Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Rắc rối Folder Redirection, Offline file và cơ chế cached trên các máy laptop di động

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Rắc rối Folder Redirection, Offline file và cơ chế cached trên các máy laptop di động

    Hi,

    Hổm nay vật lộn với vụ Group Policy, Roaming Profiles và Folder Redirection. Nhiều vấn đề quá. Mục đích của mình là user log vào mạng sẽ có chung 1 desktop với các shorcut định sẵn. Laptops cũng tương tự.

    Mình làm bài LAB như sau :

    1. Tạo thư mục Profiles trên Server, share full control everyone, chỉnh cho user sử dụng Roaming Profile (chọn No cache cho offline file). Tương tự cho HomeDirs nhưng phần Cache của HomeDirs thì để mặc định là user tự chọn Offline file.

    3. Tạo policy cho Folder Redirection 2 folder : Application và My Documents, redirect lên ổ HomeDirs của user. Link tới OU chứa user.

    4. Log vào 1 user domain tên là usertemplate trên Windows XP đã join domain, đưa toàn bộ shorcut của chương trình mà user này được phép sử dụng ra desktop.

    5. Vô server, tạo 1 thư mục là Destops, share full control cho everyone, chọn Cache là All files and programs that user open will be automatically offline. Trong đây tạo 1 folder đặt tên là RestricedDesktop, chỉnh NTFS security ở
    folder này cho user không có quyền Write.

    6.Vào profile của usertemplate, take ownership, vào thư mục Desktop và copy mấy shorctut tới thư mục RestrictedDesktop. Tạo policy để redirect thư mục Desktop của user đến thư mục RestrictedDesktop này. Link policy này đến OU chứa User.

    7. Tạo thêm 1 policy ẩn hết chương trình trên Programs, disable 1 số setting khác. Link tới OU chứa user.

    8. Tạo 1 policy cho Software Restriction Policy, set Disallowed là chế độ Default, tạo 1 số Path rule để cho các chương trình cần thiết chạy.

    Tất cả đều OK đối với trường hợp máy có nối mạng. Đ/v trường hợp các laptop (cũng join domain, cũng cần restricted desktop) thì khi disconnect khỏi mạng thì có khi vẫn mở được chương trình từ shortcut trên desktop, có khi không, nhấp vào không chạy gì cả ( mặc dù các shortcut đều có biểu tượng offline).

    Mình có câu hỏi :

    1. Làm sao để các laptop khi ra mạng, vẫn log vào domain, vẫn chịu policy do mình áp đặt và vẫn sử dụng restricted desktop đó ? ( mình còn thiếu bước nào nữa ???).
    2. Vấn đề nhỏ mà không nhỏ : Làm sao để tất cả các user khi log vào domain đều có Quick launch trên thanh toolbar ?


    Xin khai sáng giúp vụ này. Cám ơn rất rất nhiều.
    Last edited by nguyennp; 30-05-2007, 06:40 PM.
    Nhớ Network ........ !

  • #3
    Originally posted by camaptrang View Post
    Phải nói là hổm rày những vấn đề mà bác Nguyên nhà ta đưa ra là : khá hay và thú vị ... anh em hãy dành chút ít thời gian để gải quyết các vấn đề này ..
    Em còn thấy hay nữa là. Đụng chuyện mới biết. Hic.

    Câu 1. Theo em có thể giải quyết bằng cách can thiệp vào thư mục Desktop trên Roaming Profile của từng laptop user ( quá cực luôn, take ownership, trả lại, ...), cho quyền chỉ đọc trên thư mục Desktop này. Giống như lúc trước anh camap chỉ. Thôi, cho laptop user muốn chỉnh sửa profile sao thì chỉnh, cho khoẻ.
    Mặc định, do cơ chế cache, Group Policy được lưu trong Registry khi apply lần đầu cho user nên mặc dù ra khỏi mạng thì user vẫn phải chịu policy này.

    Câu 2. Chưa biết.
    Nhớ Network ........ !

    Comment


    • #4
      ???

      Originally posted by nguyennp View Post
      Hi,

      Hổm nay vật lộn với vụ Group Policy, Roaming Profiles và Folder Redirection. Nhiều vấn đề quá. Mục đích của mình là user log vào mạng sẽ có chung 1 desktop với các shorcut định sẵn. Laptops cũng tương tự.

      Mình làm bài LAB như sau :

      1. Tạo thư mục Profiles trên Server, share full control everyone, chỉnh cho user sử dụng Roaming Profile (chọn No cache cho offline file). Tương tự cho HomeDirs nhưng phần Cache của HomeDirs thì để mặc định là user tự chọn Offline file.

      3. Tạo policy cho Folder Redirection 2 folder : Application và My Documents, redirect lên ổ HomeDirs của user. Link tới OU chứa user.

      4. Log vào 1 user domain tên là usertemplate trên Windows XP đã join domain, đưa toàn bộ shorcut của chương trình mà user này được phép sử dụng ra desktop.

      5. Vô server, tạo 1 thư mục là Destops, share full control cho everyone, chọn Cache là All files and programs that user open will be automatically offline. Trong đây tạo 1 folder đặt tên là RestricedDesktop, chỉnh NTFS security ở
      folder này cho user không có quyền Write.

      6.Vào profile của usertemplate, take ownership, vào thư mục Desktop và copy mấy shorctut tới thư mục RestrictedDesktop. Tạo policy để redirect thư mục Desktop của user đến thư mục RestrictedDesktop này. Link policy này đến OU chứa User.

      7. Tạo thêm 1 policy ẩn hết chương trình trên Programs, disable 1 số setting khác. Link tới OU chứa user.

      8. Tạo 1 policy cho Software Restriction Policy, set Disallowed là chế độ Default, tạo 1 số Path rule để cho các chương trình cần thiết chạy.

      Tất cả đều OK đối với trường hợp máy có nối mạng. Đ/v trường hợp các laptop (cũng join domain, cũng cần restricted desktop) thì khi disconnect khỏi mạng thì có khi vẫn mở được chương trình từ shortcut trên desktop, có khi không, nhấp vào không chạy gì cả ( mặc dù các shortcut đều có biểu tượng offline).

      Mình có câu hỏi :

      1. Làm sao để các laptop khi ra mạng, vẫn log vào domain, vẫn chịu policy do mình áp đặt và vẫn sử dụng restricted desktop đó ? ( mình còn thiếu bước nào nữa ???).
      2. Vấn đề nhỏ mà không nhỏ : Làm sao để tất cả các user khi log vào domain đều có Quick launch trên thanh toolbar ?


      Xin khai sáng giúp vụ này. Cám ơn rất rất nhiều.
      vấn đề 1 , ra mạng là ra đâu ? tức là rút cáp ra hả . bình thường khi user log on vào domain thành công thì nó sẽ chịu ảnh hưởng của các policy áp đặt cho nó cũng như restricted group của nó .
      vấn đề 2 , gom các user cần đều chỉnh vô cái OU nào đó rồi tạo 1 cái policy , vào user configuration --> Admin template --> tìm cái gì mà taskbark đó ... là ok :cool:
      Ngô Đào Anh Trí, CCVP in progress.
      Email: ngodaoanhtri@wimaxpro.org

      Comment


      • #5
        Originally posted by anhtri View Post
        vấn đề 1 , ra mạng là ra đâu ? tức là rút cáp ra hả . bình thường khi user log on vào domain thành công thì nó sẽ chịu ảnh hưởng của các policy áp đặt cho nó cũng như restricted group của nó .
        vấn đề 2 , gom các user cần đều chỉnh vô cái OU nào đó rồi tạo 1 cái policy , vào user configuration --> Admin template --> tìm cái gì mà taskbark đó ... là ok :cool:
        1.Ra mạng là ra ngoài mạng đó mà, không ở trong LAN, đi công tác chẳng hạn. Đọc 1 số nơi nói là nếu máy laptop ra ngoài, lấy IP từ DHCP của mạng khác thì sẽ không log vào domain sử dụng cơ chế cache credential được nữa???? Mình cũng chưa kịp thử cái này.

        2.Không đơn giản như bạn nghĩ đâu. :$
        Nhớ Network ........ !

        Comment


        • #6
          he he, đau đầu đấy, nhất là tay vác laptop về mà có cu em làm it hoặc cùng lắm có chú em táy máy nghịch ngợm không là bác control nó cũng bỏ sừ rồi ...
          chỉ cần nói đơn giản thế này nha : giả sử bác cấm tất tần tật, nhưng nó chỉ làm mỗi việc Open files lên làm việc => Save as lên HDD => save as lên Network drive => sau đó về nhà lấy cáp chéo ra copy về máy nhà ... hoặc không : attach vô email => save email đó lại, về nhà save as vô máy nhà ....
          chỉ còn nước quay phim họ mà thôi.

          Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


          Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

          Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

          Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

          Hướng dẫn cài đặt cấu hình Retrospect Backup Server

          Cài đặt và cấu hình phần mềm FSA Audit Files Server

          CAMAPTRANG
          http://www.asterisk.vn

          Comment


          • #7
            Originally posted by camaptrang View Post
            he he, đau đầu đấy, nhất là tay vác laptop về mà có cu em làm it hoặc cùng lắm có chú em táy máy nghịch ngợm không là bác control nó cũng bỏ sừ rồi ...
            chỉ cần nói đơn giản thế này nha : giả sử bác cấm tất tần tật, nhưng nó chỉ làm mỗi việc Open files lên làm việc => Save as lên HDD => save as lên Network drive => sau đó về nhà lấy cáp chéo ra copy về máy nhà ... hoặc không : attach vô email => save email đó lại, về nhà save as vô máy nhà ....
            chỉ còn nước quay phim họ mà thôi.
            Cái vụ chép dữ liệu thì kiểu này thì em không lo. Chính sách của công ty sẽ lo vụ này. Mà em nghĩ cũng chẳng có cách nào ngăn họ chép dữ liệu nếu cho họ đem máy về nhà cả. Chủ yếu là sự tự giác.
            Lấy VD: 1 số trường hợp trong Office cho phép đọc mà không cho phép copy, save as. 1 cách thủ công nhất mà người ta có thể nghĩ ra là chụp hình lại...
            Nhớ Network ........ !

            Comment


            • #8
              Àh há!

              Originally posted by nguyennp View Post
              1.Ra mạng là ra ngoài mạng đó mà, không ở trong LAN, đi công tác chẳng hạn. Đọc 1 số nơi nói là nếu máy laptop ra ngoài, lấy IP từ DHCP của mạng khác thì sẽ không log vào domain sử dụng cơ chế cache credential được nữa???? Mình cũng chưa kịp thử cái này.

              2.Không đơn giản như bạn nghĩ đâu. :$
              Vấn đề 1 :Nếu pác ở ngoài cty nhưng vẫn mún log on vô domain thì hởi cực , cái này tui cung chưa thử nhưng nếu có 1 cái tên DNS xài được trên internet thì vô tư , prefer DNS về NDS server của domain là được ( bác thử rồi cho tui kết quả )
              Vấn đề 2 : Tui đã thủ rồi , cấm hay không cấm quicklaunch đều được
              GPO -- > User configuration -->admin templates --> Start Menu ... --> Do not display any custom toolbar in the taskbar --> enable hay disable gì đó thì tùy )
              Ngô Đào Anh Trí, CCVP in progress.
              Email: ngodaoanhtri@wimaxpro.org

              Comment


              • #9
                Originally posted by anhtri View Post
                Vấn đề 1 :Nếu pác ở ngoài cty nhưng vẫn mún log on vô domain thì hởi cực , cái này tui cung chưa thử nhưng nếu có 1 cái tên DNS xài được trên internet thì vô tư , prefer DNS về NDS server của domain là được ( bác thử rồi cho tui kết quả )
                Vấn đề 2 : Tui đã thủ rồi , cấm hay không cấm quicklaunch đều được
                GPO -- > User configuration -->admin templates --> Start Menu ... --> Do not display any custom toolbar in the taskbar --> enable hay disable gì đó thì tùy )
                C1 : không bao giờ đc!
                C2 : Ko áp lên đc!

                Poor you,

                Have fun!
                Att ~¿ 21°00.00N , HCMC

                Comment


                • #10
                  Originally posted by Mr.Metal View Post
                  C1 : không bao giờ đc!
                  C2 : Ko áp lên đc!

                  Poor you,

                  Have fun!
                  Có bao giờ thử chưa mà pác nói như vậy . trước khi phát biểu cái gì nên suy nghĩ cho kĩ , nhất là đói với những thành viên lâu năm .
                  Ngô Đào Anh Trí, CCVP in progress.
                  Email: ngodaoanhtri@wimaxpro.org

                  Comment


                  • #11
                    Originally posted by Mr.Metal View Post
                    C1 : không bao giờ đc!
                    C2 : Ko áp lên đc!

                    Poor you,

                    Have fun!
                    1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

                    2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.
                    Nhớ Network ........ !

                    Comment


                    • #12
                      Originally posted by nguyennp View Post
                      1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

                      2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.
                      Nói chung mình đã test rồi mới post cho nguyen , cái đó policy chỉnh được mà , nguyen thử làm theo đương dẫn của mình thử .
                      Còn log on vo domian từ xa , mình thấy có 2 cách ,
                      1) mỗi lần logon nguyen thay co cai log on dial up hông nhưng cai này thì chậm .
                      2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ. :D )
                      Ngô Đào Anh Trí, CCVP in progress.
                      Email: ngodaoanhtri@wimaxpro.org

                      Comment


                      • #13
                        Originally posted by anhtri View Post
                        Nói chung mình đã test rồi mới post cho nguyen , cái đó policy chỉnh được mà , nguyen thử làm theo đương dẫn của mình thử .
                        Còn log on vo domian từ xa , mình thấy có 2 cách ,
                        1) mỗi lần logon nguyen thay co cai log on dial up hông nhưng cai này thì chậm .
                        2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ. :D )
                        Mình đã test thử rồi đó chứ. Theo như policy đó thì mình phải chọn disable (disable với disable thì mới thành enable). Nhưng nó cũng không thể nào tự động có Quick Launch được. User phải chọn thì mới có.

                        1) Như vậy mình phải dùng VPN của Windows rồi. Trong trường hợp VPN sử dụng phần cứng thì thua ? Thật ra mình chỉ muốn user vẫn log vào domain sử dụng cơ chế cache là được rồi.

                        2) Rồi mình chỉnh fix cái Prefered DNS cho máy Laptop luôn ? Cái này đúng là không dễ thử.
                        Last edited by nguyennp; 02-06-2007, 12:59 PM.
                        Nhớ Network ........ !

                        Comment


                        • #14
                          test!

                          Originally posted by nguyennp View Post
                          Mình đã test thử rồi đó chứ. Theo như policy đó thì mình phải chọn disable (disable với disable thì mới thành enable). Nhưng nó cũng không thể nào tự động có Quick Launch được. User phải chọn thì mới có.

                          1) Như vậy mình phải dùng VPN của Windows rồi. Trong trường hợp VPN sử dụng phần cứng thì thua ? Thật ra mình chỉ muốn user vẫn log vào domain sử dụng cơ chế cache là được rồi.

                          2) Rồi mình chỉnh fix cái Prefered DNS cho máy Laptop luôn ? Cái này đúng là không dễ thử.
                          cái policy đó mình vô là có lun đó , hổng bên nguyen sao. mà bên chỗ nguyên domain có đăng kí hông ? nếu có thử tạo cái account đại ji` đó , tui log vô thử , hông cần VNP gì đâu!
                          Ngô Đào Anh Trí, CCVP in progress.
                          Email: ngodaoanhtri@wimaxpro.org

                          Comment


                          • #15
                            Originally posted by nguyennp View Post
                            1. Nếu "không bao giờ được" thì cũng vô lý. Vì đ/v các công ty đa quốc gia, Nguyên thấy họ có làm mấy vụ này.

                            2. Đúng là cái Policy đó không dùng được, mình đã test rồi. Có thể bạn anhtri nhầm ý của mình. Mình muốn khi user nào log vào cũng đã có sẵn Quick Launch hết đó. Tuy nhiên, mình đã giải quyết được vấn đề này với 1 file .exe chạy enable Quick Launch khi user logon.
                            1. bạn nguyennp thấy họ làm vụ này thiệt hông ?

                            2. file .bat or .exe ?

                            Originally posted by anhtri
                            2) cai dns của domain phải đăng kí trên internet và nguyen refer về đó là log được mà ( cái này mình chưa có điều kiện thử bao giờ.
                            bạn giải thích giùm mình cái này với, mình vẫn chưa hiểu ý của bạn lắm, cám ơn.

                            have fun!
                            Att ~¿ 21°00.00N , HCMC

                            Comment

                            Working...
                            X