Mandatory Profiles oder "Ein Profil für alle"
Ein eigenes Hintergrundbild mit über 5MB oder viele Dateien im Downloads-Ordner……und das alles bei 1000 Usern, die vielleicht sogar das Profil nie wieder benutzen. Da geht der Speicherplatz auf Client bzw. Serverseite schon mal zur Neige.
Deshalb zeige ich hier, wie man ein Profil für viele Benutzer erstellt, dass nicht verändert werden kann: Ein sogenanntes Mandatory Profile.
Was genau ist ein Mandatory Profile?
Ein Mandatory Profile ist ein Profil, dass vom Administrator beliebig stalltet werden kann und von den Benutzern auch wie ein ganz normales Profil verwendet wird. Einziger Unterschied: Änderungen vom Benutzer werden nicht gespeichert. Jeder Benutzer hat bei jeder Anmeldung immer das gleiche Profil.
Die Vorbereitungen
Zu aller erst brauchen wir ein Profil, das wir editieren können. Hierzu legen wir einfach über Active Directory Users and Computers einen neuen Benutzer Mandatory an. Damit das Profil später von allen nötigen Clients erreicht werden kann, legen wir außerdem einen Share MandProfile an und geben diesen für alle User mit Vollzugriff frei. Als nächstes legen wir noch fest, dass das Profil vom zuvor erstellen Benutzer Mandatory im neuen Share MandProfile liegen soll. Hierzu gehen wir in Active Directory Users and Computers mit Rechtsklick auf den Benutzer Mandatory und ändern den Profilpfad unter Properties -> Profile auf den gerade erstellen Share:
Nun melden wir uns an einem Client mit dem gerade neu erstellen User an, verändern das Profil wie gewünscht und melden uns wieder ab. Nun kann man den User Mandatory getrost wieder löschen, da er nicht mehr gebraucht wird.
Die Berechtigungen
Zu aller erst müssen wir die Berechtigungen auf die Profilordner ändern. Alle Ordner und Unterordner müssen über die folgenden Berechtigungen verfügen:
Authenticated Users: Read & execute
System: Full Controll
Administrators: Full Controll (um später schnell Änderungen vornehmen zu können
Jetzt fehlen nur noch die Berechtigungen auf die NTUser.dat. Hierfür werden wir über den Registry-Editor einige Rechteanpassungen vornehmen:
Wir wählen HKEY_LOCAL_MACHINE und fügen über File -> Load Hive… die NTUser.dat des Mandatory Profiles hinzu. Der Namen den wir vergeben müssen, ist beliebig und hat keine Auswirkungen auf das spätere Ergebnis
Rechtsklick auf den gerade hinzugefügten Hive -> Permissions
Hier setzen wir die Rechte für Authenticated Users auf Full Control
Über File -> Unload Hive…entfernen wir den Hive wieder
Das Profil an die Benutzer verteilen
Jetzt muss das neue Mandatory Profile nur noch an die entsprechenden User verteilt werden. Es stehen zwei Möglichkeiten zur Verfügung:
Active Directory Users and Computers -> Eigenschaften des Users -> Profile
Computerconfiguration -> Policies -> Administrative Templates -> System -> User Profiles -> Set roaming profile path for all users logging onto this computer
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 3