noch vor einigen Jahren war es in vielen Projekten üblich, ein Mandatory Profile in Verbindung mit einem Profilmanagement wie RES One Workspace, Citrix Profile Manager oder Flex Profiles zu nutzen. Wir erinnern: das Mandatory Profile ist ein unveränderliches Profil. Im Gegensatz zu Roaming Profiles werden keine Daten im Profil gespeichert. Dazu sind andere Mechanismen notwendig. Beispielsweise ein Profilmanagement (UEM).

Heute sehen wir immer öfter Kundenumgebungen mit einem Standartprofil oder einem Roaming Profile, die eventuell noch ein Profilmanagement darüber nutzen.

 

Dabei hat gerade das Mandatory Profile viele Vorteile:

Warum ist das so? Vermutlich, weil es in den letzten Windows Versionen sehr komplex geworden ist, so ein Profil zu erstellen. Die Microsoft KB ist hier auch etwas dürftig und übergeht einige Schritte. Wir haben daher hier eine sehr ausführliche Anleitung in Deutsch geschrieben.

Die folgenden Schritte zeigen, wie man ein Mandatory Profile für Windows 10 bzw. Server 2016 erzeugt.

  1. Anmelden an einem Computer mit Windows 10 / Server 2016 als Mitglied der lokalen Administratorgruppe, um ein „frisches“ Profil zu erzeugen.
  2. Nun die Computereinstellungen konfigurieren, die in das Benutzerprofil aufgenommen werden sollen. So können z. B. die Einstellungen für den Desktop-Hintergrund konfiguriert, Windows Explorer Einstellungen vorgenommen und Standardanwendungen deinstalliert werden.
  3. Ist die Konfiguration abgeschlossen, muss eine Antwortdatei (Unattend.xml) erstellt werden, die den CopyProfile-Parameter auf „True“ setzt. Der Parameter „CopyProfile“ bewirkt, dass Sysprep den Profilordner des aktuell angemeldeten Benutzers in das Standardbenutzerprofil kopiert. Mit dem „Windows System Image Manager“, der Bestandteil des „Windows Assessment and Deployment Kits (ADK)“ ist, kann die Unattend.xml Datei erstellt werden.

Das ADK kann hier heruntergeladen werden:

https://developer.microsoft.com/de-de/windows/hardware/windows-assessment-deployment-kit

image001

Die Installation des „Windows Assessment and Deployment Kits“ sollte auf einem anderen Rechner erfolgen, um die Erstellung des Mandatory Profiles nicht zu beeinflussen.

image002

Bei den Features muss nur „Bereitstellungstools“ ausgewählt werden.

image003

Für den „Windows System Image Manager“ wird eine .wim-Datei des entsprechenden Betriebssystems benötig, für welches ein Madatory Profile erzeugt werden soll. Die .wim-Datei findet man für Windows 10 bzw. Server 2016 im .iso-Image unter \sources\install.wim.

Diese muss lokal auf das System kopiert werden, wo auch der „Windows System Image Manager“ installiert ist, z.B. c:\temp.

Nun den „Windows System Image Manager“ starten.

image004

„Neue Antwortdatei…“ wählen.

image005

Hier die zuvor kopierte .wim-Datei auswählen, Klick auf „Ja“.

image006

Mit „Ja“ bestätigen.

image007

image008

Nachdem die Katalogdatei erzeugt wurde, in dem Bereich „Windows-Image“ den Knoten „Komponenten“ erweitern und mit der rechten Maustaste auf „amd64_Microsoft-Windows-Shell-Setup“ klicken und anschließend auf „Einstellung zu Pass 4 specialize hinzufügen“.

image009

Im Bereich „Antwortdatei“ den Ordner „ Components\4 specialize\amd64_Microsoft-Windows-Shell-Setup_neutral“ auswählen und im Bereich „ Eigenschaften von Microsoft-Windows-Shell-Setup“ im Abschnitt „Einstellungen“ den Wert bei „CopyProfile“ auf „true“ setzen.

image010

Zum Schluss die Antwortdatei speichern, z.B. als Unattend.xml.

Sollte für Windows 10 ungefähr so aussehen

image011

… und für Server 2016 ungefähr so

image012

4. Nun geht es auf dem Rechner, der zur Erstellung des Mandatory Profiles verwendet wird, weiter. Unter Windows 10 können nach Bedarf noch einige Standardanwendungen deinstalliert werden. Das beschleunigt später die Loginzeit. Dazu einfach die Standardanwendungen unter Powershell mit „Get-AppXProvisionedPackage –online“ Anzeigen lassen und mit „Remove-AppxProvisionedPackage -Online –PackageName“ löschen.

5. Das System ist nun soweit vorbereitet, sodass Sysprep ausgeführt werden kann. Dazu die zuvor erstellte Antwortdatei nach „C:\Windows\System32\sysprep“ kopieren oder bei folgenden Befehl den Pfad zur Antwortdatei angeben.

 image013

image014

Der sysprep-Prozess startet den PC neu und startet den „Erste Schritte“ Assistenten. Nach Abschluss der Einrichtung wieder mit einem Konto mit lokalen Administratorrechten anmelden.

6. Unter „System > Erweiterte Systemeinstellungen > Benutzerprofile“ das Standardprofil auswählen und auf „Kopieren nach…“ klicken.

image015

Klick auf „Ändern“.

image016

Die Berechtigungen auf „Jeder“ oder „Authentifizierte Benutzer“ ändern,

image017

Nun den Pfad zu dem Share angeben, in dem das Profil abgespeichert werden soll. Die Endung muss dabei .v6 lauten, um ihn als Benutzerprofilordner für Windows 10, Version 1607, 1703, bzw. Server 2016 zu kennzeichnen.

image018

Im letzten Schritt im Profilordner die Datei ntuser.dat nach ntuser.man umbenennen, um sie als „mandatory“ zu kennzeichnen.

7. In den Gruppenrichlinien müssen die folgenden beiden Richtlinien konfiguriert werden, um das Mandatory Profile auf einem Terminalserver bereitzustellen:

Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Profile

8. Um das Mandatoy Profile unter Windows 10 zu verwenden, müssen die folgenden beiden Richtlinien konfiguriert werden:

Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile

9. Bei Anmeldung mit einem Mandatory Profil erfolgt der Login in Windows 10 oder Server 2016 immer so, als sei es die erste Anmeldung. Um die Anmeldeleistung für Benutzer mit Mandatory Profil zu verbessern, können die folgenden Gruppenrichtlinieneinstellungen gesetzt werden:

· Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden
„Animation bei der ersten Anmeldung anzeigen“: Deaktivieren (Server 2016 u. Windows 10)

· Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Suche
„Cortana zulassen“: Deaktivieren (Server 2016 und Windows 10)

· Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Cloudinhalt
„Microsoft-Anwenderfeatures deaktivieren“: Aktivieren (Nur Windows 10)