Know How
Page tree

Versions Compared

Old Version 1

changes.mady.by.user Klaus Keipke

Saved on

compared with

New Version Current

changes.mady.by.user Klaus Keipke

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Allgemeines

In sogenannten "Roaming Profiles" werden die persönlichen Daten eines Windowsbenutzers auf einem Netzwerkordner gespeichert.
Das hat u.a. den Vorteil, dass man auf jedem Windows-Client "seinen" Desktop bekommt nebst persönlicher Konfiguration und seinen persönlichen Dateien/Ordnern wie z.B. "Dokumente", "Downloads" etc.

Man muss dazu mit einem Domainkonto angemeldet sein.
Als "Option" in den Einstellungen eines Domainbenutzerkontos kann der (Netzwerk-)Pfad angegeben werden auf dem dieses Profil gespeichert wird.

Voraussetzungen

  • Diese Anleitung bezieht sich auf Ubuntu 14.04 und Samba 4
    Zuletzt getestet mit Samba 4.1.6
  • Es muss ein Samba-Domaincontroller vorhanden sein.
    Ggf. nach folgender Anleitung konfiguriert: Konfiguration samba als active directory domain controller
  • Auf dem Domaincontroller muss auch das Paket "winbind" installiert und konfiguriert sein, damit die Namensauflösung der Domainbenutzerkonten funktioniert.
  • Soweit nicht anders angegeben beziehen sich die in diesem Artikel beschriebenen Konfigurationsschritte auf den Domaincontroller

Verwendete Konfiguration

ParameterWert
DomainMB
Realmlemaker.fritz.box
IP des Domaincontrollers192.168.101.18

 

Vorbereitung

Namensauflösung der Domainkonten prüfen

Mit den folgenden Befehlen sollte die Liste der Domainbenutzer und -gruppen angezeigt werden

Code Block
root@lemaker:~# wbinfo -u
Administrator
Guest
krbtgt
DK
root@lemaker:~# wbinfo -g
Enterprise Read-Only Domain Controllers
Domain Admins
Domain Users
Domain Guests
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Group Policy Creator Owners
Read-Only Domain Controllers
DnsUpdateProxy
root@lemaker:~#

Sollte das nicht funktionieren bitte prüfen ob das Paket "winbind" installiert ist, der service "winbind" gestartet ist und die folgende Konfiguration vorhanden ist:

Code Block
titleAuszug aus der Datei /etc/nsswitch.conf
passwd:         compat winbind
group:          compat winbind

 

Konfiguration

Profilpfad anlegen und berechtigen

In diesem Beispiel wird der Pfad /var2/profiles verwendet.

Code Block
root@lemaker:/etc/samba# mkdir -p /var2/profiles
root@lemaker:/etc/samba# chmod 1770 /var2/profiles
root@lemaker:/etc/samba# chgrp "Domain Users" /var2/profiles

Anpassung der smb.conf

Code Block
[global]
		....
        domain logons = yes
        logon path = \\192.168.101.18\profiles\%U
 
[netlogon]
        path = /var/lib/samba/sysvol/lemaker.fritz.box/scripts
        guest ok = no
        read only = yes
 
[Profiles]
        comment = Users profiles
        path = /var2/profiles
        read only = no
        store dos attributes = Yes
        guest ok = no
        browseable = Yes
        create mask = 0600
        directory mask = 0700
        profile acls = yes
        csc policy = disable
        valid users = @"MB\domain users"

Anmerkungen:

ParameterHinweise
logon pathHier muss der Netzwerkpfad angegeben werden aus Sichtweise des Windowsclients, also als sogenannter UNC-Pfad.
\\<Server>\<Freigabename> 
Wenn diese Einstellung verwendet wird bedeutet das, dass alle Domainbenutzer standardmäßig ein Roaming Profile verwenden.
(Welches unter diesem Pfad gespeichert wird)
Der Platzhalter %U wird während der Verwendung durch den Anmeldenamen des Benutzers ersetzt, ggf. gefolgt von einem Versionszusatz des Betriebssystems.
Ich habe als Servername hier die IP-Adresse verwendet. Man kann selbstverständlich auch den DNS-Namen des Servers verwenden.
Allerdings birgt das eine gewisse Fehlerquelle.
Sollte es Probleme geben sollte man als erstes prüfen ob der Windowsbenutzer Zugriff auf die Freigabe hat. (ohne den zusatz %U)
valid users

In der Freigabe "Profiles" wird die Berechtigung durch Angabe der gültigen Benutzer vergeben.

...

In diesem Beispiel:
Allgemein:

@"DOMAIN\Gruppe"

hier @"MB\domain users" bedeutet ==> "Alle Domainbenutzer" 

Alle Benutzer die in dieser Gruppe sind haben Zugriff auf die Freigabe "Profiles"
Der Gruppenname incl. Domain muss in "" Anführungszeichen gesetzt werden, weil ein Leerzeichen im Gruppennamen enthalten ist. 

Nach Abschluss der Konfiguration ggf. mit "testparm" die Konfiguration testen und danach samba-Service neu starten:

Code Block
service samba-ad-dc restart

Einstellungen am Profil des Domainbenutzers

Mit Hilfe des "Server Managers" können die Einstellungen an der Domain von einem Windows-PC aus administriert werden.
Download des Server Managers: https://www.microsoft.com/de-DE/download/details.aspx?id=45520

In den Benutzereinstellungen des Profilpfad einstellen

Bild 2 zeigt die Benutzerprofile.
Diesen Dialog erreicht man über "Systemeigenschaften", "Benutzerprofile"
Die Solleinstellung ist "Typ=Roaming" 

Gallery
sortname

Troubleshooting

Wenn bei der Benutzeranmeldung ein "temporäres" Profil verwendet wird sind evtl. die Berechtigungen auf die "Profiles"- Freigabe nicht ok.
Das testet man am besten mit dem betroffenen Benutzeraccount in dem man im Explorer den UNC-Pfad des Freigabeordners eingibt.

Code Block
\\192.168.101.18\profiles

https://wiki.samba.org/index.php/Implementing_roaming_profiles