Benutzerprofile für Remote Desktop Services konfigurieren

    User ProfilesDie Terminaldienste stellen besondere Anfor­derungen an das Management der Benutzer­profile und zeigen gleichzeitig die Grenzen der Windows-Bordmittel auf. Verzichtet man auf den Einsatz von Zusatzprodukten, dann empfiehlt es sich, eigene Profile für die RDS vorzu­halten. Sie lassen sich über die etablierten Mechanismen zentral verwalten.

    Die spezifischen Anforderungen an Profile auf RD Session Hosts entspringen im Wesentlichen folgenden Eigenheiten der Terminaldienste:

    • Eine größere Zahl von Benutzern teilt sich ein Server-Betriebssystem
    • Die Grafikleistung ist in der Regel deutlich schwächer als auf lokalen PCs
    • Terminal-Server werden zu Sammlungen zusammengefasst

    Lokale Profile vermeiden

    Aus diesen Besonderheiten folgt, dass Profile nicht lokal auf dem Terminal-Server gespeichert werden sollten, weil User sonst jedes Mal andere Einstellungen erhalten, wenn sie verschiedenen Hosts einer Farm (Collection) zugewiesen werden. Außerdem würden ihre Dokumente über mehrere Server verteilt.

    Darüber hinaus wachsen in einer Multi-User-Umgebung die Datenmengen auf den lokalen Server-Laufwerken stark an, wenn man die Profile dort ablegt.

    Schließlich möchte man auf einem Terminal-Server separate Einstellungen für grafische Effekte und beispielsweise auf Bildschirmschoner oder das Anzeigen des Fensterinhalts beim Ziehen verzichten.

    User Profile Disks wurden mit Server 2012 eingeführt und eignen sich sowohl für Session Hosts als auch für virtuelle Desktops.

    Microsoft sieht daher verschiedene Techniken vor, um Benutzerprofile unter solchen Bedingungen getrennt zu verwalten und um unerwünschte Nebeneffekte zu vermeiden.

    Das neueste Feature in diesem Zusammenhang sind User Profile Disks, die zentral gespeicherte VHDX-Laufwerke auf einem Session Host mounten und die Benutzerdaten in diese schreiben. Ihr wesentlicher Vorteil besteht in kurzen Anmeldezeiten sowie in ihrer Verfügbarkeit sowohl für Terminal-Sessions als auch für virtuelle Desktops.

    Nach verschiedenen Berichten leiden User Profile Disks noch unter Kinderkrankheiten, die sich in gelegentlichen Verbindungsproblemen und dem Anmelden der Benutzer mit einem temporären Profil äußern.

    Pfade für Remotedesktop-Profile festlegen

    Wenn man separate Profile bloß für Terminaldienste und nicht für VDI benötigt, dann kann man dafür eigene Pfade definieren, die aus besagten Gründen auf Netzlaufwerke verweisen (siehe dazu: Freigabe für Roaming Profiles und Ordnerumleitung einrichten).

    In der Praxis öffnen Session Hosts die Benutzerprofile nicht an diesem angegebenen zentralen Speicherort, sondern laden die Einstellungen und Dateien in die lokalen Profile des Servers herunter. Anschließend spielen sie die geänderten Daten nach dem Abmelden wieder zurück auf das definierte Netzlaufwerk. Mithin handelt es sich bei diesem Mechanismus um Roaming Profiles für Remotedesktop.

    RD-Profile über GUI definieren

    Hat man nur wenige Benutzer zu verwalten, dann lässt sich der Pfad für die Remotedesktop-Profile in den User-Eigenschaften von AD-Benutzer und -Computer eintragen. An diesen hängt Windows für die jeweiligen Profile automatisch den Benutzernamen an.

    Der Pfad für Remotedesktop-Profile lässt sich in ADUC für jeden User einzeln eintragen.

    Zusätzlich besteht dort die Option, ein Home-Verzeichnis (Basisordner) anzugeben. Hat man bereits unter der Registerkarte Profil eine Freigabe eingetragen, dann gilt in Terminal-Sessions trotzdem nur der Remotedesktop-Pfad.

    Verzeichnis über GPOs konfigurieren

    In größeren Umgebungen wird man das Profilverzeichnis nicht für jeden User einzeln in AD-Benutzer und -Computer eingeben, sondern diese Aufgabe über Gruppenrichtlinien erledigen. Die entsprechende Einstellung heißt Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen und findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Remotedesktopdienste => Remotedesktopsitzungs-Host => Profile.

    Die Einstellungen für die Remotedesktop-Profile lassen auch die zentrale Definition des Pfads zu.

    Microsoft empfiehlt als Best Practice, für jede Server-Farm eigene Profilverzeichnisse zu verwenden, weil es zu Schreibkonflikten und Datenverlusten führen kann, wenn Benutzer an zwei Hosts gleichzeitig angemeldet sind. Dieser Fall kann jedoch auch innerhalb einer Sammlung auftreten, etwa wenn nicht alle Anwendungen auf allen Servern installiert werden.

    In diesem Zweig des GPO-Editors sind noch weitere Einstellungen vertreten, unter anderem zur Festlegung des Home-Verzeichnisses und zur Verwendung von Mandatory Profiles (Einstellung Verbindliche Profile auf dem Remotedesktopsitzungs-Hostserver verwenden).

    Remotedesktop-Profile mit Orderumleitung

    Wenn die Roaming Profiles für Remotedesktop neben den Einstellungen auch die Benutzerdateien enthalten, dann können sie die Anmeldezeiten erheblich verlängern. Aus diesem Grund verbleiben die Profile nach dem Abmelden auf den Session Hosts. Um den Platzverbrauch durch dieses Caching zu kontrollieren, kann man sich einer weiteren GPO-Einstellung bedienen: Gesamtgröße des Caches für servergespeicherte Benutzerprofile begrenzen.

    Nachdem viele Firmen die Anwendungen nicht ausschließlich über die Terminaldienste, sondern auch lokal auf den Workstations bereitstellen, würden getrennte Profile für Session Hosts und PCs dazu führen, dass die Benutzerdateien über beide Orte verstreut sind.

    Abhilfe schafft hier die Ordnerumleitung, mit der die Benutzer aus allen Profilen auf die dieselben Verzeichnisse für Dokumente zugreifen. Nebenbei reduziert sich damit auch die Datenmenge, die beim Anmelden auf die Session Hosts kopiert werden muss, so dass sich damit auch die Login-Zeiten verkürzen.

    Wenn man Roaming Profiles für Client-PCs einsetzt, dann empfiehlt es sich grundsätzlich, gleichzeitig auch einen Pfad für Remotedesktop-Profile festzulegen, um das Kopieren der Workstation-Profile auf die Session-Hosts zu vermeiden.

    2 Kommentare

    Bild von Alexander Fritz
    Alexander Fritz sagt:
    17. April 2019 - 14:44

    Hallo,
    ich bin gerade über diese Beschreibung gestolpert, und wollte kurz darauf hinweisen, dass die Einstellung, wenn im Benutzer selbst hinterlegt, leider nicht ab Windows Server 2016 zieht. Hier kommt man ohne die GPO oder Registry Einträge (https://support.microsoft.com/en-us/help/3200967/changes-to-remote-conne...) leider nicht mehr weiter.
    Viele Grüße Alex

    Bild von Christian Becker
    Christian Becker sagt:
    6. September 2019 - 9:42

    Danke! Der Hinweis Registry war in Verb. mit dem deeplink und dem W2k16 super! Grüße Becki!