Hallo liebes Forum, hätte da mal ein Anliegen: Ich jobbe zurzeit für einen Bildungsträger, in dem unter anderem PC-Kurse für Jugendliche stattfinden. Die Schüler neigen natürlich dazu, die PCs zu verstellen, Datenmüll zu hinterlassen, schrottige Hintergrundbilder einzustellen et cetera ... Als Lösung wurden die Windowsrechner an einen Domänencontroller angebunden. Dort gibt es die Möglichkeit, ein "read-only-Benutzerprofil" zu verwenden, das den Rechner nach jeder neuen Anmeldung wieder jungfräulich erscheinen lässt. Das Problem ist nur: Der Domaincontroller ist irgendwie langsam, auch die Netzwerkinfrastruktur (Kabel und Switches) ist etwas mitgenommen. Daher sind Probleme mit einer langen Bootzeit üblich. Auch einige wichtige Updates wie z. B. Java oder Adobe Reader finden so nicht automatisch den Weg in die Rechner. Jetzt ist mir eine alternative Idee gekommen (ich kenne mich mit Linux etwas besser aus als mit Windows): Man lässt vor jedem Windows-Start kurz ein Mini-Linux starten, dass auf das NTFS-Dateisystem der C:-Partition zugreifen kann. Dann wird einfach der Ordner C:\Users\Benutzer gelöscht und durch eine Kopie eines sorgsam erstellten Ordners (meinetwegen C:\Users\Benutzer.permanent) ersetzt. Man beachte, dass diese Austausch-Aktion im Grunde nur möglich ist, während Windows nicht läuft - weil in dem Benutzerordner auch Dateien der Registrierungsdatenbank sind, die irgendwie memory-mapped sind und nicht einfach gelöscht oder ausgetauscht werden können. Ein Bootvorgang "Erst Linux, dann Neustart und dann Windows" lässt sich mit der Option "booting-once-only" von grub-legacy realisieren. https://www.gnu.org/software/grub/manual/legacy/Booting-once_002donly.html Wenn man jetzt noch ein richtiges Minimal-Linux nimmt, dürfe der Extra-Vorher-Bootvorgang innerhalb weniger Sekunden abgeschlossen sein. Riesenvorteil: Man käme ohne einen extra Domänencontroller aus und könnte sich den Wartungsaufwand dafür sparen. Ich habe es schon mit einer Windows 7-Testinstallation probiert. Es klappt ganz gut. Nur habe ich noch keine Langzeit-Tests gemacht, bei denen untersucht wird, ob Updates für Java, Flash, Adobe Reader und Virenscanner auch richtig ankommen ... Hat hier jemand noch Tipps oder Ideen? Vielleicht geht es ja sogar nur mit Windows-Bordmitteln? Gruppenrichtlinien oder so? Vielen Dank fürs Lesen und das Hineindenken in das Problem! Christian
Mach ein Linux drauf und pack Windows in eine virtuelle Maschine.
Ja, hab ich in der Tat auch schon überlegt. Nur ist das irgendwie doch ein beträchtlicher Aufwand. Erstmal eine Entscheidung für die konkurrierenden Produkte VirtualBox, VMWare, KVM, Xen oder sonstwas treffen. Dann so Details wie Soundkarte und DVD-Laufwerk transparent durchreichen, Netzwerk über Firewall durchreichen, einen speziellen unauffälligen Vollbild-Bildschirmmodus für Windows wählen. Die virtuellen Rechner haben meinem Empfinden nach immer einen leichten Performance-Verlust, so beim schnellen Verschieben von Fenstern. Wahrscheinlich würde sich bei Konfigurationsproblemen auch immer mal wieder das im Hintergrund laufende Linux-System melden, was bei dem Nutzer-Publikum dann riiieesige Fragezeichen in den Augen hinterlassen würde. Also Danke für die Anregung, aber ich glaube das geht eher weniger... Ich denke aber noch mal drüber nach. Grüße Christian
Beitrag #5107289 wurde von einem Moderator gelöscht.
In der VM hast du dann auch das Problem der Updates. Den dort setzt du die VM bei jedem Neustart auf das original Image. Du könntest allerdings sowas wie eine Überwachung auf alle Ordner mit Updates machen und dann ein angepasstes VM Snapshot dieser Version mit speziellem Benutzer Verzeichniss machen. Alles in allem wird deine VM Variante viel aufwendiger wenn du an jedem PC CD-Laufwerke etc. einbinden musst. Deine Idee finde ich ok.
Christian S. schrieb: > Dann wird einfach der Ordner C:\Users\Benutzer gelöscht > und durch eine Kopie eines sorgsam erstellten Ordners > (meinetwegen C:\Users\Benutzer.permanent) ersetzt. Ich habe zu früheren Zeiten, als Linux noch kein NTFS schreiben konnte, mit dd die gesamte Windows-XP-Partition neu mit dem zuvor gespeicherten Dump überschrieben. Die Tests liefen problemlos; Dauereinsatz war dann doch nicht notwendig.
Christian S. schrieb: > in dem unter anderem > PC-Kurse für Jugendliche stattfinden. Was wird den Jugendlichen denn da beigebracht und vor allem Wie lange? Wenn das über ein paar Wochen Monate geht würde ich versuchen die Infrastrutkur anständig aufzubauen und das dann so gestalten das jeder Bildungsteilnehmer einen eigenen Account bekommt. Dann kann er sich sein Profil mit Desktophintergrund und blabla doch so einstellen wie er will. Ist der Kurs vorbei wird das Profil gelöscht und damit ists gut. Der nächste loggt sich halt mit seinem Profil an und merkt von der "Customisierung" des Vorgängers gar nichts. Je nachdem was du den Kindern da beibringst hilft es ja vielleicht mal zu prüfen wie du denen nur Zugriff auf das gibst was sie tatsächlich brauchen. Vllt.kann man ja bei einem Office Kurs die Windows Kiste so einstellen das man auch tatsächlich nichts anderes als "office.exe" ausführen darf. Nur so als Grundidee - ob das klappt und dann geschmeidig läuft (also vom Ablauf des Kurses, nicht technisch) muss sich dann zeigen.
Christian S. schrieb: > Das Problem ist nur: Der Domaincontroller ist irgendwie langsam, auch > die Netzwerkinfrastruktur (Kabel und Switches) ist etwas mitgenommen. Sofern dies wirklich die Ursache ist, warum nicht das Übel bei der Wurzel packen, anstatt mit Workarounds rumzumurksen? > Auch einige > wichtige Updates wie z. B. Java oder Adobe Reader finden so nicht > automatisch den Weg in die Rechner. Die haben mit den Benutzerprofilen aber nichts zu tun. Außerdem geht das sehr wohl, informiere dich über Softwareverteilung per Gruppenrichtlinie. > Dann wird einfach der Ordner > C:\Users\Benutzer gelöscht und durch eine Kopie eines sorgsam erstellten > Ordners (meinetwegen C:\Users\Benutzer.permanent) ersetzt. So einfach ist das nicht. Die Berechtigungseinstellungen der Dateien und vor allem der Registry sind an eindeutige SIDs (Security Identifier) gebunden, die bei der Erstellung des Benutzers aus einer Reihe von Parametern erzeugt werden. Die lassen sich nicht einfach durch generische Werte ersetzen, sonst hagelt es Fehlermeldungen und der User kann nicht arbeiten. Tu dir einen Gefallen und belasse das System so wie es ist. Da hat sich jemand was dabei gedacht. Beschäftige dich mit Active Directory und lerne es verstehen. Bekämpfe die Ursachen und nicht die Symptome.
Hallo Icke! > Sofern dies wirklich die Ursache ist, warum nicht das Übel bei der > Wurzel packen, anstatt mit Workarounds rumzumurksen? Tja, ist nicht so einfach, der Kollege der den Domänencontroller betreut und die Verkabelung wartet, hat einfach viel zu viel zu tun und lässt es schleifen... >> Auch einige >> wichtige Updates wie z. B. Java oder Adobe Reader finden so nicht >> automatisch den Weg in die Rechner. > > Die haben mit den Benutzerprofilen aber nichts zu tun. Außerdem geht das > sehr wohl, informiere dich über Softwareverteilung per > Gruppenrichtlinie. OK, das hat wirklich nicht direkt was mit Benutzerprofilen zu tun, sondern damit, dass die Updater mit "höheren Rechten" laufen wollen. Dass es dafür wiederum Lösungen gibt, habe ich schon gehört >> Dann wird einfach der Ordner >> C:\Users\Benutzer gelöscht und durch eine Kopie eines sorgsam erstellten >> Ordners (meinetwegen C:\Users\Benutzer.permanent) ersetzt. > > So einfach ist das nicht. Die Berechtigungseinstellungen der Dateien und > vor allem der Registry sind an eindeutige SIDs (Security Identifier) > gebunden, die bei der Erstellung des Benutzers aus einer Reihe von > Parametern erzeugt werden. Die lassen sich nicht einfach durch > generische Werte ersetzen, sonst hagelt es Fehlermeldungen und der User > kann nicht arbeiten. Habe ich so noch nicht beobachtet, wenn man unter Linux eine komplette Kopie des Ordners zieht (cp -a) scheint es zu laufen. > Tu dir einen Gefallen und belasse das System so wie es ist. Da hat sich > jemand was dabei gedacht. Beschäftige dich mit Active Directory und > lerne es verstehen. Bekämpfe die Ursachen und nicht die Symptome. Ok. Aber dass sich jemand was dabei gedacht hat, ist eher weniger der Fall. Das ist ein einfachst gestricktes Zufallsprodukt. Was kann ich tun, um über Active Directory etwas zu lernen (Literaturempfehlung)? Möglichst im Schnellverfahren, auf einen langwierigen und teuren Kursus als Microsoft-Certified-Irgendwas habe ich keine Lust. Grüße Christian P.S. Danke für den kritischen aber auch konstruktiven Beitrag
Christian S. schrieb: > Erstmal eine Entscheidung für die konkurrierenden Produkte VirtualBox, > VMWare, KVM, Xen oder sonstwas treffen. > Dann so Details wie Soundkarte und DVD-Laufwerk transparent > durchreichen, Netzwerk über Firewall durchreichen, einen speziellen > unauffälligen Vollbild-Bildschirmmodus für Windows wählen. Ok, und was machst du mit den restlichen 2 Stunden bis zum Mittag? Bei VirtualBox (die anderen können das bestimmt auch, aber mit denen hab ich noch nicht gearbeitet) geht das alles "out of the box". Soundkarte müsste man extra abschalten, wenn man die nicht durchreichen will, DVD-Laufwerk und Netzwerk (ohne die Firewall, aber die hättest du beim direkten Ausführen von Windows auf dem Rechner auch nicht) geht mit 5 Mausklicks. Und den "speziellen unauffälligen Vollbild-Bildschirmmodus" gibt es auch. > Die virtuellen Rechner haben meinem Empfinden nach immer einen leichten > Performance-Verlust, so beim schnellen Verschieben von Fenstern. Und es ist schlimm, wenn das Fenster 20 statt 15 ms zum neu dargestellt werden braucht? Gut, wenn die Kids da schnelle Action-Spiele drauf spielen sollen, wird's evtl. ein Problem. > Wahrscheinlich würde sich bei Konfigurationsproblemen auch immer mal > wieder das im Hintergrund laufende Linux-System melden, was bei dem > Nutzer-Publikum dann riiieesige Fragezeichen in den Augen hinterlassen > würde. Dann lass die VM einfach weg und bringe den Schülern gleich Linux bei. ;-)
Icke ®. schrieb: > Beschäftige dich mit Active Directory und > lerne es verstehen. Bekämpfe die Ursachen und nicht die Symptome. AD ist doch selbst ein einziges Problem. Warum das Chaos auch noch lernen?
Icke ®. schrieb: >> Dann wird einfach der Ordner C:\Users\Benutzer >> gelöscht und durch eine Kopie eines sorgsam erstellten >> Ordners (meinetwegen C:\Users\Benutzer.permanent) >> ersetzt. > > So einfach ist das nicht. Wenn man nicht in einzelnen "Ordnern" herummatscht, sondern direkt auf die ganze Windows-Partition losgeht, wird es noch viel einfacher. "Und täglich grüßt das Murmeltier..."
Ich hatte früher mal für einen Computerraum in einer Schule Arktur eingerichtet. http://arktur.schul-netz.de/cont/cms/front_content.php?idcat=3&lang=1&client=1
Lies das hier mal: https://www.pcwelt.de/ratgeber/Schreibschutz_fuer_Windows_mit_EWF-Treiber_nachruesten_-_so_geht_s-EWF-Treiber-7919001.html fchk
Christian S. schrieb: > Die Schüler neigen natürlich dazu, > die PCs zu verstellen, Datenmüll zu hinterlassen, schrottige > Hintergrundbilder einzustellen et cetera ... Als Lösung wurden die > Windowsrechner an einen Domänencontroller angebunden. Es gibt eine gute funktionierende Lösung. Ich bin aber nicht mehr sicher ob NTFS unterstützt wird. FAT32 funktioniert jedenfalls. https://www.schwarz-distribution.de/de_DE/pc-sheriff/ Wenn man etwas ändern möchte (Installationen), dann muss man beim Booten ein Passwort eingeben und den Sheriff kurzfristig deaktivieren. Leider keine Freeware...
Was soll denn den Jugendlichen in dem PC-Kurs beigebracht werden? Sofern es sich um Standardsachen handelt, also Internet, E-Mail und Office setze denen doch gleich ein Linux vor die Nase.
Hallo HDA! > Was soll denn den Jugendlichen in dem PC-Kurs beigebracht werden? > Sofern es sich um Standardsachen handelt, also Internet, E-Mail und > Office setze denen doch gleich ein Linux vor die Nase. Tja das würd ich gern, aber der Bildungsträger ist da eher "wirtschaftsnah". Windows und MS Office gelten ja als "Industriestandards". In der Tat ist es besser, wenn die Jugendlichen in dem geschult werden, was sie zuhause und im Betrieb vorfinden - und das ist nun mal zu 98% Windows und zu 2% Mac. Linux hat nun mal das Nerd-Image schlechthin. Wer was an der Kommandozeile eingibt ist irgendwie unheimlich, Satanist oder so. Der ganze Distribution War und die Zersplitterung im Desktop-Bereich machen es einem aber auch nicht einfach, für Linux Werbung zu machen. Ich persönlich benutze Linux als ein ganz besonders praktisches "Schweizer Taschenmesser" für all die Probleme, bei denen Windows versagt. Dies Thema wurde aber - glaube ich - in anderen Threads reichlich diskutiert. Grüße, Christian
Hast du dir Arktur angesehen? Das vereint beide Welten ganz gut.
Hallo pegel! > Hast du dir Arktur angesehen? > Das vereint beide Welten ganz gut. Ja hab ich mir angesehen und sehe ich auch so. Vor allem die Dienste unter der Rubrik "Client-Einbindung". Ich vermute, dass der Domänencontroller dann "samba" ist (welcher IIRC auch "Active Directory" beherrscht). Wäre dann sicher ein guter Ersatz für den etwas vermurksten Server in der Firma ... Vielen Dank für den Hinweis! Grüße Christian
Setz die Nutzerrechte der Schüler runter, so dass die nur noch das starten können was sie brauchen. Hilfreich ist da auch eine eigene Domäne und sauber eingestellte GPOs, wenn das einigermassen ordentlich gemacht ist muss man auf den einzelnen Rechnern auch nichts mehr konfigurieren. Wenn die Benutzer ausreichend limitiert sind und trotzdem etwas nicht klappt, dann kannst Du das über die Nutzerprofile zurücksetzen, auch gescripted. Das machen die Internet-Café-Installationen auch so. Einmal abmelden und anmelden, schon ists sauber. Für neuere Windowsversionen gibt es auch ein Schulsetup von Microsoft.
Oh, peinlich! Wollte Arktur mal wieder probieren, aber das gibt es wohl gar nicht mehr :( Schade.
Christian S. schrieb: > Windowsrechner an einen Domänencontroller angebunden. Dort gibt es die > Möglichkeit, ein "read-only-Benutzerprofil" zu verwenden, das den > Rechner nach jeder neuen Anmeldung wieder jungfräulich erscheinen lässt. > Das Problem ist nur: Der Domaincontroller ist irgendwie langsam, auch > die Netzwerkinfrastruktur (Kabel und Switches) ist etwas mitgenommen. > Daher sind Probleme mit einer langen Bootzeit üblich. Auch einige > wichtige Updates wie z. B. Java oder Adobe Reader finden so nicht > automatisch den Weg in die Rechner. > > Jetzt ist mir eine alternative Idee gekommen (ich kenne mich mit Linux > etwas besser aus als mit Windows): Man lässt vor jedem Windows-Start > kurz ein Mini-Linux starten, dass auf das NTFS-Dateisystem der > C:-Partition zugreifen kann. Dann wird einfach der Ordner > C:\Users\Benutzer gelöscht und durch eine Kopie eines sorgsam erstellten > Ordners (meinetwegen C:\Users\Benutzer.permanent) ersetzt. OMG... Ja, benutze eine Domäne, nein, Linux brauchst du nicht. Lösche dann einfach EIN mal das Profil des "Zielusers" im Dateisystem. (Natürlich von einem anderen, administrativen Account aus). Ab diesem Moment wird jede Anmeldung des "Zielusers" einen neues, sauberes Profil erstellen, ganz genau, als wäre es die allererste Anmeldung des Users auf dieser Maschine. Das so angelegte Profil wird dann aber bei der nächsten Anmeldung des Users gleich wieder verworfen und dann erneut komplett neu erstellt. Also genau das, was du erreichen willst. Nur: ganz ohne Linux und ohne unnötig hohe Netzwerklast, denn das passiert rein lokal. Allerdings dauert es natürlich trotzdem deutlich länger als die Anmeldung für ein existierendes, konsistentes Profil. Nix ist umsonst...
Christian S. schrieb: > Jetzt ist mir eine alternative Idee gekommen (ich kenne mich mit Linux > etwas besser aus als mit Windows): Man lässt vor jedem Windows-Start > kurz ein Mini-Linux starten, dass auf das NTFS-Dateisystem der > C:-Partition zugreifen kann. Dann wird einfach der Ordner > C:\Users\Benutzer gelöscht und durch eine Kopie eines sorgsam erstellten > Ordners (meinetwegen C:\Users\Benutzer.permanent) ersetzt. Mein Freund Stefan hatte viele Jahre lang ein Internetcafe und war mit sehr ähnlichen und weitergehenden Problemen konfrontiert -- zum Beispiel wollten seine Nutzer ihre eigenen Programme installieren und benutzen, geschützte Internetseiten und Online-Banking nutzen, und so weiter. All das hätte im Laufe der Zeit zu überlaufenden Festplatten und vor allem zu sensiblen Daten in Cache- und Temp-Dateien geführt -- so daß es nicht ausreichend war, nur die Benutzerordner auszutauschen. Deswegen wurde dort für jede Hardware ein eigenes Windows-Image mit den meistverwendeten Programmen erstellt und in einer kleinen Ext3-Partition desselben Rechners abgelegt. Nach jeder Benutzung wurde dann von dieser Partition ein kleines Linux gebootet, das Windows-Image wieder auf die Bootpartition kopiert, und dann in das "neue" Windows-Image gebootet. Auf diese Weise war es sogar gleichgültig, ob ein Anwender sich einen Virus eingefangen hatte. Ich weiß, daß das relativ aufwändig war, weil die Reboots remote etc. über sein selbst entwickeltes Kassensystem angestoßen wurden. Außerdem mußten die Windows-Images IIRC für jede Hardwarekonfiguration einzeln manuell gepflegt, und nach jedem Update neu verteilt werden. Andererseits hat das System über Jahre hinweg hervorragend funktioniert -- Kunststück, der Entwickler war ja jederzeit verfügbar. Aber wenn Du Interesse hast, kann ich ihn gerne fragen, wie er das damals gelöst hat. Aber gerade darum stellt sich mir ganz allgemein und ungeachtet der von Dir gewählten Lösung die Frage, was mit Deinem System passiert, wenn Du einmal nicht mehr verfügbar bist. Schließlich müßte Dein System dann vermutlich von demselben Betreuer gepflegt werden, der nach Deiner Aussage schon jetzt so viel zu tun hat, daß er mit seinen Aufgaben kaum hinterher kommt. Wie soll der arme Mensch denn jetzt zusätzlich auch noch Dein System pflegen? Wenn das ein fähiger Profi-Admin mit ausreichend Zeit wäre, hätte er diese Probleme doch sicher schon längst selbst behoben.
Rolf M. schrieb: > Ok, und was machst du mit den restlichen 2 Stunden bis zum Mittag? > Bei VirtualBox (die anderen können das bestimmt auch, aber mit denen hab > ich noch nicht gearbeitet) geht das alles "out of the box". Bei KVM geht das jedenfalls auch. Da könnte man auch einfach mit Overlay-Dateien arbeiten: die werden über das gemountete Basis-Image gemountet und enthalten alle Änderungen. Damit könnte man für jeden Benutzer eine eigene Overlay-Datei erstellen und beim Login über das Basis-Image mounten, so daß jeder Benutzer beim erneuten Login immer seine eigene Umgebung vorfindet, so wie er sei beim letzten Logout verlassen hat. Nach Ausscheiden des Benutzers muß dann nur seine Overlay-Datei gelöscht werden, fertig.
Johannes M. schrieb: > http://www.dr-kaiser.de/home/ Dann bitte auch konsequent. Auf keinen Fall das Hardware Modul kaufen. Das hat gegenüber der Software keine Vorteile mehr. UND GANZ WICHTIG: BIOS und Bootreihenfolge sperren. Bei mir an der Schule war das leider nicht der Fall, sodass man mit einem Linux Bootstick an Dr. Kaiser vorbeikam. Die Regio IT hat das Problem in zwei Jahren nicht lösen können. So ein inkompetenter Haufen.
Hallo c-hater! > > OMG... > > Ja, benutze eine Domäne, nein, Linux brauchst du nicht. OK, ich sehe ein, dass ein Domänencontroller prinzipiell die Funktionen bieten kann, die ich möchte. Es gab hier in der Praxis aber auch schon den Fall, dass schlaue Benutzer des Schulungssystems mit irgendwelchen Beschränkungen nicht einverstanden waren - Proxy sperrt bestimmte Seiten etc. Dann wurde während des Anmeldevorgangs kurz der Netzwerkstecker gezogen. Darauf erscheint zunächst die Meldung "Sie wurden mit einem temporären Profil angemeldet". Nach Wiedereinstecken des Netzwerksteckers konnte dann jegliche Internetsperre umgangen werden. Eventuell ließe sich dieses Szenario verhindern, in dem man das Benutzerprofil des Domänen-Users in das .default-Profil des lokalen Users zurückkopiert. Aber irgendwie scheint mir dieses "Zurückkopieren ins .default-Profil" nicht so richtig von Windows unterstützt zu werden - oder ich weiß zumindest nicht wie es richtig gemacht wird. Trotzdem danke für deine Meinung. Grüße Christian
Hallo Sheeva P. > Aber gerade darum stellt sich mir ganz allgemein und ungeachtet der von > Dir gewählten Lösung die Frage, was mit Deinem System passiert, wenn Du > einmal nicht mehr verfügbar bist. Schließlich müßte Dein System dann > vermutlich von demselben Betreuer gepflegt werden, der nach Deiner > Aussage schon jetzt so viel zu tun hat, daß er mit seinen Aufgaben kaum > hinterher kommt. Wie soll der arme Mensch denn jetzt zusätzlich auch > noch Dein System pflegen? Wenn das ein fähiger Profi-Admin mit > ausreichend Zeit wäre, hätte er diese Probleme doch sicher schon längst > selbst behoben. Also das Argument ist leider sehr schwerwiegend. Wenn man eine maßgeschneiderte - vielleicht auch etwas exotische - Linux-Lösung zusammenstrickt, wird man Umfeld der normalen IT-Branche von Kollegen schnell sehr schräg angesehen und gilt dann als der einsame Spezialist, Einzelgänger, Sonderling etc. Und Zukunftsperspektiven hat das Projekt dann eh nicht. Ich denke, ich werde wirklich das Arktur-Projekt mal näher ansehen. Es scheint eine lange Geschichte zu haben, und vielleicht hat es dann noch eine ausreichende Zukunft vor sich. Es scheint von Lehrern gemacht zu sein, die ja häufig engagiert und auch technisch versiert sind. Grüße Christian
Christian S. schrieb: > wird man Umfeld der normalen IT-Branche von Kollegen > schnell sehr schräg angesehen Das sind aber auch meistens die Typen, die keinerlei Ahnung von IT haben, sich aber "Profi" nennen.
Sheeva P. schrieb: > [...] Internetcafe und war mit > sehr ähnlichen und weitergehenden Problemen konfrontiert -- zum Beispiel > wollten seine Nutzer ihre eigenen Programme installieren [...] Äh ja, wenn man sowas erlaubt gibt es Probleme. Genau darum geht es doch hier: es nicht zuzulassen.
Chris F. schrieb: > Genau darum geht es doch > hier: es nicht zuzulassen. Oder dafür sorgen dass es folgenlos bleibt? Deep Freeze wurde ja schon genannt - mehrfach unter verschiedenen Namen. Der Trick mit EWF ist nämlich das gleiche in anderer Geschmacksrichtung. Am Ende bleibt man kann mehr Experimente erlauben weil der Rechner beim Start immer wieder in den Ausgangszustand zurückkehrt. Aber man muss Arbeitsergebnisse die erhalten bleiben sollen natürlich woanders ablegen...
Sobald man die Ausführung von nativen Binaries der MA/Kunden erlaubt ist es unsicher. Das mit den VMs und Rückkopieren davon erzeugt zuviel Last und ist ein riesiger Overhead wenn das auf jedem Client passiert. Außerdem müssen die Images auch gepflegt, konfiguriert und verteilt werden und Zugang zum Netzwerk, Nutzsoftware und Authentifizierungsdiensten haben. Es ist echt keine Hexerei -ohne weitere Software- mit einer Windows-Domäne, Nutzerrechten und Skripten+GPOs alles einzustellen. Das wird genau so auch bei Banken und Behörden eingesetzt. Das einzige wo man noch drüber nachdenken könnte wäre ein Terminalserver und die Sitzungen zentral auf dem Server zu halten. Das ist aber wahrscheinlich wegen der Startkosten für ThinClients und ggf. Lizenzen nicht sinnig?
Chris F. schrieb: > Das einzige wo man noch drüber nachdenken könnte wäre ein Terminalserver > und die Sitzungen zentral auf dem Server zu halten Soweit ich mich erinnern kann (ist schon lange her), stellt der Terminalserver dem User auf dem Client eine normale Windows-Oberfläche zur Verfügung, das Problem bleibt also das gleiche. Man kann zwar da auch eingreifen und beschränken, was der User darf, aber das ist ähnlich viel Arbeit wie mit Domäne und Richtlinien. Und zusätzlich hat man das Problem der Nebenwirkungen auf andere User. Kann mich aber auch falsch erinnern. Ein Problem ist auch die Leistung des Servers, wenn 25 Schüler Ballerspiele ausführen, braucht man einen Rechenzentrums-Boliden. Georg
Chris F. schrieb: > Das mit den VMs und Rückkopieren davon erzeugt zuviel Last Ja, man kann da leicht mit 10 GB rechnen. Vermutlich ginge es schneller mit der Snapshot-Funktion von VmWare, aber die gibt es leider nur bei kostenpflichtigen Versionen.Allerdings stellt sich eh die Frage, ob die freie Version für eine Schule zulässig ist - ist das "personal use"? Georg
@Georg, das kommt auf die Software an die drauf laufen soll. Ein P4@3GHz mit 4GB schafft 40 Sitzungen. 25 Thinclients und ein Server der deutlich mehr leistet kostet weniger als die 25 Einzelclients. Der Vorteil ist einfach, dass Du die ganze Software nur einmal installierst und es eben nur RDP-Sitzungen auf einem Rechner sind. Wenn das natürlich schlecht programmierte Software ist die die globale Swapfile zur Prozesskommunikation nutzt, dann gibt es Probleme. Aber wie oben schon geschrieben wäre das ja garnicht möglich weil die Nutzerrechte das nicht zulassen.
Georg schrieb: > Kann mich aber auch falsch erinnern. Ein Problem ist auch die Leistung > des Servers, wenn 25 Schüler Ballerspiele ausführen, braucht man einen > Rechenzentrums-Boliden. Wie wichtig ist es denn, ob 25 Schüler Ballerspiele ausführen können? Zumal genau das auf einem TS auch mit genug CPU-Cores keinen Spass machen wird. Bereits heutige 1-Sockel-Server können mit derart vielen Cores aufwarten, dass die Last üblicher zu schulender Software selten ein Problem darstellen wird. Cores sind bei Multiuser-Betrieb schon lange keine Limitierung mehr, weder via VM noch via TS. Schau dass die Disks fix genug sind, also keine 5400er-SATA-HDDs, und dass genug RAM drin ist.
:
Bearbeitet durch User
Christian S. schrieb: > Tja, ist nicht so einfach, der Kollege der den Domänencontroller betreut > und die Verkabelung wartet, hat einfach viel zu viel zu tun und lässt es > schleifen... Hmm, das ist dann aber ein organisatorisches Problem. > Habe ich so noch nicht beobachtet, wenn man unter Linux eine komplette > Kopie des Ordners zieht (cp -a) scheint es zu laufen. Wenn du denselben Ordner wieder zurückkopierst, gehts natürlich. Das Profil läßt sich aber nicht auf einen anderen Benutzer übertragen, außer über den Umweg als (berechtigungskorrigiertes) Default-Profil. > Was kann ich tun, um über Active Directory etwas zu lernen > (Literaturempfehlung)? Ein guter Anlaufpunkt ist bspw. www.gruppenrichtlinien.de > Möglichst im Schnellverfahren Active Directory ist ein recht komplexes Werkzeug, daß man nicht mal so nebenbei erlernt. Aber auch sehr mächtig. Wenn man es beherrscht, vereinfacht es die Administration erheblich.
Angehängte Dateien:
-
GPO.jpg
140 KB
Christian S. schrieb: > Dann wurde > während des Anmeldevorgangs kurz der Netzwerkstecker gezogen. Darauf > erscheint zunächst die Meldung "Sie wurden mit einem temporären Profil > angemeldet". > Eventuell ließe sich dieses Szenario verhindern, in dem man das > Benutzerprofil des Domänen-Users in das .default-Profil des lokalen > Users zurückkopiert. > Aber irgendwie scheint mir dieses "Zurückkopieren ins .default-Profil" > nicht so richtig von Windows unterstützt zu werden - oder ich weiß > zumindest nicht wie es richtig gemacht wird. Die Anmeldung mit temporären Profilen läßt sich ganz einfach per Gruppenrichtlinie unterbinden.
Hast du dir den Link https://www.pcwelt.de/ratgeber/Schreibschutz_fuer_Windows_mit_EWF-Treiber_nachruesten_-_so_geht_s-EWF-Treiber-7919001.html von oben schon mal angeschaut? Ansonsten einfach mal nach 'Windows Write Filter' googlen.
Hallo Icke ®! > > Hmm, das ist dann aber ein organisatorisches Problem. > Ja natürlich, aber es ist nicht so einfach zu lösen. Der Bildungsträger hat verschiedene Filialen mit teils mehreren Rechnerräumen. Die Rechnerausstattung ist jeweils ähnlich, aber nicht exakt gleich. Die Rechner werden mit Norton-Ghost-Images bespielt, die manchmal gar nicht so richtig passend sind und unnötige Software enthalten. Vermutlich werden sogar mehrere dieser Domänencontroller mit demselben Image bespielt und dann nicht richtig angepasst. Daher kommt ja mein Wunsch es ohne Domäne zu probieren ... > Ein guter Anlaufpunkt ist bspw. www.gruppenrichtlinien.de Danke, sieht sehr sehr hilfreich aus. Wahrscheinlich bräuchte der Bildungsträger den Autor dieser Seite als Ober-Admin. Nur werden sie den nicht bezahlen können oder wollen... Grüße Christian
Hallo ponky! > Hast du dir den Link > https://www.pcwelt.de/ratgeber/Schreibschutz_fuer_Windows_mit_EWF-Treiber_nachruesten_-_so_geht_s-EWF-Treiber-7919001.html > von oben schon mal angeschaut? > > Ansonsten einfach mal nach 'Windows Write Filter' googlen. Ja habe ich mir angeschaut. Ich finde daran gut, dass die Software direkt von MS kommt - wenn auch aus dem Embedded/POS-Zweig der Betriebssysteme. Die müssten ja wissen was sie tun und ihr Produkt optimal zu den Windows-Innereien kompatibel machen können. "Deep Freeze" schaue ich mir auch noch an, es scheint ähnlich zu sein. Ist aber leider wohl kostenpflichtig. Grüße Christian
Christian S. schrieb: > Daher kommt ja mein Wunsch es ohne Domäne zu probieren ... Das mag im Moment einfacher erscheinen, ufert jedoch schnell zum Chaos aus, besonders wenn viele Clients und/oder User zu verwalten sind. Das fängt schon bei Kennwortänderungen an. Im AD mußt du dies nur einmal zentral machen, bei Arbeitsgruppen auf jedem Rechner separat. Ich hatte vor Jahren selbst das Computerkabinett einer Berufsschule betreut. Das System trotzte jahrelang jeglichen Bemühungen "begabter" Schüler, Schaden anzurichten. Und zwar ausschließlich mit Windows-Bordmitteln. Mit eingeschränkten Rechten und restriktiven Gruppenrichtlinien läßt sich das Netzwerk ausreichend vernageln. > Wahrscheinlich bräuchte der > Bildungsträger den Autor dieser Seite als Ober-Admin. Nur werden sie den > nicht bezahlen können oder wollen... Ein örtliches Systemhaus mit entsprechender Erfahrung tut es sicher auch.
Icke ®. schrieb: > Ein örtliches Systemhaus mit entsprechender Erfahrung tut es sicher > auch. Vergiss es. Was Schulen sich da leisten können ist armselig. Da gibt es dann auch keinen (schnellen) Support oder abgesicherte Netze. Stattdessen funktionieren einzelne Teile des Netzes dann auch mal > 6Monate nicht.
Hans schrieb: > Was Schulen sich da leisten können ist armselig. Ja, in der Tat traurig und unwürdig. Wenn ich auf der anderen Seite sehe, daß Steuergelder in zweistelliger Milliardenhöhe nutzlos verschleudert werden, schwillt mir der Hals. Dieser Staat behandelt seine Zukunft wie einen räudigen Hund.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.