Aktionen

Mandatory V1 Profil erstellen - geeignet bis Windows 2000 / XP / 2003

Aus znilwiki

1 Erklärung zu V1 Profilen

Die Profile werden bei Windows 2000, 2003 und Windows XP unter

C:\Dokumente und Einstellungen\%USERNAME%

bzw.

C:\Documents and Settings\%USERNAME%

abgelegt.
Für die Einrichtung des Mandatory-Profils nehmen wir nach Möglichkeit das Profil von einem fertig eingerichteten Terminalserver.
Ein typisches Profil nach der ersten Anmeldung sieht zum Beispiel wie folgendes aus:

Mandatory-V1-Profil-001.png

Dieses Profil ist einmal aus dem Default User Profil entstanden:

Mandatory-V1-Profil-002.png

Wie wir sehen, hat sich die Größe der NTUSER.DAT nach nur einer Anmeldung von 216 KByte auf 768 KByte vergrößert.
Grund sind Einstellungen der Grundkonfiguration die automatisch von Windows und deren Komponenten übernommen werden. Zum Beispiel für den Internet Exporer, den Windows Media Player, Desktopeinstellungen und vieles mehr. Dazu ist die grundlegende Ordnerstruktur eines Profiles vorhanden. Alle Dateien und Ordner, die sich im Verzeichnis des „Default User“ befinden, werden mit in ein neues Profil kopiert.



2 Mandatory Profil für Profilversion 1 anlegen

2.1 Ordner anlegen

Erstellen Sie an zentraler Stelle im Netzwerk, z.B. unterhalb der gleichen Freigabe unter der sich auch schon die JumpingProfiles Installation befindet einen neuen Ordner mit passender Bezeichnung:

Mandatory-V1-Profil-003.png

Hier haben
wir den Ordner

MandatoryProfile

genannt.


2.2 Dateien kopieren

Nun kopieren wir die

  • Die Datei NTUSER.DAT
  • Den Ordner Anwendungsdaten inklusive aller Unterordner
  • Den Ordner Lokale Einstellungen inklusive aller Unterordner
  • Weitere Ordner / Dateien Ihrer Wahl nach Bedarf

von Ihrem Grundlagenprofil in diesen neuen Ordner:

Mandatory-V1-Profil-004.png



2.3 Ordner Grundstruktur erstellen / prüfen

Überprüfen Sie die Ordner Anwendungsdaten und Lokale Einstellungen so das mindestens folgende Ordnerstruktur vorhanden ist:

Mandatory-V1-Profil-005.png
MandatoryProfile
    Anwendungsdaten
        Identities
        Microsoft
            SystemCertificates
                My
                    Certificates
                    CRLs
                    CTLs
    Lokale Einstellungen
        Anwendungsdaten
            Microsoft
                Credentials

Eventuelle Unterordner und Dateien von „Identities“ und „Credentials“ (2 x vorhanden!) löschen Sie.


2.4 NTUSER.DAT umbenennen

Bennen Sie die Datei NTUSER.DAT um in NTUSER.MAN:>br>

Mandatory-V1-Profil-006.png



2.5 Ordnerrechte setzen

Rufen Sie die Eigenschaften - Sicherheit des übergeordneten Ordners auf (hier im Beispiel: \\Fileserver\JP$\MandatoryProfile) :

Mandatory-V1-Profil-007.png

2.5.1 Veerbung deaktivieren

Klicken Sie im unteren Bereich auf Erweitert:

Mandatory-V1-Profil-008.png

Entfernen Sie den Haken bei der ersten Option:

Mandatory-V1-Profil-009.png

Es erscheint ein neuer Dialog:

Mandatory-V1-Profil-010.png

Wählen Sie Kopieren:

Mandatory-V1-Profil-011.png



2.5.2 Benutzerrechte setzen

Entfernen Sie die Gruppen „Benutzer“ (2 mal, beide) und „ERSTELLER-BESITZER“:

Mandatory-V1-Profil-012.png

Klicken Sie auf OK. Wir sind wieder auf dem Reiter Eigenschaften - Sicherheit:

Mandatory-V1-Profil-013.png

Klickt auf Hinzufügen:

Mandatory-V1-Profil-014.png

Und fügt die Gruppe der „Authentifizierte Benutzer“ hinzu:

Mandatory-V1-Profil-015.png

Kontrolliert ob die Gruppe „Authentifizierte Benutzer“ mindestens folgende Rechte hat:

Lesen, Ausführen
Ordnerinhalt auflisten
Lesen

Klickt nochmals auf Erweitert:

Mandatory-V1-Profil-016.png

und wählt diesmal die 2. Option:

Mandatory-V1-Profil-017.png

Klickt auf OK. Es erscheint ein neues Meldungsfenster:

Mandatory-V1-Profil-018.png

Klickt auf Ja. Die Rechte werden übernommen:

Mandatory-V1-Profil-019.png

Schliesst das Fenster mit OK.

Important.png
Hinweis: Bei Bedarf fügt weitere Benutzer / Gruppen hinzu.




3 Registry Werte im Mandatory bearbeiten

3.1 Mandatory Profil laden

Startet den Registry Editor: (Start – Ausführen – regedit.exe):

Mandatory-V1-Profil-020.png
Mandatory-V1-Profil-021.png

Markieren Sie den Schlüsselbaum HKEY_LOCAL_MACHINE Wählt aus dem Menü „Datei“ die Option „Struktur laden“:

Mandatory-V1-Profil-022.png

Navigiert zur NTUSER.MAN in dem zuvor erstellten „MandatoryProfile“-Ordner und öffnet diese:

Mandatory-V1-Profil-023.png

Es erscheint ein Dialog zur Namensvergabe:

Mandatory-V1-Profil-024.png

Gebt einen beliebigen Namen ein, z.B. MandatoryProfil, dann klickt auf OK.
Erweitert den Schlüssel HKEY_LOCAL_MACHINE und markiert den eben eingegebenen Namen (MandatoryProfil):

Mandatory-V1-Profil-025.png

Wir können nun die Struktur der NTUSER.MAN unterhalb von

HKEY_LOCAL_MASCHINE\MandatoryProfil

sehen.


Mandatory-V1-Profil-026.png



Important.png
Hinweis: Für diese Beispiele wurde mit Absicht nicht eine NTUSER.MAN auf Basis eines „Default User“ genommen. Dies habe ich gemacht um notwendige Arbeiten zu demonstrieren. Bei Verwendung des „Default User“ sind viele der Werte nicht vorhanden, es sollten aber trotzdem alle kontrolliert werden.


3.2 Berechtigungen setzen

Mit der rechten Maustaste auf den Schlüsselnamen klicken und Berechtigungen auswählen:

Mandatory-V1-Profil-027.png
Mandatory-V1-Profil-028.png

Entfernt alle Einträge bis auf „Administratoren“ und „SYSTEM“:

Mandatory-V1-Profil-029.png

Fügt die „Authentifizierten Benutzer“ hinzu mit den Rechten

Vollzugriff
Lesen
Mandatory-V1-Profil-030.png

Klickt auf Erweitert:

Mandatory-V1-Profil-031.png

Und setzt den Optionshaken wie im vorstehenden Bild. Klickt auf OK
Den Warndialog mit Ja bestätigen:

Mandatory-V1-Profil-032.png
Mandatory-V1-Profil-033.png

Schließen Sie den Dialog mit OK.

3.3 Schlüssel und Werte kontrollieren

3.3.1 Identities

Navigiert zum Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Identities\

und löschen Sie alle eventuell vorhandenen Unterschlüssel (Unterordner):

Vorher:

Mandatory-V1-Profil-034.png

Nachher:

Mandatory-V1-Profil-035.png

Und ggf den Schlüssel Default User ID und den Inhalt des Schlüssels Last Username


3.3.2 Protected Storage System Provider

Navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Protected Storage System Provider\ Und löschen Sie alle eventuell vorhandenen Unterschlüssel (Unterordner):

Vorher:

Mandatory-V1-Profil-036.png

Nachher:

Mandatory-V1-Profil-037.png



3.3.3 Schlüssel für Drucker

Prüft ob die 3 Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

Vorhanden sind.
Löscht ALLE(!) Schlüssel / Werte (außer Standard) unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\

Wenn der Schlüsselname links markiert ist darf es also rechts keinen Wert mehr geben:

Mandatory-V1-Profil-038.png
Mandatory-V1-Profil-039.png


Löscht den Wert Device unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

sofern vorhanden

Mandatory-V1-Profil-040.png



Es ist wichtige das die 3 Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

Im späteren Profil vorhanden sind. Fehlen diese kann es zu erheblichen Verzögerungen beim Zuweisen/Mappen von Druckern kommen!



3.4 Struktur wieder entladen

Markiert nun wieder den Stamm der geladenen Struktur:

Mandatory-V1-Profil-041.png

Und wählt im Menü Datei - Struktur entfernen:

Mandatory-V1-Profil-042.png

Nun kann der Registry Editor beendet werden, das Profil ist bereit für den Einsatz.


4 Kommentare


Kommentar hinzufügen
znilwiki freut sich über alle Kommentare. Sofern du nicht anonym bleiben möchtest, trage deinen Namen oder deine Email-Adresse ein oder melde dich an. Du kannst das Feld auch einfach leer lassen.