7
Frage bzgl. servergespeicherte Profile
Hallo,
ich habe einige Fragen zu servergespeicherten Profile. Ungefähr 10 Windows 7 Clients melden sich an der Domäne an und jedes Profil ist als servergespeichert eingestellt.
1) Ich hab in so manchen anderen Threads gelesen das manche eine maximale Profilgröße einrichten. Ich glaub das eine war 30MB für das gesamte Profil. Wie schafft man es dass ein Profil wirklich nur so "schlank" ist? Ich hab mir mal ein Profil von einem Client angeschaut und ohne Outlook-Dateien (dazu komm ich noch) ist es schon einpaar hundert MB groß.
2) Ich habe die Gruppenrichtlinie eingestellt, dass Administratoren auch Zugriff auf die Profile auf dem Server haben. (Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen") Es hatte den Anschein, als wäre das letztens nicht übernommen worden. Das Profil username.V2 war noch nicht angelegt, es wurde aber nach dem Anmelden am Client erstellt. Ich hatte allerdings kein Zugriff als Administrator auf den Ordner. Muss man sonst noch irgendetwas beachten?
3) Wie kann ich nachträglich Profilordnern die Berechtigung zuweisen, dass Administratoren auch Zugriff haben ohne Probleme beim Laden des Profils zu bekommen? Ich hab auf diversen Seiten gelesen, den Besitzer des Ordners auf Administrator zu ändern. Aber somit hatte ich Probleme beim laden des Profils am Client. Auf einer TechNet Seite von Microsoft stand drin, welche Berechtigung der Ordner haben sollte und wer der Besitzer ist (User ist Besitzer und hat Vollzugriff, System Vollzugriff und falls Administrator auch gewollt ist, ebenso Vollzugriff). Ich hab es so eingestellt, aber dennoch hat er das Profil nicht geladen. Letztendlich habe ich es zurückgesetzt, in dem ich beide Haken unter Erweiterte Berechtigung angekreuz habe.
4) Gibt es irgendwelche Guidelines oder Tipps wie man am effizientesten servergespeicherte Profile verwenden sollte? Sollte man Eigene Dateien und Desktop vom Benutzer als Ordnerumleitung verwenden oder gibt es da Komplikationen? Sollten bestimmte Ordner ausgeschlossen werden (vordefiniert ist ja glaub Local und LocalLow unter AppData, richtig?)
5) Was ein großer Speicherfresser ist, wäre halt die Outlook Postfächer der Benutzer. Die liegen halt echt manchmal bei mehreren GB (Persönlicher Ordner und Archivordner). Bisher waren die alle auf einem Netzlaufwerk, habe das dann aber so geändert das es unter Username\Documents gespeichert wird. Hier wird es natürlich immer hin und her synchronisiert. Zwar ist es nicht unbedingt tragisch bei Gigabit-Verbindung aber dennoch ab und zu träge. Irgendwelche Alternativen?
Wäre froh wenn mir einer helfen könnte
! Vielen Dank!
Gruß,
Burak
ich habe einige Fragen zu servergespeicherten Profile. Ungefähr 10 Windows 7 Clients melden sich an der Domäne an und jedes Profil ist als servergespeichert eingestellt.
1) Ich hab in so manchen anderen Threads gelesen das manche eine maximale Profilgröße einrichten. Ich glaub das eine war 30MB für das gesamte Profil. Wie schafft man es dass ein Profil wirklich nur so "schlank" ist? Ich hab mir mal ein Profil von einem Client angeschaut und ohne Outlook-Dateien (dazu komm ich noch) ist es schon einpaar hundert MB groß.
2) Ich habe die Gruppenrichtlinie eingestellt, dass Administratoren auch Zugriff auf die Profile auf dem Server haben. (Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Sicherheitsgruppe »Administratoren« zu servergespeicherten Profilen hinzufügen") Es hatte den Anschein, als wäre das letztens nicht übernommen worden. Das Profil username.V2 war noch nicht angelegt, es wurde aber nach dem Anmelden am Client erstellt. Ich hatte allerdings kein Zugriff als Administrator auf den Ordner. Muss man sonst noch irgendetwas beachten?
3) Wie kann ich nachträglich Profilordnern die Berechtigung zuweisen, dass Administratoren auch Zugriff haben ohne Probleme beim Laden des Profils zu bekommen? Ich hab auf diversen Seiten gelesen, den Besitzer des Ordners auf Administrator zu ändern. Aber somit hatte ich Probleme beim laden des Profils am Client. Auf einer TechNet Seite von Microsoft stand drin, welche Berechtigung der Ordner haben sollte und wer der Besitzer ist (User ist Besitzer und hat Vollzugriff, System Vollzugriff und falls Administrator auch gewollt ist, ebenso Vollzugriff). Ich hab es so eingestellt, aber dennoch hat er das Profil nicht geladen. Letztendlich habe ich es zurückgesetzt, in dem ich beide Haken unter Erweiterte Berechtigung angekreuz habe.
4) Gibt es irgendwelche Guidelines oder Tipps wie man am effizientesten servergespeicherte Profile verwenden sollte? Sollte man Eigene Dateien und Desktop vom Benutzer als Ordnerumleitung verwenden oder gibt es da Komplikationen? Sollten bestimmte Ordner ausgeschlossen werden (vordefiniert ist ja glaub Local und LocalLow unter AppData, richtig?)
5) Was ein großer Speicherfresser ist, wäre halt die Outlook Postfächer der Benutzer. Die liegen halt echt manchmal bei mehreren GB (Persönlicher Ordner und Archivordner). Bisher waren die alle auf einem Netzlaufwerk, habe das dann aber so geändert das es unter Username\Documents gespeichert wird. Hier wird es natürlich immer hin und her synchronisiert. Zwar ist es nicht unbedingt tragisch bei Gigabit-Verbindung aber dennoch ab und zu träge. Irgendwelche Alternativen?
Wäre froh wenn mir einer helfen könnte
! Vielen Dank!Gruß,
Burak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189478
Url: https://administrator.de/contentid/189478
Printed on: April 19, 2024 at 02:04 o'clock
7 Comments
Latest comment
moin,
1) halte ich für ein Gerücht... 30 MB?
2) halte ich persönlich für ein NOGO, das System selber und das reicht hat Zugriff auf die Daten da sollte man als Admin niemals nie was dran drehen. Und wenn man das doch will, gibt man dem User den Auftrag es (im loginscript?) selber zu machen.
3) Finger weg.
4) kommt auf die Umgebung drauf an und auch hier gilt - weniger verstellen ist mehr...
5) Meinst du den Cache? tja wechseln die User öfters die Rechner oder nicht?
Im einen Fall lass Sie im Profil im anderen verschieb Sie lokal only
1) halte ich für ein Gerücht... 30 MB?
2) halte ich persönlich für ein NOGO, das System selber und das reicht hat Zugriff auf die Daten da sollte man als Admin niemals nie was dran drehen. Und wenn man das doch will, gibt man dem User den Auftrag es (im loginscript?) selber zu machen.
3) Finger weg.
4) kommt auf die Umgebung drauf an und auch hier gilt - weniger verstellen ist mehr...
5) Meinst du den Cache? tja wechseln die User öfters die Rechner oder nicht?
Im einen Fall lass Sie im Profil im anderen verschieb Sie lokal only
Hallo,
1) Ich weis nicht, ich bin der Meinung das ich das hier in dem Forum irgendwo mal gelesen habe. Aber vergessen wir es mal
2) Warum bist du der Meinung das es ein NoGo ist? Ich mein, wenn ich weis das es aus bestimmten Gründen nicht gut ist und normalerweise nicht durchgeführt ist, sehe ich das ja gerne auch ein. Ich würde es aber gerne noch hinterfragen ;). Mit System meinst du den Benutzer "SYSTEM"? Weil bei den erstellten Benutzerprofile bekomm ich ja beim Öffnen eines Ordners die Meldung, dass ich keine Berechtigung habe.
3) Warum?
1) Ich weis nicht, ich bin der Meinung das ich das hier in dem Forum irgendwo mal gelesen habe. Aber vergessen wir es mal
2) Warum bist du der Meinung das es ein NoGo ist? Ich mein, wenn ich weis das es aus bestimmten Gründen nicht gut ist und normalerweise nicht durchgeführt ist, sehe ich das ja gerne auch ein. Ich würde es aber gerne noch hinterfragen ;). Mit System meinst du den Benutzer "SYSTEM"? Weil bei den erstellten Benutzerprofile bekomm ich ja beim Öffnen eines Ordners die Meldung, dass ich keine Berechtigung habe.
3) Warum?
Hallo vBurak,
Zu 1) Du kannst per Richtlinie die Profilgröße beschränken. Das Maximum sind dabei die besagten 30 MB (war zumindest unter Server 2003 so). Erreichen kann man das evtl. indem man alle Möglichkeiten der Umleitung nutzt.
Zu 2) Das bezieht sich auf den Ordner des servergespeicherten Profiles (nicht des lokalen!) und gilt auch nur für Profile, die nach Aktivieren der Richtlinie erstellt wurden.
Zu 3) Es sollte reichen auf der obersten Ebene das Administratorkonto mit entspr. Rechten hinzuzufügen.
Zu 4) Wenn sich die Anwender an wechselnden Rechnern anmelden macht es sicherlich Sinn die großen Verzeichnisse (Dokumente, ggfs. Desktop etc.) umzuleiten. Ebenso wenn die Profilgröße eingeschränkt ist oder die lokalen Profile per Richtlinie gelöscht werden. Ansonsten werden die Verzeichnisse bei jeder Anmeldung synchronisiert und bei jeder Erstanmeldung komplett kopiert. Terminalserverumgebungen sind ein typisches Einsatzbeispiel.
Zu 5) Microsoft empfiehlt die PSTs nicht auf ein Netzlaufwerk zu legen. Nach meiner persönlichen Erfahrung hat es mit ca. 20 Anwendern und PSTs bis max. 2 GB in einem 100 MBit-Netzwerk über einen Zeitraum von 2 Jahren keine größeren Probleme gegeben. Dass die Performance unter der lokaler Speicher oder Exchange-Synchronisation liegt ist natürlich klar.
Gruß,
gemini
Zu 1) Du kannst per Richtlinie die Profilgröße beschränken. Das Maximum sind dabei die besagten 30 MB (war zumindest unter Server 2003 so). Erreichen kann man das evtl. indem man alle Möglichkeiten der Umleitung nutzt.
Zu 2) Das bezieht sich auf den Ordner des servergespeicherten Profiles (nicht des lokalen!) und gilt auch nur für Profile, die nach Aktivieren der Richtlinie erstellt wurden.
Zu 3) Es sollte reichen auf der obersten Ebene das Administratorkonto mit entspr. Rechten hinzuzufügen.
Zu 4) Wenn sich die Anwender an wechselnden Rechnern anmelden macht es sicherlich Sinn die großen Verzeichnisse (Dokumente, ggfs. Desktop etc.) umzuleiten. Ebenso wenn die Profilgröße eingeschränkt ist oder die lokalen Profile per Richtlinie gelöscht werden. Ansonsten werden die Verzeichnisse bei jeder Anmeldung synchronisiert und bei jeder Erstanmeldung komplett kopiert. Terminalserverumgebungen sind ein typisches Einsatzbeispiel.
Zu 5) Microsoft empfiehlt die PSTs nicht auf ein Netzlaufwerk zu legen. Nach meiner persönlichen Erfahrung hat es mit ca. 20 Anwendern und PSTs bis max. 2 GB in einem 100 MBit-Netzwerk über einen Zeitraum von 2 Jahren keine größeren Probleme gegeben. Dass die Performance unter der lokaler Speicher oder Exchange-Synchronisation liegt ist natürlich klar.
Gruß,
gemini
Hallo Burak,
Zu 1) Das kommt ganz stark auf die Programme an, die der jeweilige Benutzer nutzt. Schau Dir das Profilverzeichnis z.B. mal mit TreeSize o.a. an. Dort siehst Du genau, wo die Brocken liegen. Schau aber auf dem Server nach oder schließe zumindest das komplette AppData/Local aus. Das wird eh nicht übertragen und verbleibt lokal.
Zu 2) Kann eigentlich nicht sein. In welcher Gruppenrichtlinie hast Du das denn definiert?
Zu 3) Der Benutzer muss zwangsläufig auch Besitzer des Profils sein. Wenn Du die Berechtigungen als Admin anpassen musst, dann kannst Du temporär den Besitz übernehmen und die Berechtigungen setzen. Aber dann musst Du die Besitzrechte wieder an den Benutzer übertragen (Vererbung nicht vergessen!).
Besser ist es, die Userfreigabe z.B. am Server als zusätzliches Laufwerk einzubinden. Und zwar mit den Berechtigungen des jeweiligen Benutzers. Falls Dir das Kennwort nicht bekannt ist oder Eure Richtlinien das nicht zulassen, holst Du Dir den Benutzer mit ins Boot. Der soll dann sein Passwort eingeben und Dir über die Schulter gucken. Wenn das Laufwerk erstellt ist, gehst Du auf den Profilordner und fügst für den Admin Vollzugriff hinzu. Fertig. Laufwerk kannst Du dann wieder trennen und Dir evtl. den nächsten Benutzer vornehmen.
Ist zwar aufwändig, aber Du sparst Dir den Hick-Hack mit dem "Besitz übernehmen"
Zu 4) Ja. Hier: http://technet.microsoft.com/de-de/library/bb490855.aspx
Zu 5) Wie schon geschrieben: PST-Dateien gehören nicht auf Netzlaufwerke. Die OST wird nicht mit synchronisiert. Falls es sich bei Dir um Archiv-PST's handelt, solltet Ihr Euch mal Gedanken um eine professionelle Archivlösung machen. Dafür gibt es genug Produkte, die besser geeignet sind (GFI MailArchiver, MailStore etc.).
Gruß
-iDiddi-
Zu 1) Das kommt ganz stark auf die Programme an, die der jeweilige Benutzer nutzt. Schau Dir das Profilverzeichnis z.B. mal mit TreeSize o.a. an. Dort siehst Du genau, wo die Brocken liegen. Schau aber auf dem Server nach oder schließe zumindest das komplette AppData/Local aus. Das wird eh nicht übertragen und verbleibt lokal.
Zu 2) Kann eigentlich nicht sein. In welcher Gruppenrichtlinie hast Du das denn definiert?
Zu 3) Der Benutzer muss zwangsläufig auch Besitzer des Profils sein. Wenn Du die Berechtigungen als Admin anpassen musst, dann kannst Du temporär den Besitz übernehmen und die Berechtigungen setzen. Aber dann musst Du die Besitzrechte wieder an den Benutzer übertragen (Vererbung nicht vergessen!).
Besser ist es, die Userfreigabe z.B. am Server als zusätzliches Laufwerk einzubinden. Und zwar mit den Berechtigungen des jeweiligen Benutzers. Falls Dir das Kennwort nicht bekannt ist oder Eure Richtlinien das nicht zulassen, holst Du Dir den Benutzer mit ins Boot. Der soll dann sein Passwort eingeben und Dir über die Schulter gucken. Wenn das Laufwerk erstellt ist, gehst Du auf den Profilordner und fügst für den Admin Vollzugriff hinzu. Fertig. Laufwerk kannst Du dann wieder trennen und Dir evtl. den nächsten Benutzer vornehmen.
Ist zwar aufwändig, aber Du sparst Dir den Hick-Hack mit dem "Besitz übernehmen"
Zu 4) Ja. Hier: http://technet.microsoft.com/de-de/library/bb490855.aspx
Zu 5) Wie schon geschrieben: PST-Dateien gehören nicht auf Netzlaufwerke. Die OST wird nicht mit synchronisiert. Falls es sich bei Dir um Archiv-PST's handelt, solltet Ihr Euch mal Gedanken um eine professionelle Archivlösung machen. Dafür gibt es genug Produkte, die besser geeignet sind (GFI MailArchiver, MailStore etc.).
Gruß
-iDiddi-
Hallo gemini,
zu 1) Okay, das war das also. Naja, ich wollte mich nur mal darüber informieren aber brauchen werd ich es wohl nicht. Dann hat sich das geklärt!
zu 2) Ja, so hab ich das auch verstanden aber am Server konnt eich nicht auf das Profil zugreifen.
zu 3) oberste Ebene bedeutet einfach Administrator Konto hinzufügen und Besitzer den jeweiligen Benutzer zuweisen?
zu 4) Ok, muss ich mal gucken wie groß Desktop & Dokumente sind und ob dies Sinn dann macht umzuleiten.
zu 5) Früher waren die PST's auch auf Netzlaufwerken und es lief eigentlich. Ab und zu gab es dann Probleme das irgendwie die PST Datei korrupt ist, ich hab dies dann mit Scanpst repariert und es lief dann wieder. Wir hatten Gigabit-Ethernet da fällt die Netzwerkaktivität ja nicht groß auf. Aber nachdem ich das halt schon mehrfach gelesen habe, habe ich es so umgestellt das es im Profil ist und nicht auf einem Netzlaufwerk.
Hallo iDiddi,
Zu 1) Ich war der Meinung das ich in der GPO wo man Ordner ausschließen kann, gelesen habe, das AppData/Local sowies nicht mitsynchronisiert wird? Also schon standardmäßig herausgefiltert wird. Lieg ich da falsch oder wie ist das?
zu 2) Ehm, ich hab das auf die Schnell mal unter der Default Domain Policy eingefügt. Ich werde das aber dann mal auf die jewilige OU ändern. Es ist ja eh nicht so gut was in die Default Domain Policy reinzutragen. Liegte es vllt. daran?
zu 3) Das mit dem Laufwerk ist eigentlich eine gute Idee, danke!
zu 4) Ok, ich werde mal ein Auge darauf werfen.
zu 5) Exchange wird nicht eingesetzt und PST-Dateien sind jetzt in den einzelnen Profilen. Die Archive sind unterschiedlich. Ich glaub 2-3 haben ein PST Archiv mit 3-4GB und der Rest hat eigentliche PST-Datei in, ich sag mal, angemessener Größe. MailStore sieht auf den ersten Blick sehr nett aus. Ich informier mich mal darüber.
Vielen Dank für die Antworten! Ist dann denk ich soweit geklärt!
Grüße,
Burak
zu 1) Okay, das war das also. Naja, ich wollte mich nur mal darüber informieren aber brauchen werd ich es wohl nicht. Dann hat sich das geklärt
!zu 2) Ja, so hab ich das auch verstanden aber am Server konnt eich nicht auf das Profil zugreifen.
zu 3) oberste Ebene bedeutet einfach Administrator Konto hinzufügen und Besitzer den jeweiligen Benutzer zuweisen?
zu 4) Ok, muss ich mal gucken wie groß Desktop & Dokumente sind und ob dies Sinn dann macht umzuleiten.
zu 5) Früher waren die PST's auch auf Netzlaufwerken und es lief eigentlich. Ab und zu gab es dann Probleme das irgendwie die PST Datei korrupt ist, ich hab dies dann mit Scanpst repariert und es lief dann wieder. Wir hatten Gigabit-Ethernet da fällt die Netzwerkaktivität ja nicht groß auf. Aber nachdem ich das halt schon mehrfach gelesen habe, habe ich es so umgestellt das es im Profil ist und nicht auf einem Netzlaufwerk.
Hallo iDiddi,
Zu 1) Ich war der Meinung das ich in der GPO wo man Ordner ausschließen kann, gelesen habe, das AppData/Local sowies nicht mitsynchronisiert wird? Also schon standardmäßig herausgefiltert wird. Lieg ich da falsch oder wie ist das?
zu 2) Ehm, ich hab das auf die Schnell mal unter der Default Domain Policy eingefügt. Ich werde das aber dann mal auf die jewilige OU ändern. Es ist ja eh nicht so gut was in die Default Domain Policy reinzutragen. Liegte es vllt. daran?
zu 3) Das mit dem Laufwerk ist eigentlich eine gute Idee, danke!
zu 4) Ok, ich werde mal ein Auge darauf werfen.
zu 5) Exchange wird nicht eingesetzt und PST-Dateien sind jetzt in den einzelnen Profilen. Die Archive sind unterschiedlich. Ich glaub 2-3 haben ein PST Archiv mit 3-4GB und der Rest hat eigentliche PST-Datei in, ich sag mal, angemessener Größe. MailStore sieht auf den ersten Blick sehr nett aus. Ich informier mich mal darüber.
Vielen Dank für die Antworten! Ist dann denk ich soweit geklärt
!Grüße,
Burak
Zitat von @vBurak:
Hallo iDiddi,
Zu 1) Ich war der Meinung das ich in der GPO wo man Ordner ausschließen kann, gelesen habe, das AppData/Local sowies nicht
mitsynchronisiert wird? Also schon standardmäßig herausgefiltert wird. Lieg ich da falsch oder wie ist das?
Das ist schon richtig. Hab ja auch nix Gegenteiliges behauptet. Ich meinte damit, falls Du auf dem Client den Speicherplatz überprüfst, kannst Du das AppData\local-Verzeichnis ignorieren, da es ja standardmäßig nicht mit synchronisiert wird Hallo iDiddi,
Zu 1) Ich war der Meinung das ich in der GPO wo man Ordner ausschließen kann, gelesen habe, das AppData/Local sowies nicht
mitsynchronisiert wird? Also schon standardmäßig herausgefiltert wird. Lieg ich da falsch oder wie ist das?
zu 2) Ehm, ich hab das auf die Schnell mal unter der Default Domain Policy eingefügt. Ich werde das aber dann mal auf die
jewilige OU ändern. Es ist ja eh nicht so gut was in die Default Domain Policy reinzutragen. Liegte es vllt. daran?
) immer noch nicht geht, überprüfe per gpresult, ob die Richtlinien überhaupt übernommen werden.Vielen Dank für die Antworten! Ist dann denk ich soweit geklärt !
Bitte. Dann setze den Beitrag bitte noch auf gelöst.!Gruß
-iDiddi-
Moin,
Puh....
Diese 30mb baustelle, maeddelzzzzzzzz wisst ihr eigentIich woher die kommt und das w2k0 der spender dieses adm zu zeiten gezimmert wurde, als billy boy sich grade wieder aus der schaem ecke fuer seine 640k zeile getraut hat?
Die adm kann man - Wenn man will, auch auf 300gb stellen....
Denkt mal ganz kurz drueber nach, warum das mit den rechten so gemacht ist und warum man da tricksen muss, wenn man umgehen will - da haben sich ein paar praktikanten was dabei gedacht......
Und dazu kommt, das die allesamt aus einem land kommen, wo der datenschutz mit fuessen getreten wird - der grund ist es nicht.
Wem gehoert das profil?
Und warum sollte ein anderer da was unter seinem namen reinmalen?
Und was passiert, wenn das profil offen ist, und sich der user 3 ms spaeter abmeldet?
Sorry, ich raffs nicht nochmal wenn ich als admin da was geaendert haben will, dann schreib ich ne zeile ins loginscript und lasse das den user machen...
Gruss
Puh....
Diese 30mb baustelle, maeddelzzzzzzzz wisst ihr eigentIich woher die kommt und das w2k0 der spender dieses adm zu zeiten gezimmert wurde, als billy boy sich grade wieder aus der schaem ecke fuer seine 640k zeile getraut hat?
Die adm kann man - Wenn man will, auch auf 300gb stellen....
Denkt mal ganz kurz drueber nach, warum das mit den rechten so gemacht ist und warum man da tricksen muss, wenn man umgehen will - da haben sich ein paar praktikanten was dabei gedacht......
Und dazu kommt, das die allesamt aus einem land kommen, wo der datenschutz mit fuessen getreten wird - der grund ist es nicht.
Wem gehoert das profil?
Und warum sollte ein anderer da was unter seinem namen reinmalen?
Und was passiert, wenn das profil offen ist, und sich der user 3 ms spaeter abmeldet?
Sorry, ich raffs nicht nochmal wenn ich als admin da was geaendert haben will, dann schreib ich ne zeile ins loginscript und lasse das den user machen...
Gruss
