Klassenraum mit Netzlaufwerk erstellen

[Ffaw 0]

Hallo zusammen  :)

 

Ich bin leider noch nicht ganz so fit mit den vielseitigen Möglichkeiten der Domäne und speziell Computerrichtlinien, da ich bislang nur Standartprogramme abgespielt habe. Nutzer a,b,c dürfen dies und das nicht etc. pp.

 

Nun möchte ich eine neue Domäne am Arbeitsplatz (Schul-ähnlicher Betrieb mit Klassenräumen) erstellen und entsprechende Konten und Richtlinien einrichten. Ich komme aber überhaupt nicht weiter bei folgendem Problem

 

Wir haben mehrere Klassenräume mit fest installierter EDV Technik (PC1, PC2 usw usw).

Unsere Schüler wechseln ab und an den Klassenraum.

Es soll ein "Share" für jeden Klassenraum erstellt werden, sodass sich Schüler und Lehrer/Dozent austauschen können.

 

Für mich heisst das im Pflichtenheft :

 

Ich benötige Remotegespeicherte Profile für die Schüler, sodass diese auf verschiedenen Maschinen auf Ihre Daten (Desktop usw) zugreifen können

Ich benötige Computergespeicherte Netzlaufwerke, sodass PC1 in EDV Raum 1 auch immer nur das geteilte Laufwerk "EDV 1" sehen kann, egal welcher Nutzer sich anmeldet.

 

Eigentlich klingt das ganz trivial, so dachte ich auch, aber ich bekomme es nicht auf die Reihe über die Gruppenrichtlinien am Server die Netzlaufwerke per Sicherheitsgruppe zu verteilen.

 

Ich habe dafür Sicherheitsgruppen erstellt, S-EDVRAUM1, S-EDVRAUM2 etc. pp

ich habe VOR dem joinen in die Domäne die Computer händisch angelegt und entsprechend Ihrer Position diese in der korrekten Gruppe Mitglied werden lassen (PC1 ist Mitglied von S-EDVRAUM1, PC45 ist Mitglied von S-EDVRAUM3 etc. pp.)

Zudem habe ich eine OU angelegt "EDV-Räume" mit OUs "EDVRAUM1", "EDVRAUM2" usw. Der Übersicht halber. Jeder Computer wurde hier in der entsprechenden OU erstellt.

Anschließend über Tools->Gruppenrichtlinienverwaltung in die policy, und habe dort ein neues Objekt erstellt. Pfad fürs Objekt ist \EDV-Räume\EDVRAUM1

Bei Delegierung habe ich die entsprechende Gruppe zugefügt (S-EDVRAUM1)

Als Richtlinienobjekt dann: BEnutzer-Windows-Laufwerk und die entsprechenden Daten zum Laufwerk eingetragen

 

Einmal als admin angemeldet wurde das Laufwerk gemappt, aber nicht wieder entfernt wenn ich den entsprechenden PC aus der Gruppe S-EDVRAUM1 entfernt habe

Als normal user angemeldet wird überhaupt nichts gemappt.

Da ich kurz da vor war in den Monitor zu beissen, habe ichs dann als Richtlinienobjekt statt benutzer-windows-laufwerk den weg über computer-an-abmeldescripts versucht und eine net use xxx batch abgelegt. Auch das wird beim anmelden nicht durchgeführt

 

ich hab hier bestimmt nen herben Denkfehler, und hoffe, jemand kann mich mal richtig schubbsen

 

Danke für die Geduld :)

 

Grüße

[daabm 1.348]

Du bist nah dran - aber irgendwie auch Lichtjahre weg

• Zugriff auf persönliche Daten macht man nicht über servergespeicherte Profile, sondern über sogenannte Homesets und Ordnerumleitung
• Das Mapping klappt nur, wenn der User auf den Share auch mindestens Leserechte hat
• Die Mappings per GPO unterstützen Zielgruppenadressierung - die macht man also alle in die gleiche GPO für "Authentifizierte Benutzer" im Sicherheitsfilter. Die einzelnen Mappings bekommen dann eine Zielgruppenadressierung auf die entsprechende Gruppe
• Laufwerkmappings verschwinden i.d.R. nicht von selber, die mußt Du über entsprechende gegenläufige Einstellungen explizit entfernen (Eine Zuordnung mit Aktion "aktualisieren", wenn in Gruppe - eine andere "Löschen", wenn nicht in Gruppe)
• GPOs wirken nicht auf Gruppen, sondern auf User und Computer. Wo die Gruppen sind, ist egal. Wenn es Computersettings sind, muß die GPO auf die OU des Computers wirken, bei Usersettings auf die OU des Users

Google hilft Dir bestimmt, entsprechende Tutorials zu finden. Und wenn Du dann konkrete (!) Fragen hast, dann helfe ich gerne weiter.

 

[Ffaw 0]

hi daabm,

 

und erst einmal ein großes Dankeschön dafür, dass du dich bemühst mir zu helfen :)

 

Die erste konkrete Frage hätte ich schon: Was ist denn der Unterschied eines Servergespeicherten Profils und einer Ordnerumleitung?

Ich habe einem Benutzer bspw. in den Eigenschaften über Profil -> Pfad den Pfad angegeben, den ich als freigegebenen Ordner eingerichtet habe. Gilt das dann als "servergespeichertes Profil" ?

Grüße

[mba 133]

Bei der Ordnerumleitung werden die Bibliotheken (Dokunente, Bilder, Videos., desktop.) in eine Freigabe umgeleitet. Sie sind somit nicht mehr Profil. Und "wandern" daher mit,wenn der nutzer den PC wechselt.

Das Profil sind alle Einstellungen des Nutzers, die ordnerumleitung nur einige Ordner.

Die Einstellung die du nennst legt das Profil auf dem Server ab

[Ffaw 0]

hi mba, und auch Dir dankeschön :)

 

okay, dass hab ich jetzt verstanden. Irrtümlicherweise nahm ich an, dass ein servergespeichertes Profil grundlegend alle Profildaten (eigene dateien) mitnimmt. War wohl falsch :)

 

Für Roaming Profiles muss ich nun also beides einrichten: Die Ordnerumleitung in der Gruppenrichtlinienverwaltung sowie das servergespeicherte Profil in den Benutzereinstellungen ?

 

EDIT

Ich habe nun die Ordnerumleitung eingerichtet und das erste Profil eingerichtet. Ich sehe nun nach abmeldung den erstellten Ordner des Profils in meinem Share, darf aber als Admin da nicht reingucken um zu prüfen, ob auch die Daten korrekt abgeladen worden sind.

 

Die Freigabe des Benutzerprofil$ Ordners habe ich nach Anleitung gemacht

https://docs.microsoft.com/de-de/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

 

 

bearbeitet 30. Januar 2020 von Ffaw

[Sunny61 806]

vor einer Stunde schrieb Ffaw:

Irrtümlicherweise nahm ich an, dass ein servergespeichertes Profil grundlegend alle Profildaten (eigene dateien) mitnimmt. War wohl falsch :)

Nein, das ist schon richtig. Im Profil sind natürlich auch die Eigenen Dateien und noch viel mehr. All das wird bei einer An- und Abmeldung auf den SErver zurück synchronisiert. Das kann dauern wenn die User große bis sehr große Profile haben.

vor einer Stunde schrieb Ffaw:

Für Roaming Profiles muss ich nun also beides einrichten: Die Ordnerumleitung in der Gruppenrichtlinienverwaltung sowie das servergespeicherte Profil in den Benutzereinstellungen ?

Nein, das ergibt keinen Sinn. Roaming Profiles machen Ärger, deshalb lässt man sie weg, benutzt lokale Profile mit Ordnerumleitung. Es werden ja auch nur die *wichtig* Ordner umgeleitet, Dateien, Bilder und Videos zum Beispiel.

vor einer Stunde schrieb Ffaw:

Ich habe nun die Ordnerumleitung eingerichtet und das erste Profil eingerichtet. Ich sehe nun nach abmeldung den erstellten Ordner des Profils in meinem Share, darf aber als Admin da nicht reingucken um zu prüfen, ob auch die Daten korrekt abgeladen worden sind.

Das ist grundsätzlich schon richtig so. Der Admin hat dort auch nichts zu suchen/verloren. Der User kann natürlich auch via \\Server\Freigabe\SeinName auf den Inhalt seiner Ordner auf dem Server schauen.

[Ffaw 0]

Vielen Dank Sunny61, dass hilft ungemein

 

Kann ich denn die Berechtigung so ändern, dass der Admin da reinsehen darf? Das wäre mir schon wichtig. Ich habs eben selbst probiert, aber dann war das Profil defekt (...)

[Sunny61 806]

Dieser Artikel sollte Klarheit bringen: https://www.windows-faq.de/2010/06/10/administrator-zugriff-auf-v2-profile/

bearbeitet 30. Januar 2020 von Sunny61

[Ffaw 0]

... na gut lassen wir das  :-D

nun funktioniert das Thema anmelden scheinbar ganz gut. Hab das soweit verinnerlicht.Das ist ja alles so furchtbar umständlich, da muss man sich erst einmal dran gewöhnen, aber das wird, google hilft auch viel  :)

 

Nun bin ich wieder bei den Laufwerken. Ich würde das gerne ohne Startskript sondern über eine GPO lösen. Aber ich weiß nicht wie, da es im Gruppenrichtlinienverwaltungs-Editor unter der Computerkonfiguration keinen entsprechenden Punkt gibt.

 

Was ich möchte ist, bestimmten Klassenräumen ein bestimmtes Laufwerk zuordnen, unabhängig vom angemeldeten Benutzer. Hierfür habe ich Computer zugefügt (die nach join auch erkannt worden, OS usw) und in Klassenraum-OEs gelegt (EDV101 bspw)

Nun erstelle ich im GPOEditor eine neue GPO-Verknüpfung auf die OE Klassenräume, und bearbeite diese. Unter "Benutzer" kann ich direkt Netzlaufwerk wählen, aber unter Computer finde ich nichts dergleichen.

Das muss doch sauber machbar sein ?

vor 36 Minuten schrieb Sunny61:

Dieser Artikel sollte Klarheit bringen: https://www.windows-faq.de/2010/06/10/administrator-zugriff-auf-v2-profile/

supercool, danke  :)

[hologram 11]

Hi,

siehe hier:

und dies GPO verknüpfst Du z.B. in die OU wo die User liegen.

 

Viele Grüße

hologram

 

[lefg 276]

vor 45 Minuten schrieb Ffaw:

da es im Gruppenrichtlinienverwaltungs-Editor unter der Computerkonfiguration keinen entsprechenden Punkt gibt.

 

Moin

 

Wurde schon in die Computerkonfiguraton geschaut?

[Ffaw 0]

Moin, ja da hab ich mir jetzt jeden Punkt angeschaut, und nichts finden können

 

Die Beschreibung von Hologram zeigt mir die Verknüpfung zu Benutzern. Ich benötige aber die Verknüpfung zu Computern, weshalb es auch eine Computerrichtlinie sein muss (?)

[hologram 11]

hi,

und wenn Du mehrere von diesen GPO anlegst,

z.B. Mapping_Raum1, Mapping_Raum2

diese modifizierst du entsprechend für Raum1 oder Raum2 (entsprechende Eintragung unter Benutzerconfig)

 

Wenn ein Rechner in der OU für Raum1 ist, dann greift GPO mapping_Raum1 und in der OU2 greift GPO mapping_Raum2

 

VG

[Ffaw 0]

hm, ich dachte die Benutzerrichtlinien greifen ausschließlich für Benutzer, und nicht für Computer, ganz egal wo was verknüpft ist ? Oder liege ich da falsch?!

[hologram 11]

... schon richtig,

aber die OU Raum1 beinhaltet die Rechner für Raum1. Wenn Du dich an einem Rechner in Raum1 anmeldest, dann greift Mapping_Raum1 und das bekommt dann der User, egal wie er heißt.

Meldet der user sich an einem Rechner von Raum2 an dann wird die mapping_Raum2 angewendet. Und ja, der Benutzer bekommt dann die hinterlegten Einstellungen.

 

VG