Anleitung: Mandatory Profile (verbindliches Benutzerprofil) für Windows 10 einrichten

Daraus resultiert die Eigenheit von Mandatory Profiles, dass Benutzer zwar die Konfiguration ihrer Umgebung ändern und in ihrem Profil auch Dateien speichern können, aber sie gehen nach der Abmeldung genauso verloren wie alle Anpassungen. Beim nächsten Logon präsentiert sich der Rechner wieder so, wie vom Administrator vorgegeben.

Es liegt auf der Hand, dass man damit eine hermetische Umgebung schafft, die den Benutzern keinerlei Spielraum für persönliche Entfaltung einräumt. Deswegen eignen sich Mandatory Profiles primäre für Kiosk-Systeme. Für Terminal-Server werden sie oft genommen, weil sich damit der Platzverbrauch der User eindämmen lässt.

Weniger rigide Alternativen

Für normale Arbeits­umgebungen bieten sich in den meisten Fällen benutzer­freundlichere Alternativen an, etwa das Absichern bestimmter Einstellungen über GPOs. Der Platz­verbrauch durch Benutzer­profile lässt sich ebenfalls durch Gruppen­richtlinien steuern, alternativ kann man Dateien durch Ordner­umleitung oder bei einem Remote Desktop Host über User Profile Disks auslagern.

Ausgangspunkt für ein Mandatory Profile ist das Standardprofil auf einem Rechner. Dieses wird der Admin in der Regel erst so anpassen wollen, dass es für die vorgesehenen Benutzer und Einsatz­gebiete passt. Dazu gehört in der Regel auch die Konfiguration des Desktops.

Erstellen eines Standardprofils

Die Bereitstellung eines angepassten Standard­profils erfordert seit Windows 7 den Einsatz von Sysprep zusammen mit einer Antwortdatei (siehe dazu: Standard-Benutzerprofil unter Windows 7 konfigurieren). Das Vorgehen hat sich unter Windows 10 nicht grundsätzlich geändert, einen Sonderweg beschreiten dort nur die Store Apps und das neue Startmenü (siehe: Windows 10: Standardprofil für lokale und Domain-Konten erstellen).

Da Windows 10 bei jedem Login mit einem Mandatory Profile sämtliche im System bereit­gestellte Apps für den jeweiligen Benutzer erneut installiert, wird man nach Möglichkeit vorab alle Store Apps aus dem Image entfernen.

Standardprofil auf verbindliches Profil kopieren

Sobald das Standardprofil alle gewünschten Anpassungen erhalten hat, erstelle ich davon im nächsten Schritt eine Kopie. Dies lässt sich über die System­steuerung unter System und Sicherheit => System => Erweiterte Systemeinstellungen erledigen. Auf der Registerkarte Erweitert klicke ich im Abschnitt Benutzerprofile auf die Schaltfläche Einstellungen.

Nun wähle ich das Standardprofil aus und klicke auf die Schaltfläche Kopieren nach… Im folgenden Dialog gebe ich das Verzeichnis an, wo die Kopie gespeichert und von wo das Profil dann später geladen werden soll.

An den Namen für das Profil sollte man die Versions­nummer anfügen. Diese hängt vom Betriebssystem ab, aus dem man das Profil exportiert. Neuere Versionen von Windows 10 (ab 1607) und Server 2016 sind bereits bei v6 angelangt, Windows 7 hatte noch v2 und 8.1 nutzt v4.

Hat man als Zielverzeichnis zum Beispiel \\myserver\pshare\ ausgewählt, dann fügt man bei einem aktuellen Windows noch mandatory.v6 an.

Im Feld Benutzer klicke ich auf Ändern und gebe die Gruppe Jeder ein (oder wahlweise Authentifizierte Benutzer). Dadurch wird sichergestellt, dass alle User die Berechtigung zum Lesen und Schreiben auf das kopierte Benutzerprofil erhalten.

Seit Windows 10 1709 existiert zusätzlich eine Checkbox mit der Bezeichnung Verbindliches Profil, mit dem man die Kopie als Mandatory Profile kennzeichnet. Dadurch wird den Benutzern, die man zuvor ausgewählt hat (unserem Beispiel Jeder), nur lesender Zugriff gewährt.

Nun wechsle ich zum neu kopierten Benutzerprofil unter \\server\share\ mandatory.v6. Dort benenne ich im nächsten Schritt die Datei ntuser.dat (die den Registry-Zweig für HKEY_CURRENT_USER enthält) in ntuser.man um, wodurch sie als Teil des Mandatory Profiles erkennbar wird.

Windows versieht diese Datei beim Export mit den Attributen System und Versteckt, so dass man dort erst die Ordner­optionen ändern muss, um sie sichtbar zu machen.

Startmenü, Suchfeld und Taskbar funktionieren nicht

Unter Windows 7 wäre nun der Vorgang zum Bereitstellen eines Mandatory Profile abgeschlossen. Teilt man es im aktuellen Zustand jedoch an Benutzer unter Windows 10 oder Server 2016 zu, dann können sie nach ihrer Anmeldung weder das Startmenü noch das Kontextmenü von Icons in der Taskleiste öffnen. Außerdem ist eine Eingabe in das Suchfeld nicht möglich.

Um dieses Problem zu vermeiden, muss man die Berechtigungen für das neue Profil anpassen. Dazu öffnet man die Eigenschaften des Profil­verzeichnisses, in meinem Beispiel mandatory.v6 und wechselt zur Registerkarte Sicherheit.

Verzeichnisrechte einräumen

Standardmäßig verfügen hier Administratoren, das Systemkonto sowie Jeder bzw. Authenti­fizierte Benutzer über Berechtigungen. Zusätzlich trage ich hier nun die lokale Gruppe Alle Anwendungs­pakete ein.

Zu diesem Zweck klicke ich auf die Schaltfläche Erweitert, dort auf Berechtigungen ändern und dann auf Hinzufügen. Im anschließenden Dialog folgt man dem Link Prinzipal auswählen.

Im nächsten Fenster ändere ich den Suchpfad auf den lokalen Rechner und kann so nach Eingabe von "Alle" den kompletten Namen automatisch vervollständigen. Die Gruppe erhält anschließend Vollzugriff.

Nach dem Bestätigen von OK und der Rückkehr zum ersten Dialog ist es wichtig, dass man die neu erteilte Berechtigung auf alle Unterverzeichnisse ausdehnt. Dafür aktiviere ich die zuständige Checkbox am unteren Rand des Fensters.

Berechtigungen in der Registry

Die Dateirechte alleine reichen noch nicht aus. Zusätzlich benötigt die Gruppe Alle Anwendungspakete auch Berechtigungen in der Registry. Für diese Aufgabe öffne ich regedit.exe, markiere dort den Zweig HKEY_USERS und führe aus dem Menü Datei den Befehl Struktur laden aus. Im folgenden Dialog wähle ich ntuser.man aus dem Mandatory Profile.

Der Registrier­editor fragt dann im nächsten Schritt nach dem Schlüssel, in den der Hive geladen werden soll. Der Name ist beliebig, hier gebe ich einfach Mandatory ein, öffne anschließend das Kontextmenü dieses Keys und starte den Befehl Berechtigungen. Hier gewähre ich Jeder bzw. Authentifizierte Benutzer sowie der Gruppe Alle Anwendungspakete wieder Vollzugriff, das Vorgehen folgt dem gleichen Muster wie oben für das Verzeichnis beschrieben.

Zum Schluss markiere ich in meinem Beispiel den Schlüssel Mandatory und führe aus dem Menü Datei den Befehl Struktur entfernen aus.

Individuelles Startmenü

Möchte man für die Benutzer ein Startmenü bereitstellen, das von der Systemvorgabe abweicht, dann kann man dies zum Teil über GPOs tun.

Für einen angepassten Kachelbereich muss man dessen Konfiguration aus einem Referenzkonto in eine XML-Datei exportieren und diese dann über Gruppenrichtlinien verteilen (siehe dazu Startmenü in Windows 10 anpassen über GPOs oder .ppkg-Dateien).

Zuweisen eines Mandatory Profiles

Zum Schluss steht noch die Aufgabe an, das neue verbindliche Profil an Benutzer zuzuweisen. Auf einem Kiosksystem, das nicht in einer Domäne oder gar im Netzwerk ist, wird man das Profil lokal gespeichert haben. In der Regel benötigt man dort nur ein Konto, mit dem sich alle Benutzer anmelden.

In diesem Fall bietet es sich an, die Zuordnung des Mandatory Profile über die GUI der Benutzer­verwaltung vorzunehmen. Hierzu lege ich in der Computerverwaltung unter Lokale Benutzer und Gruppen => Benutzer einen neuen Benutzer an oder wählen einen bereits vorhandenen aus.

In den Eigenschaften des Kontos trage ich nun auf der Registerkarte Profil den Pfad zum exportierten Standardprofil ein, wobei man hier versionsabhängige Endungen wie ".v6" weglässt. Für Domänen-User bietet Active Directory-Benutzer und -Computer ebenfalls ein solches Eingabefeld. Zusätzlich gibt es dort die Möglichkeit, ein separates Profil für Remotedesktop festzulegen.

Verbindliche Profile über GPO festlegen

Möchte man in zentral verwalteten Umgebungen ein verbindliches Profil über Gruppenrichtlinien vorgeben, dann ist dafür die gleiche Einstellung zuständig wie für Roaming Profiles, nämlich Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden. Sie findet sich unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.

Für den Terminal-Server benötigt man für diesen Zweck zwei Einstellungen. Zum einen handelt es sich dabei um jene, die Mandatory Profiles erst aktiviert. Sie heißt Verbindliche Profile auf dem Remotedesktopsitzungs-Hostserver verwenden.

Ergänzend dazu muss man dem System mittteilen, wo sich das Profil befindet. Zuständig ist hier wieder die gleiche Einstellung wie bei den Roaming Profiles, und zwar Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden.

Beide befinden sich unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.