Gruppenrichtlinien und Benutzerprofile

Die Einstellungen in den Gruppenrichtlinien

In den Gruppenrichtlinien gibt es nun in zwei Bereichen Einstellungen für die Benutzerprofile. Zum einen finden sich Parameter in Computerkonfiguration/ Administrative Vorlagen/System/Benutzerprofile (Bild 2), zum anderen auch einige Einträge im parallelen Pfad unterhalb von Benutzerkonfiguration.

Bild 2: Die Einstellungen für Benutzerprofile in den Gruppenrichtlinien.
Bild 2: Die Einstellungen für Benutzerprofile in den Gruppenrichtlinien.

Mit diesen Einstellungen lassen sich etliche Aspekte der Verarbeitung von Benutzerprofilen steuern. Die meisten Einstellungen sind nur für wandernde oder eben servergespeicherte Benutzerprofile relevant. Folgende Einstellungen werden im Bereich Computerkonfiguration vorgenommen:

  • Eigentümer von servergespeicherten Profilen nicht prüfen: Die Berechtigungen für den Zugriff auf einen servergespeicherten Ordner mit einem Benutzerprofil werden grundsätzlich restriktiv so gesetzt, dass der Benutzer Vollzugriff hat, Administratoren aber keine Zugriffsberechtigung besitzen. Die Einstellung steuert, ob die korrekt gesetzten Zugriffsberechtigungen geprüft werden. Bei Windows XP ab Service-Pack 1 ist das der Fall, davor nicht. Man kann mit dieser Einstellung die Prüfung verhindern. Das Risiko dabei ist aber, dass ein Benutzerprofil in einem bereits vorhandenen Ordner mit nicht ausreichenden oder zu vielen Zugriffsberechtigungen angelegt wird.

  • Zwischengespeicherte Kopien von servergespeicherten Profilen löschen: Durch Aktivierung dieser Option lassen sich Benutzerprofile auf den Clients nach dem Ende einer Arbeitssitzung löschen. Damit wird verhindert, dass ein Benutzer mit lokalen administrativen Berechtigungen auf Informationen in einem solchen Profil zugreifen kann. Der Nachteil ist aber, dass damit bei jeder Anmeldung wieder das vollständige Profil übertragen werden muss. In Verbindung mit langsamen Netzwerkverbindungen darf die Einstellung nicht genutzt werden.

  • Langsame Netzwerkverbindungen nicht erkennen: Standardmäßig werden vom System langsame Netzwerkverbindungen erkannt. In diesem Fall wird standardmäßig eine lokale Kopie geladen. Um sicherzustellen, dass immer das Profil vom Server – mit unter Umständen aktuelleren Informationen oder Modifikationen durch einen berechtigten Administrator – geladen wird, muss man die Erkennung ausschalten.