Gruppenrichtlinien und Benutzerprofile

Die Gruppenrichtlinien können verwendet werden, um das Verhalten zu konfigurieren. Der Mechanismus der wandernden oder auch serverbasierenden Benutzerprofile wurde bereits zu frühen Windows NT-Zeiten eingeführt. Und dennoch ist er – soweit er zum Einsatz kommt – immer noch eine Herausforderung für die Administration.

Die richtige Konfiguration von Gruppenrichtlinien hilft dabei, die Probleme durch wandernde Benutzerprofile zu begrenzen. Die erste Frage ist, ob man überhaupt wandernde Benutzerprofile benötigt. Die Antwort ist davon abhängig, ob alle Benutzer immer nur an einem Rechner arbeiten oder ob zumindest ein Teil der Benutzer sich immer wieder an unterschiedlichen Systemen anmeldet.

Wandernde Benutzerprofile

In Zeiten von Notebooks und einer doch recht weitgehenden Versorgung mit PCs in den Unternehmen sind Konstellationen, in denen man wandernde Benutzerprofile benötigt, sicher etwas seltener geworden. Über den „normalen“ Benutzer hinaus gibt es aber zwei Bereiche, die man beachten muss:

• Support-Mitarbeiter und Administratoren müssen häufig an verschiedenen Systemen arbeiten – sei es für Tests oder sei es für das Troubleshooting direkt an den Systemen von Benutzern. Hier kann es durchaus sinnvoll sein, mit wandernden Benutzerprofilen zu arbeiten, um beispielsweise einfach auf die erforderlichen Supportwerkzeuge zugreifen zu können. Allerdings muss dabei auch überlegt werden, ob und welche Informationen eventuell auf einem System verbleiben und ob man vielleicht dazu auch besser mit speziellen Supportkonten arbeitet statt mit den für die Tagesarbeit genutzten Konten mit ihrem umfassenden Benutzerprofil.

• Mitarbeiter in der Produktion haben häufig keinen eigenen Rechner, sondern arbeiten mit gemeinsam genutzten Systemen. Neben dem Ansatz von Kiosksystemen, die beispielsweise auch Zugriff auf Webschnittstellen von E-Mail-Anwendungen geben, können auch hier wandernde Benutzerprofile interessant sein.

Wesentlich mehr Bedeutung haben die wandernden Benutzerprofile dagegen beispielsweise im Ausbildungsbereich, wo Auszubildende und Studenten häufiger in Rechnerräumen arbeiten und dort idealerweise immer das gleiche Profil für sich vorfinden, egal, in welchem Raum und an welchem Rechner sie sich gerade befinden.

Das Konzept

Benutzerprofile gibt es bei Windows in jedem Fall. Sie werden standardmäßig unterhalb von Dokumente und Einstellungen sowie in den benutzerspezifischen Bereichen der Registry abgelegt. Wandernde Benutzerprofile unterscheiden sich dadurch, dass diese Informationen auf einen Server kopiert werden.

Die Aktivierung erfolgt einfach dadurch, dass man im Profil eines Benutzers im Active Directory im Register Profil einen Profilpfad angibt (Bild 1). Dabei ist allerdings zu beachten, dass das zu Problemen führt, wenn ein Benutzer bereits auf mehr als einem System über ein lokales Benutzerprofil verfügt, da diese Profile nicht unbedingt korrekt kombiniert werden.

Die Einstellungen in den Gruppenrichtlinien

In den Gruppenrichtlinien gibt es nun in zwei Bereichen Einstellungen für die Benutzerprofile. Zum einen finden sich Parameter in Computerkonfiguration/ Administrative Vorlagen/System/Benutzerprofile (Bild 2), zum anderen auch einige Einträge im parallelen Pfad unterhalb von Benutzerkonfiguration.

Mit diesen Einstellungen lassen sich etliche Aspekte der Verarbeitung von Benutzerprofilen steuern. Die meisten Einstellungen sind nur für wandernde oder eben servergespeicherte Benutzerprofile relevant. Folgende Einstellungen werden im Bereich Computerkonfiguration vorgenommen:

• Eigentümer von servergespeicherten Profilen nicht prüfen: Die Berechtigungen für den Zugriff auf einen servergespeicherten Ordner mit einem Benutzerprofil werden grundsätzlich restriktiv so gesetzt, dass der Benutzer Vollzugriff hat, Administratoren aber keine Zugriffsberechtigung besitzen. Die Einstellung steuert, ob die korrekt gesetzten Zugriffsberechtigungen geprüft werden. Bei Windows XP ab Service-Pack 1 ist das der Fall, davor nicht. Man kann mit dieser Einstellung die Prüfung verhindern. Das Risiko dabei ist aber, dass ein Benutzerprofil in einem bereits vorhandenen Ordner mit nicht ausreichenden oder zu vielen Zugriffsberechtigungen angelegt wird.

• Zwischengespeicherte Kopien von servergespeicherten Profilen löschen: Durch Aktivierung dieser Option lassen sich Benutzerprofile auf den Clients nach dem Ende einer Arbeitssitzung löschen. Damit wird verhindert, dass ein Benutzer mit lokalen administrativen Berechtigungen auf Informationen in einem solchen Profil zugreifen kann. Der Nachteil ist aber, dass damit bei jeder Anmeldung wieder das vollständige Profil übertragen werden muss. In Verbindung mit langsamen Netzwerkverbindungen darf die Einstellung nicht genutzt werden.

• Langsame Netzwerkverbindungen nicht erkennen: Standardmäßig werden vom System langsame Netzwerkverbindungen erkannt. In diesem Fall wird standardmäßig eine lokale Kopie geladen. Um sicherzustellen, dass immer das Profil vom Server – mit unter Umständen aktuelleren Informationen oder Modifikationen durch einen berechtigten Administrator – geladen wird, muss man die Erkennung ausschalten.

Einstellungen für Profile

• Zeitlimit für langsame Verbindungen für Benutzerprofile: Hier können Sie über zwei Parameter steuern, wann eine Verbindung als langsam betrachtet werden soll (Bild 3). Ein Parameter ist die Verbindungsgeschwindigkeit im Sinne der Übertragungsrate. Der andere Parameter Zeit gibt die zulässige Verzögerung der Antwortzeit von Systemen an. Wenn das Dateisystem des Servers nicht innerhalb von 120 Millisekunden (als Standardwert) reagiert, wird die Verbindung als langsam betrachtet. In der Regel kann man mit den Standardwerten arbeiten. Gerade der zweite Wert könnte aber auf stark belasteten Servern oder bei großen Latenzzeiten des Netzwerks auch mal zu einer unerwünschten Erkennung eines langsamen Netzwerks führen.

• Remotebenutzerprofil abwarten: In diesem Fall wird auch bei einer langsamen Verbindung auf das Profil vom Server gewartet.

• Benutzer bei langsamen Verbindungen zum Bestätigen auffordern: Statt das Verhalten bei langsamen Verbindungen vorzugeben, kann man die Entscheidung auch dem Benutzer überlassen. Bei aktivierter Option wird ein Dialogfeld angezeigt, in dem der Benutzer entscheiden kann, ob er auf das serverbasierende Profil wartet oder mit dem vielleicht nicht aktuellen lokalen Profil arbeitet.

• Zeitlimit für Dialogfelder: Das Zeitlimit gibt an, wie lange der Benutzer das Dialogfeld sieht und seine Entscheidung treffen kann. Der Standardwert sind 30 Sekunden. ?Benutzer bei Fehlschlag des servergespeicherten Profils abmelden: Diese Option ist dann wichtig, wenn zwingend mit dem servergespeicherten Profil gearbeitet werden soll, um beispielsweise Aktualisierungen des lokal auf dem Client gespeicherten Profils zu erzwingen.

• Maximale Wiederholungsversuche zum Endladen und Aktualisieren des Benutzerprofils: Mit dieser Einstellung wird geregelt, wie oft das System versucht, Änderungen in einem Benutzerprofil auf den Server zu schreiben. Standardmäßig gibt es 60 Wiederholungsversuche innerhalb einer Minute nach der Abmeldung. Vor allem bei der Verwendung von Terminalservern kann das aber nicht ausreichend sein. In diesem Fall sollte der Wert erhöht werden, damit die Informationen aus der Registry korrekt zurückgeschrieben werden.

• Sicherheitsgruppe „Administratoren“ zu servergespeicherten Profilen hinzufügen: Standardmäßig werden, wie weiter oben ausgeführt, nur dem Benutzer die vollen Zugriffsberechtigungen für sein Profil gegeben. Administratoren erhalten keinen Zugriff. Mit diesem Parameter kann das Verhalten angepasst werden, sodass Administratoren auch Anpassungen an Profilen vornehmen können, die auf dem Server gespeichert sind.

• Propagierung von Änderungen an servergespeicherten Profilen auf den Server verhindern: Mit dieser Einstellung wird erreicht, dass Änderungen an einem Profil, die auf dem Client vorgenommen werden, nicht auf den Server propagiert werden. Sie bleiben lokal und sind bei der nächsten Sitzung, bei der wieder das serverbasierende Profil geladen wird, nicht mehr verfügbar.

Einstellungen für Profile II

• Nur lokale Benutzerprofile zulassen: Über diesen Parameter steuern Sie, dass ausschließlich mit einem lokalen Profil gearbeitet wird. Serverbasierende Profile werden auf diesem Computer also nicht verwendet. Das kann beispielsweise für Kiosksysteme, die nicht von den Einstellungen aus einem bestehenden serverbasierenden Profil betroffen sein sollen, sinnvoll sein.

• Windows Installer- und Gruppenrichtliniensoftware- Installationsdaten belassen: Diese erst ab Windows XP mit Service-Pack 1 verfügbare Einstellung sorgt dafür, dass Installationsdateien auf dem System verbleiben, damit man sie nicht jedes Mal wieder neu laden muss. Damit kann die Netzlast bei Verwendung serverbasierender Profile deutlich verringert werden.

Im Bereich Benutzerkonfiguration finden sich folgende Parameter:

• Basisverzeichnis mit dem Freigabestamm verbinden: Diese Einstellung steuert eigentlich nicht das Verhalten von Benutzerprofilen, sondern bezieht sich auf die Art und Weise, wie Benutzerverzeichnisse verfügbar gemacht werden.

• Profilgröße beschränken: Gleich mehrere Einstellungen finden sich für die Beschränkung der Profilgröße (Bild 4). Neben der maximalen Größe kann unter anderem die angezeigte Meldung konfiguriert werden. Außerdem lässt sich steuern, ob und wie oft der Benutzer über diese Situation informiert wird. ??Verzeichnisse aus servergespeichertem Profil ausschließen: Hier wird angegeben, welche lokalen Verzeichnisse nicht in das serverbasierende Profil übernommen werden sollen. Spätestens daran, dass es auch Einstellungen gibt, die erst mit dem Service-Pack 1 von Windows XP eingeführt wurden, wird klar, dass die wandernden Benutzerprofile auch heute noch einen hohen Stellenwert haben.