noch vor einigen Jahren war es in vielen Projekten üblich, ein Mandatory Profile in Verbindung mit einem Profilmanagement wie RES One Workspace, Citrix Profile Manager oder Flex Profiles zu nutzen. Wir erinnern: das Mandatory Profile ist ein unveränderliches Profil. Im Gegensatz zu Roaming Profiles werden keine Daten im Profil gespeichert. Dazu sind andere Mechanismen notwendig. Beispielsweise ein Profilmanagement (UEM).
Heute sehen wir immer öfter Kundenumgebungen mit einem Standartprofil oder einem Roaming Profile, die eventuell noch ein Profilmanagement darüber nutzen.
Dabei hat gerade das Mandatory Profile viele Vorteile:
Warum ist das so? Vermutlich, weil es in den letzten Windows Versionen sehr komplex geworden ist, so ein Profil zu erstellen. Die Microsoft KB ist hier auch etwas dürftig und übergeht einige Schritte. Wir haben daher hier eine sehr ausführliche Anleitung in Deutsch geschrieben.
Die folgenden Schritte zeigen, wie man ein Mandatory Profile für Windows 10 bzw. Server 2016 erzeugt.
Das ADK kann hier heruntergeladen werden:
https://developer.microsoft.com/de-de/windows/hardware/windows-assessment-deployment-kit
Die Installation des „Windows Assessment and Deployment Kits“ sollte auf einem anderen Rechner erfolgen, um die Erstellung des Mandatory Profiles nicht zu beeinflussen.
Bei den Features muss nur „Bereitstellungstools“ ausgewählt werden.
Für den „Windows System Image Manager“ wird eine .wim-Datei des entsprechenden Betriebssystems benötig, für welches ein Madatory Profile erzeugt werden soll. Die .wim-Datei findet man für Windows 10 bzw. Server 2016 im .iso-Image unter \sources\install.wim.
Diese muss lokal auf das System kopiert werden, wo auch der „Windows System Image Manager“ installiert ist, z.B. c:\temp.
Nun den „Windows System Image Manager“ starten.
„Neue Antwortdatei…“ wählen.
Hier die zuvor kopierte .wim-Datei auswählen, Klick auf „Ja“.
Mit „Ja“ bestätigen.
Nachdem die Katalogdatei erzeugt wurde, in dem Bereich „Windows-Image“ den Knoten „Komponenten“ erweitern und mit der rechten Maustaste auf „amd64_Microsoft-Windows-Shell-Setup“ klicken und anschließend auf „Einstellung zu Pass 4 specialize hinzufügen“.
Im Bereich „Antwortdatei“ den Ordner „ Components\4 specialize\amd64_Microsoft-Windows-Shell-Setup_neutral“ auswählen und im Bereich „ Eigenschaften von Microsoft-Windows-Shell-Setup“ im Abschnitt „Einstellungen“ den Wert bei „CopyProfile“ auf „true“ setzen.
Zum Schluss die Antwortdatei speichern, z.B. als Unattend.xml.
Sollte für Windows 10 ungefähr so aussehen
… und für Server 2016 ungefähr so
4. Nun geht es auf dem Rechner, der zur Erstellung des Mandatory Profiles verwendet wird, weiter. Unter Windows 10 können nach Bedarf noch einige Standardanwendungen deinstalliert werden. Das beschleunigt später die Loginzeit. Dazu einfach die Standardanwendungen unter Powershell mit „Get-AppXProvisionedPackage –online“ Anzeigen lassen und mit „Remove-AppxProvisionedPackage -Online –PackageName“ löschen.
5. Das System ist nun soweit vorbereitet, sodass Sysprep ausgeführt werden kann. Dazu die zuvor erstellte Antwortdatei nach „C:\Windows\System32\sysprep“ kopieren oder bei folgenden Befehl den Pfad zur Antwortdatei angeben.
Der sysprep-Prozess startet den PC neu und startet den „Erste Schritte“ Assistenten. Nach Abschluss der Einrichtung wieder mit einem Konto mit lokalen Administratorrechten anmelden.
6. Unter „System > Erweiterte Systemeinstellungen > Benutzerprofile“ das Standardprofil auswählen und auf „Kopieren nach…“ klicken.
Klick auf „Ändern“.
Die Berechtigungen auf „Jeder“ oder „Authentifizierte Benutzer“ ändern,
Nun den Pfad zu dem Share angeben, in dem das Profil abgespeichert werden soll. Die Endung muss dabei .v6 lauten, um ihn als Benutzerprofilordner für Windows 10, Version 1607, 1703, bzw. Server 2016 zu kennzeichnen.
Im letzten Schritt im Profilordner die Datei ntuser.dat nach ntuser.man umbenennen, um sie als „mandatory“ zu kennzeichnen.
7. In den Gruppenrichlinien müssen die folgenden beiden Richtlinien konfiguriert werden, um das Mandatory Profile auf einem Terminalserver bereitzustellen:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Profile
8. Um das Mandatoy Profile unter Windows 10 zu verwenden, müssen die folgenden beiden Richtlinien konfiguriert werden:
Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile
9. Bei Anmeldung mit einem Mandatory Profil erfolgt der Login in Windows 10 oder Server 2016 immer so, als sei es die erste Anmeldung. Um die Anmeldeleistung für Benutzer mit Mandatory Profil zu verbessern, können die folgenden Gruppenrichtlinieneinstellungen gesetzt werden:
· Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden
„Animation bei der ersten Anmeldung anzeigen“: Deaktivieren (Server 2016 u. Windows 10)
· Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Suche
„Cortana zulassen“: Deaktivieren (Server 2016 und Windows 10)
· Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Cloudinhalt
„Microsoft-Anwenderfeatures deaktivieren“: Aktivieren (Nur Windows 10)
Kommentare