Arbeiten mit Userprofilen: Profilarten, Anwendungsbereiche, bekannte Probleme

Autor: Michael Kramer, MCSEboard.de

Sinn von Profilen

Wenn mehrere Leute an einem PC arbeiten, dann ist oft und schnell die Frage nach den persönlichen Einstellungen da.

Dinge wie:

  • Bildschirmhintergrund
  • Bildschirmschoner
  • Größe und Positionen von Fenstern
  • Netzwerkdrucker
  • Netzlaufwerke
  • Internetoptionen
  • Auslagerung von „Eigene Dateien“
  • Eigenschaften der Taskleiste
  • Persönliche Programmgruppen im Startmenü

werden individuell eingestellt. Diese Dinge soll der jeweils andere User nicht verändern, damit man beim nächsten Mal alles wieder findet. Na ja und am Ende sollen auch die „Eigenen Dateien“ die eigenen bleiben. Was geht es den anderen an, was ich so schreibe. Also hat Microsoft in den NT-PCs die Profile eingebaut, in denen das alles abgespeichert wird. So kann Paul wenn er sich anmeldet gleich alles finden und Meike ist nicht genervt, weil Paul immer alles so umstellt, wie er es gerne hat. Auch Sie kann alles so einstellen, wie sie es gerne hat.

Veränderungen NT ->XP

In Windows NT 4.0 waren die Profile unter C:\Winnt\Profiles\Username abgespeichert (wobei Username für den Namen steht, der in der ersten Zeile des Anmeldefensters steht – z.B. Meike). Schon hier waren die Dateirechte so vergeben, dass Meike nicht auf das Profil von Paul zugreifen konnte.

Seit Windows 2000 liegen die Profile standardmäßig nun unter c:\Dokumente und Einstellungen\username.

Überblick über die voreingestellten Profile –oder-
Wer ist denn bloß „Default user“ und „all user“? Ich hab doch nur „Paul“ und „Meike“

Wenn ich nun einen User anlege, dann existiert deswegen noch kein Profil. Bei der ersten Anmeldung von diesem User passiert nun folgendes:

Der Ordner „Default user“ wird kopiert in einen neuen Ordner der den Namen des users hat. Nun kann er kann sich also hinsetzen und all die wichtigen Dinge einstellen (Netzdrucker, Netzlaufwerke, Bildschirmhintergrund etc.).

Das wird dann alles im Profil gespeichert. Aber wenn man sich den Ordner des Profils mal genau anschaut, stellt man fest, das da noch was fehlt.

Unter c:\Dokumente und Einstellungen\Paul\Startmenü finden sich Ordner mit Verknüpfungen zu den Programmen. Wenn man nun aber z. B. MS-Office installiert hat, sucht man hier vergebens nach den Verknüpfungen zu seinem MS-Word. Dafür gibt es „all user“. Hier wird man dann die Verknüpfungen zu seinem MS-Word finden.

Die aktuellen Einstellungen setzen sich zusammen aus dem persönlichen Profil und dem "All-user"-Profil so werden zum Beispiel die Verknüpfungen des Startmenüs zusammengesetzt. Unter NT 4.0 hatte man das auch sehen können das Startmenü teilte sich in zwei Bereiche. Unten war das „All user“- und oben das persönliche Startmenü. Die Zusammensetzung der Desktopsymbole ist genauso aufgebaut. Auch alle anderen Einstellungen ergeben sich aus diesen zwei Quellen.

Wenn man also an einem Rechner ein Programm installiert und unter einem anderen Profil nicht die Verknüpfung im Startmenü findet dann ist der erste der „üblichen Verdächtigen“ die Suche nach der Verknüpfung, die findet man dann häufig im Profil „Administrator“, der das Programm installiert hat. Leider sind nicht alle Softwarehersteller so konsequent und legen die Verknüpfungen richtig in „all users“ ab. In diesem Fall ist ein wenig Handarbeit gefragt und die Verknüpfung muss in das Profil „all user“ verschoben werden (es soll nicht kopiert werden sondern verschoben! Warum? Na sonst hätte man zwei Verknüpfungen)

Wie sieht der Ordner des Profils genau aus

Abb. 1

Es gibt unterhalb des Ordners mit dem Profilnamen viele Unterordner. Davon ist die Hälfte versteckt, was auch seinen Sinn hat. Diese versteckten Ordner zu verändern ist prinzipiell gefährlich und sollte erst gemacht werden, wenn man weiß, was man da tut (learning by doing ist hier ein gefährlicher Ansatz).

Ordner, die man bearbeiten kann

Cookies

Hier werden die Cookies gespeichert und hier können sie gelöscht werden. („Was sind Cookies“ gehört hier nicht hin)

Desktop

Was soll alles auf dem Desktop zu sehen sein? Da ist jeder anders gestrickt und sollte das selbst entscheiden. OK, es gibt Umgebungen da ist das vorgegeben dazu später.

Kleiner Trick: Startmenü öffnen mit Start -> Programme und dann eine Verknüpfung, die man gerne auf dem Desktop haben möchte mit der RECHTEN Maustaste anklicken und senden an -> Desktop wählen. Fertig ist die Verknüpfung auf dem Desktop.

Eigene Dateien

Na ja der Inhalt ist ja durch den Namen klar. Eine Verknüpfung zu diesem Ordner liegt auch auf dem Desktop (unter XP nur mit dem „klassischen Startmenü).

Favoriten

Hier sind die Verknüpfungen aus dem Internetexplorer und den Office Programmen abgelegt. Ein Tipp an alle, die sich  immer in ganz unterschiedlichen Ordnern bewegen müssen und diese Struktur kompliziert finden: Setzt Euch mal mit den Favoriten auseinander. Mit Favoriten kann man seine persönlichen Wegweiser zusammenstellen. Später klickt an nur noch auf suche in Favoriten und findet da eine Verknüpfung zu einem Netzlaufwerk oder zu einer Internetseite. Das kann ganz praktisch sein, wenn man das erst einmal eingerichtet hat.

Startmenü

Hier ist in einer Ordnerstruktur das Startmenü dargestellt. Das kann man auch verändern.

Zum Beispiel kann man eine Programm-Verknüpfung die für alle sein soll ausschneiden und unter dem Profil „all user“ wieder einfügen. Scheinbar hat sich dadurch im Startmenü nix verändert, aber die anderen bekommen nun auch die Verknüpfung zu sehen.

Vorlagen

Wer hier zu Recht seine Vorlagen vermutet liegt falsch (zu Recht immerhin deswegen, weil das Wort es vermuten lässt). Die Vorlagen liegen unter Anwendungsdaten (siehe nächstes Kapitel).

Ordner die man bearbeiten kann aber nicht bearbeiten sollte

Anwendungsdaten

(Hinweis: einige Anbieter legen den Ordner "Application Data" an, der identisch ist)
Hier legen die Softwarehersteller die individuellen Einstellungen der Programme ab auch Vorlagen wie die normal.dot sind hier zu finden. Sollte dieser Ordner ausgesprochen groß sein, kann man mal gucken, ob hier noch Ordner zu finden sind, die von Programmen kommen, die man längst deinstalliert hat. Die kann man dann mal (vorsichtig - erst sichern) löschen. Zu beachten ist aber auch, dass es in "Lokale Einstellungen" noch einen Ordner Anwendungsdaten gibt. Das ist hier sozusagen nicht eindeutig. Oft muss man auch beide Ordner durchsuchen, wenn man etwas Spezielles sucht.

Die anderen Ordner hier sollte man in Ruhe lassen, es sei denn man weiß genau was man tut.

Wie halte ich das Profil „schlank“?

Immer wieder haben User unendlich große Profile. Das wird dann ein Problem, wenn diese auf dem Server gespeichert werden sollen.

Der Ordner „Eigene Dateien“ kann ausgelagert werden.

Besonders bei Netzwerken ist das ohnehin sinnvoll. Der User hat evtl. schon ein Netzlaufwerk Y: zum alleinigen Zugriff (ansonsten erstellen) und anschließend auf dem Desktop mit der rechten Maustaste auf „Eigene Dateien“ und den Ort der „Eigenen Dateien“ dort hinschieben. (Das geht auch im AD mit einer GPO aber das würde hier zu weit führen – Stichwort Ordnerumleitung).

Da sollte dann auch eine eventuelle Outlook-PST erstellt werden. Für Mobil-User kann man diesen Ordner auch offline verfügbar machen.

Die Temporären Internetfiles können gelöscht oder verkleinert werden

In den Internetoptionen in der Registerkarte „Erweitert“ ist (fast ganz unten) die Option „Leeren des Ordners ‚Temporäre Internet Files’ beim verlassen des Browsers“. Alternativ könnte man diesen Ordner auch auszulagern. Dabei ist aber unbedingt zu bedenken, dass über diese Dateien genau nachvollzogen werden kann wo jemand gesurft hat. Also entweder an eine Stelle auslagern wo keiner drankommt oder es muss allen Beteiligten bekannt und egal sein. Letztlich kann man die Größe dieses Ordners auch begrenzen. MS dimensioniert ihn erstmal sehr großzügig was nicht sein muss. Beide Einstellungen findet man unter Internetoptionen / Register Allgemein -> Temporäre Internetdateien -> Einstellungen.

Verändern des Default User

Wenn mehrere user einen PC nutzen sollen, dann kann es sinnvoll sein das Profil „Default user“ anzupassen.

Dazu verändert man ein Profil nach Wunsch. Anschließend sichert man den Ordner „Default user“ und löscht den Inhalt des Ordners (Wichtig: der Ordner bleibt erhalten!)

Nun kopiert man den Inhalt des Wunschprofils in den Ordner„Default User“.

Domänenweites Standard-"default user"-Profil

Das "Default User"-Profil ist ein lokales Profil. Möchte man ein serverbasiertes "Default User"-Profil für Domänen-User verwenden (was das ist dazu später mehr), muss lediglich ein lokales "Default-User-Profil" unter die NETLOGON-Freigabe eines DC kopiert werden. Auf diesem Wege kann man Domänen-Usern ein vorkonfiguriertes Standard-Userprofil zur Verfügung stellen, dass an die Gegebenheiten der eigenen Organisation angepasst ist.

Typen von Profilen

Bisher sind nur Profile an einer lokalen Maschine besprochen worden. Spaß macht das Theater aber erst, wenn man eine Domäne hat.

Servergespeicherte Profile

Schön ist doch folgendes: Heute melde ich mich an PC1 an und stell mir die Drucker ein und alles Sonstige auch. Morgen ist PC1 besetzt und ich geh an PC2. Nach dem Anmelden stell ich fest, dass alles so ist wie an PC1. Klasse, aber wie geht das?

In der MMC „Active Directory Benutzer und Computer“ den User Doppellklicken und in das Register „Profil“ gehen.

Abb. 2

Hier wird unter Profilpfad in UNC-Schreibweise eingetragen, wo das Profil gespeichert werden soll. Also:

mit Doppel-Backslash anfangen (geht auf einen anderen Rechner), dann Rechnername (Hier: Server) – Backslash – Freigabename – Backslash - User-Anmeldename.

In der Zeichnung ist noch ein kleiner Trick zu sehen. anstelle des Username wurde hier %username% geschrieben. Das ist eine Variabel, die für (ach) den Usernamen steht. Der Vorteil der Variabel ist, dass das Profil kopiert werden kann und dann hier der neue Username steht.

Wenn sich der user das nächste Mal anmeldet, entsteht automatisch unter der Freigabe ein Ordner (mit den richtigen Dateiberechtigungen) in den dann das ganze Profil hochgeladen wird auf den Server. Bei der nächsten Anmeldung wird dieses Profil überprüft, ob es mit dem Profil auf der Workstation übereinstimmt (ist ja immer noch gespeichert) und wenn es sich verändert hat (gestern war ich woanders angemeldet) dann lädt die Workstation das Profil runter und überschreibt das lokal vorhandene damit. D.h. während der Sitzung ändert der User immer die lokale Kopie seines Profils. Bei der Abmeldung werden die Änderungen, die der User an der lokalen Kopie seines Profils vorgenommen hat, auf den Serverpfad zurück geschrieben (die geänderten Daten werden anhand des Zeitstempels ermittelt.)

Dateiberechtigungen am Profil-Stammverzeichnis

Das Profil-Stammverzeichnis auf dem Server sollte keine Berechtigungen von übergeordneten Ordnern erben. Die optimalen Berechtigungen für Ordner sind:

Name Berechtigung Typ Übernehmen für
Administratoren Vollzugriff Zulassen Nur diesen Ordner
System Vollzugriff Zulassen Nur diesen Ordner
auth. Benutzer Speziell: Zulassen Nur diesen Ordner
  Ordner auflisten    
  Attribute lesen    
  Erweiterte Attribute lesen    
  Ordner erstellen    
  Berechtigungen lesen    


Verbindliche gemeinsame Profile

Wenn ich für einen User das Profil eingerichtet habe, dann will ich ja auch evtl. dass es genau so bleibt, wie es ist. Wenn ich will, dass der User keine Möglichkeit hat etwas zu verändern muss ich ein paar Einstellungen vornehmen. Das ist eigentlich auch ganz einfach.

Leider sind aber noch ein paar vorbereitende Arbeiten nötig.

Dieses Profil kann ich nicht einfach auf dem Server erzeugen, indem ich es im AD hinterlege. Ich muss es in den Pfad reinkopieren und Rechte an diesem Profil vergeben.

Gehen wir mal gleich von folgendem Szenario aus:

Eine Gruppe von Auszubildenden fängt neu in der Firma an. Alle sollen das gleiche Hintergrundbild haben und die gleichen Drucker etc. Das Profil darf nicht verändert werden. Alle werden in der Gruppe „Auszubildende“ sein.

Am Besten beginnt man mit einem neuen User.

   1. User anlegen: Musteruser (Servergespeichertes Profil)
   2. Am Client als Musteruser anmelden, alle Einstellungen vornehmen und abmelden
   3. Am Client als Admin anmelden
   4. unter Systemeigenschaften (Tipp MS-Taste und Pause) Register „Erweitert“ -> Benutzerprofile „Einstellungen“

Musterprofil markieren und auf „Kopieren nach“ klicken.

Abb. 3

Das Verzeichnis gemäß UNC eintragen und auf Benutzer „Ändern“ klicken

Abb. 4

7. Benutzerrechte anpassen:
auf „Objekttypen“ klicken und „Gruppe“ auswählen (die anderen abwählen)
unten im weißen Feld „Auszubildende“ schreiben und auf „Namen überprüfen“ klicken
Die Namen müssen jetzt unterstrichen sein (die Gruppe existiert)
WICHTIG auch die Domänen-Admins hinzufügen!!!

Abb. 5

8. Mit 3-mal „OK“ aus diesen Fenstern wieder heraushangeln.

9. Auf dem Server in das Profil reingehen und die Datei „ntuser.dat“ in „ntuser.man“ umbenennen.

10. Dateiberechtigungen anpassen. Bei einem verbindlichen Profil benötigt der User kein Vollzugriff Lesezugriff reicht völlig und es verleitet ihn auch nicht etwas zu verändern

Wenn der Musteruser so eingerichtet war wie oben beschrieben, dass im Profilpfad „\\Server\Profile\%username%“ steht, dann muss das jetzt umgeschrieben werden in \\Server\Profile\Auszubildende“.

Anschließend kann man in „AD-Benutzer und Computer“ den Musteruser mit der rechten Maustaste anklicken und „kopieren“ wählen. So legt man dann die weiteren Auszubildenden an.

Im AD den Musteruser deaktivieren aber bestehen lassen um ihn später evtl. noch mal nutzen zu können.

Probleme bei dem Server-Gespeicherten Profil

Probleme mit dem Startmenü

Bei dem Benutzen von verschiedenen Betriebssystemen und verschieden installierten PCs kommt es immer wieder zu folgendem Problem.
Wenn ein User sich heute am PC1 anmeldet und morgen am PC2, dann wird Ihm ja auf PC2 das Profil gegeben, das an PC1 erstellt wurde. Das kann "dead links" geben. Ein paar Software-Programmierer haben leider das Prinzip des "all users" nicht verstanden und kopieren Ihre Verknüpfungen in den angemeldeten user oder in den "Default user". Dadurch werden diese Verknüpfungen auf den anderen PC mitgenommen, wo sie ins Leere laufen.

Probleme mit den Profilgrößen

Profile können sehr groß werden. je größer ein Profil ist, desto länger dauert die Anmeldung (logisch) und desto stressiger ist es die Beschwerden der User auszuhalten. Wir haben deswegen vor kurzem die Server-Gespeicherten Profile abgeschaltet und die „Eigenen Dateien“ auf ein Netzlaufwerk umgeswitcht.

Profiltyp ändern

Es kann vorkommen, dass sich der Profiltyp ändern soll:

  • Lokales Profil in serverbasiertes umwandeln: wenn User bereits über lokales Profil verfügt, reicht es in Eigenschaften des Kontos den Profilpfad einträgt
  • Serverbasiertes Profil in lokales umwandeln: Register Profil der Eigenschaften des Kontos den Profilpfad entfernen; existiert keine Kopie eines lokalen Profils, muss sich der User einmal an- und abmelden, um eine Kopie des "Default User"-Profils zu erhalten; anschließend muss ein Admin das Profil auf dem Server in das lokale Profilverzeichnis kopieren
  • Persönliches Profil in verbindliches Profil umwandeln: ntuser.dat im Serverpfad des Profils in ntuser.man umbenennen
  • Verbindliches Profil in persönliches Profil umwandeln: ntuser.man im Serverpfad des Profils in ntuser.dat umbenennen; die Datei ntuser.man im lokalen Profilpfad muss gelöscht werden

 

© MCSEBoard.de, Michael Kramer