WIN XP im Netzwerk:

Ich habe in unserem Arktur-Netzwerk jetzt (Sommer 2004) angefangen win xp zu installieren. Ich habe XP auf 24 Rechner mit Athlon 1800, 256 MHz, 40 GB (LW C: 10 GB) installiert. Da wir backmagic zum Klonen benutzen und wir unnötige Rechteprobleme nicht mögen, haben wir XP auf FAT32 installiert. Die zusätzliche Sicherheit, die NTFS vielleicht bietet, schaffen wir auf anderem Wege, nämlich mit der Protector-Software DRIVE von www.dr-kaiser.de. Meine Installation leistet folgendes: Anmeldung mit domain logon, jeder User findet einen einheitlichen, unveränderbaren Desktop vor. Dieser Desktop ist gespeichert in P:\ntprofile\Desktop und kann dort einheitlich für alle Rechner ergänzt und geändert werden.

Weiterhin haben alle User persönliche Favoriten für den Internet Explorer, die gespeichert sind in U:\favoriten. Die "Eigenen Dateien" sind umgeleitet nach U:\. Damit ist eine einheitliche und zugleich persönliche Umgebung gewährleistet. Diese beschriebenen Umleitungen geschehen mit Hilfe von poledit. Um jedoch eine schnelle Anmeldung zu gewährleisten, werden bei uns keine Profil-Dateien durchs Netz geschaufelt, sondern alle Profile sind lokal, werden bei der Anmeldung angelegt, und sind beim nächsten Neustart wegen DRIVE wieder verschwunden. Damit ist auch auf dem Desktop ein festes Hintergrundbild (unser Schullogo) mit im Kreis ums Logo angeordneten Ordnern mit unveränderlichen Positionen gewährleistet.

Nach tagelangem Experimentieren bin ich jetzt auf eine verblüffend einfache Lösung gestoßen, die ich im Nachhinein nicht mehr überprüfen kann, da ich schon zu viele Änderungen vorgenommen hatte, ich skizziere jetzt mal die einfache Lösung und bitte um Rückmeldung.

Zuvor jedoch deaktiviere die Höllenoption "Offline Dateien", sonst hast du, ohne es zu merken, plötzlich beim Experimentieren über 2 GB in c:\windows\csc (A-Platz-Extras-ordneroptionen-Offline-dateien)

Einfache Lösung (ohne poledit, aber mit TweakUI):

1. Nach Einrichtung von Domain logon, schaltet man DRIVE aus, meldet man sich als Domain user "adm" an und gibt ihm lokale Adminrechte (wichtig). Nun sollte automatisch in \\arktur\adm\ntprofile (oder gleichbedeutend p:\ntprofile bzw. u:\ntprofile) ein servergespeichertes Profil erstellt worden sein mit u.a. dem Ordner "Desktop".

2. Nun schaltet man mit gpedit.msc die servergespeicherten Profile aus (Computerkonfiguration-Adminvorlagen-System-Benutzerprofile-"Nur lokale Profile zulassen"-aktivieren). Weiterhin gibt man mittels gpedit.msc die Proxy-Voreinstellungen für den Internet Explorer ein: (“Benutzerkonfiguration-WindowsEinstellungen-InternetExplorerWartung-Verbindung-Proxyeinstellung” und “Computerkonfiguration- administrative Voreinstellungen- Windowskomponenten- Internet Explorer - Proxyeinstellungen pro Computer- aktivieren”)

3. Nun ändert man mittels TweakUI für XP von Microsoft (mittels google von irgendwo downloaden) das Desktop auf P:\ntprofile\Desktop, die "eigenen Dateien" auf U:\ und die IE-Favoriten auf U:\favoriten (bei uns liegen sie schon da von w98 her) ("My Computer - Special Folders"). Danach Neustart, sonst funktioniert es für neue user nicht.

4. Nun installiere ich als "adm" Programme,  richte die Voreinstellungen von Programmen ein und gestalte das Desktop.

5. Nun kommt das Entscheidende. ich melde mich als "kuk" an und kopiere die ntuser.dat und ntuser.dat.log von "adm" in den Ordner "C:\Dokumente und Einstellungen\Default User" und überschreibe damit dessen Einstellungen, zusätzlich kann ich auch noch die anderen Ordner wie Anwendungsdaten, Vorlagen usw. kopieren, so dass der “Default User” nun "adm" entspricht. Den Desktop von adm kopiere ich nach p:\ntprofile. so das wars. Nun DRIVE wieder einschalten. Unter NTFS sollte es im Prinzip genauso gehen, nur wird da die Rechteproblematik alles umständlicher machen. ( Achtung NEU: man kann jetzt XP so konfigurieren, dass “adm” direkt nach “Default User” schreibt, ein Kopieren der ntuser.dat usw. ist dann also nicht mehr erforderlich !! Genaueres s.u.)

6. Nun sollte jeder beliebige Domänenuser sich anmelden können und ein lokales Profil erhalten, das dem von "adm" entspricht. Diese neue Profil wird wegen der Protektor-Software beim nächsten Neustart gelöscht.

7. Bei Software-Neuinstallationen sich unter "adm"  anmelden. Die Einstellungen von “adm” auf "Defuser" sollte wieder "kuk" übertragen.

8. Man sollte mittels gpedit noch einige andere Sachen ändern, zB den unsäglichen "Desktopbereinigungsassistenten abstellen" oder die "Netzwerkumgebung" und IE usw. vom Desktop entfernen. Die Offline-Dateien sollte man mittels ArbeitsPlatz-Extras- Ordneroptionen-Offlinedateien deaktivieren.

Meine realisierte Lösung, die etwas umständlicher ist:

1. s.o. 1. Absatz entsprechend

2. Man holt sich von ftp://ftp.suse.com/pub/people/lrupp/schoolserver/win/ die setuppol.exe und winxp-suse.adm, installiert damit poledit und kopiert in den dabei entstandenen Ordner c:\programme\ork97\policy die .adm-Datei.

3. Man starte poledit. In Options-Policy template füge man die winxp-sus.adm hinzu, die anderen remove man. File-open registry- lokaler Computer-Nutzung poledit-updatemode="Laut Pfadangabe" (hier lag mein Fehler!!!) - PfadAngabe="\\arktur\adm\ntprofile\ntconfig.pol" - save

4. Nun die Internet Explorer Einstellungen angeben für alle: poledit- File-open registry - LocalUser -IExplEinschränkung-(Proxy+Startseite) - save!

5. Umleiten der Systemordner: poledit- File - neue policy- standarduser -systemordner- Eig.Dateien "U:" , Desktop"P:\ntprofile\desktop" und Favoriten"U:\favoriten" verlegen. save als P:\ntprofile\ntconfig.pol

6. nun mit gpedit.msc: ComputerKonfiguration - AdminstrativeVorlagen-System-Benutzerprofile- nur lokale Profile zulassen -aktivieren

so das wars wohl im Prinzip, erbitte Rückmeldungen bzw. Verbesserungsvorschläge.

Folgenden Link habe ich erst später entdeckt, er verfolgt eine ähnliche Lösung mit lokalen Profilen, jedoch ist dort jeder user mit admin-rechten versehen, was den Vorteil hat, dass es keine Start-Probs mit alten Progs gibt. (bei mir ist inzwischen auch jeder user admin-user, dann gibt es weniger probleme mit Progs). Außerdem ist die dortige Lösung wegen der Benutzung von "Profile kopieren" wohl besser für NTFS geeignet. Lediglich befremdet mich dort der fehlende einheitliche, zentrale Desktop, na ja vielleicht wurde es vergessen.

http://www.lehrerfortbildung-bw.de/netz/muster/linux/material/profile.html

Interessante weitere Lösung zum zentralen Desktop:
http://www.arktur.de/Wiki/Client:Windows#Vorschlag_von_Christoph_Eberhardt
 

Weitere Kleinigkeiten:

weitere Neuinstallation XP:

Solange alles nur Sockel-A-Mainboards o.ä. waren, kamen wir mit einer einzigen XP-Installation aus, die per sysprep auch auf andere mainboard-Typen geklont wurde. Jetzt haben wir jedoch Sockel 753 von AMD und da war nichts mehr mit sysprep, es musste vollständig neu installiert werden. Wichtig dabei:
1. adm/workgroup muss “Administrator” sein
2. Um den Desktop auf P:\ntprofile\desktop zu übernehmen, reicht es nicht, mittels TweakUI den Desktop-Pfad bei ”special folders” anzupassen, sondern es muessen noch die Desktop-Eigenschaften mittels TweakUI angepasst werden:
--Arbeitsplatz an 1. Stelle ?
--Welche Systemordner sollen auf dem Desktop erscheinen ?

Wie wird “jeder” user in die Gruppe “Administratoren” aufgenommen?
-- Arbeitsplatz-Re Maustaste-Verwalten-System-Lokale Benutzer und Gruppen-Gruppen-Administratoren-re Maustaste-Eigenschaften-Hinzufügen-Jeder-OK

Wie erreiche ich, dass “adm” direkt nach “Default User” schreibt ?
Ich setze voraus, dass “Jeder” Administrator ist und dass das Profil “adm” schon existiert und nach “Default User” kopiert wurde.

1. als lokaler Administrator anmelden (nicht als “adm” !)
2. regedit aufrufen und nach
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
navigieren
3. dort den Key suchen, dessen Wert "ProfileImagePath" auf "%SystemDrive%\Dokumente und Einstellungen\adm" zeigt und diesen in "%SystemDrive%\Dokumente und Einstellungen\Default User" abändern.
4. den Ordner C:\Dokumente und Einstellungen\adm löschen
5. Nun kann man sich als “adm” an der Domain anmelden und es wird (Kontrolle!) kein “adm”-Profile erzeugt.
Dabei wird der Standardprofilpfad des “adm” Users so geändert, dass alle Profildateien nach dem Neustart automatisch im "Default User" Ordner landen; ein Kopieren des Profils nach der Installation von Software ist somit nicht mehr nötig. Das funktioniert so wahrscheinlich nur bei FAT32 als Dateisystem !

(verkürzt aus: http://www.myshn.com/forum/viewtopic.php?t=139&highlight=profilelist )

Anmeldungsverweigerung nach 30 Tagen
Insbesondere wenn man per sysprep eine XP-Installation auf ein neues System mit anderem Motherboard clont, werden leider viele Sicherheitseinstellungen auf default-Werte zurückgesetzt. So kann man sich plötzlich nach 30 (oder 40) Tagen nicht mehr an der Domäne anmelden. Abhilfe: man meldet den Compi von der Domäne ab und wieder an, dann gehts wieder für 30 Tage, was natürlich etwas unbefriedigend ist.
workaround: mittels gpedit.msc ändere man den folgenden Eintrag von 30 in  999 Tagen:
“Computerkonfiguration-windowseinstellungen-Sicherheitseinstellungen-Lokale Richtlinien-Sicherheitsoptionen-Domänenmitglied: Max. Alter von Computerkennwörtern”.

Dauerhafte Abhilfe:
Allerdings hilft das nur dann etwas, wenn man vorher - wenn der Computer gerade in der Domäne angemeldet ist, aber noch vor dem Neustart (siehe Arktur-Doku-Kap. 5.5)- den Arktur XP-Patch einspielt (von mir sind die ersten beiden Einträge geändert!)

XP-Domainanmeldung.reg:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000001
"maximumpasswordage"=dword:00000000
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001
"Update"="no"

Lars Rupp hat die Schlüssel in einer email erläutert:

“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000==> Soll die Kommunikation allg. verschlüsselt werden? Nein
"DisablePasswordChange"=dword:00000001==> Maschinenpasswort nicht ändern
"requirestrongkey"=dword:00000000==> Wird ein starker Schlüssel vom Server erwartet? Nein
"sealsecurechannel"=dword:00000000==> Ausgehende Nachrichten auf einem sicheren Kanal zusätzlich
verschlüsseln? Nein.(Gegensatz zu oben!)
"signsecurechannel"=dword:00000000==> Sollen ausgehende Nachrichten digital unterzeichnet werden? Nein(Gegensatz zu oben!)
"maximumpasswordage"=dword:000003e7==> Passwortalter max. 999 Tage, mehr geht nicht. Enfällt aber normalerweise auch bei DisablePasswordChange..”

Proxy-Einstellung für alle user vornehmen:

mittels gpedit.msc:
1. Computerkonfiguration- administrative Voreinstellungen- Windowskomponenten- Internet Explorer - Proxyeinstellungen pro Computer- aktivieren
2. Benutzerkonfiguration- Windows Einstellungen- Internet Explorer Wartung- Verbindung- Proxyeinstellungen

Nachrichtendienst abschalten

 Der Windows-Nachrichtendienst lässt sich mittels “services.msc” deaktivieren.

Bei Anmeldeproblemen:
kann helfen:

das “default user” Profil zu verkleinern: wenn ca 100 MB, dann Anmeldezeit ca 1Min, bei ca 10 MB nur 20 sec. Also durchforsten, insbesondere google-earth bläht auf, oder die java-Installationsdatei aus Anwendungsdaten-Sun löschen.

gpedit.msc ausführen und dort unter
Computerkonfiguration - Administrative Vorlagen - Netzwerk - Offlinedateien
folgende 4 Einträge konfigurieren:

Die Funktion "Offliendateien" zulassen bzw. nicht zulassen - deaktivieren

Benutzerkonfiguration von Offlinedateien nicht zulassen - aktivieren

Alle Offlinedateien beim Anmelden synchronisieren - deaktivieren

Alle Offlinedateien vor der Abmeldung synchronisieren - deaktivieren