Anleitung: Mandatory Profile (verbindliches Benutzerprofil) für Windows 10 einrichten

    Roaming ProfilesFür Kiosk­systeme oder Terminal-Server sind Mandatory Profiles recht be­liebt, weil sie die Benutzer­umgebung immer auf eine vorge­gebene Konfi­guration zurück­setzen und den Platz­verbrauch durch Benutzer­daten be­grenzen. Die Bereit­stellung solcher Pro­file für Windows 10 hat sich im Vergleich zur Version 7 verändert.

    Genau genommen handelt es sich bei Mandatory Profiles um einen Spezialfall von Roaming Profiles. Sie werden beim Anmelden eines Benutzers jedes Mal von einem lokalen Verzeichnis oder einem freige­gebenen Netz­laufwerk auf das Profil des Users kopiert.

    Hermetische Arbeitsumgebung

    Daraus resultiert die Eigenheit von Mandatory Profiles, dass Benutzer zwar die Konfiguration ihrer Umgebung ändern und in ihrem Profil auch Dateien speichern können, aber sie gehen nach der Abmeldung genauso verloren wie alle Anpassungen. Beim nächsten Logon präsentiert sich der Rechner wieder so, wie vom Administrator vorgegeben.

    Es liegt auf der Hand, dass man damit eine hermetische Umgebung schafft, die den Benutzern keinerlei Spielraum für persönliche Entfaltung einräumt. Deswegen eignen sich Mandatory Profiles primäre für Kiosk-Systeme. Für Terminal-Server werden sie oft genommen, weil sich damit der Platzverbrauch der User eindämmen lässt.

    Weniger rigide Alternativen

    Für normale Arbeits­umgebungen bieten sich in den meisten Fällen benutzer­freundlichere Alternativen an, etwa das Absichern bestimmter Einstellungen über GPOs. Der Platz­verbrauch durch Benutzer­profile lässt sich ebenfalls durch Gruppen­richtlinien steuern, alternativ kann man Dateien durch Ordner­umleitung oder bei einem Remote Desktop Host über User Profile Disks auslagern.

    Ausgangspunkt für ein Mandatory Profile ist das Standardprofil auf einem Rechner. Dieses wird der Admin in der Regel erst so anpassen wollen, dass es für die vorgesehenen Benutzer und Einsatz­gebiete passt. Dazu gehört in der Regel auch die Konfiguration des Desktops.

    Erstellen eines Standardprofils

    Die Bereitstellung eines angepassten Standard­profils erfordert seit Windows 7 den Einsatz von Sysprep zusammen mit einer Antwortdatei (siehe dazu: Standard-Benutzerprofil unter Windows 7 konfigurieren). Das Vorgehen hat sich unter Windows 10 nicht grundsätzlich geändert, einen Sonderweg beschreiten dort nur die Store Apps und das neue Startmenü (siehe: Windows 10: Standardprofil für lokale und Domain-Konten erstellen).

    Antwortdatei für sysprep mit WinSIM erstellen

    Da Windows 10 bei jedem Login mit einem Mandatory Profile sämtliche im System bereit­gestellte Apps für den jeweiligen Benutzer erneut installiert, wird man nach Möglichkeit vorab alle Store Apps aus dem Image entfernen.

    Standardprofil auf verbindliches Profil kopieren

    Sobald das Standardprofil alle gewünschten Anpassungen erhalten hat, erstelle ich davon im nächsten Schritt eine Kopie. Dies lässt sich über die System­steuerung unter System und Sicherheit => System => Erweiterte Systemeinstellungen erledigen. Auf der Registerkarte Erweitert klicke ich im Abschnitt Benutzerprofile auf die Schaltfläche Einstellungen.

    Angepasstes Standardprofil in der Systemsteuerung auswählen

    Nun wähle ich das Standardprofil aus und klicke auf die Schaltfläche Kopieren nach… Im folgenden Dialog gebe ich das Verzeichnis an, wo die Kopie gespeichert und von wo das Profil dann später geladen werden soll.

    Kopie des Standardprofils für das Mandatory Profile erstellen

    An den Namen für das Profil sollte man die Versions­nummer anfügen. Diese hängt vom Betriebssystem ab, aus dem man das Profil exportiert. Neuere Versionen von Windows 10 (ab 1607) und Server 2016 sind bereits bei v6 angelangt, Windows 7 hatte noch v2 und 8.1 nutzt v4.

    Hat man als Zielverzeichnis zum Beispiel \\myserver\pshare\ ausgewählt, dann fügt man bei einem aktuellen Windows noch mandatory.v6 an.

    Im Feld Benutzer klicke ich auf Ändern und gebe die Gruppe Jeder ein (oder wahlweise Authentifizierte Benutzer). Dadurch wird sichergestellt, dass alle User die Berechtigung zum Lesen und Schreiben auf das kopierte Benutzerprofil erhalten.

    Zugriffsrechte für 'Jeder' beim Export des Standardprofils vergeben

    Seit Windows 10 1709 existiert zusätzlich eine Checkbox mit der Bezeichnung Verbindliches Profil, mit dem man die Kopie als Mandatory Profile kennzeichnet. Dadurch wird den Benutzern, die man zuvor ausgewählt hat (unserem Beispiel Jeder), nur lesender Zugriff gewährt.

    Nun wechsle ich zum neu kopierten Benutzerprofil unter \\server\share\ mandatory.v6. Dort benenne ich im nächsten Schritt die Datei ntuser.dat (die den Registry-Zweig für HKEY_CURRENT_USER enthält) in ntuser.man um, wodurch sie als Teil des Mandatory Profiles erkennbar wird.

    Umbenennen des Registry Hives ntuser.dat in ntuser.man

    Windows versieht diese Datei beim Export mit den Attributen System und Versteckt, so dass man dort erst die Ordner­optionen ändern muss, um sie sichtbar zu machen.

    Startmenü, Suchfeld und Taskbar funktionieren nicht

    Unter Windows 7 wäre nun der Vorgang zum Bereitstellen eines Mandatory Profile abgeschlossen. Teilt man es im aktuellen Zustand jedoch an Benutzer unter Windows 10 oder Server 2016 zu, dann können sie nach ihrer Anmeldung weder das Startmenü noch das Kontextmenü von Icons in der Taskleiste öffnen. Außerdem ist eine Eingabe in das Suchfeld nicht möglich.

    Geht man bei der Bereitstellung von verbindlichen Profilen so vor wie bei Windows 7, dann funktioniert das Startmenü nicht.

    Um dieses Problem zu vermeiden, muss man die Berechtigungen für das neue Profil anpassen. Dazu öffnet man die Eigenschaften des Profil­verzeichnisses, in meinem Beispiel mandatory.v6 und wechselt zur Registerkarte Sicherheit.

    Verzeichnisrechte einräumen

    Standardmäßig verfügen hier Administratoren, das Systemkonto sowie Jeder bzw. Authenti­fizierte Benutzer über Berechtigungen. Zusätzlich trage ich hier nun die lokale Gruppe Alle Anwendungs­pakete ein.

    Die Gruppe Alle Anwendungspakete benötigt Vollzugriff auf den Ordner des Mandatory Profile

    Zu diesem Zweck klicke ich auf die Schaltfläche Erweitert, dort auf Berechtigungen ändern und dann auf Hinzufügen. Im anschließenden Dialog folgt man dem Link Prinzipal auswählen.

    Im nächsten Fenster ändere ich den Suchpfad auf den lokalen Rechner und kann so nach Eingabe von "Alle" den kompletten Namen automatisch vervollständigen. Die Gruppe erhält anschließend Vollzugriff.

    Die Rechte für Alle Anwendungspakete auf sämtliche Unterverzeichnisse ausweiten

    Nach dem Bestätigen von OK und der Rückkehr zum ersten Dialog ist es wichtig, dass man die neu erteilte Berechtigung auf alle Unterverzeichnisse ausdehnt. Dafür aktiviere ich die zuständige Checkbox am unteren Rand des Fensters.

    Berechtigungen in der Registry

    Die Dateirechte alleine reichen noch nicht aus. Zusätzlich benötigt die Gruppe Alle Anwendungspakete auch Berechtigungen in der Registry. Für diese Aufgabe öffne ich regedit.exe, markiere dort den Zweig HKEY_USERS und führe aus dem Menü Datei den Befehl Struktur laden aus. Im folgenden Dialog wähle ich ntuser.man aus dem Mandatory Profile.

    Hive aus dem Mandatory Profile als Struktur in den Registriereditor laden

    Der Registrier­editor fragt dann im nächsten Schritt nach dem Schlüssel, in den der Hive geladen werden soll. Der Name ist beliebig, hier gebe ich einfach Mandatory ein, öffne anschließend das Kontextmenü dieses Keys und starte den Befehl Berechtigungen. Hier gewähre ich Jeder bzw. Authentifizierte Benutzer sowie der Gruppe Alle Anwendungspakete wieder Vollzugriff, das Vorgehen folgt dem gleichen Muster wie oben für das Verzeichnis beschrieben.

    Alle Anwendungspakete erhalten auch Vollzugriff auf den Registry-Zweig ntuser.man

    Zum Schluss markiere ich in meinem Beispiel den Schlüssel Mandatory und führe aus dem Menü Datei den Befehl Struktur entfernen aus.

    Individuelles Startmenü

    Möchte man für die Benutzer ein Startmenü bereitstellen, das von der Systemvorgabe abweicht, dann kann man dies zum Teil über GPOs tun.

    Für einen angepassten Kachelbereich muss man dessen Konfiguration aus einem Referenzkonto in eine XML-Datei exportieren und diese dann über Gruppenrichtlinien verteilen (siehe dazu Startmenü in Windows 10 anpassen über GPOs oder .ppkg-Dateien).

    Zuweisen eines Mandatory Profiles

    Zum Schluss steht noch die Aufgabe an, das neue verbindliche Profil an Benutzer zuzuweisen. Auf einem Kiosksystem, das nicht in einer Domäne oder gar im Netzwerk ist, wird man das Profil lokal gespeichert haben. In der Regel benötigt man dort nur ein Konto, mit dem sich alle Benutzer anmelden.

    In diesem Fall bietet es sich an, die Zuordnung des Mandatory Profile über die GUI der Benutzer­verwaltung vorzunehmen. Hierzu lege ich in der Computerverwaltung unter Lokale Benutzer und Gruppen => Benutzer einen neuen Benutzer an oder wählen einen bereits vorhandenen aus.

    Zuweisen eines Mandatory Profile an einzelne Benutzer via GUI

    In den Eigenschaften des Kontos trage ich nun auf der Registerkarte Profil den Pfad zum exportierten Standardprofil ein, wobei man hier versionsabhängige Endungen wie ".v6" weglässt. Für Domänen-User bietet Active Directory-Benutzer und -Computer ebenfalls ein solches Eingabefeld. Zusätzlich gibt es dort die Möglichkeit, ein separates Profil für Remotedesktop festzulegen.

    Verbindliche Profile über GPO festlegen

    Möchte man in zentral verwalteten Umgebungen ein verbindliches Profil über Gruppenrichtlinien vorgeben, dann ist dafür die gleiche Einstellung zuständig wie für Roaming Profiles, nämlich Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden. Sie findet sich unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.

    Zuweisen eines Mandatory Profile über Gruppenrichtlinien

    Für den Terminal-Server benötigt man für diesen Zweck zwei Einstellungen. Zum einen handelt es sich dabei um jene, die Mandatory Profiles erst aktiviert. Sie heißt Verbindliche Profile auf dem Remotedesktopsitzungs-Hostserver verwenden.

    Ergänzend dazu muss man dem System mittteilen, wo sich das Profil befindet. Zuständig ist hier wieder die gleiche Einstellung wie bei den Roaming Profiles, und zwar Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden.

    Beide befinden sich unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.

    6 Kommentare

    Bild von Martin Feuerstein
    Martin Feuerstein sagt:
    12. Februar 2018 - 16:28

    Gibt es für das Vorgehen auch eine Methode, dieses per Antwortdatei, Batch/PowerShell etc. zu automatisieren? (insbesondere das Kopieren des Profils oder die Berechtigungsanpassungen)

    Bild von Daniel
    Daniel sagt:
    13. Februar 2018 - 18:38

    Vielen Dank für den ausführlichen Beitrag!
    Du hast geschrieben:"...Der Platz­verbrauch durch Benutzer­profile lässt sich ebenfalls durch Gruppen­richtlinien steuern". Kannst du kurz sagen, wo ich das finde?

    wir haben in unserer Schule 200 Clients mit Mandatory Profiles. Nun bin ich dran, diese allenfalls durch Roaming Profiles mit Platzbeschränkung zu ersetzen.

    Vielen Dank und Grüsse
    Daniel

    Bild von Wolfgang Sommergut
    13. Februar 2018 - 20:39

    Dafür gibt es die Einstellung "Profilgröße beschränken". Sie findet sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => System => Benutzerprofile. Ich werde dazu in Kürze einen Beitrag bringen.

    Bild von Bernhard
    Bernhard sagt:
    15. Februar 2018 - 18:39

    Damit die Universal Windows Platform Apps bei mir funktionierten musste ich folgende GPO anwenden:
    http://winxperts4all.at/index.php/betriebssysteme/windows-10/1530-univer...

    Weiters habe ich noch folgenden Reg Key per GPO an alle clients verteilt:
    http://winxperts4all.at/index.php/betriebssysteme/windows-10/1531-vertei...

    Bild von Mathias
    Mathias sagt:
    29. August 2018 - 9:26

    Danke für die Info. Die Sache mit den Rechten für "Alle Anwendungspakete" habe ich nur hier gefunden. Damit funktionieren auch meine verbindlichen Profile mit Win10-1803, obwohl die Dateirechte nur im servergespeicherten Profil vorhanden sind und nicht in der Kopie auf den Clients. Schleierhaft. Außerdem muss ich die lokale Kopie der Profile nach Abmeldung löschen, ansonsten wird bei der 2. Anmeldung das Startmenü (der linke Teil, nicht die Kacheln) wieder korrumpiert.
    "Alle Anwendungspakete" hat übrigens die SID S-1-15-2-1, so dass man viele Profile in einem Rutsch ändern kann mit
    icacls Laufwerk:\Profile\*.* /grant *S-1-15-2-1:(OI)(CI)(F)
    Leider weiß ich nicht, wie man die Rechte in der Registry per Batch ändern kann.

    Bild von Matthis
    Matthis sagt:
    6. November 2018 - 10:26

    Danke für diese Anleitung, es funktioniert wie gewünscht. Nun hab ich aber folgendes Problem:
    Das Mandatory Profil soll laut Vorgabe ein lokaler Login sein und die Clients sollen wegen GPO auch in eine Domäne. Sobald ich aber der Domäne beitrete ist das Mandatory Profil ein normales Benutzerprofil und speichert alles.
    Trete ich aus der Domäne aus funktioniert es wieder einwandfrei.
    An den GPO liegt es nicht, diese wurde Testweise komplett deaktiviert.
    Irgendwelche Tipps?

    Vielen Dank und liebe Grüße
    Matthis