Wie man obligatorische (schreibgeschützte) Benutzerprofile in Windows verwendet

Wie man in Windows ein obligatorisches Profil einrichtet, das tatsächlich funktioniert

Die Verwaltung obligatorischer Benutzerprofile unter Windows ist nicht ganz einfach, insbesondere wenn man einen gemeinsam genutzten Computer oder einen Kiosk absichern möchte. Manchmal gelingt es, die Profile einzurichten, aber Benutzer nehmen trotzdem Änderungen vor, die dauerhaft gespeichert werden, oder – noch schlimmer – die Profile werden beschädigt, weil die Berechtigungen nicht stimmen. Windows handhabt das etwas seltsam, aber mit ein paar Anpassungen lässt sich ein absolut zuverlässiger, schreibgeschützter Zugriff gewährleisten. Diese Anleitung beschreibt die Erstellung eines lokalen, schreibgeschützten Benutzerprofils sowie alle notwendigen Berechtigungen und Registry-Einträge. Es kann etwas mühsam sein, aber sobald die Konfiguration abgeschlossen ist, werden keine unerwünschten Änderungen mehr gespeichert – ideal für öffentliche Umgebungen, Labore oder Informationskioske.

Arten von obligatorischen Benutzerprofilen in Windows

Ein obligatorisches Profil ist im Grunde ein vom Administrator vordefiniertes Profil, in das sich Benutzer zwar einloggen, das sie aber nicht bearbeiten können. Man kann es sich wie eine Vorlage vorstellen. Nach dem Abmelden gehen alle während der Sitzung vorgenommenen Aktionen verloren. Windows kann diese Profile lokal oder im Netzwerk speichern und sie so bei Bedarf auf mehreren Rechnern verfügbar machen.

Es gibt hauptsächlich zwei Geschmacksrichtungen:

• Normales obligatorisches Benutzerprofil – Sie geben Windows eine Kopie der Datei NTuser.dat, benennen sie in NTuser.man um, und schon weiß Windows, dass sie schreibgeschützt ist. Benutzer können während der Sitzung alle Aktionen ausführen, Änderungen werden jedoch nach dem Abmelden nicht gespeichert. Befindet sich die Datei in einem freigegebenen Netzwerkordner, bleiben zwischengespeicherte Versionen erhalten, falls das Netzwerk ausfällt; das Profil selbst bleibt jedoch unverändert.
• Extrem obligatorisches Benutzerprofil – Hierbei wird der gesamte Profilordner durch Hinzufügen der Dateiendung .man umbenannt und ist somit vollständig abgesichert. Benutzer können sich nicht anmelden, wenn der Profilserver nicht verfügbar ist. Dies ist ein besonders restriktiver Ansatz und wird üblicherweise in sehr restriktiven Umgebungen eingesetzt.

So erstellen Sie ein obligatorisches Profil in Windows

Es gibt viele Möglichkeiten, dies zu tun, aber die einfachste (und zuverlässigste) ist, das Standardprofil zu kopieren, es anzupassen und es auf schreibgeschützt zu setzen. Hier erfahren Sie, wie das genau funktioniert, ohne in Fallstricke zu tappen.

Erstellen eines schreibgeschützten Profilordners

• Melden Sie sich als Administrator an (ja, das ist notwendig) und öffnen Sie lusrmgr.msc – die Konsole „Lokale Benutzer und Gruppen“.Erstellen Sie testweise einen neuen Benutzer, beispielsweise „ConfRoom“.
• Melden Sie sich ab und anschließend als Administrator wieder an. Passen Sie Ihre Umgebung an (Hintergrund, Tastenkombinationen usw.).Wenn Sie zufrieden sind, melden Sie sich ab.
• Kopieren Sie das Standardprofil in einen benutzerdefinierten Ordner. Kopieren Sie nicht einfach den Ordner – es ist besser, dies unter Systemeigenschaften > Erweitert > Benutzerprofile zu tun. Klicken Sie auf Einstellungen, wählen Sie Standardprofil und klicken Sie dann auf Kopieren nach. Geben Sie ein neues Verzeichnis an, z. B.C:\ Benutzerprofile.C:\ReadOnlyProfile. V6Fügen Sie unbedingt die Endung .V6 hinzu, um das Profil zu unterscheiden; diese Endung ist für neuere Windows-Versionen wichtig.
• Klicken Sie nun mit der rechten Maustaste auf den neuen Ordner im Explorer, wählen Sie „Eigenschaften“ und erteilen Sie unter „Sicherheit“ die entsprechenden Berechtigungen:
  • Gewähren Sie NT AUTHORITY\Authentifizierten Benutzern Vollzugriff. Aktivieren Sie NICHT das Kontrollkästchen für das obligatorische Profil – das ist eine andere Einstellung.
  • Stellen Sie sicher, dass alle oder relevante Gruppen mindestens die Option „Lesen & Ausführen“ haben.
• Optional: Unter Windows 10 Version 1709 und höher wird beim Kopieren des Profils möglicherweise ein Kontrollkästchen zum Festlegen des Profils als schreibgeschützt angezeigt. Aktivieren Sie dieses, falls verfügbar. Dadurch werden die Ordnerattribute automatisch festgelegt.

Konfigurieren Sie NTUSER. MAN für die Persistenz

• Melden Sie sich als Administrator wieder an und navigieren Sie dann zu C:\ReadOnlyProfile. V6.
• Benennen Sie die Datei NTUSER. DAT in NTUSER. MAN um. Dies ist einfach über die Kommandozeile möglich:

  ren C:\ReadOnlyProfile. V6\NTUSER. DAT NTUSER. MAN

• Dies ist der entscheidende Schritt – Windows erkennt NTUSER. MAN als ein schreibgeschütztes Profil, das während der Sitzungen nicht verändert wird.

Weisen Sie einem Benutzer das Profil „Schreibgeschützt“ zu.

Nachdem der Profilordner nun fertig ist, besteht der nächste Schritt darin, ihn mit Ihrem Benutzerkonto zu verknüpfen.

Verwendung lokaler Benutzer oder Domänenkonten

• Gehen Sie zu Systemeigenschaften — Drücken Sie Win + R, geben Sie ein sysdm.cpl, drücken Sie Enter.
• Klicken Sie auf Erweitert, dann auf Profile und anschließend auf Einstellungen.
• Wählen Sie das Benutzerkonto aus, dem Sie das Profil zuweisen möchten, und klicken Sie dann auf „Kopieren nach“.
• C:\ReadOnlyProfile. V6Als Profilspeicherort angeben, speichern.

Alternativ können Sie, falls Sie in einer Active Directory-Umgebung arbeiten, in Active Directory-Benutzer und -Computer (ADUC) gehen, die Eigenschaften des Benutzers öffnen und den Profilpfad auf eine UNC-Freigabe festlegen, die auf den Ordner verweist.

Berechtigungen für eine sichere Nutzung festlegen

• Klicken Sie mit der rechten Maustaste auf den Profilordner im Explorer und wählen Sie Eigenschaften > Sicherheit.
• Berechtigungen wie folgt festlegen:
  • ALLE ANWENDUNGSPAKETE — Volle Kontrolle (dies ist *extrem* wichtig für die Kompatibilität mit dem Startmenü und den Apps)
  • Authentifizierte Benutzer – Lesen & Ausführen
  • SYSTEM — Volle Kontrolle
  • Administratoren – Volle Kontrolle
• Laden Sie in der Registrierung die Benutzerstruktur ( Datei > Struktur laden ) von [ Pfad einfügen C:\ReadOnlyProfile. V6\NTUSER. MAN].Erteilen Sie die entsprechenden Berechtigungen (insbesondere Vollzugriff für authentifizierte Benutzer und Anwendungspakete ) und entladen Sie anschließend die Struktur.

Letzte Feinabstimmungen und Gruppenrichtlinieneinstellungen

• Öffnen Sie gpedit.msc und navigieren Sie zu:
  • Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Benutzerprofile — Aktivieren Sie die Option „Zwischengespeicherte Kopien von Roaming-Profilen löschen“.
  • System > Erste Anmeldeanimation anzeigen — Deaktivieren Sie diese Option für eine reibungslosere Anmeldung.
  • OOBE > Datenschutzeinstellungen nicht starten — Aktivieren.
• Wenn Sie Roaming-Profile verwenden, erstellen Sie einen DWORD-Wert namens SpecialRoamingOverrideAllowed mit dem Wert 1, HKLM\Software\Microsoft\Windows\CurrentVersion\Explorerum das Startmenü für Roaming-Benutzerszenarien korrekt anzuzeigen.

Profil testen

Melden Sie sich als Benutzer mit diesem Profil an und nehmen Sie einige Änderungen vor – Hintergrund, Verknüpfungen, Softwareeinstellungen – und melden Sie sich anschließend ab. Vergewissern Sie sich, dass alle Änderungen verschwunden sind, um zu bestätigen, dass das Profil tatsächlich schreibgeschützt ist. Verwenden Sie den folgenden PowerShell-Befehl, um den Profilmodus zu überprüfen:

gwmi win32_userprofile | select localpath, roamingpath, status

Erwartete Ausgabe: Status=4 bedeutet, dass es sich um ein Pflichtprofil handelt.

Eines ist sicher: Berechtigungen sind das größte Problem, also überprüfen Sie diese unbedingt doppelt. Denken Sie auch daran, dass Sie die Datei NTUSER. MAN jederzeit anpassen können, falls Sie später Änderungen an der Umgebung vornehmen müssen. Benennen Sie sie einfach wieder in NTUSER. DAT um, nehmen Sie Ihre Änderungen vor und konvertieren Sie sie anschließend zurück.

Zusammenfassung

Wenn Sie Kioske, Labore oder öffentliche PCs einrichten, verhindert dieser Prozess, dass Benutzerprofile Ihr System beeinträchtigen. Es erfordert etwas Geschick bei Berechtigungen, Registry-Anpassungen und Ordnerstrukturen, aber sobald die Einstellungen vorgenommen sind, können Benutzer keine Spuren mehr im Profil hinterlassen. Achten Sie jedoch auf Berechtigungsprobleme – diese sind die häufigste Ursache für fehlerhaftes Verhalten von Profilen.

Zusammenfassung

• Sie können ein schreibgeschütztes, obligatorisches Profil erstellen, indem Sie die Datei „Default“ kopieren und die Datei „NTUSER. DAT“ in „NTUSER. MAN“ umbenennen.
• Legen Sie die korrekten Berechtigungen für den Profilordner fest, um zu verhindern, dass Benutzer Änderungen vornehmen.
• Verknüpfen Sie das Profil über Systemeigenschaften oder Active Directory.
• Überprüfen Sie regelmäßig die Berechtigungen, um seltsame Anmeldeprobleme zu vermeiden.
• Nutzen Sie die Anpassungen der Gruppenrichtlinien für eine übersichtlichere und bessere Benutzererfahrung.

Hoffentlich spart das jemandem ein paar Stunden. Ich drücke die Daumen, dass es hilft.