Lokale profielen

Een lokaal profiel is ideaal op een laptop of voor gebruikers welke nooit op een andere computer inloggen. Een nadeel is, bij een crash is alles weg en soms is het zelfs noodzakelijk om een profiel te wissen omdat er problemen zijn met instellingen welke niet ongedaan kunnen worden. Daarnaast bevatten deze profielen meestal ook alle data van een gebruiker zoals downloads, documenten, foto's et cetera.

Zwevende profielen

Zwevende profielen worden geladen bij het inloggen van een gebruiker en weer opgeslagen wanneer de gebruiker zich af meld. Het voordeel hiervan is dat de gegevens en instellingen van een gebruiker altijd beschikbaar zijn op verschillende locaties. Wanneer een gebruiker op dag 1 werkt op computer A, en op dag 2 op computer B, dan neemt hij/zij de gegevens en instellingen mee. Het nadeel van zwevende profielen is dat deze groot kunnen worden en veel netwerkverkeer kunnen genereren, daarnaast vereisen zwevende profielen min of meer identiek ingerichte systemen, applicaties en OS versies. Men kan hiervan afwijken, maar dit kan in een grote omgeving nogal problemen opleveren. Om dit te voorkomen wordt veelal gebruik gemaakt van folder redirection (folder omleiding) en verschillende profiel shares voor bijvoorbeeld XP/Windows 2003 terminal services, Windows Vista/Server 2008 RDS, Windows 7/Server 2008 R2 RDS. Windows 8/Server 2012 (R2) RDS.

Daarnaast beslissen bedrijven er voor om dit zelfs op te splitsen in zwevende profielen voor Werkstations en Terminal Services (RDS).

Mandatory profielen

Mandatory profielen zijn vaste profielen welke bij het aanmelden worden klaar gezet en verdwijnen bij het afmelden. De template van het profiel kan lokaal klaar staan (snel), of op een netwerk share (eenvoudig te distribueren). Het nadeel van mandatory profielen is, een gebruiker meld zich af en de data is weg. Om dit te voorkomen wordt dit meestal gecombineerd met folder omleiding en technologieën zoals RES Workspace manager Zero Profiles, AppSense en ThinApp.

Dit artikel beschrijft een best practice voor het maken van een mandatory profile en het gebruik er van.

Technieken voor mandatory profiles

Hieronder zijn de diverse technieken terug te vinden om mandatory profiles op een veilige en juiste methode te implementeren. Ieder onderdeel staat op zichzelf en kan ook gebruikt worden in andere situaties wanneer men hiervoor een toepassing ziet.

Home drive

De meest slechte techniek is het opslaan van data in het profiel van de gebruiker, bij mandatory profiles is dit zelfs een no-go oplossing. Daarom moet er altijd voor gezorgd worden dat de gebruiker altijd een home drive heeft. Met of zonder drive letter. In moderne omgevingen kan de gebruiker een home drive krijgen zonder drive letter en worden persoonlijke folders doormiddel van een UNC pad omgeleid naar een folder in een persoonlijke folder. Op een of andere wijze zijn beheerders gehecht aan een drive letter dus zal men in veel omgevingen de H: drive tegen komen.

Voor mandatory profiles is de home folder must in combinatie met folder omleiding.

Folder omleiding (folder redirection)

Deze techniek zorgt er voor dat de basis folders van een gebruiker worden omgeleid naar een centrale locatie. Meestal de home drive. Een belangrijke tip, leidt de folders nooit om naar de root van de home drive/home folder. Niets is zo vervelend voor een beheerder welke naar de centrale home share gaat en daar 500 keer "Mijn documenten" ziet staan. Daarnaast, gebruik altijd Engelse namen voor de folders, Windows doet de rest en zal deze netjes in de taal weergeven van de gebruiker, ook wanneer deze gebruiker naar de home drive gaat met Explorer.

Leid de volgende folders om (H: wordt aangehouden als home drive, maar kan ook een UNC pad zijn):

  • My Documents - H:\Documents
  • My Pictures - H:\Pictures
  • My Music - H:\Music
  • My Video's - H:\Videos
  • Downloads - H:\Downloads
  • Saved Games - H:\Saved Games
  • Links - H:\Links
  • Favorites - H:\Favorites

Er zijn meer folders om te leiden, zoals AppData, Desktop, Start Menu en Searches. Weersta de verleiding en doe dit niet, met mandatory profiles is dit zelfs onzinnig omdat deze folders ook instellingen in het register hebben welke verdwijnen bij het uitloggen.

Daarnaast is het handig dat er gebruik gemaakt wordt van technologieën om te voorkomen dat gebruikers via een unmanaged wijze gegevens op deze locaties kunnen plaatsen. Een veel gebruikte techniek is RES Workspace Manager en AppSense of scripts welke rechten ontnemen op deze folders voor gebruikers.

Het maken van een mandatory profile

Leg voor het maken van een mandatory profile altijd de stappen vast zodat deze altijd opnieuw is te maken.

Locatie van een mandatory profile

Een mandatory profile kan op twee locaties geplaatst worden. Mijn persoonlijke voorkeur is altijd op de machine zelf. Distributie van de mandatory profile kan dan via RES Workspace Manager (custom files), SSCM, Altiris, RES Automation Manager of iedere andere techniek. Plaats het mandatory profiel nooit in C:\Users of C:\Documents and Settings. Wanneer dit gedaan wordt het mandatory profile vaak overschreven door een beheerder (Administrator). De meest eenvoudige methode is gebruik te maken van "RES Custom" files zodat de distributie eenvoudig is. Een andere methodiek is bijvoorbeeld in een separate folder op C: of D:, bijvoorbeeld C:\Profiles\<profilename>.<versie>.

Een andere methode is om de mandatory profile op een netwerk share te zetten. Voordeel is dat deze op een centrale plaats staat. In een omgeving waar men werkt met sites en men de beschikking heeft over domain controllers verdeeld over sites kan men er ook voor kiezen om het mandatory profile te plaatsen op \\<domein>\sysvol\<domain>\scripts (aka NETLOGON). Het voordeel, snelle laadtijden op locaties, nadeel is dat synchroniseren tijd kan kosten.

Toewijzen van mandatory profile en naamgeving

Mandatory profiles kunnen iedere naam hebben welke men maar wenst. Bijvoorbeeld rdsprofile, citrixprofile, werkplekprofile et cetera. Hierbij zijn er wel een aantal regels.

  • Een Windows XP/2003 mandatory profile heet <pad naar profile>\<Profile naam>;
  • Een Windows Vista/2008 en hoger mandatory profile heet <pad naar profile>\<profile naam>.<versie>.

Let op voor <versie>, Windows 10 heeft .V5 andere versies zijn .V2 (Windows Vista,7,8,2008,2012).

  • Tip 1: Versienummer niet op te nemen in de bijbehorende GPO. Wanneer bijvoorbeeld \\server\TSProfiles$\MijnWindows7.V2 wordt opgegeven, zal Windows zoeken naar \\server\TSProfiles$\MijnWindows7.V2.V2.
  • Tip 2: Maak voor iedere OS versie een aparte mandatory profile, dus Vista/Server 2008, 7/2008R2, 8/2012, 8.1/2012R2, 10/Server 10.
  • Tip 3: Wanneer de Internet Explorer versie is bijgewerkt op een doelsysteem, maak dan een nieuwe Mandatory profile met die Internet Explorer, zorg ervoor dat IE ook 1 keer is gestart, RECYCLE bestaand profiel niet.
  • Tip 4: Zorg ervoor dat de machine waarop de Mandatory profile gemaakt wordt geen modificaties heeft in het default profiel en zorg altijd voor een totaal nieuw profiel.
  • Tip 5: Zorg ervoor dat de user waarmee het Mandatory profile gemaakt wordt geen GPO's krijgt, maak het dus met een lokaal useraccount en het liefst via de console, dus niet via RDP/Citrix.

In beide gevallen is het pad in GPO altijd zonder de V2 wat ons brengt op de methodiek van toewijzen. Zelf gebruik ik altijd een computer policy, hierbij wordt het terminal services profile pad gezet naar het mandatory profile in het formaat <pad naar profile>\<Profile naam>, het nadeel is, dat dit ook voor Administrators geldt. Dit kan omzeild worden door een server over te nemen met mstsc /v:<servernaam> /admin. In een user object kan men verwijzen naar <pad naar profile>\<profile naam>[.V2|.V5]\NTUSER.MAN.

Bouwen van het profiel

  1. Maak op een doelsysteem, met alle software van belang een lokaal account aan.
  2. Geef deze geen Adminstrator rechten.
  3. Log aan met deze user rechtstreeks op de console, dus niet via MSTSC of Citrix.
  4. Stel alles in zoals het profiel er uit moet zien en niet via GPO geregeld moet worden, dus doorloop alle instellingen ook in control panel, start menu settings, explorer settings, Internet Explorer settings,  taal instellingen, et cetera. Persoonlijk houd ik van een kaal profiel waarin weinig tot geen instellingen zijn gemaakt.
  5. Start alle applicaties waarvan de settings gemaakt moeten worden in het profiel (bij gebruik van RES zou ik dit persoonlijk regelen met RES in plaats van het Mandatory Profile), maar configureer geen ODBC, Exchange (Outlook MAPI) et cetera;
  6. Schoon op waar mogelijk, bijvoorbeeld favorieten weggooien, links verwijderen, start menu leeg maken, pinned items verwijderen et cetera;
  7. Log uit.

Opschonen van het profiel en distribueren

  1. Log in als Administrator op het zelfde systeem.
  2. Kopieer het profiel van de gebruiker naar een andere lokatie, bijvoorbeeld de share waar deze naar toe moet of een tijdelijke werk locatie;
  3. Open het werkprofiel in Explorer;
  4. Wis de volgende gegevens:
    AppData\Local
    AppData\LocalLow
    AppData\Roaming\*\*Cache* (alle cache folders)
    AppData\Roaming\*\*Log* (alle log folders)
  5. Schoon AppData\Roaming\Microsoft\Windows\Recent op
  6. Wis de ReadOnly flag op AppData\Roaming\Microsoft\Windows\Recent
  7. Wis eventuele alle bestanden onder AppData\Roaming welke niet van belang zijn (met common sense)
  8. Maak de folders Documents, Desktop, Music, Desktop et cetera leeg (met common sense), zorg ervoor dat er niets staat wat er niet mag staan bij een gebruiker
  9. Start nu regedit op
  10. Laad nu NTUSER.DAT uit deze folder in regedit
  11. Geef everyone, users, of authenticated users "Full Control" op de hele hive (inheritance staat aan)
  12. Schoon alle Run, Runonce, MRU, RunMRU, RecentMRU et cetera keys op (keys laten bestaan, inhoud weg er mee)
  13. Ontlaad de reg file en wacht even
  14. Hernoem nu NTUSER.DAT naar NTUSER.MAN
  15. Wis de eventuele NTUSER-LOG bestanden
  16. Kopieer nu het profiel naar de lokatie waar deze beschikbaar is voor de gebruikers
  17. Zorg dat de gebruikers er bij kunnen

Een tip tot slot. Zorg ervoor dat de share waarop het mandatory profile staat alleen lees-rechten heeft. Dit voorkomt ongewenste aanpassing.

Ten slotte

Mandatory profiles zijn een sterk stukje techniek, gebruik dit in combinatie met GPO's, folder redirection en een tool zoals RES Zero Profiling of AppSense.