Tags: Benutzerprofile, Gruppenrichtlinien
Wenn die Windows-Arbeitsumgebung den Benutzern auf mehrere PCs folgen soll, dann sind Roaming Profiles das Bordmittel der Wahl. Trotz kontinuierlicher Verbesserung weisen sie noch immer Unzulänglichkeiten auf, die sich auch bei der Konfiguration zeigen.
Dass Mitarbeiter in Unternehmen mehrere Endgeräte nutzen, ist kein neues Phänomen. Roaming Profiles (aka Server-gespeicherte Profile) gehen aber von jeher davon aus, dass es sich dabei immer um Windows-PCs handelt - genauer gesagt, um Rechner mit der gleichen Version von Windows. Sie synchronisieren nicht nur die meisten persönlichen Einstellungen zwischen den Geräten, sondern auch alle im Profil enthaltenen Benutzerdaten.
Ergänzung durch Ordnerumleitung
Die dadurch anfallenden Datenmengen, die beim An- und Abmelden zwischen Client und Server übertragen werden müssen, können das Logon und Logoff erheblich verlangsamen. Aus diesem Grund werden Server-gespeicherte Profile meistens mit der Ordnerumleitung kombiniert, um Dokumente, Bilder oder Videos aus den Profilen auszulagern.
Bevor man Roaming Profiles einrichtet, wird man daher solche Aspekte in seine Planung einbeziehen müssen. Außerdem gilt zu bedenken, dass Clients ihre Profile möglichst von einem Server laden, der sich am gleichen Standort befindet, so dass langsame Netzwerke vermieden werden (auch wenn Roaming Profiles mit diesen klarkommen). Nicht zuletzt sollte man für Terminal-Server eigene Benutzerprofile in Erwägung ziehen, um Konflikte zu vermeiden.
Die Konfiguration der Server-gestützten Profile erfolgt entweder interaktiv über Active Directory-Benutzer und Computer (ADUC) oder über Gruppenrichtlinien. Nachdem die Profile den Benutzern folgen sollen, würde man erwarten, dass die Konfiguration entsprechend auch pro Benutzer oder Gruppe erfolgt.
Benutzerspezifische Konfiguration über GUI
Dem ist aber nur so, wenn man ADUC verwendet und dort in bestimmten Konten den Pfad zum Benutzerprofil einträgt. Dagegen sehen die Gruppenrichtlinien nur vor, dass man Roaming Profiles pro Computer konfiguriert. In diesem Fall werden die Profile sämtlicher Benutzer, auch von Administratoren, auf dem Server abgelegt, sobald sie sich an einer solchen Maschine an- und abmelden (es sei dann, man schließt bestimmte Gruppen über die GPO-Sicherheitsfilterung aus).
Ein kleiner Trost mag es hierbei sein, dass man bei einer Konfiguration pro Benutzer nicht jedes Konto einzeln bearbeiten muss. Vielmehr kann man in ADUC mehrere Einträge markieren und den Profilpfad für alle gemeinsam eingeben. Dabei empfiehlt es sich natürlich, für das Verzeichnis eine Umgebungsvariable zu verwenden, also nach dem Muster \\server\freigabe-fuer-profile\%username% (siehe dazu: Freigabe für Roaming Profiles und Ordnerumleitung einrichten: Name, Berechtigungen, Cache).
Computer-spezifische Konfiguration über GPOs
Entscheidet man sich für den Einsatz von GPOs, um Roaming Profiles für Computer in bestimmten OUs oder Domänen zu aktivieren, dann findet sich die zuständige Einstellung unter Computereinstellungen => Richtlinien => Administrative Vorlagen => System => Benutzerprofile. Sie heißt Pfad des servergespeicherten Profils für alle Benutzer festlegen, die sich an diesem Computer anmelden.
Mit der Aktivierung dieser Richtlinie und der Eingabe eines Pfads zum Profilverzeichnis ist das Feature startklar. Allerdings existieren noch einige weitere Einstellungen, mit dem man sein Verhalten beeinflussen kann.
Von Interesse dürften vor allem diese sein:
- Nur lokale Benutzerprofile zulassen: Wenn Roaming Profiles auf Benutzerebene aktiviert wurden, dann kann man sie damit auf bestimmten Computern blockieren.
- Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen: Es mag für das Troubleshooting vorteilhaft sein, Administratoren den Vollzugriff auf die Verzeichnisse mit den Benutzerprofilen einzuräumen.
- Benutzerprofile, die älter als eine bestimmte Anzahl von Tagen sind, beim Systemneustart löschen: Wenn sich sehr viele User an bestimmten PC anmelden und ihnen dabei auch die Benutzerdaten folgen, dann wird unter Umständen der Platz auf dem lokalen Laufwerk knapp. In diesem Fall kann man Profile, die schon länger nicht mehr verwendet wurden, bei einem Neustart des Systems automatisch entfernen.
- Verzeichnisse aus servergespeicherten Profilen ausschließen: Diese Einstellung findet sich als eine der wenigen unter dem Zweig Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => System => Benutzerprofile.
Standardmäßig werden seit Vista ohnehin viele temporäre und lokale Daten nicht mehr synchronisiert, wenn Anwendungen sie korrekt unter appdata\local oder appdata\locallow speichern. Mit dieser Einstellung kann man zusätzliche Verzeichnisse ausschließen, wenn deren Daten nicht auf den Server gelangen sollen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Größe von Roaming Profiles über Gruppenrichtlinien beschränken
- Anleitung: Mandatory Profile (verbindliches Benutzerprofil) für Windows 10 einrichten
- Langsame Windows-Anmeldung: Ursachen finden mit VMware Logon Monitor
- Roaming Profiles in Windows 10: Versionierung, Startmenü
- Login-Scripts über GPOs und User-Eigenschaften konfigurieren
Weitere Links
2 Kommentare
Guten Tag,
die Roamingprofile auf dem Server funktionieren nicht.
Die Menüs werden teilweise unter W10 nicht mehr angezeigt angezeigt.
Das Problem hängt mit der NT-User.dat zusammen, weil diese beim Fastboot oder Herunterfahren nicht geschlossen wird.
Mir scheint das Microsoft servergespeicherte Profile abschaffen möchte und die Administratoren und User auf Onlineplattformen treibt.
Ich empfehle höchstens nur noch eine Ordnerumleitung zu etablieren.
Wenn man die lizenzrechtlichen Voraussetzungen erfüllt, könnte man FSLogix Profile Container als Alternative in Erwägung ziehen.