Über Mark Heitbrink

Ich knüpfte Anfang der 1980er erste Kontakte zum Medium Computer. Im Sommer 1992 begann meine berufliche Laufbahn als Lehrling in einem Computer Shop. Heute ... weiterlesen »

Workshop-Termine

Jahr 2014:
24.11. - 26.11.2014 - Workshop Gruppenrichtlinien in Regensburg
01.12. - 03.12.2014 - Workshop Deployment in Regensburg

Jahr 2015:
kommt im Januar 2015

Ordnerumleitung 3 - Profile .v2 - Vista aufwärts

Autor: Mark Heitbrink

30.03.2013

Artikel 3 von 5 - Ordnerumleitung für Benutzerprofile .v2 (Vista aufwärts)

Mit Windows Vista wurde das Profil in der Version 2 eingeführt. Die Ordnerstruktur hat sich komplett geändert. Für die Client Side Extension der Ordnerumleitung bedeutet das:

  • Es können nun ALLE Ordner des Benutzerprofils umgeleitet werden, sehr cool. Endlich.
  • Empfehlung: v2 Profile werden nach v2 Regeln umgeleitet, sie sind nicht abwärtskompatible zu XP. XP ist tot. Irgendwann muss man die Technik wechseln, jetzt ist der richtige Zeitpunkt.
    "Umleitungsrichtlinie auch auf Windows 2000, Windows XP ... anwenden" ist und bleibt deaktiviert. 
  • Eigene Dateien heissen jetzt Dokumente oder auch Eigene Dokumente. In einer heterogenen Umgebung, wo sich ein Benutzer mal an XP und mal an Windows 7 anmeldet, führt das schon zu den ersten Support Calls. Die einzige Lösung ist: Komplett Migration nach Window 7/8/Blue/Whatcomesnext
  • Eigene Musik, Eigene Bilder und Eigene Videos liegen nicht mehr unterhalb der Eigene Dateien. Sie haben einen eigenen Ordner auf derselben Ebene und werden einzelnd definiert. Sie folgen nicht den Eigenen Dokumenten. In Heterogenen Umgebungen liegen also die Musik Dateien von XP unterhalb von "Eigene Dateien\Eigene Musik", aber bei Anmeldung an Windows 7 unter "\Musik". Das kriegt man niemals synchronisiert und der Ärger mit dem Anwender ist vorprogrammiert. Landen alle Umleitungen in derselben Share findet der User nun  2 mal dieselben Ordnernamen mit leicht veränderten Icons und weiss nicht, welcher Ordner zu welchem OS gehört. Viel Spass -> Großer Ärger ...
  • Die Grundstruktur der Ordnernamen ist Englisch. Sie werden durch die Shell32 im Explorer in die jeweilige Sprache lokalisiert. Hinweis: Dieser Automatismus funktioniert einwandfrei von englisch in jede andere Sprache. Die Übersetzung rückwärts oder von Deutsch in jede andere Sprache ist suboptimal.
  • Der Explorer wertet in beiden Welten (v1 und v2) die desktop.ini unterhalb der Ordner aus. Daraus resultieren ebenfalls Namensgebungen an der Oberfläche. Ihr kennt sicherlich die "Dateien von BenutzerX" in der Ansicht in XP. Die kommen aus der automatischen Übersetzung der Shell32 und der Auswertung der desktop.ini
  • Die Option "Dem Benutzer exklusive Zugriffsrechte für Ordner erteilen" wird nicht verwendet.


Fazit: 
Einen Tod müsst ihr sterben. 

Wir trennen die Umleitungen nach Operating System. "Windows v2" wird niemals "Windows v1" kompatibel, das würde nur die Umstellung verzögern und die Entscheidung hinausschieben. Wir machen "Windows v1" ein wenig ".v2" kompatibel und leben mit "kleinen" Fehlern in Windows XP. Aber lieber haben wir kleine Fehler in einem System das abgelöst wird, als Fehler in die neue Struktur einzuführen, die man die nächsten 15 Jahre nutzen wird.. JETZT! ist der richtige Zeitpunkt die Weichen zu stellen. Der Umbruch erfolgt mit der Einführung des ".v2"


Kurzfassung unseres Todos:

  1. Trennung der GPOs per WMI
  2. Richtlinien/Grundkonfiguration neben der eigentlichen Ordnerumleitung.
  3. Ordnerumleitung v2
  4. Computerabhängige Bereitstellung der Ordnerumleitung, zB Offline Dateien an/aus



1. Trennung der GPOs per WMI


Es geht in dem folgenden Filter nur um den Punkt "v2". Ob Client oder Server ist egal. Die Einführung fand mit Vista statt. Wir werten die BuildNumer aus. Sie ist das einfachste Erkennungsmerkmal. Alles größer 5000 ist V2, aller kleiner 4000 ist V1.

SELECT * FROM Win32_OperatingSystem WHERE BuildNumber > '5000'

Buildnumber

Operatingsystem

2600

Windows XP

3690

Windows 2003

6000

Vista

6001

Vista SP1/Server 2008 (SP1)

6002

Vista SP2/Server 2008 SP2 

7600

Windows 7/Server 2008 R2

7601

Windows 7 SP1/Server 2008 R2 SP1

9200

Windows 8/Server 2012


2a. Richtlinien/Grundkonfiguration neben der eigentlichen Ordnerumleitung.


Die folgende Richtlinien ist nicht zwingend notwendig, aber sie hilft  bei der Trennung der unterschiedlichen Anforderungen. Seit Windows XP werden umgeleitete Ordner automatisch Offline bereitgestellt, denn auf einem Gerät/Notebook, daß die Firma verlässt müssen die Daten im Zugriff sein, damit fehlerlos gearbeitet werden kann. Im LAN ist die Offlinefunktionalität eher selten verwendet. Ich schalte den Automatismus aus. Die umgeleiteten Ordner werden später nur auf den Systemen offline bereitgestellt,  die ich vorgebe.

Diese Richtlinie gibt es seit XP, hat aber den Platz (eigene Category seit Windows 7) gewechselt und sie ist umbenannt (Windows 8) worden. Jetzt heisst es "Alle ..." statt "Umgeleitete ..." Microsoft macht einem das  Wiederfinden von bekannten Einstellungen nicht gerade leicht ... :-(

Benutzerkonfiguration/Administrative Vorlagen/System/Ordnerumleitung 
Alle umgeleiteten Ordner nicht automatisch offline verfügbar machen = Aktiviert


3. Ordnerumleitung

Die Berechtigungen sind richtig definiert: Ordnerumleitung 2 - Berechtigungen auf Home Folder

Die Frage, was alles umgeleitet werden soll, ist wie immer situationsabhängig. Handelt es sich im eine TerminalServer/RemoteDesktop Services Farm mit einem Loadbalancer, dann ist die Antwort simpel: Alles!
Im Falle der RDS Farm, kann der Benutzer nicht entscheiden auf welchem der Server er landet, denn die Entscheidung trifft der Loadbalancer. Dem Benutzer sollen auf jedem System die Daten zur Verfügung stehen. Die Lösung alleine auf Roaming User Profiles zu setzen ist schlecht, denn hier müssen wir immer den Synchronisationprozess der Profile durch Ab-/Anmeldung abwarten. Sollte die Session aber über einen TimeOut oder auch Crash beendet werden, erfolgt keine ordentliche Abmeldung und somit werden die Daten nicht zurückgeschrieben. Sie stehen auf einen anderen Computer nicht zur Verfügung. Die Lösung ist, die Kombination von Roaming User Profiles und Ordnerumleitung. Mit der Ordnerumleitung ist es möglich, das mehrere Systeme gleichzeitig auf dieselbe zentrale Datenressource zugreifen, ohne erst eine Synchronisation abzuwarten.. 
Es geht um die Zentrale Datenablage, siehe: Ordnerumleitung 1 - Argumente

Ordnerumleitung "Eigene Dokumente"

  • Standard . Leitet alle Ordner auf den gleichen Pfad um. Alternativ kann hier nach Sicherheitsgruppe unterschieden werden, um z.B.: Standorte und damit verbundene Standortserver zu trennen.
  • Einen Ordner für jeden Benutzer im Stammpfad erstellen, der Stammpfad ist der UNC PFad.
  • Es muss nur der UNC Pfad angegeben werden. Der "%username% Anteil mit dem Unterordner \Documents wird automatisch erstellt.


(klick-vergrößern)

Reiter/Tab Einstellungen -> deaktivieren: Dem Benutzer exklusive Zugriffsrechte ... erteilen




Ordnerumleitung "Musik" - gleiches Vorgehen

  • Standard . Leitet alle Ordner auf den gleichen Pfad um. Der Ordner Musik folgt nicht dem Ordner "Eigene Dokument", er wird nicht automatisch unterhalb davon erstellt.
  • Einen Ordner für jeden Benutzer im Stammpfad erstellen, der Stammpfad ist der UNC PFad.
  • Es muss nur der UNC Pfad angegeben werden. Der "%username% Anteil mit dem Unterordner \Documents wird automatisch erstellt.
  • deaktivieren: Dem Benutzer exklusice Zugriffsrechte ... erteilen

usw.

4a. Offline Dateien auf Notebooks verwenden, aber nicht auf LAN Clients

Die Lösung ist recht einfach, wenn beide Arten von Computern in unterschiedlichen OUs vorliegen. 

a) Trennung über OU
OU=LAN_CLIENTS, daran verlinkte GPO mit folgender Richtlinie:
Benutzerkonfiguration/Administrative Vorlagen/System/Ordnerumleitung 
Alle umgeleiteten Ordner nicht automatisch offline verfügbar machen = Aktiviert

OU=WAN-CLIENTS (Notebooks)
... keine Konfiguration notwendig, denn umgeleitete Ordner werden seit XP automatisch offline bereitgestellt.

b) Trennung über WMI Filter
Ihr habt ein Namenskonzept, alle LAN-Clients beginnen mit "PC-" alle Notebooks mit "NB-".
Jetzt braucht ihr 2 Gruppenrichtlinien. Beim Filtern von Richtlinien können  jetzt verschiedenen Denkansätze zum Ziel führen.  

WMI Query für die Notebooks:
SELECT * FROM Win32_ComputerSystem WHERE DNSHostName LIKE 'NB-%'

Entweder schaltet ihr offline Dateien generell aus und nur für eine spezielle Gruppe wieder an, oder ihr nutzt generell die Offlineverfügbarkeit und schaltet sie für eine bestimmte Gruppe von Computern wieder aus.

Ich persönlich bevorzuge "aus für alle" und "an für wenige".

Ihr habt eine OU mit allen Computer Objekten, daran werden 2 Richtlinien verlinkt. Die eine widerspricht der anderen. Die zuletzt angewendete Richtlinie definiert den Wert. Die "gewinnende" Richtlinie wird nach oben sortiert.
Siehe: Filtern von Gruppenrichtlinien anhand von Benutzergruppen, WMI und Zielgruppenadressierung
... wer keine OUs verwendet muss nun beide WMI Filter (Windows 7 + Computername) kombinieren. Die Trennung über die OUs ist einfacher und vor allem sinnvoll. 

(klick-vergrößern)


4c. Primärer Computer: Besonderheit/SonderFilterungsmöglichkeit ab Windows 8

Ab Windows 8 gibt es den "Primären Computer/Primary Computer" welcher im Benutzerobjekt im AD Attribut "msDS-primaryComputer" hinterlegt werden kann. Die Idee ist, daß die Ordnerumleitung nur auf diesen Computer (oder eine Liste von Computern) erfolgt. Auf allen anderen bleiben die Ordner lokal liegen.  Die Filterung "wo" die Ordnerumleitung kann darüber Computerabhängig gesteuert werden. Wer kein Windows 8 einsetzt kann hier in der Gruppenrichtlinie immer noch auf einen WMI Filter zurückgreifen, der den Computernamen abfängt.

Benutzerkonfiguration/Administrative Vorlagen/System/Ordnerumleitung
Ordner nur auf primänren Computer umleiten = Aktiviert


Der Nachteil gegenüber einem "dnsHostname"-WMI Filter auf der GPO ist im Inhalt des msDS-primaryComputer Attributs enthalten: Ihr müsst den distinghuishedName des ComputerObjekts verwenden, d.h. wenn ihr den Computer verschiebt, ist dieser nicht mehr gültig!

msDS-primaryComputer Attribut befüllen


DN, distinghuishedName eines Computer erhalten:

  • C:\Windows\System32\>dsquery computer -name gute*
    "CN=GUTEMINE,OU=Computer,OU=Das Dorf,DC=gallier,DC=ads"
  • AD Benutzer und Computer -  Ansicht auf Erweitert einstellen - Benutzerobjekt auswählen und den Reiter Attribut Editor öffnen.
  • msDS-primaryComputer wählen und den ermittelten DN eintragen


(klick-vergrößern)