Benutzerprofile

1. Was ist ein Benutzerprofil?

Das sogenannte Benutzerprofil enthält alle individuellen Einstellungen eines am System angemeldeten Benutzers und wird während einer aktuellen Sitzung auf dem lokalen Rechner in der Systempartition im Verzeichnis Dokumente und Einstellungen gespeichert. Es setzt sich zusammen aus der Datei NTUSER.DAT, die die Registry-Einträge des Schlüssels HKEY_CURRENT_USER enthält, sowie einem Ordnersystem, das die Startmenü- und Desktop-Verknüpfungen enthält sowie weitere individuelle Einstellungen des Benutzers bestimmt. Der Ordner "Eigene Dateien" wird standardmäßig ebenfalls im Benutzerprofil gespeichert, kann aber wie die Startmenü- und Desktop-Verknüpfungen über die Gruppenrichtlinien auch an einen anderen Ort verlegt werden.

Für jeden Benutzer wird beim ersten Einloggen ein Benutzerprofil generiert. Während für die in der NTUSER.DAT zu speichernden Daten auf den Registry-Unterschlüssel ".DEFAULT" in HKEY_USERS zurückgegriffen wird, setzt sich das Ordnersystem standardmäßig aus den beiden Ordner "Dokumente und Einstellungen\Default User" und "Dokumente und Einstellungen\All  Users" auf der Workstation zusammen.

Standardmäßig bleibt das Profil eines Benutzers nach dem Abmelden auf dem lokalen Rechner. Meldet sich der Benutzer an einem anderen Rechner im Netz an, wird ein neues Profil generiert, das nach dem Abmelden ebenfalls wieder auf dem Rechner verbleibt. Durch entsprechende Maßnahmen kann jedoch erreicht werden, dass

  • das Profil eines Benutzers nach dem Abmelden an einem Rechner auf dem Server gespeichert und beim Anmelden an einem anderen Rechner wieder geladen wird. Das Profil "wandert" also mit dem Benutzer zu dem Rechner, an dem er gerade arbeitet ("roaming profile").

  • das Profil eines Benutzers nach dem Abmelden an einem Arbeitsplatz auf der lokalen Festplatte wieder gelöscht wird

  • bestimmte Benutzer das gleiche und nicht veränderbare Profil verwenden ("mandatory profiles").

Die verschiedenen Optionen werden im Folgenden ausführlich beschrieben.

2.  Lokale und servergespeicherte Profile

Das Profil jedes Benutzers wird grundsätzlich auf der Workstation, an der sich der Benutzer eingeloggt hat, in der Systempartition im Verzeichnis "Dokumente und Einstellungen \<Benutzername>" abgelegt. Während der Arbeitssitzung vorgenommene Änderungen werden folglich auch hier gespeichert und stehen beim nächsten Anmelden an derselben Workstation auch wieder zur Verfügung. Meldet sich der Benutzer dagegen an einer anderen Arbeitsstation an, wird entweder das dort bereits vorhandene Benutzerprofil geladen oder – sofern sich der Benutzer an diesem Arbeitsplatz zum ersten Mal anmeldet – ein neues Benutzerprofil erstellt und auf dieser Arbeitsstation gespeichert.

Das führt in einem Netzwerk, in dem sich die Benutzer an unterschiedlichen Arbeitsplätzen anmelden, schnell zu einem mittleren Chaos, denn jeder Benutzer hat nach kurzer Zeit an jeder Arbeitsstation ein anderes Profil. Es ist deshalb sinnvoll, die Benutzerprofile zentral auf dem Server abzulegen. Damit "wandert" das Profil mit dem Benutzer an die jeweilige Arbeitsstation ("roaming profiles"). Der Pfad zum Benutzerprofil wird auf einem Windows 2000 bei den Benutzereigenschaften im Active Directory bei jedem Benutzer individuell festgelegt. Ist kein Profilpfad angegeben, wird das Profil lokal gespeichert. 

Soll das Profil auf dem Server gespeichert werden, ist der Pfad gemäß der UNC-Konvention in der Form \\<servername>\ <freigabename>\ verzeichnisname> einzugeben. Dabei ist darauf zu achten, dass der Benutzer im entsprechenden Verzeichnis Ändern-Rechte hat.
Wenn mit servergespeicherten Profilen gearbeitet wird, wird das jeweilige Benutzerprofil beim Anmelden an einem beliebigen Arbeitsplatz vom Server auf die lokale Platte in das Verzeichnis "Dokumente und Einstellungen \<Benutzername>" kopiert. Während der Arbeitssitzung wird nur mit den lokal abgelegten Daten gearbeitet, Änderungen am Profil werden also zunächst auch nur hier gespeichert. Beim Abmelden wird das komplette Profil dann wieder auf den Server zurück geschrieben. Aus diesem Grund sollten der von Windows 2000 standardmäßig angelegte Ordner Eigene Dateien mit dem Unterordner Eigene Bilder von den Benutzern nicht verwendet werden, da sonst bei jedem Anmelde- und Abmeldevorgang alle in diesen Ordnern enthaltenen Dateien über das Netz kopiert werden. Die persönlichen Dateien der Benutzer sollten grundsätzlich in einem von den Profilen getrennten Benutzerverzeichnis abgelegt werden. Mit Hilfe der Gruppenrichtlinien kann der Ordner Eigene Dateien in ein beliebiges freigegebenes Verzeichnis umgelenkt werden. Ebenso können die Desktop- und Startmenü-Verknüpfungen außerhalb des Profil zentral bereitgestellt werden.

Servergespeicherte Profilordner lassen Administratorzugriff nicht zu (222043)
Windows Server 2003 Checks für Profilordner pre-created Roaming (327259)
Fehlermeldung kann bei dem Erhöhen der maximalen Profilgröße (30MB) auftreten (290324)

3. Verbindliche Profile (Mandatory Profiles)

In einem Schulnetz ist es eventuell wünschenswert, dass von den Benutzern während einer Arbeitssitzung vorgenommene Änderungen, beim Abmelden vom System "vergessen", d.h. nicht gespeichert werden. Damit ist gewährleistet, dass der Benutzer unabhängig davon, was er während einer Sitzung am und mit dem System "getrieben" hat, beim nächsten Anmelden wieder die gleiche Arbeitsumgebung vorfindet.

Dies erreicht man ganz einfach dadurch, dass man die Datei NTUSER.DAT mit dem Windows-Explorer in NTUSER.MAN umbenennt. Damit wird das Profil des Benutzers beim Abmelden vor dem Überschreiben geschützt, es wird also für den Benutzer verbindlich (mandatory). Beim nächsten Anmelden wird also wieder das gleiche Profil geladen wie zuvor.

4. Verbindliche Gruppenprofile

Es liegt nahe, dass in einem Schulnetz nicht jeder Benutzer sein "eigenes" Benutzerprofil hat, sondern dass vom Administrator für bestimmte Benutzergruppen ein gemeinsames Profil erstellt und zugänglich gemacht wird. Der naheliegende Gedanke, ein Musterprofil zu erstellen, dieses in einem für die einzelnen Gruppen zugänglichen Verzeichnis zu speichern und dann über den entsprechenden Pfadeintrag im Benutzermanager zu veranlassen, dass dieses Profil von den einzelnen Benutzern verwendet wird, funktioniert unter Windows 2000 und Windows NT (im Gegensatz zu Win9x) nicht direkt. Das liegt daran, dass Windows 2000 und Windows NT die Registry mit Berechtigungen versehen. Das bedeutet, dass die Einträge in der Registry unter HKEY_CURRENT_USER standardmäßig nur vom jeweiligen Benutzer selbst gelesen werden können. Und da die NTUSER.DAT (bzw. NTUSER.MAN) nichts anderes als ein Auszug aus der Registry ist, kann diese Datei zunächst auch nur von dem Benutzer, der sie erstellt hat, verwendet werden. Soll ein Profil von einem anderen Benutzer oder einer ganzen Benutzergruppe verwendet werden, ist deshalb etwas mehr Aufwand notwendig.

Die zum Erstellen eines Gruppenprofils notwendigen Schritte werden im Folgenden beschrieben.

1. Schritt: Anlegen der Verzeichnisse für die Profilele

Melden Sie sich am Server als Administrator an und legen Sie ein Verzeichnis für die zu speichernden  Profile an. Geben Sie das Verzeichnis frei (z.B. mit dem Freigabenamen Serverprofile). Legen Sie Unterverzeichnisse für die einzelnen Gruppen an, die jeweils ein gemeinsames Profil benutzen sollen (z.B. Schueler, Lehrer usw.). Geben Sie den jeweiligen Gruppen in diesen Verzeichnissen nur Lese-Rechte. 
Legen Sie für die Benutzer, mit denen Sie die Musterprofile erstellen wollen (z.B. Musterlehrer und Musterschueler; diese Benutzer brauchen Administartorrechte), ebenfalls einen Ordner an. Die "Musterbenutzer" brauchen in ihrem jeweiligen Profilverzeichnis Ändern-Rechte, die sie als Administrator normalerweise standardmäßig haben.

2. Schritt: Anlegen eines Musterbenutzers

Legen Sie nun mit Hilfe des Active-Directory-Snap-ins "Active Directory-Benutzer und Computer" einen "Musterbenutzer" an (siehe Benutzerverwaltung). Wollen Sie verschiedene Profile für die einzelnen Gruppen erstellen, ist es sinnvoll für jede Gruppe einen entsprechenden "Musterbenutzer" anzulegen (z.B. Musterschueler, Musterlehrer usw.).

Damit Sie für diesen Musterbenutzer später ein vollständiges Musterprofil erstellen können, muss er Administratorrechte haben; weisen Sie in deshalb der Gruppe "Domänen-Admins" zu.

Tragen Sie im Benutzer-Manager bei jedem Musterbenutzer über die Option "Profil" den Pfad zum jeweiligen Benutzerprofil ein, für den Benutzer "Musterschueler" also z.B.
\\FILE-Server\SERVERPROFILE\MUSTERSCHUELR.

3. Schritt: Erstellen des Musterprofils

Melden Sie sich nun an einer Workstation als Musterbenutzer an (also z.B. als Musterschueler, Musterlehrer ...). Nehmen Sie nun alle Einstellungen so vor, wie Sie sie später für die übrigen Benutzer wünschen. Das betrifft sowohl Einstellungen bzgl. des Bildschirms (Auslösung, Farbeeinstellung, Bildschirmschoner usw.) wie auch Desktop-Verknüpfungen oder Verknüpfungen im Startmenü. Auch Einstellungen in einzelnen Programmen (z.B. Symbolleisten) werden in der Regel im Profil gespeichert und sollten deshalb über das Musterprofil festgelegt werden. Richten Sie gegebenenfalls auch den Drucker ein.

Wenn Sie alle Einstellungen vorgenommen haben, melden Sie sich noch nicht ab !!! Je nach den Einstellungen in den Gruppenrichtlinien würde das lokal gespeicherte Profil u.U. wieder gelöscht. Das Kopieren unseres Musterprofils ist aber nur vom lokalen Speicherort aus möglich.

4. Schritt: Kopieren des Musterprofils

Das Musterprofil muss nun in das Verzeichnis der entsprechenden Benutzergruppe kopiert werden. Außerdem müssen die Berechtigungen an die jeweilige Benutzergruppe angepasst werden. Da Sie als Musterbenutzer Administrator-Rechte haben, können Sie diesen Kopiervorgang direkt als Musterbenutzer vornehmen.

Öffnen Sie über Startmenü -> Einstellungen -> Systemsteuerung die Systemeigenschaften und wählen Sie hier das Registerblatt Benutzerprofile.

Wählen Sie hier das zu kopierende Profil aus, also z.B. das Profil "Musterschueler". In der Spalte Typ erkennen Sie, dass es sich um ein servergespeichertes Profil handelt.

Öffnen Sie dann über den Button Kopieren ... eine weitere Dialogbox.

 

 

Suchen Sie hier über Durchsuchen ... den Zielpfad (z.B. \\file-server\serverprofile\schueler).

 

Legen Sie nun über die Schaltfläche Ändern ... fest, von wem das zu kopierende Profil benutzt werden darf. In unserem Fall wählen wir die globale Gruppe G_Schüler. Nach einem Klick auf Hinzufügen schließen Sie die Dialogbox über OK.

 

Da nun Zielpfad und Berechtigungen richtig eingetragen sind, können Sie das Musterprofil durch einen Klick auf OK kopieren.

Sie können sich nun an der Workstation als Musterbenutzer abmelden.

 

Kontrollieren Sie auf dem Server das Zielverzeichnis. Es müsste nun die Datei NTUSER.DAT sowie das komplette Ordnersystem enthalten.

5. Schritt: Profile verbindlich machenn

Um zu verhindern, dass das Profil von den Benutzern geändert wird, benennen Sie nun am Server die Datei NTUSER.DAT mit Hilfe des Windows Explorers in NTUSER.MAN um.

6. Schritt: Pfad zu den Benutzerprofilen eintragen

Damit die bereitgestellten servergespeicherten Benutzerprofile von den betreffenden Benutzern auch tatsächlich verwendet werden, müssen Sie nun am Server bei den Benutzereigenschaften noch bei jedem einzelnen Benutzer den Pfad zu den Benutzerprofilen eintragen. Haben Sie sehr viele Benutzer zu verwalten, so sollten Sie den Profilpfad beim Anlegen der Benutzer automatisch eintragen lassen.