Bin am Evaluieren von LMN 7 als Ersatz für SkoleLinux, weil meine Windows 10 Clients ohne Active Directory nicht mehr vernünftig laufen. Die Schüler arbeiten unter Linux, doch die meisten Lehrer/innen verwenden Windows und sind es gewohnt eigene Benutzerprofile zu haben.
Bei der Standardinstallation von LMN 7 müsste ich die Lehrer/innen dazu bringen ihre Daten nur noch auf H: zu speichern. Doch die bestehenden Gewohnheiten sind anders.
Mein aktueller Lösungsansatz ist, die Verzeichnisse Desktop, Documents und Downloads durch auf symbolische Links auf H:\Desktop, H:\Documents, H:\Downloads zu ersetzen.
Wenn es interessiert, wie sich das weitgehend automatisch installieren lassen müsste: https://blog.spblinux.de/2020/07/linuxmuster-win10-client-documents-on-network-drive/
Die „Installation“ funktioniert so: Benutzer melden sich auf Computer an. Sobald global-admin sich auf diesem Computer einmal anmeldet, werden bei allen bisher angemeldeten Benutzer die symbolischen Verknüpfungen erstellt. (Bevor das passiert ist, werden die Daten vom logon script kopiert.) - Allen Usern die Berechtigung zu geben, symbolische Verknüpfungen zu erstellen, ist unter Windows aus Sicherheitsgründen keine so gute Idee.
Christian
Hallo Christian!
Ich möchte dich im Namen von lmn hier begrüßen und mich herzlich für deinen ersten Beitrag bedanken. Gleich mit einer Lösung zu starten finde ich cool. Danke!
Wie habe ich das von dir beschriebene zu verstehen, wenn ich es mit linbo in Verbindung setze? Das mit den schon an den Clients bisher angemeldeten Benutzer erschließt sich mir nicht.
Beste Grüße
Thorsten
Hallo Thorsten
Meine Grundidee war, dass ich Benutzerprofile löschen kann (bzw. dass die Profile bei erstmaliger Anmeldung neu erstellt werden) und dass trotzdem die Inhalte von Desktop/Eigene Dateien/Downloads erhalten bleiben. Ob man dann linbo verwendet, das beim Synchronisieren, soweit ich es verstehe, die (lokalen) Profile der gewöhnlichen Benutzer entfernt, oder ob man existierende Windows 10 Clients manuell in die Domäne aufnimmt, macht dabei keinen Unterschied.
Was ich jetzt auch getestet habe: Was passiert, wenn man die symbolischen Links bereits im default Benutzerprofil hat? Dann werde die symbolischen Links übernommen, wenn sich ein User erstmalig anmeldet. Sollen heissen: Wenn man auf den Windows 10 Clients die default Profile verändern will, dann braucht man meine logon/logoff Skripte nicht. Dann reicht (auf admin cmd Konsole):
cd c:\users\default
ren Desktop Desktop.tmp
(Vorsicht ist die Mutter der Porzellankiste: Umbenennen und nicht löschen.)
mklink /d Desktop H:\Desktop
(ebenso für Documents und Downloads)
Aber es muss dann sichergestellt sein, dass alle Benutzer auf H: Zugriff haben und dort die Ordner Desktop, Documents und Downloads existieren!
Christian
Hallo Christian,
Was ich jetzt auch getestet habe: Was passiert, wenn man die
symbolischen Links bereits im default Benutzerprofil hat? Dann werde die
symbolischen Links übernommen, wenn sich ein User erstmalig anmeldet.
Sollen heissen: Wenn man auf den Windows 10 Clients die default Profile
verändern will, dann braucht man meine logon/logoff Skripte nicht. Dann
reicht (auf admin cmd Konsole):cd c:\users\default
ren Desktop Desktop.tmp
(Vorsicht ist die Mutter der Porzellankiste: Umbenennen und nicht löschen.)
mklink /d Desktop H:\Desktop
(ebenso für Documents und Downloads)
das ist cool.
Ich hab das früher mal unter win7 mit dem librarytool gemacht: das hat
auch symlinks erstellt.
Unter win10 1511 (oder so … ein altes halt) ging das auch noch: ob das
immer noch geht, weiß ich nicht.
Aber es muss dann sichergestellt sein, dass alle Benutzer auf H: Zugriff
haben und dort die Ordner Desktop, Documents und Downloads existieren!
das bedeutet: man muss darauf nur dann achten, wenn man neue lokale
NUtzer erstellt, denke ich.
Viele Grüße
Holger
Hallo zusammen,
ich habe den Beitrag und die verlinkte Doku/Script gelesen und verstehe nicht ganz was der Unterschied zu einer Ordnerumleitung via GPO ist.
Vielleicht kannst Du den Unterschied erklären, Christian?
Danke!
Viele Grüße
Klaus
… getestet unter win10 1909
Ja hauptsächlich dann. Zudem sobald sich ein linuxmuster-Domänenbenutzer auf dem betreffenden lokalen Computer anmeldet und noch kein eigenes lokales Profil hat, sodass sein lokales Benutzerprofil erzeugt wird. (Aber man könnte im Voraus auf dem Server für alle User in den Benutzerverzeichnissen Desktop, Documents und Downloads anlegen.)
Gruss, Christian
Hallo Klaus
Danke für den Hinweis!
Vermutlich ist der Hauptunterschied, dass ich so weiss, was genau passiert. (Bin bereits über die gpo-Feinheiten gestolpert, nämlich dass logon-Skripte %logonserver% in der Richtlinie verwenden dürfen, dagegen start/stop-Skripte bei den sich das Maschinenkonto am Server anmeldet \\server brauchen.) - Wenn es sauber läuft, dann ist dein Vorschlag GPO-Ordnerumleitung besser. Wenn man hier guckt, dann löst das sogar das Ordner-Anlegen Problem mit. Und möglicherweise macht es eben auch mehr als man möchte, etwa dass es bei Zieländerungen versucht zu synchronisieren (gemäss diesen Hinweisen).
Gruss, Christian
Hallo Christian,
die Ordner werden bei Verwendung der GPO „Ordnerumleitung“ selber angelegt. Offlinedateien wären praktisch für Laptops welche auch außerhalb der Schule verwendet werden, hat aber in meinen Versuchen nicht funktioniert. Wenn der Laptop offline ist, versucht Windows 10 immer noch \server zu erreichen. Hier habe ich noch keine Lösung.
Wenn man Offlinedateien nicht möchte, dann kann man die am Client auch deaktivieren.
Viele Grüße
Klaus
Edit: Ich bin hier nach dieser Anleitung vorgegangen:
Tja, jetzt habe ich das mit der GPO-Ordnerumleitung in den Home-Ordner des jeweiligen Benutzers umgesetzt und …
-
das funktioniert nur, wenn der Benutzer auf seinem Home-Ordner für Dateien und Unterordner vollen Zugriff hat; die Berechtigung Ändern reicht nicht.
-
Linuxmuster erstellt die Home-Ordner aber nur mit CHANGE statt FULL Berechtigung für Dateien und Unterordner im Home-Ordner
-
anzeigen lassen kann man sich das auf dem server mit: sophomorix-cacls /srv/samba/schools/default-school/teachers/USERNAME
-
Studium des outputs von sophomorix-add beim Anlegen eines Benutzers per Webinterface führt einen schliesslich dazu, dass die Berechtigungen von hier genommen werden: /usr/share/sophomorix/devel/ntacl
-
folglich ersetzt man in student.home.ntacl.template und in teacher.home.ntacl.template CHANGE durch FULL bei folgendem Eintrag: ACL:@@WORKGROUP@@@@USER@@:ALLOWED/OI|CI|IO/CHANGE
-
das Tückische daran ist, dass man fortan bei jedem server-update prüfen muss, ob diese Änderung noch da ist. - An die Entwickler: Spricht etwas dagegen die obige Änderung von CHANGE zu FULL in die reguläre Distribution aufzunehmen?
-
in /usr/share/sophomorix/devel/sophomorix.ini findet sich der Eintrag ADD_HOOK_DIR=sophomorix-add.d Weiss jemand, wo man dieses Verzeichnis findet oder anlegen muss? Dann könnte man die Berechtigung auch nachträglich per Skript anpassen (per smbcacls, das auch von sophomorix-cacls genutzt wird)
Gruss, Christian
Hallo Christian,
ja dagegen spricht tatsächlich etwas. Eine Anforderung die an das Schülerhome besteht ist dass Schüler Dateien nicht vor Lehrer verstecken können.
Gibt man Ihnen volle Rechte auf ihr Homeverzeichnis so können Daten beliebige Rechte gegeben und somit vor anderen versteckt werden.
Die Anforderungen gehen hierbei sicherlich auseinander und laufen auch teilweise gegen Datenschutzbenken, gegenwärtig ist das aber der Zustand.
Die GPO Ordnerumleitung würde ich generell nicht empfehlen für Schulen. Die Probleme fangen da an wo Schüler und Lehrer Laptops haben welche nicht immer eine Verbindung zum Schulserver haben.
In diesem Fall haben Sie keine Chance Daten entsprechend abzulegen.
Unsere Best Practice Lösung geht einen ähnlichen Weg wie der Linux Client:
Bei diesem gibt es im Home einen Link welcher Home_auf_Server heißt und auf das Netzlaufwerk führt.
Wir legen unter Downloas, Bilder etc. per GPO ein Link an mit dem Inhalt Downlaods_auf_Server etc. pp.
Nicht die technisch ausgefeilteste Methode aber eine welche sich im Alltag eigentlich in allen Situationen bewehrt hat.
Natürlich spricht wenig dagegen entsprechende GPOs wie die Umleitungen die du beschrieben hast umzusetzen, im Augenblick gibt es aber auch noch keinen Schalter um angepasste ACLs zu verteilen, insbesondere weil Änderungen hier immer einen riesen Rattenschwanz mit sich schleppen.
Ich denke das kann mal in Zukunft kommen, es gibt aber noch andere Baustellen welche gerade wichtiger sind.
Ich hoffe ich konnte etwas zum Verständnis beitragen.
Gruß,
Andreas
Hallo Andreas
Danke für die schnelle, ausführliche Antwort! Die Umgebungen, in denen linuxmuster eingesetzt wird, können eben sehr verschieden sein. Soweit ich das mittlerweile verstehe, hat linuxmuster den Ansatz, dass es für die Benutzer grundsätzlich nur Standardumgebungen gibt, die nicht persönlich einrichtbar sind. - Von skolelinux kommend haben wir eine Umgebung, in der die Nutzer ihren Arbeitsplatz ein Stück weit konfigurieren können und dann eben auch dafür verantwortlich sind. Aktuell setze ich das mit linuxmuster um und bürste dabei wohl linuxmuster etwas gegen den Strich …
Die Windowscomputer bei mir an der Schule sind fest installierte Geräte und fast nur für die Lehrer im Einsatz. (Habe gerade probiert, was unter Windows 19.09 passiert, wenn man sich bei ausgestecktem Netzwerkkabel anmeldet. Anmelden dauert ewig, funktioniert aber und das Testdokument im Ordner eigene Dokumente ist noch da; Fussleiste im Explorerfenster zeigt Status Offline. Erweckt den Anschein notfallmässig nutzbar zu sein.)
Ausgezeichnet ist, dass linuxmuster ein so aktives Projekt ist! - Morgen werde ich erstmals sehen, wie sich meine Linux-Schülerarbeitsplätze unter linuxmuster verhalten.
Gruss, Christian
Hallo Christian,
ich denke hier kann man auch entsprechend nacharbeiten.
Generell ist ja denkbar für Lehrer die Umleitung zu konfigurieren und für Schüler nicht, ich könnte mir vorstellen dass Lehrer auch mehr rechte auf das eigene Home haben, das habe ich aber nicht im Kopf.
Ich hab jetzt nicht alle im Detail gelesen, aber wenn die Dokumente auch Offline vorhanden sind, so benutzt du Roaming Profile. Auch hier gibt es natürlich Vor- und Nachteile.
Persönlich rate ich auch hiervon ab da in diesem Fall beim Anmelden die Daten jedes mal Synchonisiert werden müssen damit diese auch im entsprechenden lokalen Profil vorhanden sind.
Für Lehrer kann das Sinn machen, für Schüler finde ich das Kontraproduktiv, insbesondere da die Profilordner auf den Maschinen verbleiben und so den lokalen Speicher voll laden.
Technisch ist es natürlich hier auch möglich zu konfigurieren dass das bei Laptops anders gehandelt werden soll wie bei Desktop PCs.
Alles in allem ist das eine Frage des Konzepts 
Gruß,
Andreas