Roaming-Profile: Gleichzeitige Anmeldungen desselben Benutzers

7

Ich verwalte eine Windows Server 2008 R2-Umgebung, die Roaming-Profile und Ordnerumleitung verwendet. Auf den Clientcomputern wird Windows 7 ausgeführt. Aufgrund der Art des Geschäfts melden sich Benutzer selten ab und haben häufig Anmeldungen auf mehreren Computern gleichzeitig. Dies führt offensichtlich zu vielen Problemen mit Konflikten "Der letzte Schreiber gewinnt" und jeder Sitzung überschreibt Änderungen, die in einer anderen Sitzung vorgenommen wurden.

Ich habe verschiedene Methoden ausprobiert, um die Konflikte zu reduzieren, habe aber immer noch keine zufriedenstellende Lösung. Ich verwende die neue Funktion zum Hochladen von Benutzerprofilen im Hintergrund, aber wie dieser Artikel erklärt, löst dies das Problem nicht wirklich: http://blogs.sepago.de/helge/2009/04/02/microsoft-tackles-the- Last-Writer-gewinnt-Problem-von-Roaming-Profilen-in-Windows-7-Server-2008-r2 / . Ich habe auch einige Versuche mit Software von Drittanbietern wie ProfileUnity durchgeführt, hatte aber immer noch einige Probleme damit. Und natürlich schlug ich vor, dass Benutzer sich gewissenhafter abmelden sollten, wenn sie ihren Computer verlassen und bevor sie eine neue Sitzung starten. Das Management sagte jedoch, dass dies einfach nicht passieren und für unsere Umwelt nicht funktionieren wird.

Die Frage ist also, hat jemand von Ihnen Erfahrung mit diesem Problem? Kennen Sie Einstellungen oder Apps von Drittanbietern, die die Konflikte zumindest minimieren, auch wenn sie dadurch nicht beseitigt werden? Gibt es eine Möglichkeit, den Computer regelmäßig abzumelden und wieder anzumelden, was für den Benutzer transparent ist?

DenkerIV
quelle

Antworten:

6

Erstens ist die Verwendung von Roaming-Profilen nichts Falsches, solange sie korrekt implementiert sind. Nur weil sie ein älteres Konzept sind, sind sie in der heutigen IT-Umgebung nicht weniger nützlich oder gültig. Roaming-Profile wurden nicht mit der Absicht eines Benutzers pro PC und eines PCs pro Benutzer erstellt, sondern für Ihren genauen Anwendungsfall, einen oder mehrere Benutzer, die sich an mehreren Computern anmelden (seien es Workstations oder Terminalserver). Ziel war es, dem Benutzer eine konsistente Umgebung (Desktop, Anwendungseinstellungen usw.) zu bieten, unabhängig davon, auf welchem ​​Computer er sich anmeldet.

Zweitens löst die Implementierung eines automatischen Abmeldemechanismus Ihr Problem nicht, da ein Benutzer nicht daran gehindert wird, mehrere Anmeldungen auf mehreren Computern gleichzeitig durchzuführen. Was hindert einen Benutzer daran, sich um 9 Uhr morgens an einem Computer oder TS anzumelden und sich um 10 Uhr morgens an einem anderen Computer anzumelden? Wenn Ihr automatischer Abmeldemechanismus aktiviert wird, haben Sie immer noch das gleiche Problem.

Drittens kann die Ordnerumleitung die Situation verbessern, indem einige Ordner aus dem Roaming-Profil umgeleitet werden. Das Problem wird jedoch nicht gelöst, da nicht alle Benutzerordner umgeleitet werden können. Es gibt Kernkomponenten des Roaming-Profils (ntuser.dat, Programmeinstellungen usw.), die nicht umgeleitet werden können.

Viertens gibt es keine Einstellung, mit der ein Benutzer seiner Sitzung basierend auf der Einstellung für die Anmeldestunden protokolliert wird. Die beiden Einstellungen, die mit dem Abmelden eines Benutzers und dem Trennen seiner Sitzung basierend auf seinen Anmeldestunden zu tun haben, trennen ihn von SMB-Freigaben und nicht von seiner Desktopsitzung. Es gibt Einstellungen zum Beenden (Abmelden) einer Benutzersitzung auf einem TS, basierend auf verschiedenen Zeitpunkten (Leerlauf, Aktiv, Nicht verbunden).

Sie haben leider ein technisches Problem, das durch ein Verhaltensproblem verursacht wurde und mit einer technischen Lösung nicht vollständig gelöst werden kann. Hier sind einige Vorschläge, die helfen können:

  1. Implementieren Sie die Ordnerumleitung (wie von anderen vorgeschlagen) für Ordner wie Eigene Dateien, Desktop, Startmenü.

  2. Wenn sich Ihre Benutzer bei Terminaldiensten anmelden, implementieren Sie eine einzelne Anmeldebeschränkung über das Gruppenrichtlinienobjekt. Dadurch wird verhindert, dass ein Benutzer mehr als eine Sitzung hat.

  3. Informieren Sie Ihre Benutzer über die Gewohnheit, sich abzumelden, bevor Sie für den Tag abreisen. Dies gilt als bewährte Methode / Etikette und sollte vom Management gefördert und unterstützt werden. Wenn sich das Management der Idee widersetzt, sind sie teilweise schuld, wenn das Problem weiterhin besteht.

Joeqwerty
quelle
2

Das große Problem bei Roaming-Profilen besteht darin, dass sie vor langer Zeit Mitte der 90er Jahre für einen bestimmten Anwendungsfall entwickelt wurden: einen PC pro Benutzer und einen Benutzer pro PC. In diesem Szenario funktionieren Roaming-Profile recht gut, aber wenn sich das Szenario ändert, schlagen sie (kläglich) fehl.

Das Problem "Last Writer Wins", das durch gleichzeitige Sitzungen verursacht wird, ist in der Terminalserverwelt, in der ich seit vielen Jahren arbeite, sehr bekannt. Aufgrund von sogenannten Silos ist es dort sehr häufig, dass Benutzer mehr als eine Sitzung gleichzeitig haben.

Das Problem, bei dem der letzte Writer gewinnt, betrifft nicht wirklich die Dateien (die durch Ordnerumleitung gelöst werden könnten), sondern die HKCU des Registrierungsstocks, die in einer einzigen Datei, NTUSER.DAT, gespeichert ist. Diese Datei wird in jeder Sitzung geändert, sodass sie beim Abmelden einer Sitzung immer zurückgeschrieben wird, wobei vorhandene Versionen dieser Datei im Netzwerk überschrieben werden.

Leider gibt es keine Möglichkeit, dies allein mit Roaming-Profilen zu umgehen. Aus diesem Grund sind Profilverwaltungsprodukte von Drittanbietern in der Citrix / Terminal Server-Welt sehr beliebt. Ich habe mitgeholfen, ein solches Produkt zu entwickeln, das später an Citrix verkauft wurde und jetzt mit den Hauptprodukten XenApp und XenDesktop gebündelt ist. Es identifiziert die geänderten Schlüssel in HKCU und führt sie in die Kopie von NTUSER.DAT ein, die sich im Netzwerk befindet.

Andere kommerzielle Produkte lösen auch das Problem des letzten Schriftstellers. Ich fürchte, ich kenne keine freie Lösung.

Helge Klein
quelle
1

Die Ordnerumleitung verringert den größten Teil des Problems, da die meisten Schreibvorgänge nahezu in Echtzeit erfolgen, jedoch über das Netzwerk. Ich habe gesehen, wie Leute aus ihren (bestimmten, nicht Ordner-) Dokumenten ausgeschlossen wurden, weil sie vergessen haben, sie zu schließen.

Sie können außerdem versuchen, sich im Leerlauf abzumelden (wenn Sie das Buy-In des Managements erhalten können, bedeutet dies, dass Ihre Benutzer ihre Arbeit speichern müssen, bevor sie das Unternehmen verlassen, dies sollten sie jedoch trotzdem tun).
http://t3chnot3s.blogspot.com/2011/04/logoff-idle-windows-sessions-via-screen.html

84104
quelle
1

Sie können ein Gruppenrichtlinienobjekt verwenden, um die Abmeldung vom Computer basierend auf den Anmeldestunden zu erzwingen. Dies würde sie nur außerhalb der Geschäftszeiten abschieben und sie nicht wieder anmelden.

Sie können ein Gruppenrichtlinienobjekt verwenden, um eine Drittanbieter-App auf alle PCs zu übertragen, die nach Ablauf eines Zeitlimits eine Abmeldung erzwingen. Ich denke, es gibt einen Bildschirmschoner, der dies erledigt. Wenn der Bildschirmschoner nach X Minuten aktiviert wird, wird der Benutzer abgemeldet. Auch dies wird sie nicht wieder anmelden.

In einer von mir verwalteten Roaming-Profilumgebung war ich mit den Anmelde- / Ausschaltgeschwindigkeiten und dem Netzwerkverkehr, die durch die ständige Synchronisierung der Daten durch die Profile verursacht wurden, WIRKLICH unzufrieden. Einige Leute haben Hunderte von Dateien auf ihren Desktops gespeichert - völlig unnötig. Ich habe die Struktur der Dinge geändert und stattdessen Folgendes getan:

  • Benutzer erhielten auf ihrem Desktop Verknüpfungen zu dedizierten freigegebenen Ordnern auf einem Dateiserver
  • Ich habe alle Daten (Dokumente / Desktop / usw.) in diese freigegebenen Ordner verschoben
  • Benutzer sollten Dateien NICHT lokal in ihrem Profil speichern

Dies löste die Probleme, die ich sah, weil ihre Profile jetzt sehr ordentlich und sauber waren, die Anmeldungen sehr schnell waren und ich Probleme mit mehreren geöffneten Kopien von Dateien behoben habe, weil sie die Meldung "Datei ist bereits geöffnet" erhalten würden, wenn sie versuchen würden, sie zu öffnen eine Datei auf dem Dateiserver von einem zweiten PC. Dies half auch bei einigen Problemen mit Dateisicherungen, die ich bekam, da ich alle wichtigen Daten auf einem einzigen Server hatte, auf dem ich Sicherungen ausführen konnte.

Wenn Sie nicht daran interessiert sind, die Konfiguration Ihrer Umgebung zu ändern, müssen Sie Ihre Benutzer schulen. In vielerlei Hinsicht scheint mir dies kein Problem zu sein, das Sie beheben müssen. Die Umgebung funktioniert korrekt, die Benutzer wissen einfach nicht, wie sie die Dinge richtig machen müssen. Sprechen Sie mit Ihrem Management und fordern Sie eine Schulung an, stellen Sie einen 15-minütigen Vortrag über das ordnungsgemäße Speichern zusammen und melden Sie sich von den Arbeitsstationen ab. Sagen Sie ihnen nicht, dass sie es falsch machen - sagen Sie ihnen nur, dass sie weniger Probleme haben und ihre Arbeit einfacher und effizienter wird, wenn sie die Dinge so tun, wie Sie es unterrichten.

jlehtinen
quelle
Sie können kein Gruppenrichtlinienobjekt verwenden, um den Benutzer aufgrund seiner Anmeldestunden abzumelden, da diese Einstellung dies nicht bewirkt.
Joeqwerty
Ich würde schwören, dass ich diese Richtlinie verwendet habe, um die Abmeldung zu erzwingen, aber das war in Server 2k3. Hat es sich geändert oder denke ich an das Falsche? Ich nehme an, selbst wenn Sie Probleme mit der integrierten Sicherheitsrichtlinie für Anmeldestunden hatten, können Sie dennoch ein Gruppenrichtlinienobjekt bereitstellen, das ein Abmeldeskript basierend auf einem Zeitplan
ausführt
1
Möglicherweise denken Sie an die Einstellungen zum Beenden (Abmelden) eines TS-Benutzers basierend auf der aktiven, inaktiven oder nicht verbundenen Zeit.
Joeqwerty
1

Sie können einen Windows-Dienst oder eine Exe auf jeden Computer übertragen, der den Prozess wfica32.exe überwacht. Wenn dieser Vorgang aufgrund eines reibungslosen Roamings vom Computer verschwindet, sperren Sie die Workstation.

Jay Ehlen
quelle
Dies beantwortet die Frage nicht. Sie sollten eine Antwort angeben, die angibt, wie Konflikte verhindert oder die Aktualisierung von Dateien erzwungen werden können, selbst wenn der Benutzer die Workstation sperrt, anstatt sich abzumelden.
Bernie White
0

Sie sollten sich UserLock ansehen , eine Softwarelösung von Drittanbietern, mit der Sie (unter anderem) die gleichzeitige Anmeldung (gleiche ID, gleiches Kennwort) pro Benutzer, Benutzergruppe oder Organisationseinheit und pro Sitzungstyp (Arbeitsstation) verhindern oder einschränken können , Terminal, Interaktiv, Internetinformationsdienste oder VPN / RAS).

Einschränkungen können detailliert festgelegt werden und von Benutzer zu Benutzer, von Gruppe zu Gruppe oder von Organisationseinheit zu Organisationseinheit variieren.

Außerdem ermöglicht UserLock Benutzern das Schließen einer vorherigen Sitzung von der neuen Workstation aus, von der aus sie sich aufgrund der maximal zulässigen Anzahlbeschränkung nicht anmelden dürfen.

François
quelle
0

Eine Lösung zur Verhinderung gleichzeitiger Benutzeranmeldungen kann auch mit LimitLogin erreicht werden, für das kein Kauf erforderlich ist (im Gegensatz zu UserLock). Es hat möglicherweise nicht so viele Funktionen, aber es ist kostenlos.

Download und Informationen finden Sie hier im Microsoft TechNet:

Wir erwägen, dies bei einem unserer Kunden zu implementieren, da ähnliche Probleme mit Roaming-Profilen auftreten.

SysAdman
quelle