur zo snel lees heb je in no time een complete gefokte machine met de meest vage shit erop geinstalleerd. Het mogen dan kids zijn maar die zijn ook niet achterlijk meer hoor.

maandag 21 juni 2004 19:28

Acties:

Workaholic

Topicstarter

Het is me behoorlijk duidelijk dat ik nogal tekort kom, maar ik heb hierdoor al weer een stuk geleerd. Kunnen jullie als het niet al te veel moeite is mij nog vertellen hoe ik dit software probleem ga oplossen? We zitten nu namelijk zonder word, en dat is nogal lastig.

Het ging er dus om dat microsoft office niet meer werkt als ik ingelogd ben op een domein account?

Voor de duidelijkheid de winxp clients waren oorspronkelijk windows 98se machines. Deze zijn geupgrade, daarna heeft alles netjes gewerkt todat ze lid zijn geworden van een domein. Kan ik dmv de desktop licenties dit samen met het domein aan de praat krijgen? Moet ik dan op alle machines opnieuw office gaan installeren?

Voor de duidelijkheid wij hebben gewoon school licenties voor onbeperkt gebruikers, we betalen per machine en mogen elke willekeurige office desktop versie gebruiken. Een netwerk versie of dergelijke zullen we wel een apart contract voor nodig hebben.

Mijn V&A

maandag 21 juni 2004 19:34

Acties:

Leon T

Ni!

Probeer het eens uit zou ik zeggen.

Maar maak je gebruik van Mandatory roaming user profiles of gewoon een standaard profiel dat door meerdere mensen tegelijk gebruikt wordt?

Ik denk dat voor jou situatie mandatory profiles icm. een homedir een ietwat simpelere oplossing is dan wat je nu gedaan hebt.

maandag 21 juni 2004 19:34

Acties:

Verwijderd

Volgens mij gaat Word en dergelijk alleen werken als je dat naar de clients Deployed vanaf de server.

maandag 21 juni 2004 19:41

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 21 juni 2004 @ 19:34:
Volgens mij gaat Word en dergelijk alleen werken als je dat naar de clients Deployed vanaf de server.

wel eens van lokaal installeren gehoord ?

enne TS wel eens de Howto section door gekeken? mocht het je interesse wekken staan zelfs howto's over 2003 en policies in.
deze eerst maken dan msi & mst middels policie aan OU knuppen etc
[rml][ XP]OfficeXP + MST installation handleiding[/rml]
kijk hier nog een howto zowaar over policies.
[rml][ windows 2003]Howto: policies en tools[/rml]

[ Voor 43% gewijzigd door mutsje op 21-06-2004 19:47 ]

maandag 21 juni 2004 20:37

Acties:

Verwijderd

ik heb ook zoiets, maar dan prive, bij ons gebeurde het weleens dat ze op 2 pc tegelijk waren ingelogd, geeft geen problemen. wel is het aan te raden om de servers gelijk te laten synchroniseren, en natuurlijk zorgen dat ze niks kunnen aanpaassen als achtergrond, anders wordt het wel lastig

maandag 21 juni 2004 23:58

Acties:

alt-92

ye olde farte

OC-Addict schreef op 21 juni 2004 @ 19:28:
Het ging er dus om dat microsoft office niet meer werkt als ik ingelogd ben op een domein account?
Voor de duidelijkheid de winxp clients waren oorspronkelijk windows 98se machines. Deze zijn geupgrade, daarna heeft alles netjes gewerkt todat ze lid zijn geworden van een domein.

Ik denk dat je dan inderdaad even een aantal issues hebt met je Office installs op je workstations.
Upgrades zuigen imho nogal, zeker 98> XP.
Userprofiles worden onder 98 compleet anders gebruikt als in NT/XP, het zou me niet verbazen als er het een en ander niet goed weggeschreven wordt.

Kan ik dmv de desktop licenties dit samen met het domein aan de praat krijgen? Moet ik dan op alle machines opnieuw office gaan installeren?

Daar verandert an sich niks aan
Welke Office versie hebben we het over?

. Een netwerk versie of dergelijke zullen we wel een apart contract voor nodig hebben.

Nope, je kan dus lekker een netwerk install draaien of via GPO publishen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 22 juni 2004 11:54

Acties:

Workaholic

Topicstarter

Even een update van zaken, domein heb ik met behulp van wat leeswerk van de how to's na mijn inzien goed geconfigureerd.

Ik ben ook begonnen aan Orktools/resource kit voor de Office 2000 SR1 Installaties, alleen stuit ik op een probleem die in de search ook niet opgelost was. Wellicht hebben jullie hier nu een oplossing voor :

Installatie procedure :

Office 2000 SR naar de server hdisk gekopieerd, map geshared (hidden met $ en domain users read acces gegeven)

Orktools gedownload en een mst file gemaakt en deze in dezelfde office share gezet. Opties aangevinkt om vanaf de lokale computer te draaien en niet via het netwerk.

Snelkoppeling aangemaakt, deze tevens silent command line meegegeven(afkomstig van de custom install wizard).

Vervolgens getest op een client via een admin account. Ging prima. Office werkt naar behoren.

Maar als ik hem onder een leerlingen account wil installeren (zit dus in een andere ou dan de admins, en daarom tevens ook andere rechten heb) krijg ik een venster te zien van windows installer, hij verdwijnt vervolgens en doet niets meer. Ook geen netwerk verkeer, dus bewijs dat hij niets doet.

Bij het inloggen als leerling na de installatie op de admin account krijg ik tevens ook een error met de office setup.

Als ik dan office probeer op te starten via de startmenu onder de leerlingen account vraagt hij naar een cab/msi file, als ik dan vervolgens via het netwerk deze aanclick werkt het geheel. Maar dit is toch niet de bedoeling? Dit proces moet toch allemaal geautomatiseerd kunnen?

Geprobeerd en daarna were uitgeschakeld:

-Force admin rights while installing programs/windows installer
-In custom install wizzard optie Disable install on first use aanvinken.

Iemand een idee hoe ik dit aanpak? Ik heb nog maar weinig policies aangepast voor de leerlingen, dit wou ik pas aanpassen wanneer alles naar behoren functioneerde. Deze wil tevens eerst uitproberen op een test OU.

[ Voor 10% gewijzigd door Workaholic op 22-06-2004 11:59 ]

Mijn V&A

donderdag 24 juni 2004 10:39

Acties:

Workaholic

Topicstarter

Schopje betreft de office problemen.

Mijn V&A

donderdag 24 juni 2004 10:45

Acties:

Bas!

waarom doe je zoiets niet via sus of iets dergelijks, of zelfs maar via een script dat je runt bij startup, want volgens mijis die executable dan opgestart met locale admin rechten

donderdag 24 juni 2004 10:48

Acties:

mutsje

Certified Prutser

TS kan gewoon de MSI & MST files via Active Directory publishen of asignen aan computers/users. Dit heb ik al gedaan en had er volgens mij ook een howto over gemaakt maar kan deze niet terug vinden.

TS maak een user account aan die niet in een OU met policies zit ga hier de software op publishen/asignen wat je het beste lijkt en kijk dan of het werkt. Een beetje moeitte doen wordt hier zeer gewaardeerd en we kauwen ook niet alles voor hier. Het staat namelijk allemaal beschreven op www.technet.com of onder de allmighty F1 knop.

zondag 27 juni 2004 16:37

Acties:

Wim-Bart

Zie signature voor een baan.

Een beetje off-topic. Maar ik zie hier alleen maar vragen waarvoor er mensen zijn welke jaren studeren en praktijkervaring opbouwen om de antwoorden te vinden.

Ik denk dat je het volgende eens moet doen.

Je verdiepen in de concepten van Active Directory en Policies. Daarna een ontwerp op papier moet zetten en dan aan uitvoeren gaan denken.

Maak eens een lijst van wensen. Plak daar de mogelijkheden van XP, 2003 en AD naast en kijk eens wat er mogelijk is of wat er niet mogelijk is. Werk vanuit de vraag naar de oplossing toe en werk niet vanuit de vragen, probeersels naar nog meer vragen toe.

Wim-Bart

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zondag 27 juni 2004 16:43

Acties:

alt-92

ye olde farte

office 2000 is wat dat betreft een beetje ranzig omdat er voor de eerste run als normale user een aantal registry keys niet kunnen worden beschreven/benaderd (HKLM\Software\Microsoft\Shared Tools voor gfx filters bijvoorbeeld)...

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device