Benutzerprofile einrichten
Profile sind an und für sich nichts Neues. Erste Ansätze fanden sich bereits bei Windows NT 3.1. Erst mit NT 4.0 wurde aber ein Stand erreicht, an dem eine wirklich sinnvolle Nutzung
erfolgen kann. Die damals eingeführte, an Windows 95 orientierte Oberfläche hat auch die technische Basis dafür geschaffen, dass beispielsweise Benutzerdaten automatisch vom Client auf den
Server gespeichert werden können.
Die Struktur der Profile
Seitdem werden Benutzerprofile in einem speziellen Verzeichnis profiles unterhalb von %systemroot% (also typischerweiseC:\Winnt) abgelegt. Dort
finden sich nach der Installation eines Systems zunächst drei Unterverzeichnisse:
- Das Verzeichnis All Users enthält die Profileinstellungen, die für alle Benutzer des lokalen Systems Gültigkeit haben.
- Der Ordner Default User
enthält benutzerbezogene Einstellungen, die verwendet werden, wenn sich ein Benutzer das erste Mal auf dieser Maschine lokal anmeldet und er noch kein Server-basierendes Profil besitzt.
- Ein weiteres Verzeichnis enthält das Profil des Benutzers, der die erste Anmeldung auf der Maschine durchgeführt hat. Das kann etwa Administrator
für den Administrator sein, aber auch ein anderes Benutzerprofil.
Um das Konzept genau zu verstehen, ist allerdings noch ein etwas tieferer Blick erforderlich. Grundsätzlich lassen sich zwei Varianten von Profilen
unterscheiden: Es gibt zum einen die in All Users
abgelegten Einstellungen, die sich auf die Maschine beziehen. Diese werden grundsätzlich nur lokal für jeden Rechner gespeichert und nicht von oder zu einem Server kopiert. Auf der anderen Seite gibt es die benutzerbezogenen Profile im Ordner
Default User, die zunächst nur lokal gespeichert werden. Wenn sich ein Benutzer das erste Mal bei Windows NT anmeldet, wird ein solches Profil unterhalb von %systemroot%\profiles
erstellt. Meldet sich ein weiterer Anwender an, wird für ihn ebenfalls ein Unterverzeichnis generiert. Wenn ein User sich an einem anderen PC anmeldet, wird für ihn dort wiederum ein lokales Benutzerprofil abgelegt.
Ein solches benutzerbezogenes Profil besteht aus einer Reihe von Ordnern und enthält zusätzlich noch zwei Dateien. Eine heisst Ntuser.dat
, die andereNtuser.dat.log. Beide liegen im jeweiligen Profilverzeichnis unterhalb von %systemroot%\profiles. Die erste der beiden Dateien enthält die
Registry-Einstellungen für den betreffenden Benutzer, während sich in der zweiten Datei das Logfile findet, in dem Änderungen an der Registry protokolliert werden, die während einer
Arbeitssitzung durchgeführt werden. Solche Manipulationen werden beispielsweise bei der Anpassung von Bildschirmfarben durchgeführt. Die einzelnen Funktionen der verschiedenen Ordner werden
in der folgenden Tabelle erläutert.
Ordner
|
Funktion
|
Anwendungsdaten
|
Daten wie beispielsweise das Adressbuch von Outlook Express
|
Cookies
|
Cookies des Internet Explorer
|
Desktop
|
Informationen zur Struktur des Desktop (Arbeitsoberfläche) von Windows NT
|
Druckumgebung
|
Verknüpfungen zu Symbolen im Druckerordner
|
Eigene Dateien
|
Standard-Ordner für Benutzerdokumente
|
Favoriten
|
Favoriten des Internet Explorer
|
His6/History
|
Zuletzt aufgerufene Seiten über den Internet Explorer (Verlauf)
|
Netzwerkumgebung
|
Verknüpfungen zu Symbolen in der Netzwerkumgebung
|
Recent
|
Verknüpfungen zu den zuletzt verwendeten Dateien
|
SendTo
|
Verknüpfungen zu Programmen, über welche Dateien versendet werden können, etwa per E-Mail
|
Startmenü
|
Strukturen des Startmenüs und des Programm-Menüs
|
Temporary Internet Files
|
Temporäre Dateien des Internet Explorer
|
Vorlagen
|
Verknüpfungen zu Dokumentvorlagen
|
Web
|
Dateien für die Channels des Internet Explorer
|
Server-basierende Benutzerprofile
Um mit wandernden Benutzerprofilen zu arbeiten, ist nur ein Schritt zwingend erforderlich. Im
Benutzermanager für Domänen muss bei den Eigenschaften des Benutzers die Schaltfläche Profil
ausgewählt werden. Im dann angezeigten Dialogfeld kann ein Pfad für das betreffende Benutzerprofil angegeben werden. Dieser Pfad wird in der Regel in der Form
\\Servername\Freigabe\%username% angegeben. Damit wird dann auf dem Server automatisch ein Ordner für das Profil angelegt, dessen Name dem des Benutzers entspricht. Sie können auf
diese Weise auch mehrere Benutzer auswählen und mit einer einzigen Eingabe serverbasierende Profile für alle diese User erzeugen.
Wenn sich der Benutzer das nächste Mal anmeldet, wird vom Anmeldeserver diese Information gelesen. In der Praxis sind nun zwei Konstellationen möglich:
- Der Anwender verfügt bereits über ein lokales Profil. In diesem Fall wird das lokale Profil nach dem
Ende der Arbeitssitzung und bei einer korrekten Abmeldung auf den Server kopiert. Das Verzeichnis
auf dem Server wird erst dann - also nicht bei der Definition des Profils oder bei der Anmeldung - erstellt.
- Der Benutzer besitzt noch kein lokales Profil. In diesem Fall wird für ihn ein neues lokales Profil auf
Basis der Informationen in Default User erstellt und ebenfalls nach dem Ende der Arbeitssitzung auf den Server kopiert.
Bei jeder weiteren Anmeldung erkennt das System, dass es bereits ein Profil auf dem Server und
eines auf der Arbeitsstation gibt, und vergleicht die beiden. Wenn das auf dem Server gespeicherte Profil aktueller ist, wird es geladen. Ansonsten wird das lokale verwendet, das nach
dem Ende der Arbeitssitzung immer auf den Server kopiert wird. Dieses Modell der lokalen Speicherung eines Profils ist sinnvoll, da ein Benutzer dadurch auch dann mit seinem Profil
arbeiten kann, wenn aus irgendwelchen Gründen keine Verbindung zum Server hergestellt werden
kann. Allerdings kann es passieren, dass der Benutzer dann mit einer älteren Version seines Profils
arbeiten muss, wenn er die zuletzt vorgenommenen Änderungen an einer anderen Arbeitsstation durchgeführt hat.
Vorkonfigurierte Profile
Eine Alternative zu dieser Vorgehensweise, bei der letztlich nur die individuellen Einstellungen des
Benutzers in das serverbasierende Profil übernommen werden, ist die Vorgabe eines vorkonfigurierten Benutzerprofils. Dazu wird in das Verzeichnis auf dem Server vorab ein
Benutzerprofil kopiert. Auch hier muss der Profilpfad wieder im Benutzermanager für Domänen konfiguriert werden.
Bei der ersten Anmeldung des Benutzers wird dieses zentrale Profil dann als Benutzerprofil
übernommen, allerdings nur, wenn es aktueller ist als ein bereits vorhandenes lokales Profil. Fehlt letzteres, wird es in jedem Fall übernommen. Ist das lokale Profil aber aktueller als das
serverbasierende, kann der Benutzer über ein Dialogfeld auswählen, welches davon geladen werden soll.
Eine weitere Möglichkeit ergibt sich durch die Verwendung von Standardprofilen, die auf dem
Server abgelegt werden. Dazu wird auf den Anmeldeservern - also allen Domänencontrollern - im Verzeichnis %systemroot%\system32\repl\import\scripts, das als Netlogon
freigegeben ist, ein Unterverzeichnis Default User angelegt und hierhin ein Standardprofil kopiert. Im Gegensatz zu
den anderen Situationen wirkt sich dieses Standardprofil auch aus, wenn kein Pfad für das
Benutzerprofil definiert ist. Bei der ersten Anmeldung von Benutzern wird dieses Profil anstelle des
lokalen Standardprofils verwendet, um das erste lokale Profil zu erzeugen. Es wird aber kein serverbasierendes Profil erzeugt, wenn im Benutzermanager für Domänen kein Pfad für das Profil
angegeben wird.
Verbindlich und persönlich
Bisher wurde nur von persönlichen Benutzerprofilen ausgegangen, die für jeden User individuelle
Informationen speichern und auch erweitert werden können. Alternativ gibt es aber auch verbindliche Benutzerprofile. Diese stellen dem User die immer gleiche Arbeitsumgebung bereit,
wobei er während einer Arbeitssitzung auch Änderungen daran vornehmen kann. Die Manipulationen werden aber nicht auf den Server kopiert und das Profil wird bei jeder Anmeldung
unverändert geladen.
Im Gegensatz zu persönlichen Benutzerprofilen kann die verbindliche Variante für mehrere
Benutzer gemeinsam verwendet werden. Ein solches Profil muss zunächst vorbereitet werden und kann dann auf den Server kopiert werden, wo dann Zugriffsberechtigungen für alle Anwender, die
damit arbeiten sollen, konfiguriert werden müssen. Zusätzlich sollten auch die Administratoren
und das Betriebssystem Zugriff erhalten. Der nächste Schritt ist dann die Umbenennung der Datei User.dat in User.man. Damit wird festgelegt, dass es sich um ein verbindliches Benutzerprofil
handelt. Nachdem diese Schritte abgeschlossen sind, kann das Profil bei den Eigenschaften der betreffenden Benutzer festgelegt werden.
Verwaltung per Windows-Explorer
Die Verwaltung von User-Profilen kann in weiten Teilen manuell erfolgen. Die Zuordnung geschieht
über den Benutzermanager für Domänen, während für das Kopieren von Profilen oder Teilen davon wie für die Vergabe von Zugriffsrechten der Windows-Explorer eingesetzt wird. Eine weitere
Möglichkeit bietet die Systemsteuerung. Dort findet sich im Bereich System das Register Benutzerprofile
. In diesem wird eine Liste der lokal vorhandenen Profile angezeigt. Für jedes Profil wird angegeben, ob es sich um ein rein lokales Profil oder eine lokale Kopie eines Server
-basierenden Benutzerprofils handelt. Hier kann sowohl der Typ eines Profils von Server-basierend
zu lokal verändert als auch nicht mehr benötigte Profile gelöscht werden. Ausserdem ist man in der Lage, lokale Profile auf den Server zu kopieren. Das hat den Vorteil, dass dann gleich die
korrekten Zugriffsberechtigungen auf dem Server gesetzt werden. Beim Kopieren können Sie auch angeben, von welchem Benutzer oder, bei verbindlichen Profilen, welcher Benutzergruppe das
Server-basierende Profil dann verwendet werden darf.
Probleme mit Benutzerprofilen
Auch wenn der Umgang mit Benutzerprofilen im Kern recht einfach ist, gibt es doch einige Punkte,
die dabei zu beachten sind. Wenn mit wandernden Benutzerprofilen gearbeitet wird, ist es wichtig
, dass die Arbeitsstationen weitgehend identisch konfiguriert sind. So werden beispielsweise im Startmenü Verknüpfungen zu Programmen gespeichert, die auf ein bestimmtes Laufwerk und ein
bestimmtes Verzeichnis verweisen. Das funktioniert nur, wenn sich die Programme auf allen Rechnern an der gleichen Stelle finden.
Aber auch Konfigurationseinstellungen wie die Bildschirmauflösung können zum Problem werden.
Es gibt eine Reihe von Parametern, die pro Benutzer gespeichert werden, während andere pro Maschine abgelegt werden. Wenn nun aber eine bestimmte Bildschirmauflösung für eine Maschine
gesetzt ist, kann das zu Problemen führen, wenn das Profil ursprünglich mit einer ganz anderen Auflösung konfiguriert war.
Ein weiteres Problem ist die Grösse, die Benutzerprofile erreichen können. Dabei gibt es vor allem
zwei Problembereiche. Zum einen können Benutzer im Ordner Eigene Dateien Informationen speichern. Zum anderen können sie Dateien aber auch direkt auf der Arbeitsoberfläche ablegen. In
beiden Situationen wird ein Profil, das typischerweise im Bereich von 200 bis 300 KB liegt, auf
einmal sehr viel grösser. Da das Benutzerprofil aber bei jeder An- und Abmeldung zwischen Server
und Arbeitsstation kopiert wird, entsteht hier entsprechend schnell auch eine höhere Netzlast. Dieses Problem wurde mit dem Service Pack 4 adressiert, dessen Profil-bezogenen Neuerungen
nachstehend erläutert werden.
Schliesslich kann sich auch die Performance des Netzwerks auswirken, etwa wenn ein Profil nicht
innerhalb einer definierten Zeit geladen werden kann, wobei eine Dialogbox angezeigt wird. Der Benutzer kann darin auswählen, ob er mit dem lokal gespeicherten Profil arbeiten oder weiter
versuchen möchte, das Profil zu laden. Die Verwendung des lokal gespeicherten Profils kann aber dazu führen, dass er mit nicht mehr aktuellen Informationen arbeitet. Dennoch sind die Server
-basierenden Benutzerprofile alles in allem eine sinnvolle Funktion, da sich damit die gleiche Arbeitsumgebung auf unterschiedlichen Arbeitsstationen bereitstellen lässt.
Ein weiterer Vorteil besteht darin, dass sich Systeme so mit geringerem Aufwand austauschen
lassen, da die Konfiguration des Benutzers nach dem Systemstart sofort zur Verfügung steht. Nur Betriebssystem und Anwendungen müssen vorab eingerichtet werden. Weitere
Konfigurationseinstellungen lassen sich ferner auch über die Systemrichtlinien steuern. Um welche Optionen es sich dabei konkret handelt, kann nachstehend entnommen werden.
Service Pack 4 und User-Profile
Das Service Pack 4 bietet einige funktionale Erweiterungen für Benutzerprofile. Zum einen gibt es
nun generell mehr Steuerungsmöglichkeiten über die Systemrichtlinien. Viel wichtiger ist aber, dass die maximale Grösse der Profile beschränkt werden kann.
Dazu finden sich bei den Benutzer-bezogenen Einstellungen der Systemrichtlinien zwei neue Optionen:
- Mit Profilgrösse einschränken kann konfiguriert werden, wie gross wandernde Benutzerprofile
maximal werden dürfen. Wird diese Grösse überschritten, kann eine Fehlermeldung angezeigt werden.
Ausserdem lässt sich konfigurieren, in welchen Intervallen die Grösse des Benutzerprofils überprüft werden soll.
- Zusätzlich kann auch gesteuert werden, welche Verzeichnisse aus wandernden Benutzerprofilen entfernt werden sollen. Diese werden dann jeweils nur lokal gespeichert.
Durch die konsequente Nutzung dieser beiden Funktionen lässt sich verhindern, dass Benutzer sehr
grosse Benutzerprofile erstellen und damit bei der An- und Abmeldung von Anwendern eine übermässige Netzbelastung entsteht.
Konfiguration via Systemrichtlinien
Einige Funktionen im Zusammenhang mit Benutzerprofilen können auch über Systemrichtlinien
gesteuert werden. Die Einstellungen, die sich auf einzelne Maschinen beziehen, werden bei den Computer-bezogenen Richtlinien konfiguriert. Dort können folgende Optionen gesetzt werden:
- Mit der Option Löscht zwischengespeicherte Kopien von Servergespeicherten Profilen wird
definiert, dass keine lokalen Kopien von wandernden Benutzerprofilen gehalten werden. Das ist
immer dann sinnvoll, wenn sich an einem System sehr viele unterschiedliche Benutzer anmelden und nicht unmässig Plattenplatz verschwendet werden soll.
- Durch die Auswahl von Automatisch langsame Netzwerkverbindungen erkennen wird konfiguriert,
dass das System erkennt, wenn das Laden von Server-basierenden Benutzerprofilen lange dauert.
- Für diese Situation kann über Zeitlimit für langsame Netzwerkverbindungen auch angegeben werden, wie lange es dauern darf, bis ein Profil geladen werden sollte.
- Zusätzlich kann mit Standardoperation für ein langsames Netzwerk und Standardoperation für das Profil auswählen
konfiguriert werden, wie sich das System verhalten soll, wenn ein langsames Netzwerk erkannt wird oder wenn das lokale Profil aktueller als das Server-basierende ist.
- Schliesslich kann noch ein Zeitlimit angegeben werden, wie lange Dialogfelder angezeigt werden.
Mit all diesen Optionen lässt sich gezielt steuern, wie sich NT verhalten soll. Die Einstellungen zu
den Standardoperationen sind erst mit dem Service Pack 4 hinzugefügt worden.
Profil.00x
Es kann vorkommen, dass sowohl ein Profil-Administrator als auch Administrator.000 auf einem
System vorhanden sind. Das ist immer dann der Fall, wenn sich zwei Anwender mit dem gleichen Benutzernamen angemeldet haben. Möglich ist das, wenn sich etwa einmal der lokale
Administrator der Workstation und einmal jener der Domäne angemeldet haben. In diesem Fall handelt es sich aus Sicht von Windows NT wegen der unterschiedlichen SIDs auch um
unterschiedliche Benutzer.
Zugriffsberechtigungen auf Benutzerprofile
Bei der Erstellung eines Benutzerprofils richtet Windows NT automatisch die
Zugriffsberechtigungen so ein, dass nur die Gruppe Administratoren, das Betriebssystem und seine Prozesse sowie der Benutzer, zu dem das Profil gehört, darauf Zugriff haben. Falls Profile
manuell auf den Server kopiert werden, müssen Zugriffsberechtigungen auch entsprechend gesetzt werden.
|