Universität Bielefeld Windows WS-Konfiguration im HRZ AD-Umfeld Universität Bielefeld

Universität |  International |  Benutzer | 
 You are here:
 · Universität Bielefeld
   · >
     · PC - Services des HRZ der UniBi
 
Account freischalten
Allgemeines
Netze
Internet
PC-Services
Storage &  Backup
Security


Beratung/
   Dispatching

Benutzer-
    verwaltung


Raumplan
Kontakt

Index A - Z

 

Windows WS-Konfiguration im HRZ AD-Umfeld

Zur Verwaltung des SAN-basierten Windows-Storage-Fileservers \\FS-Home betreibt das HRZ eine Windows 2003 Active Directory Domain (AD.uni-bielefeld.de) .
Der AD-Memberserver \\FS-Home ist die Plattform für User-Home- , Gruppen-Verzeichnisse sowie die  HRZ-Softwarebündel.
Um AD-Dienste (Login,GPO) und  diesen Fileserver optimal nutzen zu können, empfiehlt das HRZ folgendes Vorgehen bei der Einrichtung von Windows-PCs:


  • Erst-Einrichtung bzw. Migration eines Dienst-Windows-PCs (ab W2K) zur Nutzung von AD-Resourcen :
    • Einrichtungsspez. Login-Recht "<userx>" für das System "Homedir-<einr>" inklusive Volume-Quota (eine Quota inkl. Shared-Bereiche)  und Passwort über die  HRZ-Benutzerverwaltung erzeugen/maintenieren. Siehe ( HRZ-Benutzerverwaltung Dokumentation) . Dieser Vorgang erzeugt eine AD-Userid  <userx> und ein zugehöriges, gleichnamiges User-Home-Directory auf dem HRZ-Filer \\FS-Home\Home\<userx>.
      <userx> in die einrichtungsspez. AD-HRZ_Bundle Nutzergruppe eintragen.
    • Computer-Konto (=Computername gemäß Namenkonvention) in Einrichtung-Computers-OU (vor)erzeugen.
      Bei der Konto-Erzeugung kann festgelegt werden, wer (AD-Gruppe) das Recht bekommt, den entspr. Computer zur Domaine hinzuzufügen. Hierüber ist eine Delegation an Benutzer/Subadministratoren möglich.
      Löschung ungenutzter Computerkonten:
      Das HRZ zahlt an MS CAL-Lizenzgebühren gemäß der Zahl der AD-Computerkonten. Deshalb ist eine periodische Bereinigung (1x pro Monat) dieser Konten notwendig. Gelöscht werden dann alle AD-Computerkonten, deren "LastLogon"-Datum (auf allen DCs) länger als 120Tage (analog Netzdosendeaktivierung) zurückliegt. Falls dies Attribut undefiniert ist ("Vorrats-Konten"), dann wird stattdessen das "CreationDate" geprüft.
    • HRZ-Windows-Image via Netz (PXE,Remote Boot) auf dem PC installieren (nur bei Ersteinrichtung).
    • Computer gemäß vorkonfiguriertem AD-Konto-Namen benennen und (nach Restart!)via Arbeitsplatz/Eigenschaften/Computername/Ändern in die Domain ad.uni-bielefeld.de aufnehmen.
      Hinweis:
      Die Fehlermeldung "Maximale Anzahl ...." ist darin begründet, dass kein dem aktuellen Computernamen entspr. Konto im AD gefunden wurde.
    • Beim Restart werden evtl. (vor Login) definierte , computerspezifische GPOs (AD GroupPolicys) wirksam.
    • Beim ersten AD\<userx> AD-Login  werden ein neues, lokales Userprofile "\dokumente und einstellungen\<userx>[.ad]" eingerichtet (lokales Default-Profile dient als Vorlage) und ggf. userspezifische GPOs wirksam.
      Dann wird i.d.R. auch automatisch ein Desktop-Icon für
    • HRZ_Select zur Installation von HRZ_Bundle Komponenten erzeugt. Der Benutzer kann darüber die gewünschten Komponenten (V-Pakete) schnell selbst etablieren.
      Über die einrichtungsspez. GPO  wird ggf. auch das  Loginscript (VBS) abgearbeitet (HRZ-Standard-Mappings sind P: für das Homedirectory und S: für das HRZ_Bundle ; Installation von Einrichtungs-Netzdruckern ist darüber auch möglich).
      Hinweis: Zur Ausführung von VBS-Loginscripts wird die Windows-Komponente \system32\wscript.exe ausgeführt und greift auf Loginscripte auf den AD-Domaincontroller zu. Dies wird von der evtl. installierten F-Secure Software (App-Control Komponente) evtl. still unterbunden oder es erfolgt ein entspr. App-Control-Prompt. Diese Zugriffe stets enablen/erlauben!
  • Um für migrierte PCs das "gewohnte, bisherige" Userprofile Ux doch wieder zu aktivieren, wird folgendes Vorgehen empfohlen:
    a) und b) sind  nur notwendig, falls  AD\Ux nicht Mitglied der lokalen Admin-Gruppe werden soll.
    -Einloggen als lokaler User Ux.
    a)Dann via Regedit32 AD\<Ux> volle Rechte für "Hkey_users\<lokaler User Ux SID>" und  "Hkey_users\<lokaler User Ux SID>_Classes" Zweige geben.
    b)Via Windows-Explorer AD\<Ux> volle Rechte für das alte Profile "Dokumente und Einstellungen...\<Ux> geben.
    -Einloggen als lokaler User mit Admin-Rechten.
    c)Via Regedit unter "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ ProfileList\" den Profileeintrag für die SID des AD\<Ux> suchen. Dieser ist erkennbar daran, dass in "Profileimagepath" als Pfad "..\<Ux>.ad" steht. Diesen Pfad einfach wieder auf "...\<Ux> verkürzen und bei Neu-Login von AD\<Ux> bekommt dieser wieder sein altes Profile.
    d)Einloggen als AD\<Ux> und "Ownership" für das AD\Ux-Profile übernehmen.
    e)Außerdem   "AD\<Ux>" und/oder  "AD\<einr>_Admins" zusätzlich in die lokale Admin-Gruppe eintragen, falls dies gewünscht bzw. notwendig (wegen z.Bsp. Softwareinstallation oder Remote-Zugriff) ist.
     
  • Netzdrucker können jederzeit via Start/Suchen/Drucker und HRZ_Bundle- Software via Erststart bzw. Start/Einstellungen/Systemsteuerung/Software (zugewiesen/veröffentlicht via GPOs) userspezifisch installiert werden.

Bemerkungen: 

  • Falls Studenten  wegen Einstellung als Hilfskraft in einer Fakultät nun besondere Rechte auf dem Shared_<einr>-Bereich erhalten sollen, sollte dies durch zusätzliche, einrichtungsspezifische  Gruppenmitgliedschaft(en)  realisiert werden. Zusätzliche Mappings dafür lassen sich nötigenfalls durch Zuordnung eines entspr. zus. Login-Scriptes via GPO etablieren.
  • GPOs sind ein mächtiges AD-Werkzeug, mit dem sich auch mächtig viel anrichten läßt. Deshalb können diese (jedenfalls erstmal) nur vom HRZ erzeugt werden. Maintenance etc. kann nach Absprache an dezentrale EDV-Betreuer delegiert werden.
    Die Zuordnung der ausgewählten Softwareinstallations-GPOs zu User-/Computerkonten geschieht durch die dezentralen EDV-Betreuer.

  • Problembearbeitung/Helpdesk
    Um Fehler/Probleme bei der Nutzung der HRZ-PC-Dienste zügig reproduzieren, analysieren und evtl. beheben zu können, benötigt das HRZ über das HRZ Helpdesksystem möglicht viele der folgenden Informationen (soweit zutreffend/relevant):

    Umgebungs-Charakteristika:
    SW-Plattform(en): Windows-Version? SP? Hotfix-Stand? HRZ-Image? (Datum der "C:\!Version.Txt" Datei).
    HW-Plattform: AD User- und Computer-Konto?
    Softwarekomponente? Version? Was genau wurde auf welchem Wege (ggf. Menüpunkte/ Kommando/ Parameter/ bearbeitete Datei) versucht?
    Wann (Ablauf/genauer Zeitpunkt) traten dabei welche Fehlermeldungen/Probleme auf? (evtl. Protokolle/Screenhots).

    Auftritts-Charakteristika:
    Seit wann/ab welcher (lokalen) Änderung tritt das Problem auf?
    PC-/userspezifisches (Userid) Problem? Oder allgemeines? (betroffene Benutzerguppen?)
    Gibts PCs/Userids die nicht betroffen sind?
    Reproduzierbar mit einer neueren Version des betroffenen Softwareproduktes(Office, Mozilla etc.)?
    Was wurde bisher zur Problembehebung versucht (Neuinstallation)?,
    HRZ (Trobleshooting-)Hinweise zum Produkt gelesen?

    Je nach Schwere (betroffene Benutzergruppe/Grad der Behinderung) wird das HRZ versuchen mit angemessenem zeitlichen Aufwand das Problem zu analysieren und möglichst zu beheben bzw. eine Umgehung benennen (SW-Update/Downgrade, Neuinstallation, Patch etc.).

  • H.Reihs/HRZ 5/2008
     
    To top of page