Aktionen

Mandatory V2 Profil erstellen - geeignet ab Windows Vista / 7 / 8 / 2008

Aus znilwiki

Erklärungen zu V2 Profilen

Ab Windows Vista spricht man von einem V2 Profil. Die Bezeichnung leitet davon ab, das Windows von selbst an die servergespeicherten Profile ein .V2 anhängt.
Die Profile werden bei diesen Systemen unter

C:\Users

bzw. scheinbar (je nach eingestellter Ansicht im Explorer)

C:\Benutzer

abgelegt. Wenn ihr per Explorer im C:\Users Ordner seit dann klickt doch mal in die Adressleiste - da seht Ihr dann den echten Namen / Pfad.

Ein typisches Profil nach der ersten Anmeldung sieht zum Beispiel wie folgendes aus:

Mandatory-V2-Profil-001.png

Diese Ansicht wurde mittels der Optionen "Versteckte Dateien" und "Systemdateien" anzeigen gemacht.
Die Explorer Adressleiste zeigt den vermeintlichen Pfad an:

Mandatory-V2-Profil-002.png
C:\Users\demouser

ist richtig,

Computer - Lokaler Datenträger (C:) - Benutzer - Demouser

ist nur eine Darstellung.

Auch andere Ordner werden "falsch" angezeigt. Der Ordner "Eigene Bilder" heißt in Wirklichkeit "Pictures". Windows übersetzt die Ordnernamen in die jeweils für den Benutzer eingestellte Sprache. In Wirklichkeit werden aber in allen Sprachversionen immer die englischen Ordnernamen genutzt (und das ist ein Feature, kein Bug!)
Diese Darstellungsänderung der Ordner beruht auf einer Desktop.ini im jeweiligen Ordner.

So findet sich im Ordner "Eigene Bilder", der ja in Wirklichkeit den Namen "Pictures" hat, eine Desktop.ini Datei mit folgenden Inhalt:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21779
InfoTip=@%SystemRoot%\system32\shell32.dll,-12688
IconResource=%SystemRoot%\system32\imageres.dll,-113
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-236

Auch ohne näher darauf einzugehen, kann man erkennen das hier auf andere Icons und einen anderen Namen verwiesen wird.
Schauen wir uns den Ordner nochmals in einer Eingabeaufforderung an:

C:\Users\demouser>dir /a
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC43-E7AD

 Verzeichnis von C:\Users\demouser

19.11.2013  11:06    <DIR>          .
19.11.2013  11:06    <DIR>          ..
19.11.2013  11:00    <DIR>          AppData
19.11.2013  11:00    <VERBINDUNG>   Application Data [C:\Users\demouser\AppData\Roaming]
19.11.2013  11:01    <DIR>          Contacts
19.11.2013  11:00    <VERBINDUNG>   Cookies [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Cookies]
19.11.2013  11:01    <DIR>          Desktop
19.11.2013  11:01    <DIR>          Documents
19.11.2013  11:01    <DIR>          Downloads
19.11.2013  11:01    <DIR>          Favorites
19.11.2013  11:01    <DIR>          Links
19.11.2013  11:00    <VERBINDUNG>   Local Settings [C:\Users\demouser\AppData\Local]
19.11.2013  11:01    <DIR>          Music
19.11.2013  11:00    <VERBINDUNG>   My Documents [C:\Users\demouser\Documents]
19.11.2013  11:00    <VERBINDUNG>   NetHood [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Network Shortcuts]
19.11.2013  11:01           524.288 NTUSER.DAT
19.11.2013  11:20            65.536 NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf
19.11.2013  11:20           524.288 NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms
19.11.2013  11:20           524.288 NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms
19.11.2013  11:00                20 ntuser.ini
19.11.2013  11:01    <DIR>          Pictures
19.11.2013  11:00    <VERBINDUNG>   PrintHood [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Printer Shortcuts]
19.11.2013  11:00    <VERBINDUNG>   Recent [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Recent]
19.11.2013  11:01    <DIR>          Saved Games
19.11.2013  11:01    <DIR>          Searches
19.11.2013  11:00    <VERBINDUNG>   SendTo [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\SendTo]
19.11.2013  11:00    <VERBINDUNG>   Start Menu [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Start Menu]
19.11.2013  11:00    <VERBINDUNG>   Templates [C:\Users\demouser\AppData\Roaming\Microsoft\Windows\Templates]
19.11.2013  11:01    <DIR>          Videos
               2 Datei(en),        524.308 Bytes
              24 Verzeichnis(se), 11.252.125.696 Bytes frei

Wir sehen z.B. den Ordner "AppData" – und das "Application Data" (=ehemals Anwendungsdaten) nur auf einen Unterordner innerhalb von AppData verweist. Neben der "NTUSER.DAT" gibt es weitere Dateien die mit diesen Namen beginnen und mit dieser Verknüpft sind. Diese werden, falls gelöscht, automatisch von Windows neu erstellt. Windows lenkt Änderungen an der Registry des Benutzers zunächst auf diese Dateien um. Die Änderungen werden dann zu einem späteren Zeitpunkt in die eigentliche "NTUSER.DAT" geschrieben. Dieses gehört zu den Maßnahmen mit denen Microsoft versucht hat das Problem mit defekten Benutzerprofilen zu beheben.
Für den Benutzer geschieht dieses Transparent und hat damit keinen Einfluss auf die Funktion von JumpingProfiles. Auch ein Löschen bzw. ein "nicht vorhanden sein" im Mandatory Profil hat keine negativen Folgen.


Auch dieses Benutzer-Profil ist aus dem "Default Profil" entstanden:

C:\Users\Default
Mandatory-V2-Profil-003.png

Wir können sehen das hier noch nicht vollständig der Mechanismus der anderen Darstellung der Ordner greift. Die dazu nötigen Desktop.ini werden zum Teil erst beim ersten Gebrauch angelegt.
Es gibt auch ein paar Spezielle Ordner bzw. Verknüpfungen bei denen die Darstellung nicht über eine Desktop.ini verändert wird sondern über den Namen. Dazu wird an dem Ordnernnamen eine spezielle GUID in { } angehängt - doch diese spielen für die Erstellung des Mandatory-Profils keine Rolle.



Mandatory Profil für Profilversion 2 anlegen

Ordner anlegen

Erstellen Sie an zentraler Stelle im Netzwerk, z.B. unterhalb der gleichen Freigabe unter der sich auch schon die JumpingProfiles Installation befindet, einen neuen Ordner mit passender Bezeichnung:

Mandatory-V2-Profil-004.png

Hängen Sie an den Verzeichnisnamen unbedingt ein .V2 an!
Wenn jedoch später der Pfad verwendet wird, z.B. bei einer Angabe in den Benutzereinstellungen bzw. in einer Gruppenrichtlinie (etwa den Pfad des Terminalserverprofiles), muss das .V2 jedoch unbedingt weglassen werden. Windows hängt das .V2 automatisch an.



Ordner Grundstruktur erstellen / prüfen

Verwendet nachfolgend die Ordner und Dateien von einem bei euch vorhandenen, möglichst fertig eingerichteten Terminalserver / Windows PC!

Kopieren folgende Dateien/Ordner:

  • Die Datei NTUSER.DAT
  • Den Ordner AppData
  • Weitere Ordner / Dateien nach Ihrer Wahl und Bedarf

von eurem Grundlagenprofil in diesen neuen Ordner:

Mandatory-V2-Profil-005.png

Überprüft unbedingt die Ordner so das mindestens folgende Ordnerstruktur vorhanden ist:

Mandatory-V2-Profil-006.png

Eventuelle Unterordner und Dateien dieser im Bild aufgeführten Ordner löscht Ihr!



NTUSER.DAT umbenennen

Benennt die Datei NTUSER.DAT um in NTUSER.MAN

Mandatory-V2-Profil-007.png




Ordnerrechte setzen

Ruft die Eigenschaften des übergeordneten Ordners auf, hier im Beispiel

\\Servername\JP$\MandatoryProfile.V2
Mandatory-V2-Profil-008.png



Vererbung deaktivieren

Klickt im unteren Bereich auf Erweitert:

Mandatory-V2-Profil-009.png

Klickt auf ggf. Berechtigungen ändern(eventuell gibt es eine Meldung der UAC Kontrolle)

Mandatory-V2-Profil-010.png

Entfernen Sie den Haken bei der ersten Option:

Mandatory-V2-Profil-011.png

Es erscheint ein neuer Dialog:

Mandatory-V2-Profil-012.png

Wählt Hinzufügen:


Benutzerrechte setzen

Mandatory-V2-Profil-013.png

Entfernt alle Rechteinhaber bis auf die Gruppe „Administratoren“.
Eventuell ist „SYSTEM“ nicht vorhanden, wird aber während des Entfernens automatisch hinzugefügt:

Mandatory-V2-Profil-014.png

Klickt auf OK (bei aktivierter UAC Kontrolle ggf. 2x)

Mandatory-V2-Profil-015.png

Klickt auf Bearbeiten:

Mandatory-V2-Profil-016.png

Klickt auf Hinzufügen:

Mandatory-V2-Profil-017.png

Und fügt die Gruppe der „Authentifizierten Benutzer“ bzw. „Authenticated Users“ hinzu:

Mandatory-V2-Profil-018.png

Kontrolliert ob die neu hinzugefügte Gruppe mindestens folgende Rechte hat:

Lesen, Ausführen
Ordnerinhalt anzeigen
Lesen

Klickt auf OK :

Mandatory-V2-Profil-019.png

Klickt nochmals auf Erweitert :

Mandatory-V2-Profil-020.png

Klickt Sie auf Berechtigungen ändern… :

Mandatory-V2-Profil-021.png

und wählt die 2. Option:

Mandatory-V2-Profil-022.png

Klickt auf OK -> Es erscheint ein neues Meldungsfenster:

Mandatory-V2-Profil-023.png

Klickt auf Ja und die Rechte werden übernommen.
Schließt alle Fenster mit OK .

Hinweis 1: Bei Bedarf fügt weitere Benutzer / Gruppen hinzu. Hinweis 2: Ihr könnt die Gruppe „Authentifizierte Benutzer“ ggf. auch durch eine andere Gruppe nach Bedarf ersetzen.


Registry Werte im Mandatory bearbeiten

Mandatory Profil laden

Startet den Registry Editor: (Start – Ausführen – regedit.exe):

Mandatory-V2-Profil-024.png

Und bestätigt ggf. die UAC-Kontrolle:

Mandatory-V2-Profil-025.png

Markieren Sie den Schlüsselbaum HKEY_LOCAL_MACHINE:

Mandatory-V1-Profil-021.png

Wählt aus dem Menü „Datei“ die Option „Struktur laden“:

Mandatory-V2-Profil-027.png
Mandatory-V2-Profil-028.png

Navigiert zur NTUSER.MAN in dem von Euch erstellten Ordner „MandatoryProfile.V2“ und Öffnen diese.
Es erscheint ein Dialog zur Namensvergabe:

Mandatory-V2-Profil-029.png

Gebt MandatoryProfil. ein.

Nach dem Klick auf OK und dem Erweitern des Schlüssels HKEY_LOCAL_MACHINE ...

Mandatory-V2-Profil-030.png

könnt Ihr nun die Struktur der NTUSER.MAN unterhalb von

HKEY_LOCAL_MASCHINE\MandatoryProfil

sehen.


Mandatory-V1-Profil-026.png



Important.png
Hinweis: Für diese Beispiele wurde mit Absicht nicht eine NTUSER.MAN auf Basis eines „Default User“ genommen. Dies habe ich gemacht um notwendige Arbeiten zu demonstrieren. Bei Verwendung des „Default User“ sind viele der Werte nicht vorhanden, es sollten aber trotzdem alle kontrolliert werden.




Berechtigungen setzen

Klickt mit der rechten Maustaste auf den Schlüsselnamen "MandatoryProfil" und wählt dann Berechtigungen...:

Mandatory-V2-Profil-031.png
Mandatory-V2-Profil-032.png

Entfernt alle Einträge bis auf „Administratoren“ und „SYSTEM“:

Mandatory-V2-Profil-033.png

Fügt dann die „Authentifizierten Benutzer“ hinzu mit den Rechten „Vollzugriff“ und „Lesen“:

Mandatory-V2-Profil-034.png

Klickt auf Erweitert:

Mandatory-V2-Profil-035.png

Und setzt den Optionshaken wie im vorstehenden Bild. Klickt auf OK.
Den nachfolgenden Warndialog mit Ja bestätigen:

Mandatory-V2-Profil-036.png
Mandatory-V2-Profil-037.png

Schließt den Dialog mit OK .



Schlüssel und Werte kontrollieren

Identities

Navigiert zum Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Identities\

Und löscht alle eventuell vorhandenen Unterschlüssel (Unterordner).
Vorher:

Mandatory-V2-Profil-038.png

Nacher:

Mandatory-V2-Profil-039.png

Und ggf. den Schlüssel „Default User ID“ und den Inhalt des Schlüssels „Last Username“.



Protected Storage System Provider

Navigiert zum Schlüssel:

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Protected Storage System Provider\

Und löscht alle eventuell vorhandenen Unterschlüssel (Unterordner):
Vorher:

Mandatory-V2-Profil-040.png

Nacher:

Mandatory-V2-Profil-041.png




Schlüssel für Drucker

Prüft ob die 3 Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

Vorhanden sind.
Löscht ALLE(!) Schlüssel / Werte (außer Standard) unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\

Wenn der Schlüsselname links markiert ist darf es also rechts keinen Wert mehr geben:

Mandatory-V2-Profil-042.png
Mandatory-V2-Profil-043.png


Löscht den Wert Device unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

sofern vorhanden

Mandatory-V1-Profil-040.png



Es ist wichtig das die 3 Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

Im späteren Profil vorhanden sind. Fehlen diese kann es zu erheblichen Verzögerungen beim Zuweisen/Mappen von Druckern kommen!



Struktur wieder entladen

Markiert nun wieder den Stamm der geladenen Struktur:

Mandatory-V1-Profil-041.png

Und wählt im Menü Datei - Struktur entfernen:

Mandatory-V1-Profil-042.png

Nun kann der Registry Editor beendet werden, das Profil ist bereit für den Einsatz.


Kommentare

Loading comments...