Hoe stel je een verplicht profiel in Windows in dat ook echt werkt?
Het beheren van verplichte profielen in Windows is niet altijd even eenvoudig, vooral niet als je een gedeelde werkplek of kiosk wilt beveiligen. Soms lukt het je wel om de juiste instellingen te configureren, maar slagen gebruikers er toch in om wijzigingen aan te brengen die permanent zijn, of erger nog, er treedt profielcorruptie op omdat de machtigingen niet kloppen. Het is een beetje vreemd hoe Windows hiermee omgaat, maar met een paar aanpassingen kun je een ijzersterke, alleen-lezen ervaring creëren. Deze handleiding beschrijft hoe je een lokaal, verplicht profiel aanmaakt dat alleen-lezen blijft, inclusief alle benodigde machtigingen en registerinstellingen. Het is misschien wat tijdrovend, maar zodra het is geconfigureerd, slaan profielen geen ongewenste wijzigingen meer op. Dit is ideaal voor openbare werkplekken, computerlokalen of informatiekiosken.
Soorten verplichte gebruikersprofielen in Windows
Een verplicht profiel is in principe een profiel dat vooraf is ingesteld door een beheerder en waarmee gebruikers kunnen inloggen, maar dat ze niet kunnen wijzigen. Zie het als een sjabloon. Wanneer de gebruiker uitlogt, verdwijnt alles wat hij of zij tijdens die sessie heeft gedaan. Windows kan deze profielen lokaal of in het netwerk opslaan, waardoor ze indien nodig beschikbaar zijn op meerdere computers.
Er zijn hoofdzakelijk twee soorten smaken:
- Een standaard verplicht gebruikersprofiel — Je geeft Windows een kopie van het bestand NTuser.dat, hernoemt het naar NTuser.man, en voilà, Windows weet dat het alleen-lezen is. Wanneer gebruikers inloggen, kunnen ze tijdens die sessie alles doen, maar er worden geen wijzigingen opgeslagen na het uitloggen. Als het zich in een gedeelde netwerkmap bevindt, blijven er cacheversies bewaard als de netwerkverbinding wegvalt, maar het profiel zelf blijft ongewijzigd.
- Superverplicht gebruikersprofiel — Hierbij wordt de volledige profielmap hernoemd door een .man- extensie toe te voegen, waardoor deze volledig beveiligd is. Gebruikers kunnen niet inloggen als de profielserver niet beschikbaar is, wat een strengere aanpak is. Meestal gebruikt in zeer beveiligde omgevingen.
Hoe maak je een verplicht profiel aan in Windows?
Er zijn veel manieren om dit te doen, maar de eenvoudigste (en meest betrouwbare) is om het standaardprofiel te kopiëren, aan te passen en het als alleen-lezen in te stellen. Hieronder leggen we uit hoe je dat doet zonder in de valkuilen te trappen.
Een alleen-lezen profielmap maken
- Log in als beheerder (ja, dit moet je doen) en open lusrmgr.msc — de console voor lokale gebruikers en groepen. Maak een nieuwe gebruiker aan, bijvoorbeeld ConfRoom, puur om te testen.
- Meld je af en meld je vervolgens weer aan als deze beheerder. Pas je omgeving aan (stel de achtergrond, snelkoppelingen, enzovoort in).Als je tevreden bent, meld je je af.
- Kopieer het standaardprofiel naar een aangepaste map. Kopieer niet zomaar de map; het is beter om dit te doen via Systeemeigenschappen > Geavanceerd > Gebruikersprofielen. Klik op Instellingen, kies Standaardprofiel, klik vervolgens op Kopiëren naar en geef een nieuwe map op, bijvoorbeeld
C:\ReadOnlyProfile. V6. Zorg ervoor dat u .V6 toevoegt om het te onderscheiden; deze extensie is belangrijk voor nieuwere Windows-versies. - Klik nu met de rechtermuisknop op de nieuwe map in Verkenner, ga naar Eigenschappen en geef onder Beveiliging de juiste machtigingen:
- Geef NT AUTHORITY\Authenticated Users volledige controle. Vink het selectievakje voor ‘Verplicht profiel’ NIET aan ; dat is een andere instelling.
- Zorg ervoor dat iedereen of relevante groepen ten minste de instructies hebben gelezen en uitgevoerd.
- Optioneel: In Windows 10 versie 1709 en later ziet u mogelijk een selectievakje ‘Profiel alleen-lezen maken’ tijdens het kopiëren van een profiel. Schakel dit in indien beschikbaar. Hiermee worden de mapkenmerken automatisch ingesteld.
Configureer NTUSER. MAN voor persistentie.
- Log opnieuw in als beheerder en ga vervolgens naar
C:\ReadOnlyProfile. V6. - Hernoem het bestand NTUSER. DAT naar NTUSER. MAN. Dit kan eenvoudig via de commandoregel:
ren C:\ReadOnlyProfile. V6\NTUSER. DAT NTUSER. MAN - Dit is de cruciale stap: Windows herkent NTUSER. MAN als een alleen-lezen profiel dat niet wordt gewijzigd tijdens sessies.
Wijs het alleen-lezenprofiel toe aan een gebruiker.
Nu de profielmap klaar is, is de volgende stap deze te koppelen aan je gebruikersaccount.
Lokale gebruikers of domeinaccounts gebruiken
- Ga naar Systeemeigenschappen — Druk op Win + R, typ
sysdm.cpl, druk op Enter. - Klik op Geavanceerd, vervolgens op Profielen en daarna op Instellingen.
- Selecteer het gebruikersaccount waaraan u het profiel wilt toewijzen en klik vervolgens op Kopiëren naar.
- Geef
C:\ReadOnlyProfile. V6de profiellocatie op en sla deze op.
Als alternatief kunt u, indien u in een Active Directory-omgeving werkt, naar Active Directory-gebruikers en -computers (ADUC) gaan, de gebruikerseigenschappen openen en het profielpad instellen op een UNC-share die naar de map verwijst.
Stel machtigingen in voor veilig gebruik.
- Klik met de rechtermuisknop op de profielmap in Verkenner en ga naar Eigenschappen > Beveiliging.
- Stel de machtigingen als volgt in:
- ALLE APPLICATIEPAKKETTEN — Volledige controle (dit is *super* belangrijk voor het startmenu en de compatibiliteit met apps)
- Geauthenticeerde gebruikers — Lezen en uitvoeren
- SYSTEEM — Volledige controle
- Beheerders — Volledige controle
- Laad in het register de gebruikershive ( Bestand > Hive laden )
C:\ReadOnlyProfile. V6\NTUSER. MAN. Verleen de juiste machtigingen (met name Volledige controle voor Geverifieerde gebruikers en Toepassingspakketten ) en ontlaad vervolgens de hive.
Laatste aanpassingen en groepsbeleidsinstellingen
- Open gpedit.msc en navigeer naar:
- Computerconfiguratie > Beleid > Beheersjablonen > Systeem > Gebruikersprofielen — Schakel ‘ Verwijder cachekopieën van roamingprofielen’ in.
- Systeem > Eerste aanmeldingsanimatie weergeven — Schakel dit uit voor een soepeler aanmeldingsproces.
- OOBE > Privacyinstellingen niet starten — Inschakelen.
- Als u roamingprofielen gebruikt, maak dan een DWORD met de naam SpecialRoamingOverrideAllowed aan met de waarde 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorerom het Startmenu correct weer te geven in roamingscenario’s.
Test het profiel
Meld u aan als de gebruiker met dit profiel en breng enkele wijzigingen aan (achtergrond, snelkoppelingen, software-instellingen) en meld u vervolgens af. Controleer of alle wijzigingen verdwenen zijn, zodat u zeker weet dat het profiel daadwerkelijk alleen-lezen is. Gebruik de onderstaande PowerShell-opdracht om de profielmodus te controleren:
gwmi win32_userprofile | select localpath, roamingpath, statusVerwachte output: Status=4 geeft aan dat het een verplicht profiel is.
Eén ding is zeker: machtigingen zijn de grootste bron van frustratie, dus controleer die goed. Vergeet ook niet dat je het NTUSER. MAN-bestand altijd kunt aanpassen als je later omgevingsvariabelen moet wijzigen. Hernoem het dan gewoon terug naar NTUSER. DAT, voer de nodige aanpassingen door en converteer het vervolgens weer terug.
Samenvatting
Als u kiosken, computerlokalen of openbare pc’s instelt, voorkomt dit proces dat gebruikersprofielen uw systeem in de war schoppen. Het is een samenspel van machtigingen, registeraanpassingen en mapbeheer, maar zodra de profielen zijn ingesteld, kunnen gebruikers er geen invloed meer op uitoefenen. Let wel op problemen met machtigingen; die zijn vaak de oorzaak van problemen met profielen.
Samenvatting
- Je kunt een alleen-lezen, verplicht profiel aanmaken door Default te kopiëren en NTUSER. DAT te hernoemen naar NTUSER. MAN.
- Stel de juiste machtigingen in voor de profielmap om te voorkomen dat gebruikers wijzigingen aanbrengen.
- Koppel het profiel via systeemeigenschappen of Active Directory.
- Controleer regelmatig de machtigingen om vreemde inlogproblemen te voorkomen.
- Gebruik aanpassingen in Groepsbeleid voor een schonere en betere ervaring.