Problemstellung: es soll eine Ordnerumleitung für Anmeldungen an einer Windows Terminal Services (WTS) Umgebung konfiguriert werden. Davon sollen die Profile der lokalen Ebene nicht berührt werden.
Begrifflichkeiten
Benutzerprofile in Windows können lokal gespeichert sein oder Zentral von einem Server abgerufen werden (Roaming Profiles). Die Konfiguration von Roaming Profiles ist in Unternhemensnetzwerken üblich. Der Benutzer erhält auf allen Computern, auf denen er sich anmeldet, ein einheitliches Benutzererlebnis. Programmeinstellungen, die Programme in der Startleiste, das Hintergrundbild und viele weitere Einstellungen werden in dem Roaming Profil gespeichert. Dabei wird ein lokal auf dem Computer vorgehaltenes Profil bei jeder An- und Abmeldung mit dem servergespeicherten Profil abgeglichen. Existiert noch keine lokale Kopie, wird diese erstellt. Normalerweise unter C:\Users\Benutzername. Es gibt auch einen lokalen Anteil eines Benutzerprofils. Dieser Anteil wird nicht abgeglichen. Zu dem Roaming Profil gehören z.B. auch die Ordner Desktop, Downloads und Dokumente. Sind in dem Profil viele Daten enthalten, kann das die An- und Abmeldung stark verzögern. Dem Benutzer wird beim Profilabgleich bei der An- und Abmeldung die Meldung „Warten auf Benutzerprofildienst“ angezeigt. Bei einer Ordnerumleitung werden Profilordner auf einem Netzwerkpfad (UNC) abgelegt. Die Profildaten müssen bei der An- und Abmeldung nicht mehr kopiert werden. Es wird direkt auf den Netzwerkpfad zugegriffen. Das hat eine schneller An- nud Abmeldezeit zur Folge. Außerdem spart man Speicherplatz auf den Clients, da die Profilordner nicht mehr auf jedem Client gespeichert werden müssen. Dies ist vor allem in Terminal Services Umgebungen von großem Vorteil.
Vorgehen
- Überlegungen zum Rollout
- Anlegen des Netzwerkverzeichnisses und Rechtevergabe
- Erstellung der Gruppenrichtlinie
Überlegungen zum Rollout
Je nach größe der Umgebung und Unternehmensstrategie sollte man sich darüber Gedanken machen, ob das Speichern in persönlichen Ordnern überhaupt erlaubt werden soll oder ob mit Projektlaufwerken und ähnlichem gearbeitet wird. Außerdem sollte man sich auf Speicherplatz- und Performancegründen Gedanken über folgendes machen:
- Speicherplatzdimensionierung
- Backup
- geschwindigkeit Netzanbindung
- separater Fileserver
Eine Aussage über die hier nötigen Entscheidungen hängt von der Unternehmensstruktur ab.
Anlegen des Netzwerkverzeichnisses
Da die Profilverzeichnisse ständigem Zugriff unterliegen, sollte der Server über eine ordentliche Anbindung zu den Terminal Servern verfügen. Server untereinander sollten heutzutage generell mit mindestens 10 MBit angebunden werden. Mit 1 MBit hat es bei uns funktioniert aber die Netzlast wird ja auch nicht weniger. Daher bitte die Zukunft einplanen.
Die Profildaten werden unterhalb eines freigegebenen Netzlaufwerks gespeichert. Die Berechtigungen müssen hierfür entsprechend gesetzt sein. Die ist die häufigste Fehlerquelle dafür, dass eine Ordnerumleitung nicht funktioniert.
Microsoft hat ein Best-Practice-Guide dafür. Der ist zwar für Windows 2003 aber die nötigen Berechtigungen haben sich seitdem nicht geändert. Admins haben nach diesem Guide keinen Zugriff auf die Ordner. Eine solche Konfiguration wird hier beschrieben.
Erstellung der Gruppenrichtlinie
Für die Einrichtung der Ordnerumleitung erstellen wir eine neue Gruppenrichtlinie (GPO). Nennen wir diese einfach mal „Ordnerumleitung“.
Alle Benutzerprofilordner, die unter Ordnerumleitung aufgeführt sind, können umgeleitet werden. Alle Ordner werden gleich konfiguriert. Ordner, wie z.B. Musik, die normalerweise unter dem Ordner Dokumente liegen, werden auf der selben Ebene wie alle anderen Ordner angelegt. Die Freigaben sind in UNC-Notation anzugeben.
Sicherheitseinstellungen für die Gruppenrichtlinie
Da nur auf den Terminalservern die Ordnerumleitung aktiviert werden soll, darf die Gruppenrichtlinie nur in einer speziellen OU greifen. Gerade zum Testen ist es Sinnvoll die Umleitung auch nur auf bestimmte Nutzer oder Gruppen zu beschränken. Da die Gruppenrichtlinie in der Benutzerkonfiguration konfiguriert wird und die OU normalerweise nur die Terminalserver enthält, muss ein sogenanntes Loopback eingerichtet werden. Dies bewirkt, dass in der OU nicht nur die Computereinstellungen, sondern auch die Benutzereinstellungen geladen werden.