https://www.security-insider.de/verbindliches-benutzerprofil-in-windows-10-einrichten-a-738474/
Auch in Windows 10 spielen Benutzerprofile noch eine wichtige Rolle. Das System speichert hier lokale Daten der Benutzer, sowie deren Einstellungen. Mit verbindlichen Profilen lassen sich diese Einstellungen fest vorgeben. Administratoren können damit verhindern, dass Anwender nicht autorisierte Anpassungen durchführen und so die Sicherheit und Stabilität des Systems gefährden.
Benutzerprofile legen in Windows fest, welche Einstellungen die Benutzer nutzen, und mit welcher Oberfläche sie arbeiten. Durch das Vorgeben von verbindlichen Benutzerprofilen, kann verhindert werden, dass Anwender Anpassungen vornehmen und Sicherheitslücken öffnen, oder unerlaubte Änderungen durchführen. Dadurch steigt auch die Stabilität von Arbeitsstationen und Administratoren können gezielt vorgeben, auf welche Bereiche des Computers Anwender Zugriff haben sollen.
Die Einstellungen der Benutzer und deren Daten, sowie die dazugehörigen Verzeichnisse sind auf Rechnern mit Windows 10 im Verzeichnis „C:\Users“ gespeichert. Auf deutschen Rechnern wir das Verzeichnis als „C:\Benutzer“ angezeigt. Microsoft hat in der Vergangenheit versucht die Benutzerkonten mit neuen Lösungen wie die User-Environment-Virtualization (UE-V) weitgehend abzulösen, allerdings hat sich dieser Ansatz nicht durchgesetzt. Die Benutzerprofile sind also auch mit Windows 10 und Windows Server 2016/2019 noch der Standard die Steuerung von Benutzereinstellungen auf lokalen Rechnern. Natürlich lassen sich auch hier Einstellungen mit Gruppenrichtlinien vorgeben.
Funktionsweise von Benutzerprofilen
Wenn ein Profil gelöscht wird, erstellt Windows dieses neu, sobald sich der Benutzer erneut am Computer anmeldet. Alle Einstellungen des Benutzers werden beim Löschen auf den Standard zurückgesetzt, das Profil wird neu erstellt und ist entsprechend leer. Die Benutzerprofile erstellt Windows als Kopie des Standardprofils „Default“.
Neben den Standard-Ordnern für den Desktop und die verschiedenen Dateien findet sich im Profilpfad die Datei „Ntuser.dat“. Diese enthält die Einstellungen der Registry, die sich unter „HKEY_CURRENT_USER“ (HKLM) befinden. Damit alle Daten angezeigt werden, müssen die versteckten und geschützten Systemdateien eingeblendet werden. Die Einstellungen dazu befinden sich auf der Registerkarte „Ansicht“ im Windows-Explorer im Bereich „Ein-/ausblenden“.
Anwendungsspezifische Daten werden im Ordner „AppData“ im Benutzerprofil gespeichert. Dieser Ordner enthält die drei Unterordner: Local, LocalLow und Roaming. In den beiden Ordnern „Local“ und „LocalLow“ speichert Windows Daten von Anwendungen, die nicht im Netzwerk mit dem Profil genutzt werden können, also spezifisch für einzelne Rechner sind. Der Ordner „Roaming“ enthält die Daten, welche benutzerspezifisch sind und für servergespeicherte Profile verwendet werden können.
31.07.18 - Häufig erhalten Benutzer Admin-Rechte auf einem Computer, weil einzelne Programme ansonsten nicht funktionieren. Das ist seit Jahren üblich, bringt aber viele Probleme, wie zum Beispiel ein erhöhtes Malware-Risiko mit sich. Dabei sind die erweiterten Rechte in den meisten Fällen gar nicht notwendig. Windows bietet genug Möglichkeiten, damit Benutzer auch ohne Admin-Rechte mit dem System arbeiten können. lesen
Servergespeicherte Profile für Benutzer in Active Directory festlegen
Auf der Registerkarte Profil eines Benutzerkontos im Snap-In „Active Directory-Benutzer und -Computer“ können Benutzerprofile auch auf Freigaben im Netzwerk gespeichert werden. Die Rechte werden automatisch entsprechend gesetzt.
Um servergespeicherte Profile festzulegen, werden die Eigenschaften des Benutzerkontos aufgerufen. Bei „Profilpfad“ auf der Registerkarte „Profile“ wird die Freigabe angegeben Ordner, in den Windows das Benutzerprofil beim Abmelden speichern und beim Anmelden laden soll.
Bei Verwendung eines serverbasierenden Benutzerprofils steht dieses an allen Arbeitsstationen im Netzwerk zur Verfügung. Die Angabe des Profilpfads erfolgt in der Form „\\<Servername>\<Freigabename>\%UserName%“. Bei der Abmeldung von einem Computer aktualisiert Windows das serverbasierende Profil durch die lokal veränderten Dateien. Bei der ersten Anmeldung eines Benutzers lädt Windows ein vordefiniertes Profil vom Server oder kopiert bei der Abmeldung das bisherige lokale Profil des Benutzers auf den Server. Auf der Registerkarte „Remotedesktopdienste-Profil“ kann wiederum angegeben werden, ob ein Benutzer auf einem Remotedesktopserver ein eigenes Profil erhält.
Verbindliche Profile (Mandatory Profiles)
Anpassungen, die ein Benutzer in seinen lokalen Einstellungen vornimmt, speichert Windows in seinem Profil. Änderungen an Profilen lassen sich aber verhindern. Ein Benutzer, dem ein verbindliches Profil zugeordnet wurde, kann Änderungen vornehmen, diese werden beim abmelden aber nicht gespeichert. Meldet sich der Benutzer ab und wieder neu an, erhält er wieder die Einstellungen des verbindlichen Profils.
Die Umwandlung eines normalen Profils in ein verbindliches Profil erfolgt durch die Umbenennung der Datei „Ntuser.dat“ in „Ntuser.man“. Dadurch ist es Benutzern nicht mehr möglich Änderungen zu speichern. Das Profil wird durch Änderung der Datei also schreibgeschützt (read only).
Verbindliche Profile können mehreren Anwendern zugewiesen werden. Dazu wird für alle Anwender der gleiche Benutzerprofilpfad verwendet. Wenn sich ein Benutzer zum ersten Mal anmeldet, lädt der Client das Profil vom Server. Verwenden Unternehmen ein verbindliches Profil, lädt Windows dieses immer automatisch, unabhängig davon, ob auf dem Client ein Profil vorhanden ist, das über eigene Einstellungen verfügt.
Ein verbindliches Profil wird bei jeder Anmeldung verwendet. Ist der Server oder die Freigabe, auf nicht verfügbar, verwendet Windows eine lokal zwischengespeicherte Kopie des Profils. Meldet sich ein Benutzer an einer anderen Arbeitsstation an, wird bei der Anmeldung über den Eintrag für den Benutzerprofilpfad in den Eigenschaften des Benutzers erkannt, dass dieser Benutzer über ein servergespeichertes Benutzerprofil verfügt. Wird die Bezeichnung der Datei „Ntuser.man“ wieder in „Ntuser.dat“ abgeändert, darf der Anwender wieder Änderungen vornehmen.
Festlegen der Version von Benutzerprofilen
Microsoft erweitert ständig die Funktionen von Windows. Das gilt auch für Windows 10. Im Benutzerprofil kann festgelegt werden, für welche Betriebssystem-Version das Profil geeignet ist. Derzeit gibt es sechs Versionen (keine Angabe der Version, bis hin zu v6 für Rechner ab Windows 10 Version 1607). Es wird erwartet, dass mit Windows Server 2019 und der damit optimierten Version für Windows 10 eine weitere Version erscheint. Die Version wird als Erweiterung für das Verzeichnis verwendet, in dem das servergespeicherte Profil gespeichert wird, zum Beispiel \\server\freigabe\profil.v6.
Die Version hängt von der verwendeten Windows-Version ab sowie den verwendeten Servern, auf denen das Profil gespeichert wird, und die als Domänencontroller genutzt werden:
| Windows-Client |
Windows-Server |
Version |
| Windows XP |
Windows Server 2003/2003 R2 |
Keine Version |
| Windows Vista/7 |
Windows Server 2008/2008 R2 |
v2 |
| Windows 8 |
Windows Server 2012 |
v3 |
| Windows 8.1 |
Windows Server 2012 R2 |
v4 |
| Windows 10 bis Version 1607 |
Windows Server 2012 R2 |
v5 |
| Windows 10 ab Version 1607 |
Windows Server 2016 |
v6 |
Erstellen eines Default-Netzwerkbenutzerprofils
Wenn für PCs im Unternehmen ein standardmäßiges Profil verwendet werden soll, hilft eine strukturierte Vorgehensweise. Die Erstellung sollte mit einem lokalen Administrator-Konto auf Rechnern mit Windows 10 erfolgen. Danach sollten die Einstellungen so vorgenommen werden, die diese später den Benutzern zugewiesen sein sollen. Danach wird die Systemsteuerung aufgerufen. Ab Windows 10 Version 1803 kann das über die Eingabe von „systemsteuerung“ im Suchfeld des Startmenüs erfolgen.
Am schnellsten werden Systemeinstellungen über „sysdm.cpl“ erreicht. Die Benutzerprofile lassen sich über die Schaltfläche „Einstellungen“ bei „Benutzerprofile“ auf der Registerkarte „Erweitert“ steuern. Anschließend wird das Standardprofil markiert und mit „Kopieren nach“ kopiert. Wichtig ist, dass bei „Benutzer“ die Gruppe „Jeder“ verwendet wird. Anschließend wird der Pfad ausgewählt, in dem das Profil gespeichert werden soll. Weitere Informationen dazu gibt Microsoft auf der Webseite „Create mandatory user profiles“.
Ordnerumleitungen von Profilen
Windows 8/8.1/10 bieten die Möglichkeit, verschiedene Ordner innerhalb des Profils auf ein Serverlaufwerk umzuleiten. Die Größe der Profile wird dadurch reduziert, und damit die Anmeldezeit verkürzt. Die Ordnerumleitungen sind im Gruppenrichtlinienverwaltungs-Editor unter „Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Ordnerumleitungen“ zu finden. Die beste Möglichkeit, ist über eine Gruppenrichtlinie. Windows Server 2016 bietet auch die Möglichkeit, Ordner abhängig von einer Sicherheitsgruppe umzuleiten, sodass für unterschiedliche Abteilungen im Unternehmen unterschiedliche Ordner im Netzwerk als Umleitung verwendet werden können.
Profile löschen mit Delprof2
Das Freeware-Tool Delprof2 ermöglicht das Löschen von Profilen, wenn zum Beispiel Berechtigungs- oder Zugriffsprobleme vorliegen. Die Syntax des Tools lautet:
delprof2 [/q] [/i] [/p] [r] [/c:[\\]] [/d:]
Die wichtigsten Optionen des Tools sind:
/q - Keine Rückmeldungen
/i - ignoriert Fehler und führt den Löschvorgang fort.
/p - Erfordert eine Bestätigung für das Löschen jedes einzelnen Profils.
/r - Löscht lokale Kopien von servergespeicherten Profilen.
/c:<Computername> - Löscht Profile auf einem Remotecomputer.
/d:<Tage> - Löscht Profile mit einem bestimmten Alter in x Tagen.
/l - Listet nur auf, welche Profile gelöscht werden, wenn das Tool startet (What-if).