Roaming Profiles einrichten über AD-Benutzer und Computer, GPOs

    , 05.11.2015
    Tags: ,

    Schema Roaming ProfilesWenn die Windows-Arbeits­umgebung den Benut­zern auf mehrere PCs folgen soll, dann sind Roaming Profiles das Bord­mittel der Wahl. Trotz kontinu­ierlicher Verbes­serung weisen sie noch immer Unzuläng­lich­keiten auf, die sich auch bei der Konfiguration zeigen.

    Dass Mitarbeiter in Unternehmen mehrere Endgeräte nutzen, ist kein neues Phänomen. Roaming Profiles (aka Server-gespeicherte Profile) gehen aber von jeher davon aus, dass es sich dabei immer um Windows-PCs handelt - genauer gesagt, um Rechner mit der gleichen Version von Windows. Sie synchronisieren nicht nur die meisten persönlichen Einstellungen zwischen den Geräten, sondern auch alle im Profil enthaltenen Benutzerdaten.

    Ergänzung durch Ordnerumleitung

    Die dadurch anfallenden Datenmengen, die beim An- und Abmelden zwischen Client und Server übertragen werden müssen, können das Logon und Logoff erheblich verlangsamen. Aus diesem Grund werden Server-gespeicherte Profile meistens mit der Ordnerumleitung kombiniert, um Dokumente, Bilder oder Videos aus den Profilen auszulagern.

    Bevor man Roaming Profiles einrichtet, wird man daher solche Aspekte in seine Planung einbeziehen müssen. Außerdem gilt zu bedenken, dass Clients ihre Profile möglichst von einem Server laden, der sich am gleichen Standort befindet, so dass langsame Netzwerke vermieden werden (auch wenn Roaming Profiles mit diesen klarkommen). Nicht zuletzt sollte man für Terminal-Server eigene Benutzerprofile in Erwägung ziehen, um Konflikte zu vermeiden.

    Die Konfiguration der Server-gestützten Profile erfolgt entweder interaktiv über Active Directory-Benutzer und Computer (ADUC) oder über Gruppenrichtlinien. Nachdem die Profile den Benutzern folgen sollen, würde man erwarten, dass die Konfiguration entsprechend auch pro Benutzer oder Gruppe erfolgt.

    Benutzerspezifische Konfiguration über GUI

    Dem ist aber nur so, wenn man ADUC verwendet und dort in bestimmten Konten den Pfad zum Benutzerprofil einträgt. Dagegen sehen die Gruppenrichtlinien nur vor, dass man Roaming Profiles pro Computer konfiguriert. In diesem Fall werden die Profile sämtlicher Benutzer, auch von Administratoren, auf dem Server abgelegt, sobald sie sich an einer solchen Maschine an- und abmelden (es sei dann, man schließt bestimmte Gruppen über die GPO-Sicherheitsfilterung aus).

    In AD-Benutzer und Computer kann man den Pfad für Server-gespeicherte Profile in mehrere Konten gleichzeitig eingeben.

    Ein kleiner Trost mag es hierbei sein, dass man bei einer Konfiguration pro Benutzer nicht jedes Konto einzeln bearbeiten muss. Vielmehr kann man in ADUC mehrere Einträge markieren und den Profilpfad für alle gemeinsam eingeben. Dabei empfiehlt es sich natürlich, für das Verzeichnis eine Umgebungs­variable zu verwenden, also nach dem Muster \\server\freigabe-fuer-profile\%username% (siehe dazu: Freigabe für Roaming Profiles und Ordnerumleitung einrichten: Name, Berechtigungen, Cache).

    Computer-spezifische Konfiguration über GPOs

    Entscheidet man sich für den Einsatz von GPOs, um Roaming Profiles für Computer in bestimmten OUs oder Domänen zu aktivieren, dann findet sich die zuständige Einstellung unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile. Sie heißt Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden.

    Bei der Eingabe des Pfades zum Share für Roaming Profiles sollte man die Variable %username% verwenden.

    Mit der Aktivierung dieser Richtlinie und der Eingabe eines Pfads zum Profilverzeichnis ist das Feature startklar. Allerdings existieren noch einige weitere Einstellungen, mit dem man sein Verhalten beeinflussen kann.

    Einstellungen, mit denen sich das Verhalten von Roaming Profiles steuern lassen.

    Von Interesse dürften vor allem diese sein:

    • Nur lokale Benutzerprofile zulassen: Wenn Roaming Profiles auf Benutzerebene aktiviert wurden, dann kann man sie damit auf bestimmten Computern blockieren.
    • Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen: Es mag für das Troubleshooting vorteilhaft sein, Administratoren den Vollzugriff auf die Verzeichnisse mit den Benutzerprofilen einzuräumen.
    • Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen: Wenn sich sehr viele User an bestimmten PC anmelden und ihnen dabei auch die Benutzerdaten folgen, dann wird unter Umständen der Platz auf dem lokalen Laufwerk knapp. In diesem Fall kann man Profile, die schon länger nicht mehr verwendet wurden, bei einem Neustart des Systems automatisch entfernen.
    • Verzeichnisse aus servergespeicherten Profilen ausschließen: Diese Einstellung findet sich als eine der wenigen unter dem Zweig Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.
      Standardmäßig werden seit Vista ohnehin viele temporäre und lokale Daten nicht mehr synchronisiert, wenn Anwendungen sie korrekt unter appdata\local oder appdata\locallow speichern. Mit dieser Einstellung kann man zusätzliche Verzeichnisse ausschließen, wenn deren Daten nicht auf den Server gelangen sollen.

    Keine Kommentare