Ich habe das Problem, dass meine Win2000 Clients beim Anmelden an der Domäne (Samba 2.2.8) das benutzerabhängige Profil vom Server herunterladen. Mein Problem ist, dass sie es auch dort belassen, wenn sich der Benutzer wieder abmeldet. Daher meine Frage, ob es eine Möglichkeit gibt das Profil nach dem abmelden wieder zu löschen.

Gruß

Sebastian

Hi,

ich hoffe (!) ich verstehe dich richtig und du willst auf den Clients die Profile nach Benutzung löschen. Dies ist jedoch eine Windows-Frage. Ich denke, dass das nicht geht. Vorteil ist doch, wenn die Profile lokal liegen, dass diese nicht vollständig geladen werden müssen. Somit sinkt die Netzlast und es geht schneller.

Wenn du auf deinem Server die Profile nach Nutzung löschen willst, wovon ich nicht ausgehe, brauchst du auch keine Servergespeicherten Profile, da diese dann jedesmal neu angelegt werden müssten. Und wenn ein Benutzer sich von einem anderen Rechner anmeldet hat er eben sein Profil nicht!

Nochwas: Sollte ersteres zutreffen und der Server mal nicht erreichbar sein, kannst du immer noch die lokale Kopie des Profils laden.

Gruß Columbo

Hi,

ich habe zwar kein W2k. Aber soweit ich von meiner WinNT-Zeit her noch weiß, konnte man das beim WinNT im Profil-/Benutzer-Manager einstellen wo das Benutzerprofil gespeichert werden soll (lokal, Server, Server mit lokaler Kopie).

Pingu

start->ausführen->gpedit.msc :) viel spass beim suchen

Erstmal Danke für die schnellen Antworten.

@Pingu:

Tja, die Einstellungen gibt es nicht mehr, es gibt nur noch Servergespeichertes Profil und Lokales Profil. Obwohl ich Servergespeichertes Profil gewählt habe wird es nach dem abmelden nicht wieder gelöscht.

@ Columbo0815:

Ja, du hast mich richtig Verstanden ich will das Benutzerprofil nach dem Abmelden vom Arbeitsplatzrechner dort löschen. Und zwar aus dem einfachen Grund, weil sons irgendwann die Festplatte voll ist. Ist jetzt schon zweimal passiert und es kann sich niemand mehr anmelden. Wenn ich immer nur ein Profil herunterlade, dann dürfte das wohl nicht so schnell passieren.

@CYP:

Da habe ich schon gesucht, aber nicht brauchbares gefunden. Ausserdem, würde ich das gerne global mittels Policy regeln und nicht auf jedem PC selbst.

ist ja das selbe - bei den lokalen sind nur mehr templates drin ...

bei den alten war es zwischengepeicherte profile löschen oder so ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DeleteRoamingCache"="1"
"cachedlogonscount"="0"

^^Hab ich bei Windows XP eingestellt und funktioniert. Muesste mit W2k aehnlich oder gleich sein. Kannste ja in eine .reg Datei reinschreiben und via bashscript ausfuehren lassen.

Das sieht gut aus, ich werde das mal audsprobieren.

viel spass beim löschen der profile!

wenn der user angemeldet ist läst er es nicht zu das profile zulöschen da einige datein in benutzung sind.

als admin angemeldet läst w2k häufig es auch nicht zu das man die profile ordner löscht.
weil angeblich keine entsprechende rechte auf datei und ordner xyz auf ebene 7 vorhanden sind.(so ein blödsinn bin doch administrator)

um die profile einzuschränken nimmt doch poledit kann man server-seitig verwenden für alle clients.

bei poledit kannst du die profile größen festlegen (bei mir sind das 5 mb) so das du nicht auf server-seitige-profile versichten mußt.

cu burn

@burn ... mit der policy werden die profile automatisch von der workstation gelöscht sobald der user sich abmeldet - und kein lokaler benutzer ist

ich hatte massive probleme mit dem löschen der profile bei uns.

auf grund der policy werden dann soge. tmp-profile verwendet.

damit kann aber keiner der user seine arbeitsoberfläche z.B word und co für sich anpassen.


falls ich mich da täusche bitte berichtigen.


cu burn

Wie binde ich denn die Policy-Datei ein, nachdem ich sie erstellt habe?

Also erstmal ist das alles sehr lustig zu lesen. Ich muss euch leider sagen das ihr nicht viel Ahnung von Windows nt/2000 im Netz habt (wie verwunderlich in einem linuxforum :-)).

DAs ganze wird ab Windows 2000 in den Gruppenrichtlinien definiert. Da meines Wissens Samba damit nicht umgehen kann, solltest du auf die alte NT4 Variante zurückgreifen und mit poledit eine Policy Datei anlegen. In der kannst du eine Option setzten die bewirkt das das Profil beim abmelden gelöscht wird.

Die Policydatei gehört in die Samba freigabe Netlogon$. ALs Tipp kann ich dir noch mit auf den Weg geben das du die Verzeichnisse "lokale einstellungen\Temp" und "lokale einstellungen\Temporary Internet Files" vom zurückschreiben ausschliessen solltest. Die sind meistens für das Aufblähen eines Profiles veraPntwortlich und schuld daran das der Anmeldevorgang ewig dauert.

@sean price
solche sachen am client ändern war ja wohl nen guter scherz (man gehe mal von mehr als 10 Rechnern aus...)

Matze

danke mkresin :) aber ich glaube schon das die meisten hier mit windows auch ganz gut klar kommen (wir haben zumindest genug clients ;) )

mit samba bleibt einem, wie du schon gesagt hast, nur die möglichkeit die alten nt4 .pol datein zu benutzen

oder aber (wie wirs gemacht haben) den ordner c:\winnt\system32\grouppolicy beim login zum
client zu kopieren -> (klar das ist nur ein mieser workaround da jeder nutzer entsprechende rechte auf den lokalen grouppolicy ordner braucht und ihn notfalls auch löschen kann - aber samba exportiert nun mal nicht (stand 2.2.8) die windows üblichen globalen gruppen (samba kennt da nur domain admins und domain guests)
und wenn man gruppen spezifische richtlichen vergeben will ist man mit 2 gruppen doch recht eingeschränkt


eine weitere möglichkeit wären gruppenspezifische netlogon ordner (mit jeweils einer ntconfig.pol ) allerdings muss man damit noch mehr verwaltungsaufwand treiben als bei unserer grouppolicy-kopiererei (logonscripte,"default user" profile und und und)

Also, um das ganze mal zusammen zu fassen. Ich gehe mit Poledit hin und erstelle mir meine beutzerabhängigen Policy dateien. Diese kopiere ich dann in den Ordner, wo auch meine Logonskripte liegen, also die Netlogon Share. Die Frage die bleibt ist, wie sage ich meinem Samba Server welche Policy Datei er nehmen soll. Bei den Skripten habe ich die Option "logon script", für die Policies fehlt mir da eine Option. Im übrigen werden bei Windows 2000 die beiden von dir angesprochenen Ordner standardmäßig nicht auf den Server kopiert. Zumindest bei mir nicht. Man muss nur aufpassen, dass man z.B. Moziallas Cache auch nicht wieder auf den Server kopiert.

Wieso mehrere Policy Dateien? Du kannst/musst in einer Policy Datei mehre Benutzer /Computer anlegen und die Rechte für diese unterschiedlich setzten. Der Standardnutzer/Standardcomputer betrifft immer alle Nutzer/Computer die sich an deiner Domäne anmelden. Deshalb diese besser nicht verändern. Bin mir nicht mehr ganz sicher, glaube aber du kannst policies auch auf Gruppen festnageln.

Matze

@mkresin stimmt aber was machst du bei 1000 usern :) die unterschiedliche policys haben wollen aber nicht per gruppen angesprochen werden können da samba wie gesagt die "globalen windows gruppen" kaum kennt (die aber zwingend notwendig für poledit sind) sind die möglichkeiten halt etwas eingeschränkt

@Sebastian Henrich genau poledit starten und nach wünschen editieren und dann unter \\server\netlogon\ntconfig.pol speichern

Danke. Das habe ich mir nachdem ich mit dem Poledit herumprobiert habe auch schon fast gedacht. Wie muss die Datei denn heißen oder spielt das keine Rolle. Kennst du die Option, wie ich es dem Benutzer erlauben kann die Uhrzeit zu ändern. Ich finde da nämlich nichts in den Policy-Vorlagen. Ansonsten kann ich in den Anmeldeskripten die Uhrzeiten nicht setzen.

Gruß

Sebastian

ntconfig.pol

die uhrzeit setzen zu dürfen ist eigentlich ein benutzer recht keine policy einstellung

aber sinvoller weise wäre eine automatische zeiteinstellung
etweder mit dem windows zeitgeberdienst (oder wie das ding heisst -> dienste)

oder per ntp http://norloff.org/ntp/ntp4172.zip allerdings musst du dafür noch nen ntp server instalieren (ist aber nicht schwierig) siehe beispiel

Ich hatte bis jetzt nur daran gedacht im Logon-Skript einfach mittels dem Befehl "net time" zu setzen. Auf die Idee mit dem ntp Server bin ich nicht gekommen, der läuft aber sowieso au dem Server insofern dürfte das sogar die bessere Lösung sein. Ich schaue mal wo und wie sich das auf den Arbeitsplätzen einstellen läßt.

Sebastian

http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q223/1/84.asp&NoWebContent=1

Vielen Dank damit müsste ich weiter kommen.

@CYP:
Da die NTConfig.pol unter [netlogon] liegt, könnte man dort doch auch als Pfad %G angeben. Darüber sollten sich dann Gruppendefinierte Policies halbwegs simulieren lassen. Ausprobiert habe ich das aber noch nicht.

mamue

ja das meinte ich doch mit "gruppenspezifische netlogon ordner" :)

Hat eigentlich schon jemand samba3 bezüglich dem hier diskutierten Thema mit den Policies getested. Ich selber hatte leider noch keine Zeit dazu und in der Dokumentation findet man auch nicht gerade viel darüber.

Sebastian

In samba3 wird es AFAIK keine Group-policies geben. Der hack mit dem netlogon/%G würde für mich reichen. Aber ich verzichte auch darauf, es wird einfach zu unübersichtlich, ich weiss jetzt ja schon kaum, was ich in der NTConfig.pol eingetragen habe (Dürfen die user jetzt Drucker installieren, oder doch nicht?).
Ich habe mir das zwar notiert, aber wenn ich das für mehrere Gruppen erstellen und pflegen sollte.. nein danke.

mamue

Edit:
@CYP
Dann muss ich das wohl überlesen haben, sorry.