In Unternehmensnetzwerken kann es von Vorteil sein, wenn man die Benutzerdaten der Clients auf dem Server verwalten bzw. sichern kann. Zum einen, möchte man vielleicht seine Sicherungsstruktur vereinfachen oder man möchte den Benutzer ermöglichen, unternehmensweit auf die eigenen Dateien zugreifen zu können. Servergespeicherte Profile können ein Segen sein, jedoch können sie auch ein Fluch sein, wenn die Benutzerdaten eine gewisse Größe besitzen. Spielt ihr mit dem Gedanken, solche Profile zu nutzen, dann sorgt für ausreichend Plattenspeicher. In diesem Beitrag möchte ich euch zeigen, wie diese Profile eingerichtet werden und auf was man achten sollte.
Das servergespeicherte Profil
Was ist ein servergespeichertes Profil
Servergespeicherte Profile sind Profile, welche einen Abgleich, mit mindestens einer Dateifreigabe durchführen. Diese Replikation, wird in der Regel während des An- bzw. Abmeldevorganges durchgeführt.
Dabei ist entscheidend, welches Gerät die Daten bereits enthält und welches nicht.
Wer hat denn nun meine Daten und wann wird synchronisiert
Haben wir einen “frischen” Benutzer, welcher sich erstmalig am System anmeldet, wird ein Defaultprofil, mit den entsprechenden Profilangaben, auf dem Server und dem Client erstellt.
Ist der Benutzer schon im Server und Client bekannt, wird das Delta der Daten übertragen.
Hält der Client, im An- und Abmeldevorgang, alleinig die Daten des Profils, wird das Profil bei der Anmeldung des Clients auf dem Server kreiert und bei der Abmeldung, werden dann die verfügbaren Clientdaten auf den Server repliziert.
Enthält nur der Server die Profildaten wird der Anmeldevorgang entsprechend verlangsamt und eine Kopie des servergespeicherten Profils wird auf dem Client angelegt.
Als weiterer Punkt, spielt es auch eine Rolle, wenn Mehrfachanmeldungen der Benutzer gestattet sind, welcher Client sich wann abmeldet. Hier gilt immer, die letzte Synchronisierung gewinnt.
Vorteile von servergespeicherten Profilen
- Zentrale Sicherung von Benutzerdaten und -einstellungen der Clients.
- Clientübergreifende Nutzung der eigenen Dateien.
Nachteile von servergespeicherten Profilen
- Langwierige Anmeldevorgang
- durch viele kleine Dateien
- durch große Datenmengen > 2GB
- Fehler in Profilen können sich auf weitere Clients ausbreiten.
Vorbereiten der servergespeicherten Profile
Wenn wir servergespeicherte Profile erstellen möchten, müssen wir Konfigurationsanpassungen in der AD (Active Directory) und dem Dateiserver vornehmen.
Der Client ist bereits, in meinen Szenarien, an die AD angebunden und ist somit in der Lage die benötigten Informationen vom DC (Domain Controller) abzugreifen.
Erstellen einer Freigabe für die Ablage der Profildaten
Wir benötigen ein Freigabesystem, welches mit den Windows-Clients kommunizieren kann. Haben wir nur Windowssysteme gibt es keine Probleme, unter Linux wäre es dann Samba mit entsprechender Anbindung an die AD.
In diesem Beitrag geht es primär um die grundlegende Funktion, daher wird hier nicht tiefer in die Linuxecke geschaut.
Haben wir nun einen Ordner mit entsprechendem Platzangebot erstellt. Können wir uns um die Sicherheits und Freigabeeinstellungen des Ordners kümmern.
Bitte die Vererbung der Rechte in diesem Ordner deaktivieren
Als minimale Variante sollten die Einstellungen wie folgt aussehen:
Freigabeeinstellungen
- Jeder: Keine -> Der Vollzugriff kann und sollte entfernt werden
- Sicherheitsgruppe der Benutzer, welche für die Speicherung der Profile vorgesehen sind.
- Domänen-Benutzer bzw. Benutzer: Vollzugriff (Standard)
- Authentifizierte Benutzer: Vollzugriff (Meine Empfehlung)
Sicherheitseinstellungen (übergeordneter Ordner)
- Ersteller/Besitzer: Vollzugriff >> Nur Unterordner und Dateien
- Sicherheitsgruppe der Benutzer, welche für die Speicherung der Profile vorgesehen sind.
- Domänen-Benutzer bzw. Benutzer: Speziell >> Nur dieser Ordner
- Ordner auflisten / Daten lesen
- Ordner erstellen / Daten anhängen
- Authentifizierte Benutzer: Speziell >> Nur dieser Ordner (Meine Empfehlung)
- Ordner auflisten / Daten lesen
- Ordner erstellen / Daten anhängen
- Domänen-Benutzer bzw. Benutzer: Speziell >> Nur dieser Ordner
- System : Vollzugriff >> Diesen Ordner, Unterordner und Dateien
- Administratoren: Keine
- Administratoren: Vollzugriff >> Nur dieser Ordner (Meine Empfehlung)
Sicherheitseinstellungen
(Benutzerprofil in übergeordnetem Ordner)
Ergibt sich aus den vorhergehenden Konfigurationen. Mehr sollte nicht enthalten sein.
- %Username%: Vollzugriff >> Weil Besitzer des Ordners
- System: Vollzugriff
Abschließende Konfiguration in der Active Directory
Als nächstes rufen wir das Programm “Active Directory-Benutzer und -Computer” auf (dsa.msc). Suchen uns den Einen oder mehrere Benutzer heraus (markieren) und konfigurieren den Profilpfad nach folgendem Schema:
- Profilpfad: \\SERVERPROFILFREIGABE%USERNAME%
Es wird nun anhand des Benutzeranmeldenamens ein Verzeichnis erstellt, wenn dieser sich im System anmeldet.
Hiermit ist die grundlegende Funktion der servergespeicherten Profile erst einmal erreicht und man könnte hier noch einige Anpassungen vornehmen. Diese werde ich dann in weiteren Beiträgen erläutern.