Windows 10: Standardprofil für lokale und Domain-Konten erstellen

Die Prozedur zur Bereitstellung eines modifizierten Standardprofils ist seit Windows 7 komplizierter geworden, weil Microsoft das Kopieren eines beliebigen Musterprofils nicht mehr unterstützt. Der einzig dafür vorgesehene Weg führt über die Anwendung von sysprep zusammen mit einer Antwortdatei.

Als Referenz­installation empfiehlt sich ein frisch eingerichtetes Windows 10, auf dem man zuerst das eingebaute Administratorkonto aktiviert. Nachdem man sich unter dieser Kennung angemeldet hat, löscht man die Profile aller anderen Benutzer. Damit stellt man sicher, dass sysprep tatsächlich das Profil des Administrators auf das Standardprofil kopiert.

Die Umgebung des Administrators passt man nun nach den eigenen Vorgaben an, sei es das Aussehen des Desktops oder die Einstellungen des Explorers. Man kann auch bestimmte Office-Vorlagen in die dafür vorgesehenen Ordner kopieren.

Apps aus dem Profil löschen bleibt wirkungslos

Dabei liegt es auf der Hand, auch gleich das Startmenü zu verschlanken und die Crapware zu entfernen, die Microsoft in Form von Modern Apps auf den PC schaufelt (ausgenommen davon ist nur Windows 10 Enterprise LTSB). Damit würde das Startmenü erheblich übersichtlicher und zudem reduzierte sich die unerträglich lange Wartezeit beim ersten Login.

Wenn man jedoch als Administrator unnötige Store Apps deinstalliert, damit sie nicht ins Standardprofil übernommen werden, dann erhält nachher trotzdem jeder Benutzer bei seiner ersten Anmeldung eine Kopie aller im System bereitgestellten Apps. Abhilfe schafft hier nur das Entfernen der Store Apps aus dem Windows-Image, am besten noch vor dem Deployment.

Startmenü gelangt nicht ins Standardprofil für Domäne

Das Startmenü bildet Microsoft unter Windows 10 nicht mehr wie früher im Dateisystem ab, sondern verwendet dafür eine Datenbank im Local-Zweig des Profils (unter %USERPROFILE%\AppData\­Local\TileDataLayer\Database). Sie bleibt auf der Strecke, wenn man das Standardprofil zur Vorgabe für Domänenbenutzer machen möchte, indem man dieses über die Systemsteuerung in das Verzeichnis Netlogon eines DCs kopiert.

Von einem manuellen Kopieren der Datenbank in das entsprechende Verzeichnis des Standardprofils ist abzuraten, weil danach das Startmenü bei neu angemeldeten Benutzen nicht funktionieren wird. Das von Microsoft empfohlene Verfahren sieht wie unter Windows 8.1 vor, das Startmenü über PowerShell zu exportieren und am Zielrechner zu re-importieren, gegebenen­falls auch per GPO.

Antwortdatei für sysprep erstellen

Hat man die Umgebung des eingebauten Administrators nach den eigenen Vorstellungen eingerichtet, dann muss man sie mit Hilfe von sysprep auf das Standardprofil übertragen. Das System wird dadurch auf den Zustand nach der Installation zurückgesetzt (OOBE). Möchte man den aktuellen Stand bewahren, dann sollte man nun einen Snapshot erstellen, wenn Windows 10 in einer VM läuft.

Für die vorgesehene Operation benötigt sysprep eine Antwort­datei. Diese erstellt man mit Hilfe von Windows System Image Manager (SIM), der zum Lieferumfang des Windows ADK gehört. Das Vorgehen ist nach wie vor dasselbe wie unter Windows 7.

Die von Windows SIM generierte XML-Datei ist überschaubar und enthält keine Angaben, die ihren Einsatz auf das System beschränken, auf dem sie erzeugt wurde. Eine Ausnahme ist das Attribut processorArchitecture, das den Wert x86 oder amd64 annehmen sollte, je nachdem, ob man sysprep auf einem 32- oder 64-Bit-Windows ausführt.

Daher kann man sich die Installation von Windows SIM und das Hantieren mit den Installations­medien sparen und gleich diese Datei verwenden, indem man sie beispielsweise als CopyProfile.xml speichert:

<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="specialize"> <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <CopyProfile>true</CopyProfile> </component> </settings> </unattend>

Nach der Eingabe von

%systemroot%\system32\sysprep\sysprep /generalize /reboot /oobe /unattend:CopyProfile.xml

startet der Rechner neu und man durchläuft den gleichen Prozess wie bei einem frisch installierten Windows.

Dabei muss man auch einen neuen Benutzer anlegen, der administrative Rechte erhält. Wenn man sich unter diesem Konto das erste Mal anmeldet, dann sollten sich die Anpassungen am Standardprofil hier bereits zeigen.

Standardprofil für Domänenbenutzer bereitstellen

Die neue Vorlage gilt auch für alle weiteren User, die sich zum ersten Mal an diesem Rechner anmelden, seien es lokale oder solche aus der Domäne. Wenn die PCs Mitglied im Active Directory sind, dann kann man das Standardprofil auf die DCs kopieren und muss es somit nicht auf jedem einzelnen Rechner anpassen.

Der richtige Ort dafür ist \\<FQDN-der-Domain>\NETLOGON, wo man es in ein Verzeichnis namens Default User.v5 kopiert. Dazu verwendet man das entsprechende Applet in der Systemsteuerung, und zwar unter System und Sicherheit => System => Erweiterte System­einstellungen.

Mit dem Build 14279 von Windows 10 führt Microsoft die Version 6 der Benutzerprofile ein. Entsprechend erwartet das System dann das Standardprofil für Domänenbenutzer unter Default User.v6. In gemischten Umgebungen mit unterschiedlichen Builds von Windows 10 wird man dann u.U. separate Profile für ältere und neuere Versionen parallel verwalten müssen.