Aktionen

Mandatory V6 Profil erstellen - geeignet ab Windows Server 2016 / Windows 10

Aus znilwiki

Changelog:

  • 22.11.2018: Erste Version, noch viele Screenshots von der V2 Version verwendet



Vorwort

Ich habe Testweise auch einfach mal ein vorhandenes V2 Profil (von Windows Server 2012R2) in V6 umbenannt - lief auch ohne Probleme.
Stand jetzt zickte das Startmenü herum wenn ich ich nach dieser Anleitung ein V6 mit dem Default-Profil eines 2016er Servers gebaut habe. Ich untersuche noch warum.
Mit dem Umbenannten V2 Profil funktioniert es ohne Probleme.


Erklärungen zu V6 Profilen

Ab Windows Vista gab es V2 Profile. Seit Windows Server 2016 sind es V6 Profile. Die Bezeichnung leitet davon ab, das Windows von selbst an die servergespeicherten Profile ein .V6 anhängt.
Die Profile werden bei diesen Systemen unter

C:\Users

bzw. scheinbar (je nach eingestellter Ansicht im Explorer)

C:\Benutzer

abgelegt. Wenn ihr per Explorer im C:\Users Ordner seit dann klickt doch mal in die Adressleiste - da seht Ihr dann den echten Namen / Pfad.

Ein typisches Profil nach der ersten Anmeldung sieht zum Beispiel wie folgendes aus:

ClipCapIt-181122-095718.PNG

Diese Ansicht wurde mittels der Optionen "Versteckte Dateien" und "Systemdateien" anzeigen gemacht.
Die Explorer Adressleiste zeigt den vermeintlichen Pfad an:

ClipCapIt-181122-095841.PNG
C:\Users\Bernh

ist richtig,

Dieser PC - (C:) SSD_256GB - Benutzer - Bernh

ist nur eine Darstellung.

Auch andere Ordner werden "falsch" angezeigt. Der Ordner "Eigene Bilder" heißt in Wirklichkeit "Pictures". Windows übersetzt die Ordnernamen in die jeweils für den Benutzer eingestellte Sprache. In Wirklichkeit werden aber in allen Sprachversionen immer die englischen Ordnernamen genutzt (und das ist ein Feature, kein Bug!)
Diese Darstellungsänderung der Ordner beruht auf einer Desktop.ini im jeweiligen Ordner.

So findet sich im Ordner "Eigene Bilder", der ja in Wirklichkeit den Namen "Pictures" hat, eine Desktop.ini Datei mit folgenden Inhalt:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21779
InfoTip=@%SystemRoot%\system32\shell32.dll,-12688
IconResource=%SystemRoot%\system32\imageres.dll,-113
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-236

Auch ohne näher darauf einzugehen, kann man erkennen das hier auf andere Icons und einen anderen Namen verwiesen wird.
Schauen wir uns den Ordner nochmals in einer Eingabeaufforderung an:

ClipCapIt-181122-100644.PNG

Wir sehen z.B. den Ordner "AppData" – und das "Application Data" (=ehemals Anwendungsdaten) nur auf einen Unterordner innerhalb von AppData verweist. Neben der "NTUSER.DAT" gibt es weitere Dateien die mit diesen Namen beginnen und mit dieser Verknüpft sind. Diese werden, falls gelöscht, automatisch von Windows neu erstellt. Windows lenkt Änderungen an der Registry des Benutzers zunächst auf diese Dateien um. Die Änderungen werden dann zu einem späteren Zeitpunkt in die eigentliche "NTUSER.DAT" geschrieben. Dieses gehört zu den Maßnahmen mit denen Microsoft versucht hat das Problem mit defekten Benutzerprofilen zu beheben.
Für den Benutzer geschieht dieses Transparent und hat damit keinen Einfluss auf die Funktion von JumpingProfiles. Auch ein Löschen bzw. ein "nicht vorhanden sein" im Mandatory Profil hat keine negativen Folgen.


Auch dieses Benutzer-Profil ist aus dem "Default Profil" entstanden:

C:\Users\Default
ClipCapIt-181122-100744.PNG

Wir können sehen das hier noch nicht vollständig der Mechanismus der anderen Darstellung der Ordner greift. Die dazu nötigen Desktop.ini werden zum Teil erst beim ersten Gebrauch angelegt.
Es gibt auch ein paar Spezielle Ordner bzw. Verknüpfungen bei denen die Darstellung nicht über eine Desktop.ini verändert wird sondern über den Namen. Dazu wird an dem Ordnernnamen eine spezielle GUID in { } angehängt - doch diese spielen für die Erstellung des Mandatory-Profils keine Rolle.



Mandatory Profil für Profilversion 2 anlegen

Ordner anlegen

Erstellen Sie an zentraler Stelle im Netzwerk, z.B. unterhalb der gleichen Freigabe unter der sich auch schon die JumpingProfiles Installation befindet, einen neuen Ordner mit passender Bezeichnung:

ClipCapIt-181122-100858.PNG

Hängen Sie an den Verzeichnisnamen unbedingt ein .V6 an!
Wenn jedoch später der Pfad verwendet wird, z.B. bei einer Angabe in den Benutzereinstellungen bzw. in einer Gruppenrichtlinie (etwa den Pfad des Terminalserverprofiles), muss das .V6 jedoch unbedingt weglassen werden. Windows hängt das .V2 automatisch an.



Ordner Grundstruktur erstellen / prüfen

Verwendet nachfolgend die Ordner und Dateien von einem bei euch vorhandenen, möglichst fertig eingerichteten Terminalserver / Windows PC!

Kopieren folgende Dateien/Ordner:

  • Die Datei NTUSER.DAT
  • Den Ordner AppData
  • Weitere Ordner / Dateien nach Ihrer Wahl und Bedarf

von eurem Grundlagenprofil in diesen neuen Ordner:

Mandatory-V2-Profil-005.png

Überprüft unbedingt die Ordner so das mindestens folgende Ordnerstruktur vorhanden ist:

Mandatory-V2-Profil-006.png

Eventuelle Unterordner und Dateien dieser im Bild aufgeführten Ordner löscht Ihr!



NTUSER.DAT umbenennen

Benennt die Datei NTUSER.DAT um in NTUSER.MAN

Mandatory-V2-Profil-007.png




Ordnerrechte setzen

Ruft die Eigenschaften des übergeordneten Ordners auf, hier im Beispiel

\\Servername\JP$\MandatoryProfile.V2
Mandatory-V2-Profil-008.png



Vererbung deaktivieren

Klickt im unteren Bereich auf Erweitert:

Mandatory-V2-Profil-009.png

Klickt auf ggf. Berechtigungen ändern(eventuell gibt es eine Meldung der UAC Kontrolle)

Mandatory-V2-Profil-010.png

Entfernen Sie den Haken bei der ersten Option:

Mandatory-V2-Profil-011.png

Es erscheint ein neuer Dialog:

Mandatory-V2-Profil-012.png

Wählt Hinzufügen:


Benutzerrechte setzen

Mandatory-V2-Profil-013.png

Entfernt alle Rechteinhaber bis auf die Gruppe „Administratoren“.
Eventuell ist „SYSTEM“ nicht vorhanden, wird aber während des Entfernens automatisch hinzugefügt:

Mandatory-V2-Profil-014.png

Klickt auf OK (bei aktivierter UAC Kontrolle ggf. 2x)

Mandatory-V2-Profil-015.png

Klickt auf Bearbeiten:

Mandatory-V2-Profil-016.png

Klickt auf Hinzufügen:

Mandatory-V2-Profil-017.png

Und fügt die Gruppe der „Authentifizierten Benutzer“ bzw. „Authenticated Users“ hinzu:

Mandatory-V2-Profil-018.png

Kontrolliert ob die neu hinzugefügte Gruppe mindestens folgende Rechte hat:

Lesen, Ausführen
Ordnerinhalt anzeigen
Lesen

Klickt auf OK :

Mandatory-V2-Profil-019.png

Klickt nochmals auf Erweitert :

Mandatory-V2-Profil-020.png

Klickt Sie auf Berechtigungen ändern… :

Mandatory-V2-Profil-021.png

und wählt die 2. Option:

Mandatory-V2-Profil-022.png

Klickt auf OK -> Es erscheint ein neues Meldungsfenster:

Mandatory-V2-Profil-023.png

Klickt auf Ja und die Rechte werden übernommen.
Schließt alle Fenster mit OK .

Hinweis 1: Bei Bedarf fügt weitere Benutzer / Gruppen hinzu. Hinweis 2: Ihr könnt die Gruppe „Authentifizierte Benutzer“ ggf. auch durch eine andere Gruppe nach Bedarf ersetzen.


Registry Werte im Mandatory bearbeiten

Mandatory Profil laden

Startet den Registry Editor: (Start – Ausführen – regedit.exe):

Mandatory-V2-Profil-024.png

Und bestätigt ggf. die UAC-Kontrolle:

Mandatory-V2-Profil-025.png

Markieren Sie den Schlüsselbaum HKEY_LOCAL_MACHINE:

Mandatory-V1-Profil-021.png

Wählt aus dem Menü „Datei“ die Option „Struktur laden“:

Mandatory-V2-Profil-027.png
Mandatory-V2-Profil-028.png

Navigiert zur NTUSER.MAN in dem von Euch erstellten Ordner „MandatoryProfile.V2“ und Öffnen diese.
Es erscheint ein Dialog zur Namensvergabe:

Mandatory-V2-Profil-029.png

Gebt MandatoryProfil. ein.

Nach dem Klick auf OK und dem Erweitern des Schlüssels HKEY_LOCAL_MACHINE ...

Mandatory-V2-Profil-030.png

könnt Ihr nun die Struktur der NTUSER.MAN unterhalb von

HKEY_LOCAL_MASCHINE\MandatoryProfil

sehen.


Mandatory-V1-Profil-026.png



Important.png
Hinweis: Für diese Beispiele wurde mit Absicht nicht eine NTUSER.MAN auf Basis eines „Default User“ genommen. Dies habe ich gemacht um notwendige Arbeiten zu demonstrieren. Bei Verwendung des „Default User“ sind viele der Werte nicht vorhanden, es sollten aber trotzdem alle kontrolliert werden.




Berechtigungen setzen

Klickt mit der rechten Maustaste auf den Schlüsselnamen "MandatoryProfil" und wählt dann Berechtigungen...:

Mandatory-V2-Profil-031.png
ClipCapIt-181122-101456.PNG

Entfernt den "Users" bzw. "Benutzer" Eintrag

ClipCapIt-181122-101727.PNG

Fügt dann die "Authentifizierten Benutzer" hinzu mit den Rechten "Vollzugriff" und "Lesen":

ClipCapIt-181122-101809.PNG

Klickt auf Erweitert:
Und übernehmt den Besitz aller Schlüssel indem Ihr oben bei Besitzer auf "Ändern" geht:

ClipCapIt-181122-102353.PNG
ClipCapIt-181122-103115.PNG

Danach ersetzen wir die Rechte in allen Unterschlüsseln:

ClipCapIt-181122-101946.PNG

Setzt den Optionshaken wie im vorstehenden Bild. Klickt auf OK.
Den nachfolgenden Warndialog mit Ja bestätigen:

ClipCapIt-181122-102033.PNG
ClipCapIt-181122-103247.PNG

Schließt den Dialog mit OK .



Schlüssel und Werte kontrollieren

Identities

Navigiert zum Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Identities\

Und löscht alle eventuell vorhandenen Unterschlüssel (Unterordner).
Vorher:

Mandatory-V2-Profil-038.png

Nacher:

Mandatory-V2-Profil-039.png

Und ggf. den Schlüssel „Default User ID“ und den Inhalt des Schlüssels „Last Username“.



Protected Storage System Provider

Navigiert zum Schlüssel:

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Protected Storage System Provider\

Und löscht alle eventuell vorhandenen Unterschlüssel (Unterordner):
Vorher:

Mandatory-V2-Profil-040.png

Nacher:

Mandatory-V2-Profil-041.png




Schlüssel für Drucker

Prüft ob die 3 Schlüssel

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

Vorhanden sind.
Löscht ALLE(!) Schlüssel / Werte (außer Standard) unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\Devices\ 
HKEY_LOCAL_MACHINE\MandatoryProfil\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\

Wenn der Schlüsselname links markiert ist darf es also rechts keinen Wert mehr geben:

Mandatory-V2-Profil-042.png
Mandatory-V2-Profil-043.png


Leert den Wert Device unterhalb von

HKEY_LOCAL_MACHINE\MandatoryProfil \Software\Microsoft\Windows NT\CurrentVersion\Windows\

sofern dieser einen Wert hat (leeren, nicht löschen!)

ClipCapIt-181122-103621.PNG



Es ist wichtige das die 3 Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

Im späteren Profil vorhanden sind. Fehlen diese kann es zu erheblichen Verzögerungen beim Zuweisen/Mappen von Druckern kommen!



Struktur wieder entladen

Markiert nun wieder den Stamm der geladenen Struktur:

Mandatory-V1-Profil-041.png

Und wählt im Menü Datei - Struktur entfernen:

Mandatory-V1-Profil-042.png

Nun kann der Registry Editor beendet werden, das Profil ist bereit für den Einsatz.


Aufräumen

Löscht die Log und REGTRANS Dateien aus dem Ordner wieder:

ClipCapIt-181122-104028.PNG


ClipCapIt-181122-104150.PNG

Die Text-Datei lege ich persönlich gerne mit in das Verzeichnis. Sie dient mir als Marker und Kontrolle ob das richtige Profil gezogen wurde.
Alles was Ihr in diesen Ordner packt sollte sich später auf dem Terminalserver im lokalen Benutzerprofilverzeichnis wiederfinden.


Kommentare

Loading comments...