TechNet Team Blog Austria

Informationen und News abseits der offiziellen TechNet vom TechNet Team Blog Austria

Roaming Profiles unter Windows XP und Vista

Roaming Profiles unter Windows XP und Vista

  • Comments 1
  • Likes

Was macht so ein Thema in einem sonst von aktuellen Informationen gefüllten Technet Blog? Eigentlich sind doch Roaming Profiles schon hinlänglich bekannt und es sollte kein Thema sein dies einzurichten beziehungsweise zu verwenden. In der Praxis sieht es leider jedoch anders aus. Ich treffe immer wieder auf Installationen wo zum Beispiel jeder User einen eigenen Share nach der Art \\Server\username$ erhält, was die Useranlage deutlich verkompliziert oder sich Administratoren darüber beschweren, daß es Ihnen nicht möglich ist, die User Profile auf Grunde fehlender Rechte zu administrieren. Da diese Probleme in der Praxis häufiger zu finden sind als man glaubt, möchte ich hier ein paar Tips geben, um den Umgang mit Roaming Profiles zu erleichtern.

Wie legt man die Profil Ordner am Server an?Win2003R2

 Die einfachste Antwort ist oft die Beste: Gar nicht. Der Client kann seinen Ordner selbst anlegen und auch gleich die notwendigen Rechte vergeben. Um hier jedoch nicht Tür und Tor zu öffnen ist es aber nötig, den darüber liegenden Ordner mit entsprechenden Rechten zu versehen. Microsoft Technet empfiehlt dazu folgende NTFS Zugriffsrechte:

Benutzergruppe Rechte Bereich
ERSTELLER-BESITZER Vollzugriff Nur Unterordner und Dateien
Administratoren Keine  
SYSTEM Vollzugriff Diesen Ordner, Unterordner und Dateien
User Benutzergruppe Ordner auflisten / Daten lesen, Ordner erstellen / Daten anhängen Nur diesen Ordner

Die "User Benutzergruppe" sollten jene Gruppe kennzeichnen, in der sich die entsprechenden Benutzer der Domäne befinden. Für kleinere Installation wird es sich meist um die Gruppe "BENUTZER" handeln.
Ob Administratoren Profile lesen dürfen ist eine Unternehmens-Politische Entscheidung. Bei großen Installationen ist eine feine Aufteilung der Administrations-Rollen unbedingt erforderlich und es macht Sinn den Zugriff auf die Daten zu begrenzen. Bei den meisten Installation im KMU Bereich genießt die EDV-Abteilung jedoch vollstes Vertrauen und ist auch mit vollen Rechten ausgestattet. Daher wird auch der Administratoren Gruppe Vollzugriff auf "Diesen Ordner, Unterordner und Dateien" gegeben. Um zu verhindern, daß Administratoren der Zugriff auf die Profile selbst wieder weggenommen wird (Standardeinstellung bei Roaming Profiles) ist es nötig eine Gruppenrichtlinien Einstellung zu aktivieren:

Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen 

Diese Einstellung funktioniert aber nur während der Profilerstellung, hat also keinen Einfluß auf bestehende Profile. Ist das Profil bereits angelegt und hat der Administrator keinen Zugriff so ist es nötig zuerst als Administrator den Besitz über das komplette Profil zu übernehmen, die Rechte nach obigen Schema wiederherstellen und abschließend unbedingt wieder den User als Besitzer festlegen. Dies ist insofern nötig, da durch die obigen Einstellungen explizit dem Besitzer Rechte gegeben werden.
Sollte dieses Verfahren aus historischer Sicht nicht so leicht umzusetzen sein, so kann man natürlich auch dem Benutzer selbst mit Vollzugriff auf sein Verzeichnis ausstatten. Die Notwendigkeit der Besitzrechte lassen sich mittels Gruppenrichtlinie auch ausschalten:

Computerkonfiguration/Administrative Vorlagen/System/Benutzerprofile/Eigentümer von servergespeicherten Profilen nicht prüfen

Bei den beiden Gruppenrichtlinien Einstellungen sei zu beachten, daß es sich um Computereinstellungen und nicht um Benutzereinstellungen handelt, dies bedeutet, daß die Einstellung nur auf Computerobjekte vererbt wird. Zum Thema Gruppenrichtlinien sei auch folgende Einstellung unbedingt empfohlen:

Computerkonfiguration/Administrative Vorlagen/System/Anmeldung/Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

Diese Einstellung bewirkt, daß der komplette Netzwerkstack gestartet wird bevor der Anmeldeschirm erscheint. Dies mag auf den ersten Blick den Anmeldeprozeß verlangsamen bringt aber bei genaueren Betrachtung innerhalb von Domänen eine Geschwindigkeitsverbesserung mit sich. Insbesondere dann, wenn auch mit Ordnerumleitung und Offline Dateien gearbeitet wird.

Die Freigabe

Nachdem nun die Verzeichnisstruktur entsprechend erstellt wurde muß natürlich auch noch ein Zugang für die Clients geschaffen werden. Freigegeben wird empfohlenerweise der Stammordner der Profile selbst. Hier wird auch oft ein "$"-Zeichen verwendet um die Sichtbarkeit in der Netzwerkumgebung zu unterdrücken. Es ist aber auch möglich, die Freigabe über DFS zu veröffentlichen und in weiterer Folge über DFSR auf mehrere Server zu replizieren um die Ausfallssicherheit zu erhöhen. Die Rechte sollten so gesetzt sein, daß Administratoren, SYSTEM und die entsprechende Benutzergruppe Vollzugriff erhalten.
Einen wichtigen Punkt gibt es noch zu beachten. Bei dem Punkt "Zwischenspeichern" bei der Freigabe ist unbedingt der Punkt "Dateien oder Programme der Freigabe nicht offline verfügbar machen" auszuwählen, da es sonst zu Problemen kommen kann.

Offline Settings

Offlinedateien werden im Bereich der Profile nicht unterstützt. Aus diesem Grunde ist es auch wichtig für die Profile eine separate Stamm-Freigabe einzurichten und diese nicht mit anderen Daten wie umgeleitete Ordner, Homeverzeichnisse oder Arbeitsgruppenverzeichnisse zu mischen.

Active Directory

Damit nun Roaming Profiles für die einzelnen Benutzer auch aktiv werden ist natürlich ein entsprechender Eintrag im Benutzerobjekt im Active Directory vorzunehmen. Hier möchte ich dringend anraten den Loginnamen zu verwenden. Am einfachsten erreicht man dies, indem man immer %username% verwendet. Diese Methode ermöglicht es z.B. dieses Attribut gleich bei mehreren Benutzerobjekten gleichzeitig zu ändern. Es hat auch Vorteile wenn ein  neuer Benutzer durch das Kopieren eines bestehenden Benutzers angelegt wird. In diesem Fall erhält auch der neue Benutzer den richtigen Pfad, da beim Kopieren der Loginname erkannt und ersetzt wird. Vorsicht ist nur beim Ändern des Loginnames (z.B. wegen Namensänderung) geboten, hier wird werde das Profil Attribut noch der Pafd selbst nachgezogen. Hier ist Handarbeit nötig.

Windows XP versus Vista

Profile Sind nun die angeführten Punkte alle erfüllt so wird beim Anmelden eines Benutzers ein neues Profilverzeichnis erstellt welches mit den gewünschten Rechten ausgestattet ist. Der Name des Verzeichnisses ist unter Windows XP wie zu erwarten und im Active Directory angegeben der Loginname. Unter Vista jedoch wird dem zu erwartenden Namen noch ein ".V2" hinzugefügt. Mit Vista wurde die komplette Struktur der Profilordner grundlegend verändert und um dieser Änderung Rechnung zu tragen wird mit V2 die Version 2 für den Profilordner bezeichnet. Dies bedeutet aber auch, daß es nicht möglich ist, Daten zwischen einem XP-Profil und einem Vista-Profil zu sharen. Meldet sich ein Benutzer unter beiden Betriebssystemen an, so existieren zwei unterschiedliche Profile. Um Daten von einem Windows XP Profil in ein Vista Profil überzuführen oder mitzunehmen gibt es den Assistenten "Übertragen von Dateien und Einstellungen". Alternativ besteht die Möglichkeit Ordnerumleitungen zu verwenden. Umgeleitete Ordner (Eigene Dateien, Anwendungsdaten, Desktop usw.) können von beiden Betriebssystemen aus verwendet werden. Dies ist besonders bei beim Umstieg auf Vista zu beachten.

Kopieren von Profilen

Servergespeicherte Profile zu kopieren ist an und für sich kein Problem, solange die Rechte erhalten bleiben. Mein bevorzugtes Tool dafür ist xcopy da es hier möglich ist mit den Parameter /O die kompletten ACL's mitzunehmen. Ein Kopieren zwischen verschieden Benutzern ist jedoch direkt nicht möglich. Das Problem liegt hier weniger an den Rechten im Filesystem, diese könnte man neu setzen, sondern an den Rechten in der Registry Datei ntuser.dat. Diese Datei enthält die komplette Benutzer spezifische Registry und auch innerhalb der Registry gibt es Berechtigungen, wie sich leicht mit regedit überprüfen läßt. Und genau hier liegt das Problem, es ist leider nicht möglich einen anderen Benutzer einfach Vollzugriff auf den kompletten Registry-Baum zu geben, da ein Benutzer nicht in allen Pfaden vollen Zugriff hat beziehungsweise haben darf. Grund dafür sind zum Beispiel die Gruppenrichtlinien für Benutzer. Gruppenrichtlinien werden vom System in eigenen Unterbäumen gespeichert (z.B. HKCU\Software\Policies), dies ist notwendig, damit das System Richtlinien auch wieder entfernen kann. Durch diese Methode werden die ursprünglichen Standard-Werte in der Registry nicht überschrieben. In diesen Unterbäumen darf der Benutzer natürlich keine Schreibrechte besitzen, da er sonst die vom Administrator vorgegebenen Richtlinien verändern könnte. Ein nachträgliches "Pflegen" der Rechte innerhalb der Benutzer-Registry ist also kompliziert und daher nicht anzuraten. Es gibt jedoch eine Möglichkeit, diese Rechte vom System setzen zu lassen, diese funktioniert nur bei einem Profil welches sich im "Dokumente und Einstellungen" Verzeichnis beziehungsweise unter Vista im "Users" Verzeichnis befindet. In den Systemeigenschaften unter Erweitert, Benutzerprofile, Einstellungen (unter Vista erreicht man die Systemeigenschaften mit "Erweiterte Systemeinstellungen") ist der Punkt "Kopieren nach" enthalten.

copyTo

Mit dieser Aktion wird der "Roaming" Teil eines Profils an eine andere Stelle kopiert und zusätzlich die Berechtigungen auf den angegebenen Benutzer gesetzt. Dies ist auch ein hervorragender Weg um während einer Migration lokale Profile in servergespeicherte Profile zu verwandeln. Es besteht dadurch auch die Möglichkeit, Profile lokaler Benutzer in servergespeicherte Profile für einen Domänen Benutzer zu migrieren. Jede andere Methode Profile zu kopieren oder einem anderen Benutzer zugänglich zu machen schlägt meiner Erfahrung nach fehl oder ist mit wesentlich Problemen oder mühseliger Handarbeit verbunden.

Default und Mandatory Profile

Oft ist es erwünscht, das Profil für Benutzer von Beginn an entsprechend anzupassen. Standardmäßig wird für das erste Profil eines Benutzers das "Default" beziehungsweise "Default User" Profil des Computers verwendet (versteckter Ordner). Wurde auf dem Computer das Betriebssystem vom Hardware Hersteller vorinstalliert so ist dieses Profil meist mit speziellen Konfigurationen wie Hintergrundbilder, speziellen Menüpunkten, Desktopsymbolen oder Ähnlichem versehen. Will man innerhalb der Domäne konsistente Einstellungen erreichen, so sollte man neben Gruppenrichtlinien auch ein unternehmensweites Default Profil erstellen. Um dieses zu erreichen genügt es einfach das gewünschte und angepaßte Profil in ein Verzeichnis mit dem Namen "Default User.V2" für ein Vista Profil oder "Default User" für ein unter Windows XP erstelltes Profil auf die Netlogon Freigabe eines Domain-Controllers zu kopieren. Dieses Profil gilt dann für alle Benutzer welche sich innerhalb der Domäne das erste Mal anmelden. Eine Möglichkeit für Gruppenspezifischer Profile gibt es leider nicht. Es sei hier nochmals erwähnt, dass das Kopieren wieder über die Systemeigenschaften erfolgen sollte, als Benutzer des Profils sollte die Gruppe Jeder (Everyone) angegeben werden.
Abschließend sei auch noch die Möglichkeit von Mandatory und Super Mandatory Profilen erwähnt. Eine Mandatory Profil allgemein ist ein vorgegebenes Profil, welches durch Benutzer nicht verändert werden kann. Eine ähnliche Einschränkung läßt sich auch durch Gruppenrichtlinien erzielen, welches das Zurück-Schreiben des Profils unterbinden. Um ein Mandatory Profil zu erstellen oder genauer gesagt um aus einem bestehenden Profil ein Mandatory Profil zu machen muß einfach die Datei ntuser.dat in ntuser.man umbenannt werden. Mandatory Profile können Benutzerspezifisch sein oder können auch von mehreren Benutzern verwendet werden. Für den zweiten Fall wäre beim Kopieren des Musterprofiles als Benutzer wieder die Gruppe Jeder anzugeben, und der entsprechende Pfad bei allen entsprechenden Benutzerobjekten einzutragen. Steht das Mandatory Profil zum Zeitpunkt der Anmeldung nicht zur Verfügung so erzeugt das Betriebssystem ein temporäreres Profil auf Basis des Default Profils (lokal oder Domänenweit). Dieses Verhalten, welches auch bei nicht Mandatory Profilen auftritt, läßt sich mittels Gruppenrichtlinie verhindern. Alternativ kann bei Mandatory Profilen ein sogenanntes Super Mandatory Profil verwendet werden, welches vom Betriebssystem geladen werden muß oder die Anmeldung der derart konfigurierten Benutzer wird verhindert. Um ein Super Mandatory Profil zu konfigurieren muß einfach am Profilordner selbst die Erweiterung ".man" angegeben werden. Für Vista wäre die korrekte Erweiterung ".man.V2". Diese Erweiterung ist natürlich auch im Profil Pfad im Active Directory Benutzerobjekt anzugeben (Nur die .man Erweiterung, nicht die .V2 für Vista). Auch hier kann wieder ein Profilpfad für mehrere Benutzer verwendet werden.

Jetz sollte eigentlich einer erfolgreichen Implementierung nichts mehr im Wege stehen. Weitere Informationen finden sich unter:

Beitrag von Heinrich Pommer

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment