HowTo: Windows Desktop read only / roaming Profiles

Problem: Wir haben Laborrechner, an denen ein Benutzeraccount fuer viele User und verschiedene Rechner moeglich ist. Die Anmeldung mit dem Benutzeraccount ist auf die Laborrechner beschraenkt (vgl. Blogeintrag: Samba/LDAP: Benutzeraccount auf Rechner beschraenken). Dadurch das viele User den Account gemeinsam nutzen muellt der Desktop sehr schnell zu und die Anmeldung wird unsagbar langsam.

Loesung: Den Desktop schreibgeschuetzt machen um ein weiteres zumuellen zu verhindern. Dazu…

Wenn man bei einem Benutzeraccount mit roaming Profiles den Windows Desktop auf read only setzen moechte, muss die folgende Zeile in die netlogon.bat fuer den User eingefuegt werden:

cacls "%USERPROFILE%\desktop" /E /P %USERNAME%:R

Damit wird beim Anmelden an den Rechner in der lokalen Kopie des Profils der Ordner „Desktop“ mit NTFS-ACLs auf read only gesetzt.

Wenn man nun aber ebenfalls die Option „Benutzer bei Fehlschlag des servergespeicherteten Profils abmelden“ aktiviert hat, ist eine weitere Anmeldung nicht mehr moeglich, da der Kopiervorgang vom servergespeicherten Profil/Desktop in die lokale Kopie/Desktop nicht mehr moeglich ist, da der Ordner bereits Schreibgeschuetzt ist. Eine Abhilfe schafft dort die Option „Verzeichnisse aus servergespeichertem Profil ausschliessen“ die man aktivieren und als Ordner „Desktop“ angeben muss.

Hetzner EQ-Server + KVM && bridge

Vorneweg: Es ist ein Krampf bis ich es rausgefunden hatte…

Eine Bridge einrichten, dafuer:

aptitude install bridge-utils

und anschliessend die /etc/network/interfaces entsprechend anpassen:

### Hetzner Online AG - installimage
# Loopback device:
auto lo
iface lo inet loopback
 
# device: eth0
auto  eth0
iface eth0 inet manual
 
# bridge: br0
auto br0
iface br0 inet static
	address		188.XX.XX.142
	broadcast	188.XX.XX.191
	netmask		255.255.255.192
	gateway		188.XX.XX.129
 
	bridge_ports	eth0
	bridge_stp	on
	bridge_maxwait	5
 
	up		route add -host 188.XX.XX.160 gw 188.XX.XX.160
	up		route add -host 188.XX.XX.161 gw 188.XX.XX.161
	up		route add -host 188.XX.XX.162 gw 188.XX.XX.162

Dabei darauf auf die klassischen Fehler achten:

  1. echo 1 >> /proc/sys/net/ipv4/ip_forward
  2. iptables -P FORWARD ACCEPT

Wichtig war bei mir unter Ubuntu Linux auch noch in der /etc/sysctl.conf den folgenden Wert einzukommentieren:

 net.ipv4.ip_forward=1

Bei der Konfiguration der virtuellen Maschinen dann das Netzwerk ueber die bridge (br0) konfigurieren. Nachtraeglich kann man das sonst auch noch in der entsprechenden /etc/libvirt/quemu/MASCHINENNAME.xml anpassen:

    <interface type='bridge'>
      <mac address='54:52:00:3f:35:9d'/>
      <source bridge='br0'/>
    </interface>

In der Maschine selber ist es dann nur noch wichtig, die IP des Hauptsystems als Gateway einzutragen, ein Beispiel fuer die /etc/network/interfaces eines Gastes waere:

auto lo
iface lo inet loopback
 
# The primary network interface
auto eth0
iface eth0 inet static
	address		188.XX.XX.162
	broadcast	188.XX.XX.191
	netmask		255.255.255.192
	gateway		188.XX.XX.142

Die Informationen hier habe ich aus dem Blogeintrag: „Hetzner: EQ-Serie mit zusaetzlichen IP-Adressen (HowTo)“ und den bridge-krams aus meinem Kopf…

[Update]

  • 2010-10-18: stp=on und sysctl Absatz hinzugefuegt