Terminalserver unterschiedliche Profile je Standort

[Tobi123456 10]

Hallo Forum,

 

ich suche für folgendes Problem eine Lösung:

 

Es gibt eine Zentrale mit DC und einem Terminalserver und ClientsPcs(ZentralePC1, ZentralePC2...). Die Benutzer in der Zentrale nutzen den lokalen Arbeitsplatz mit ihrem zugehörigen Profil. Für die Terminalserveranmeldung nutzen Sie nur ein Standardprofil, da dort direkt eine Anwendung bildschirmfüllend gestartet wird.

 

In einer entfernten Niederlassung stehen zwei PCs(NiederlassungPC1, NiederlassungPC2). Diese beiden PCs befinden sich nicht in der Domäne, diese dienen nur dazu eine RDP Verbindung mit dem TS herzustellen. Die User die sich hier per RDP anmelden sollen aber ihr Profil aus der Domäne bekommen, als würden sie sich in der Zentrale am PC anmelden.

 

Leider weiß ich hierfür keine Lösung.

Ich würde das gerne so lösen, dass z.B. anhand des PC Names in der Niederlassung, entschieden wird, welches Profil der User bekommt.

 

Die GPO Computerkonifguration --> Administrative Vorlagen --> Windows-Komponenten --> Terminaldienste --> "Pfad für servergespeicherte Profile der Terminaldienste festlegen" greift leider nur auf den Namen des Terminalserver nicht auf den Namen des lokalen PCs.

 

Weiß jemand eine Lösung?

[phoenixcp 10]

Hallo Tobi

 

Auf den ersten Blick würde ich folgendes vorschlagen:

Trag den Usern im AD den Terminalprofilepfad im dafür vorgesehenen Attribut ein und schon sollte das korrekte Profil herangezogen werden, unabhängig davon, an welchem PC sie sich gegen den Terminalserver verbinden.

 

Gruß

Carsten

[NilsK 2.971]

Moin,

 

ich stimme Carsten zu. Eigentlich ist die Aufgabe einfach, denn die User melden sich ja an den Terminalserver mit einem AD-Konto an. Dass der Clientrechner nicht Mitglied des AD ist, ist in dem Fall egal, genau wie bei einem Thin Client.

 

Gruß, Nils

[Tobi123456 10]

Hallo Carsten,

Hallo Nils,

 

vielen Dank für eure schnellen Antworten, jedoch ist das Problem so noch nicht behoben.

 

Hier ein Beispiel, um den Sachverhalt besser darzustellen:

Mitarbeiter Meier meldet sich an Rechner ZentralePC1 an und erhält sein Benutzerprofil. Wenn er nun von dort aus eine RDP Verbindung zum TS aufmacht, dann erhält er nicht nochmal dieses Profil, sondern ein extra TS Profil. In der RDP Datei gebe ich direkt mit, das nach der Anmeldung das führende Warenwirtschaftssystem bildschirmfüllend gestartet wird. Der Mitarbeiter sieht hier also weder Startmenü noch Desktop.

 

Ist Herr Meier aber mal in der Zweigstelle, dann soll er am TS das selbe Profil bekommen, wie er am Rechner ZentralePC1 erhalten hat. Hier wird dann kein Warenwirtschafts-Programm gestartet, sondern der Mitarbeiter sieht ganz normal seinen Desktop und kann dann auf die wichtigsten Ressourcen zugreifen.

 

Ich hoffe jetzt ist es etwas besser zu verstehen, was ich meine.

 

Gruß

Tobi

[departure 10]

Bau sein FAT-Client-Profil (das vom normalen Rechner in der Zentrale) auf dem Terminalserver passend nach (kopieren würde ich es nicht, ein TS-Profil ist anders aufgebaut als ein FAT-Client-Profil) und mach dies zum serverbasierenden Remotedesktop- bzw. Terminaldiensteprofil für Herrn Meier. Eine passende Netzwerkfreigabe für solche Profile wirst Du sicherlich schon haben.

 

Gib Herrn Meier's RDP-Client in der Zentrale die Option mit, daß nur das Fachprogramm im Vollbild gestartet werden soll. Ist er in der Filiale/Zweigstelle, soll die RDP-Verbindung keine Angabe zu einem exra zu startenden Programm haben, dann kriegt er den vollen Desktop.

 

Ich würde also über die RDP-Clientkonfiguration bzw. die RDP-Datei steuern, ob er direkt das Fachprogramm (im Vollbild) gestartet kriegt (Zentrale) oder kein Fachprogramm (und somit den vollen Desktop auf Terminalserver) wenn er in der Zweigstelle ist. Das wirklich "gleiche" Profil wie auf dem FAT-Client "ZentralePC1" wird es also niemals sein, weil das nicht geht, FAT-Client-Profile lassen sich nicht direkt auf Terminalserver nutzen und umgekehrt, aber zumindest wird es ein sehr ähnliches Profil sein (hängt auch davon ab, wie genau, detailliert und vollständig Du es ihm "nachbaust").

 

In das serverbasierende Terminaldienst-bzw. Remotedesktopdienstprofil würde ich natürlich (vielleicht per Login-Script) seine vom FAT-Client gewohnten Netzwerkressourcen (gemeinsam genutzte, zentrale Verzeichnisse, zum Beispiel) und sein Home-Laufwerk einhängen, damit das Terminaldienstprofil dem FAT-Client-Profil möglichst gleich oder ähnlich ist.

 

 

 

Grüße

 

von

 

departure

bearbeitet 12. August 2011 von departure
etwas hinzugefügt

[NilsK 2.971]

Moin,

 

also geht es gar nicht um das TS-Profil, sondern um das normale Profil? Dann wird es nur über die Aufnahme des Clients in die Domäne gehen, denn sonst kann sich der User nicht direkt an die Domäne anmelden. Du müsstest ihm dann ein servergespeichertes Profil geben.

 

Gruß, Nils

[departure 10]

@NilsK:

 

Der Rechner in der Zweigstelle, an dem ab und zu mal ein Mitarbeiter aus der Zentrale hockt, muß doch deswegen trotzdem nicht in die Domäne aufgenommen werden. RDP funktioniert doch auch nur mit reinem TCP-IP.

[Tobi123456 10]

Hallo departure,

 

so ähnlich wie du es beschrieben hast, läuft es auch derzeit.

Der Nachteil ist, dass ich somit immer zwei Profile pro Mitarbeiter habe und z.b. Favoriten , Eigene Dateien und Desktopdateien, nicht in beiden Profilen gleich sind, es sei denn in würde diese irgendwie synchronisieren. Eigene Dateien könnte ich ja umleiten auf ein Laufwerk.

 

Du hast erwähnt, das man das Fat Client Profil nicht als TS Profil benutzen soll/kann. Ist das wirklich so? Ich habe das noch nicht ausprobiert.

 

@NilsK: Ich hatte ja ursprünglich vor, das normale Fat Client Profil beim anmelden am TS aus der Zentrale zu verwenden. Departure sagte aber jetzt, das man das garnicht sollte!?

[departure 10]

Hallo departure,

 

so ähnlich wie du es beschrieben hast, läuft es auch derzeit.

Der Nachteil ist, dass ich somit immer zwei Profile pro Mitarbeiter habe und z.b. Favoriten , Eigene Dateien und Desktopdateien, nicht in beiden Profilen gleich sind, es sei denn in würde diese irgendwie synchronisieren. Eigene Dateien könnte ich ja umleiten auf ein Laufwerk.

 

Du hast erwähnt, das man das Fat Client Profil nicht als TS Profil benutzen soll/kann. Ist das wirklich so? Ich habe das noch nicht ausprobiert.

 

@NilsK: Ich hatte ja ursprünglich vor, das normale Fat Client Profil beim anmelden am TS aus der Zentrale zu verwenden. Departure sagte aber jetzt, das man das garnicht sollte!?

 

Den Rest, außer den Eigenen Dateien (also das Userhome, das Du hoffentlich über das Basislaufwerk des Nutzers im AD steuerst), kannst Du doch recht simpel mit einem täglich per Taskplaner laufenden Skript abfackeln.

 

Noch eleganter wäre ein Ordnerumleitung (läßt sich per GPO einstellen), die meisten Inhalte des Nutzerprofils lassen sich nämlich ins Basislaufwerk des Nutzers (also in das Userhome im Netzwerk) umleiten. Doch Vorsicht, es gibt Ausnahmen (nächster Absatz).

 

Und bezüglich deiner letzten Frage:

 

Ich weiß nicht, was mit einem Profil passiert, in das von 2 verschiedenen Systemen aus (FAT-Client und Terminalserver) gleichzeitig (!) hineingeschrieben wird. Zumindest die ntuser.dat und auch die *.pol-Datei sehe ich da in größter Gefahr. Auch manche Inhalte des Ordners "Anwendungsdaten" ("AppData") würden dabei korrumpiert, fürchte ich. Nicht umsonst trennt Microsoft in den Eigenschaften des Nutzers im Active Directory sehr strikt nach "Profile" und "Terminaldienst- bzw. Remotedesktopdienstprofile" (sieh' Dir die beiden Registerkarten mal an, sehen zwar gleich aus, die eine ist aber für FAT-Clients gedacht, die andere für Terminalserver).

 

Grüße

 

von

 

departure

[Tobi123456 10]

Ich weiß nicht, was mit einem Profil passiert, in das von 2 verschiedenen Systemen aus (FAT-Client und Terminalserver) gleichzeitig (!) hineingeschrieben wird. Zumindest die ntuser.dat und auch die *.pol-Datei sehe ich da in größter Gefahr. Auch manche Inhalte des Ordners "Anwendungsdaten" ("AppData") würden dabei korrumpiert, fürchte ich. Nicht umsonst trennt Microsoft in den Eigenschaften des Nutzers im Active Directory sehr strikt nach "Profile" und "Terminaldienst- bzw. Remotedesktopdienstprofile" (sieh' Dir die beiden Registerkarten mal an, sehen zwar gleich aus, die eine ist aber für FAT-Clients gedacht, die andere für Terminalserver).

 

Da hattest du absolut recht, ich habe dazu noch folgenden Artikel gefunden:

Terminal Services Client Roaming Profile Is Inconsistent or Overwritten

Es wird nicht empfohlen die gleichen Profile zu verwenden.

 

Ich werde dann wohl auch zwei Profile verwenden, eines für die Anmeldung an den Workstations und eines für den TS.

Werde dann die Eigenen Dateien mittels Netzlaufwerk beiden Profilen zur Verfügung stellen.

In der GPO unter Benutzerkonfiguration-WindowsEin-Ordnerumleitung befindet sich nur Anwendungsdaten,Desktop,Eigene Dateien und Startmenü.

Die Favoriten sehe ich hier zum Beispiel nicht. Weißt du ob die zu Anwendungsdaten gehören, oder ob ich die Umleitung dafür woanders einstellen kann?

[departure 10]

Genau kann ich's im Moment nicht sagen, doch ich glaube, man kann die bereits vorgeschlagenen Verzeichnisse um weitere erweitern (fuchtel doch mal ein bißchen mit der rechten Maustaste herum, vielleicht zeigt sich in irgendeinem Kontextmenü in den GPO's ein "Hinzufügen" oder ähnliches). Sorry, weiß es im Moment nicht genauer, aber ich weiß sicher, daß auch Favoriten umgeleitet werden können.

 

 

Grüße

 

von

 

departure

[Tobi123456 10]

Alles klar, danke für die Antworten, hat mir schonmal sehr weitergeholfen.

 

Gruß

Tobi