Basisordner (Home Folder) in Windows 8 über GPOs einrichten

    Home-VerzeichnisIn der Vergangenheit mussten Administratoren ein Script bemühen oder die User-Einstellungen in Active Directory-Benutzer und Computer bearbeiten, um den Pfad für das Home-Verzeichnis zu setzen bzw. zu ändern. In Windows 8 und Server 2012 lässt sich diese Einstellung nun über Gruppenrichtlinien steuern.

    Das Konzept der Heimatverzeichnisse ist wahrlich nicht neu und dient dazu, den Benutzern einen eigenen Bereich für ihre persönlichen Daten zur Verfügung zu stellen. Im professionellen Umfeld bevorzugt dafür man in der Regel eine zentrale Ablage auf einem Server, um Dokumente besser verwalten und einfacher sichern zu können.

    GUI-Tools für das Management vieler User unpraktisch

    Bei einer größeren Zahl von Benutzern ist die Konfiguration der Home-Verzeichnisse über die GUI umständlich, auch wenn man in Active Directory-Benutzer und -Computer mehrere User markieren und ihnen mit Hilfe von Umgebungsvariablen einen Basisordner zuteilen kann. Daher übernehmen meistens Login-Scripts diese Aufgabe. Sie erfordern aber Entwicklungs- sowie Pflegeaufwand und können den Anmeldevorgang verzögern, wenn sie zu komplex werden.

    In AD-Benutzer und Computer kann man die Basisordner für mehrere User auf einmal definieren.

    Daher ist es ein Fortschritt, wenn sich in Windows 8 und Server 2012 das Home-Verzeichnis wie viele andere Einstellungen über Gruppenrichtlinien festlegen lässt. Die dafür zuständige Policy befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Benutzerprofile und heißt Basisordner für Benutzer festlegen.

    Richtlinie nur für Computer, nicht für Benutzer

    Wie der Pfad schon zeigt, handelt es sich um eine Einstellung für Computer und nicht für User. Wenn man ein GPO mit dieser Policy auf die PCs einer OU anwendet, dann erfolgt die Zuordnung des Heimatverzeichnisses für alle Benutzer, die sich auf einem solchen Rechner anmelden, also auch für Administratoren.

    Einstellungen für Basisordner konfigurieren

    Aktiviert man diese Richtlinie, dann sind im GPO-Editor zwar nur drei Einstellungen anzupassen, aber ihre Konfiguration wirkt konfus und die Auswirkungen sind nicht auf Anhieb klar. So kann man zum Beispiel das Home-Verzeichnis wahlweise auf einem lokalen oder einem Netzlaufwerk platzieren, aber in beiden Fällen bleibt das Drive-Mapping aktiv, auch wenn es sich auf den lokalen PC nicht auswirkt.

    Obzwar nur 3 Einstellungen konfiguriert werden müssen, ist nicht gleich klar, was die verschiedenen Kombinationen bewirken.

    Die häufigste Variante wird darin bestehen, dass man unter Ort den Wert Im Netzwerk wählt, anschließend einen UNC-Pfad zu einer Netzfreigabe einfügt und sich schließlich für einen Laufwerksbuchstaben entscheidet, der dem Basisordner zugeordnet wird. Möchte man auf dieses Mapping verzichten, dann entscheidet man sich bei Ort für die Einstellung Am lokalen Computer und gibt unter Pfad aber eine Netzfreigabe in UNC-Notation an.

    Erstellen der benutzerspezifischen Verzeichnisse

    Egal ob man einen Speicherort im Netz oder auf dem lokalen PC einträgt, der Pfad zeigt immer auf das Wurzelverzeichnis der Home Folders. Der benutzerspezifische Ordner wird durch die Anwendung des GPO automatisch erzeugt. Deshalb soll und darf man unter Pfad keine Variablen wie %username% oder Wildcards verwenden.

    Das Anlegen der individuellen Home-Verzeichnisse unterhalb des angegebenen Ordners setzt voraus, dass dort die korrekten Zugriffsrechte gesetzt wurden. Diese müssen zum einen ausreichen, um Home Folder zu erzeugen und dem User die nötigen Privilegien zu gewähren, zum anderen sollen Benutzer normalerweise nicht in fremden Basisordnen herumschnüffeln dürfen.

    Rechtevergabe für Home-Root

    Um dieses Ziel zu erreichen, sollte man der Anleitung in diesem Support-Dokument folgend die Vererbung von Rechten in die Unterverzeichnisse deaktivieren und die speziellen Berechtigungen für Authentifizierte Benutzer auf das Home-Wurzelverzeichnis beschränken. Standard-User benötigen hier keine Rechte für Schreiben und Ändern. Der folgende Screenshot zeigt, wie die Erweiterten Sicherheitseinstellungen für das Root-Verzeichnis der Basisordner aussehen.

    Das automatische Anlegen der Home-Verzeichnisse setzt voraus, dass die Rechte im Root-Ordner korrekt gesetzt wurden.

    Auch wenn die Benutzer nur vollen Zugriff auf ihre eigenen Home-Verzeichnisse haben, so können sie abhängig von der Rechtevergabe im Home-Root unter Umständen alle Ordner der anderen User sehen. Wenn man das aus Gründen der Übersichtlichkeit nicht möchte, dann kann man mit Hilfe von Access Based Enumeration alle Verzeichnisse ausblenden, in denen der aktuelle Benutzer keine Rechte hat.

    Kombination mit Ordnerumleitung

    Das Einrichten eines Home Folders auf einem Netzlaufwerk sorgt bekanntlich noch nicht dafür, dass die Benutzerdaten automatisch an zentraler Stelle gespeichert werden. Dafür bedarf es zusätzlich einer Ordnerumleitung für ausgewählte Verzeichnisse. Die dafür zuständigen Richtlinien sehen aber explizit die Möglichkeit vor, den Basisordner als Ziel zu wählen.

    5 Kommentare

    Alexander Plauschin sagt:
    19. November 2013 - 8:57

    Hallo Herr Sommergut,

    vielen Dank für diesen Artikel.
    Es ist echt praktisch, dass man die Zuweisung des Homelaufwerks nun endlich über die Computerkonfiguration einer GPO realisieren kann.
    Allerdings habe ich nach einem Test bemerkt, dass die GPO tatsächlich nur bei WIN8 bzw. Server 2012 Computern greift.
    Unter Windows 7 liefert ein gpresult zwar, dass die GPO angewendet wurde, allerdings ist das Home-LW nicht vorhanden.
    Meine Frage: Wissen Sie, ob es seitens MS einen Patch gibt, der diese Problematik behebt oder ob irgendwas in der Art geplant ist?
    Für Ihre Antwort schon mal vielen Dank!
    Viele Grüße,

    A. Plauschin

    Bild von Wolfgang Sommergut
    19. November 2013 - 14:58

    Hallo Herr Plauschin, bei den neuen Einstellungen handelt es sich um solche für Windows 8.x und Server 2012 (R2). Von einer Portierung auf Windows 7 ist mir nichts bekannt.

    A. Barnt sagt:
    26. November 2013 - 17:39

    Das ist genau das Problem vor dem ich auch stehe.
    Server 2012, Client´s Win7
    Eintrag des Basislaufwerks im AD BuC nicht möglich da die User über einen Trust kommen.
    Wie bekomme ich den Win 7 Clients sauber ein Basislaufwerk verpasst? :(

    Jan Lange sagt:
    31. Januar 2014 - 19:21

    Relikt aus NT Zeiten

    Mich wunderts warum MS das überhaupt noch einführt. Für mich ist das ein Relikt aus Windows NT/2000 Zeiten und wurde gegen Folder Redirection via UNC Pfade doch abgelößt.

    Allen Usern teile ich nun mit das Servergespeicherte Daten in "Dokumente" gehören und nicht mehr auf Z:\

    Wo ist das Problem für den User seien Daten im vorgegebenen Pfad der Dokumente zu verwalten? Sehe keine Notwendigkeit mehr für gesonderte Basislaufwerk via Laufwerksbuchstaben.

    Firmendaten kommen sowieso auf allgemeine Shares und solche Shares können seit längerem via GPO verbunden werden.

    Paul Kosthorst sagt:
    27. Mai 2016 - 17:03

    Hallo,

    der Artikel ist zwar schon recht alt, dennoch hilft das hier vllt noch jemandem weiter:

    Damit das oben schön ausformulierte per GPO funktioniert, musste ich in meiner Umgebung dem "authentifiziertem Benutzer" noch die Berechtigung: "Ordner erstellen" geben, sowie dem Benutzer: ERSTELLER/BESITZER Vollzugriff auf "nur diesen Ordner".

    Eine Vermutung von mir ist, das das mit der Loopbackverarbeitung zu tun hat, die bei mir eingeschaltet ist. Jedenfalls wird die GPO mit Benutzerrechten ausgeführt, und deswegen werden die weiteren Rechte benötigt. Trägt man das Basislaufwerk in der AD ein, hat man das Problem nicht.

    mfg