Mandatory V1 Profil erstellen - geeignet bis Windows 2000 / XP / 2003
Aus znilwiki
Erklärung zu V1 Profilen
Die Profile werden bei Windows 2000, 2003 und Windows XP unter
C:\Dokumente und Einstellungen\%USERNAME%
bzw.
C:\Documents and Settings\%USERNAME%
abgelegt.
Für die Einrichtung des Mandatory-Profils nehmen wir nach Möglichkeit das Profil von einem fertig eingerichteten Terminalserver.
Ein typisches Profil nach der ersten Anmeldung sieht zum Beispiel wie folgendes aus:
Dieses Profil ist einmal aus dem Default User Profil entstanden:
Wie wir sehen, hat sich die Größe der NTUSER.DAT nach nur einer Anmeldung von 216 KByte auf 768 KByte vergrößert.
Grund sind Einstellungen der Grundkonfiguration die automatisch von Windows und deren Komponenten übernommen werden. Zum Beispiel für den Internet Exporer, den Windows Media Player, Desktopeinstellungen und vieles mehr.
Dazu ist die grundlegende Ordnerstruktur eines Profiles vorhanden. Alle Dateien und Ordner, die sich im Verzeichnis des „Default User“ befinden, werden mit in ein neues Profil kopiert.
Mandatory Profil für Profilversion 1 anlegen
Ordner anlegen
Erstellen Sie an zentraler Stelle im Netzwerk, z.B. unterhalb der gleichen Freigabe unter der sich auch schon die JumpingProfiles Installation befindet einen neuen Ordner mit passender Bezeichnung:
Hier haben
wir den Ordner
MandatoryProfile
genannt.
Dateien kopieren
Nun kopieren wir die
- Die Datei NTUSER.DAT
- Den Ordner Anwendungsdaten inklusive aller Unterordner
- Den Ordner Lokale Einstellungen inklusive aller Unterordner
- Weitere Ordner / Dateien Ihrer Wahl nach Bedarf
von Ihrem Grundlagenprofil in diesen neuen Ordner:
Ordner Grundstruktur erstellen / prüfen
Überprüfen Sie die Ordner Anwendungsdaten und Lokale Einstellungen so das mindestens folgende Ordnerstruktur vorhanden ist:
MandatoryProfile Anwendungsdaten Identities Microsoft SystemCertificates My Certificates CRLs CTLs Lokale Einstellungen Anwendungsdaten Microsoft Credentials
Eventuelle Unterordner und Dateien von „Identities“ und „Credentials“ (2 x vorhanden!) löschen Sie.
NTUSER.DAT umbenennen
Bennen Sie die Datei NTUSER.DAT
um in NTUSER.MAN
:>br>
Ordnerrechte setzen
Rufen Sie die Eigenschaften - Sicherheit des übergeordneten Ordners auf
(hier im Beispiel: \\Fileserver\JP$\MandatoryProfile
) :
Veerbung deaktivieren
Klicken Sie im unteren Bereich auf Erweitert:
Entfernen Sie den Haken bei der ersten Option:
Es erscheint ein neuer Dialog:
Wählen Sie Kopieren:
Benutzerrechte setzen
Entfernen Sie die Gruppen „Benutzer“ (2 mal, beide) und „ERSTELLER-BESITZER“:
Klicken Sie auf OK.
Wir sind wieder auf dem Reiter Eigenschaften - Sicherheit:
Klickt auf Hinzufügen:
Und fügt die Gruppe der „Authentifizierte Benutzer“ hinzu:
Kontrolliert ob die Gruppe „Authentifizierte Benutzer“ mindestens folgende Rechte hat:
Lesen, Ausführen Ordnerinhalt auflisten Lesen
Klickt nochmals auf Erweitert:
und wählt diesmal die 2. Option:
Klickt auf OK. Es erscheint ein neues Meldungsfenster:
Klickt auf Ja. Die Rechte werden übernommen:
Schliesst das Fenster mit OK.
Registry Werte im Mandatory bearbeiten
Mandatory Profil laden
Startet den Registry Editor: (Start – Ausführen – regedit.exe):
Markieren Sie den Schlüsselbaum HKEY_LOCAL_MACHINE
Wählt aus dem Menü „Datei“ die Option „Struktur laden“:
Navigiert zur NTUSER.MAN
in dem zuvor erstellten „MandatoryProfile“-Ordner und öffnet diese:
Es erscheint ein Dialog zur Namensvergabe:
Gebt einen beliebigen Namen ein, z.B. MandatoryProfil
, dann klickt auf OK.
Erweitert den Schlüssel HKEY_LOCAL_MACHINE
und markiert den eben eingegebenen Namen (MandatoryProfil
):
Wir können nun die Struktur der NTUSER.MAN unterhalb von
HKEY_LOCAL_MASCHINE\MandatoryProfil
sehen.
NTUSER.MAN
auf Basis eines „Default User“ genommen. Dies habe ich gemacht um notwendige Arbeiten zu demonstrieren. Bei Verwendung des „Default User“ sind viele der Werte nicht vorhanden, es sollten aber trotzdem alle kontrolliert werden.
Berechtigungen setzen
Mit der rechten Maustaste auf den Schlüsselnamen klicken und Berechtigungen auswählen:
Entfernt alle Einträge bis auf „Administratoren“ und „SYSTEM“:
Fügt die „Authentifizierten Benutzer“ hinzu mit den Rechten
Vollzugriff Lesen
Klickt auf Erweitert:
Und setzt den Optionshaken wie im vorstehenden Bild. Klickt auf OK
Den Warndialog mit Ja bestätigen:
Schließen Sie den Dialog mit OK.
Schlüssel und Werte kontrollieren
Identities
Navigiert zum Schlüssel
HKEY_LOCAL_MACHINE\MandatoryProfil\Identities\
und löschen Sie alle eventuell vorhandenen Unterschlüssel (Unterordner):
Vorher:
Nachher:
Und ggf den Schlüssel Default User ID
und den Inhalt des Schlüssels Last Username
Protected Storage System Provider
Navigieren Sie zum Schlüssel
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Protected Storage System Provider\
Und löschen Sie alle eventuell vorhandenen Unterschlüssel (Unterordner):
Vorher:
Nachher:
Schlüssel für Drucker
Prüft ob die 3 Schlüssel
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\ HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\
Vorhanden sind.
Löscht ALLE(!) Schlüssel / Werte (außer Standard) unterhalb von
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
Wenn der Schlüsselname links markiert ist darf es also rechts keinen Wert mehr geben:
Löscht den Wert Device
unterhalb von
HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\
sofern vorhanden
Es ist wichtige das die 3 Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\ HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
Im späteren Profil vorhanden sind. Fehlen diese kann es zu erheblichen Verzögerungen beim Zuweisen/Mappen von Druckern kommen!
Struktur wieder entladen
Markiert nun wieder den Stamm der geladenen Struktur:
Und wählt im Menü Datei - Struktur entfernen:
Nun kann der Registry Editor beendet werden, das Profil ist bereit für den Einsatz.