Freigabe für Roaming Profiles und Ordnerumleitung einrichten: Name, Berechtigungen, Cache

    Roaming ProfilesMöchte man Server-gespeicherte Profile oder Ordnerumleitung nutzen, dann benötigt man dafür eine zentrale Ablage, die bestimmte Voraus­setzungen erfüllen sollte. Dazu gehören korrekt vergebene NTFS- und Freigaberechte sowie die Konfiguration von Offline-Files und Access Based Enumeration.

    Das Trio aus Roaming Profiles, Ordnerumleitung und Offline-Dateien sind nach wie vor Microsofts Standardtechnologien für die so genannte Virtualisierung der Benutzerumgebung. Daran ändern auch Arbeitsordner nichts, die als modernere Alternative mit Windows Server 2012 R2 eingeführt wurden.

    Freigabe remote mit Server Manager einrichten

    Die grundsätzliche Konfiguration von Roaming Profiles und Ordner­umleitung bleibt in den neuesten Versionen von Windows zwar weitgehend unverändert. Im Unterschied zu früher gibt es mit dem Server Manager nun jedoch ein Tool, mit dem sich die benötigte Freigabe in einem Durchgang erstellen und konfigurieren lässt.

    Der Server Manager kann Verzeichnisse auf einem entfernten Server freigeben.

    Der erste wesentliche Vorteil des Server Managers besteht darin, dass man mit seiner Hilfe Verzeichnisse auch auf entfernten Rechnern freigeben kann. Dagegen beschränkt sich der Explorer mit seinem Dialog Eigenschaften auf die Freigabe von lokalen Ordnern. Unter Server Core steht dafür gar nur die Kommandozeile zur Verfügung (siehe dazu: Ordner remote freigeben mit dem Server-Manager oder WMI).

    Wizard für Freigaben starten

    Nach der Auswahl des gewünschten Servers wechselt man in der linken Navigation zu Datei-/Speicherdienste und anschließend zu Freigaben. Über das Menü Aufgaben führt man nun den Befehl Neue Freigabe aus. Anschließend startet ein Wizard, in dem man sich für das Profil SMB-Freigabe - Schnell entscheidet.

    Das Verzeichnis für Roaming Profiles und Ordnerumleitung lässt sich über das Profil SMB - Schnell einrichten.

    Nach der Auswahl des Volumes bzw. Pfades vergibt man im nächsten Schritt den Namen für das Share. Hier empfiehlt es sich, ein $-Zeichen an den Namen anzuhängen, so dass die Freigabe nicht in der Netzwerkumgebung der Clients angezeigt wird.

    Der Name der Freigabe sollte ein abschließendes Dollarzeichen enthalten.

    Der folgende Dialog bietet die Auswahl von drei Optionen für die neue Freigabe:

    • Zugriffsbasierte Aufzählung: Dabei handelt es sich um die Access Based Enumeration, mit deren Hilfe man jene Ordner ausblenden kann, auf die Benutzer keinen Zugriff haben. Im Fall von Roaming Profiles und Ordnerumleitung würde sie nur verhindern, dass User sehen, welche anderen Konten existieren, ein Blick in die fremden Ordner ist nach korrekter Rechtevergabe ohnehin nicht möglich. Die Zugriffsbasierte Aufzählung kann jedoch die Performance bei einer sehr großen Zahl von Unterverzeichnissen beeinträchtigen.
    • Zwischenspeichern: Diese Option bezieht sich auf das Aktivieren von Offline-Dateien. Für Roaming Profiles muss man sie deaktivieren, während man bei der Ordnerumleitung anhand der bestehenden Anforderungen selbst entscheidet, ob man sie benötigt.
    • Verschlüsselung: Roaming Profiles sind nicht mit dem Encrypting Filesystem kompatibel. Bei der Orderumleitung wäre die Verschlüsselung der Benutzerdateien möglich, ist aber wegen der erforderlichen Delegierung relativ aufwändig in der Einrichtung. Sie bietet zudem keinen Transportschutz. Eine Alternative wäre die Verschlüsselung der Offline-Dateien.

    Konfiguration von Access Based Enumeration und Offline Files für Roaming Profiles.

    Zugriffsrechte für NTFS und Freigabe vergeben

    Im letzten Schritt legt man die Zugriffrechte fest. Dazu klickt man im nächsten Dialog auf die Schaltfläche Berechtigungen anpassen. Die auf der Registerkarte Berechtigungen sichtbaren Einträge beziehen sich auf die NTFS-Rechte. Hier betätigt man den Button Vererbung deaktivieren und wandelt die geerbten in explizite Rechte um.

    Vererbung deaktivieren und Berechtigungen umwandeln.

    Nun kann man alle Einträge mit Ausnahme von Administratoren, SYSTEM und ERSTELLER-BESITZER entfernen. Sie behalten den bereits vorgegebenen Vollzugriff. Für Roaming Profiles fügt man nun als weiteren Prinzipal Authentifizierte Benutzer hinzu, für die Ordnerumleitung dagegen Jeder.

    Bevor man ihre Rechte bearbeitet, klickt man auf den Link Erweiterte Berechtigungen anzeigen. Nun weist man an Authentifizierte Benutzer bzw. Jeder folgende Rechte zu:

    • Ordner durchsuchen / Datei ausführen
    • Ordner auflisten / Daten lesen
    • Attribute lesen
    • Erweiterte Attribute lesen
    • Ordner erstellen / Daten anhängen

    Diese Berechtigungen schränkt man unter Anwenden auf weiter ein, und zwar auf Nur diesen Ordner.

    Authentifizierte Benutzer bzw. Jeder erhalten nur Rechte für diesen Ordner.

    Schließlich muss man unter dem entsprechenden Reiter noch die Freigaberechte anpassen. Diese fallen großzügig aus, weil die Zugriffe ohnehin über NTFS geregelt werden. Administratoren und SYSTEM erhalten Vollzugriff, außerdem Authentifizierte Benutzer bei Server-gespeicherten Profilen und Jeder bei der Ordnerumleitung.

    Die Berechtigungen für die Freigabe, wenn diese für Roaming Profiles dient.

    Zum Abschluss zeigt der Wizard eine Zusammenfassung der getätigten Konfiguration und man kann diese nun erstellen.

    Keine Kommentare