Jeder Admin hat sicherlich von servergespeicherten Profilen gehört und sie auch eingerichtet. Viele wissen auch, dass sie auch als "mandatory Profiles", also verbindliche Profile, einzurichten gehen. Aber nur wenige wissen, dass es auch eine dritte Variante gibt. Die "super mandatory Profiles", also superverbindliche Profile.
Servergespeichertes Benutzerprofil:
Das Benutzerprofil des Mitarbeiters, welches sich normalerweise auf dem Arbeitsplatz-PC befindet, wird zentral auf einem gemeinsamen Speicher abgelegt. Der Mitarbeiter hat die Möglichkeit einen anderen Arbeitsplatz-PC zu wählen. Seine Profildaten werden beim Log-in auf den aktuellen Arbeitsplatz-PC übertragen und beim Log-off die aktualisierten Profildaten auf den zentralen Speicher zurückgespeichert. Ein Benutzerprofil kann immer nur einem Benutzer zugeordnet werden. Der oben beschriebene Abschnitt Konfiguration Benutzerprofil deckt das einfach servergespeicherte Profil ab. Es sind keine weiteren Schritte notwendig.
Servergespeichertes verbindliches Profil:
Dieses Profil wird ebenfalls vom zentralen Speicher auf den aktuellen Arbeitsplatz-PC geladen. Allerdings können an diesem Profil keine Änderungen vorgenommen werden. Dieses Profil kann von mehreren Mitarbeitern gleichzeitig verwendet werden. Für alle Benutzerkonten wird das gleiche Profil eingestellt. Nach dem Log-off können allerdings keine Daten auf dem zentralen Speicher synchronisiert werden. Das Profil bleibt grundsätzlich unverändert. Existiert das verbindliche Profil auf dem zentralen Speicher nicht, so wird das herkömmliche Profil auf dem Arbeitsplatz-PC verwendet. Für die Einrichtung eines verbindlichen Profils muss im Profil die ntuser.dat in ntuser.man umbenannt werden.
Servergespeichertes superverbindliches Profil:
Es verhält sich wie der verbindliche Profile, die Unterschied sind allerdings folgender: Der Benutzer kann sich nur dann am System anmelden, wenn ein (super)verbindliches Profil auf dem zentralen Speicher zur Verfügung steht. Ist das nicht der Fall, so ist kein Log-In möglich. Für die Einrichtung eines verbindlichen Profils muss im Profil die ntuser.dat in ntuser.man umbenannt werden. Darüberhinaus muss der Name des Profilordners in <profilname>.man.v2 geändert werden. Zusätzlich muss im Konto des Benutzer hinter dem Profilpfad noch ein .man (ohne v2!) angehängt werden, dass der Pfad wiedergefunden werden kann.
Löschen von zwischengespeicherten Roaming Profiles
Um zu verhindern, dass möglicherweise Daten aus der zwischengespeicherten Kopie des Roaming Profiles aus einer zurückliegenden Sitzung doch noch verfügbar sind, müssen zwei GPOs gesetzt werden, die nach dem Log-off die zwischengespeicherte Kopie löschen (1. GPO) bzw. verhindern, dass versucht wird auf dem Server zu speichern (2. GPO). Diese sind zu finden unter:
Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile -> Zwischengespeicherte Kopien von servergespeicherten Profilen löschen : aktivieren
Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile -> Propagierung von Änderungen an servergespeicherten Profilen auf dem Server verhindern : aktivieren
Der Papierkorb
Der Papierkorb der Clients wird nicht im Profil gespeichert, sondern auf c:\$Recycle.Bin\, was zum Umstand führt, dass Dateien, die gelöscht werden und im Papierkorb landen bei der nächsten Sitzung vorhanden und wiederherstellbar sind, was für kritische/bedenkliche Informationen ungünstig ist.
Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows-Explorer -> Gelöschte Dateien nicht in den Papierkorb verschieben : aktivieren
- Article
- 09/23/2021
- 2 minutes to read
This article provides help to fix errors, and logon/logoff delays that occur when you use roaming user profiles in Windows 10, version 1803.
Applies to: Windows 10, version 1803
Original KB number: 4340390
Symptoms
On a computer that's running Windows 10, version 1803, you experience logon or logoff delays when you use roaming user profiles. You also receive the following error messages:
Your roaming profile was not completely synchronized. See the event log for details or contact administrator"
Additionally, the system may log the following entries in the event log.
Event 1509 (source: User Profile General)
Windows cannot copy file \\?\C:\Users\%username%\AppData\Local\Microsoft\Windows\<Path to a file> to location \\?\UNC Path\%username%.V6\AppData\Local\Microsoft\Windows\<path to a file>. This error may be caused by network problems or insufficient security rights. DETAIL - Access is denied.Event 509 (source: User Profile General)
Windows cannot copy file \\?\C:\Users\UserName\AppData\Local\Microsoft\Windows\UPPS\UPPS.bin to location \\?\UNC Path\UserName.V6\AppData\Local\Microsoft\Windows\UPPS\UPPS.bin. This error may be caused by network problems or insufficient security rights. DETAIL - Access is denied. Windows cannot copy file \\?\C:\Users\UserName\AppData\Local\Microsoft\WindowsApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe to location \\?\UNC\WS2016DC1\rup\UserName.V6\AppData\Local\Microsoft\WindowsApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe. This error may be caused by network problems or insufficient security rights. DETAIL - The file cannot be accessed by the system. Windows cannot copy file \\?\C:\Users\UserName\AppData\Local\Microsoft\WindowsApps\MicrosoftEdge.exe to location \\?\UNC\WS2016DC1\rup\UserName.V6\AppData\Local\Microsoft\WindowsApps\MicrosoftEdge.exe. This error may be caused by network problems or insufficient security rights. DETAIL - The file cannot be accessed by the system.Event 1504 (source: User Profile General)
Windows cannot update your roaming profile completely. Check previous events for more details.
Cause
This problem occurs because of a change that was made in Windows 10, version 1803. This change inadvertently caused folders that are usually excluded from roaming to be synchronized by roaming user profiles when you log on or log off.
Resolution
This problem is fixed in the following update for Windows 10, version 1803:
July 24, 2018-KB4340917 (OS Build 17134.191)
Workaround
Important
Follow the steps in this section carefully. Serious problems might occur if you modify the registry incorrectly. Before you modify it, back up the registry for restoration in case problems occur.
To work around this problem, you can copy the ExcludeProfileDirs registry key from a Windows 10, version 1709-based computer to the version 1803-based computers that are experiencing the problem. Full path to the registry key:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ExcludeProfileDirs
For information about how to export and import registry keys by using the reg.exe tool, see the following Windows IT Pro Center article:
reg export
Servergespeicherte Profile sind in der Regel schon eine sehr angenehmen Funktion, denn damit werden alle Profileinstellungen zentral auf einem Netzwerkshare abgelegt. Bei der Windows Anmeldung wird das servergespeichertes Profil vom Server geladen, auf dem Windows Client wird eine Arbeitskopie des Benutzerprofils abgelegt und bei der Windows Abmeldung werden die lokalen Profiländerungen auf das servergespeicherte Profil im Netzwerk übertragen.
Servergespeicherte Profile machen besonders dann Sinn, wenn Anwender sehr häufig den Arbeits-PC wechseln und stets alle Einstellungen, Dokumente, Favoriten usw. auf den neuen PC automatisch mitnehmen möchten. Allerdings haben servergespeicherte Profile auch Nachteile, denn das Laden des Profiles aus dem Netzwerk kann je nach Größe des Profils durchaus einige Minuten dauern. Solange muss der Anwender dann nach der Eingabe seines Kennwortes auf den fertigen Desktop warten. Hier kann sich der Administrator natürlich mit Ordnerumleitungen noch behelfen, damit die Profilgrößen der servergespeicherten Profile nicht zu groß werden.
Nach der Userabmeldung verbleibt allerdings immer eine Kopie des servergespeicherten Profils auf dem lokalen Client gespeichert. Das hat in der Regel auch den Vorteil, dass bei einer erneuten Anmeldung nur noch die Profildifferenzen übertragen werden müssen, welches die erneute Anmeldung beschleunigt. Dafür können die gespeicherte Profile sehr viel Platz auf dem Datenträger belegen, wenn viele verschiedene Personen an einem PC arbeiten.
Aus diesem Grund hat Microsoft eine Gruppenrichtlinie bereitgestellt, mit dem Ihr das servergespeicherte Profil nach erfolgreiche Abmeldung automatisch vom Client löschen lassen könnt. Diese GPO findet Ihr im Bereich
Computerkonfiguration / Administrative Vorlagen / System / Benutzerprofile
Dort gibt es die Gruppenrichtlinie
Zwischengespeicherte Kopien von servergespeicherten Profilen löschen
Wenn Ihr diese Gruppenrichtlinie aktiviert, so werden alle servergespeicherten Profile nach der Windows Abmeldung automatisch gelöscht. Dies tritt natürlich nicht auf lokal gespeicherte Profile zu.
Microsoft erklärt diese GPO wie folgt.
Diese Richtlinieneinstellung legt fest, ob Windows eine Kopie des servergespeicherten Profils eines Benutzers auf der Festplatte des lokalen Computers speichert, wenn sich der Benutzer abmeldet.
Servergespeicherte Profile befinden sich auf einem Netzwerkserver. Wenn sich Benutzer mit servergespeicherten Profilen abmelden, speichert das System standardmäßig auch eine Kopie des servergespeicherten Profils auf der Festplatte des verwendeten Computers. Dies geschieht für den Fall, dass der Server mit dem servergespeicherten Profil bei der erneuten Anmeldung des Benutzers nicht verfügbar ist. Die lokale Kopie wird auch verwendet, wenn das Laden der Remotekopie des servergespeicherten Benutzerprofils langsam erfolgt.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle lokalen Kopien des servergespeicherten Profils des Benutzers bei der Abmeldung des Benutzers gelöscht. Das servergespeicherte Profil bleibt auf dem Netzwerkserver, auf dem es gespeichert wird, erhalten.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, speichert Windows eine Kopie des servergespeicherten Profils eines Benutzers auf der Festplatte des lokalen Computers, wenn sich der Benutzer abmeldet.
Wichtig: Aktivieren Sie diese Richtlinieneinstellung nicht, wenn Sie die Funktion zur Erkennung langsamer Verbindungen verwenden. Um auf eine langsame Verbindung zu reagieren, benötigt das System eine lokale Kopie des servergespeicherten Profils des Benutzers.
Die Nutzung dieser Profile-GPO kann durchaus sinnvoll sein, kann unter Umständen allerdings auch Nachteile für den Anwender bringen.
Weiterführende Informationen bzgl. Windows Profilen findet Ihr auch hier.
– Übersicht über die lokalen Benutzerprofile und deren Roaming-Einstellungen
– Liste der Homeverzeichnisse, des Home-Laufwerkes und des Profilpfades aller AD-User erstellen
– Profilbild hinterlegen für Windows Benutzerkonten
– Profilbild löschen und Standardprofilbild wiederherstellen unter Windows 10
– Windows Profilgrößen beschränken
– Inaktive Benutzerprofile nach einer bestimmten Anzahl Tage automatisch löschen
– Nur lokale Benutzerprofile zulassen
– Windows User Profile in der Registry löschen
– Windows Profil Fehlermeldung „Die Anmeldung des Dienstes „Benutzerprofildienst“ ist fehlgeschlagen.“
– Servergespeicherte Profile auf Fileserver vorhanden (ohne Anmeldung)
– Die Anmeldung des Dienstes „Benutzerprofildienst“ ist fehlgeschlagen
– Profil Fehlermeldung „Sie wurden mit einem temporären Profil angemeldet.“
– Sicherheits Berechtigungen von servergespeicherten Profil Verzeichnissen korrekt setzen
– Profil Verzeichnisse ohne Berechtigung kopieren