Windows RDS 2008/R2/2012/R2 – Anpassung Standard-Profil (Default-Profile)

Posted onAutorJens Kupke

Hallo Freunde der Sonne,

im letzten Artikel hatte ich über das Anpassen des Standard-Profils bei Desktop-Betriebssystemen zur Neuauslieferung geschrieben. Diesmal sind die Server dran.
Anpassung des Standard-Profils sogar ohne SYSPREP.

Windows RDS 2008/R2/2012/R2 – Anpassung Standard-Profil (Default-Profile)

Folgende Eingriffe müssen vorgenommen werden:

  • GPO: Steuerung Profilverwaltungsdienst (Computer-based-Policy)
  • Deaktivierung von UVHD/VHDX bei >= RDS 2012
  • lokaler administrativer Zugriff auf dem Terminalserver

Die Durchführung zur Anpassung des Standard-Profils ist übrigens nicht Microsoft-konform, leider hat Microsoft keine offizielle Lösung für diese Thematik.

Zuerst empfehle ich eine neue Organisationseinheit als Trockendock für das entsprechende Compunter-Konto anzulegen, danach kann an mit diesem eine neue GPO verknüpft werden.

Pfad/Einstellungen der Richtlinie auf deutsch:

Computer/Administrative Vorlagen/System/Benutzerprofile
Nur lokale Benutzerprofile zulassen = aktiviert
Pfad des servergespeicherten Profils für alle Benutzer festlegen... = deaktiviert
Propagierung von Änderungen an Servergespeicherten Profilen...vhdrn = aktiviert
GPMC: Profildienstanpassung

GPMC: Profildienstanpassung

Danach sollten die Richtlinien auf dem Server aktualisiert werden, hierzu muss der RDS-Server neugestartet werden. (gpupdate /force kann keine Computereinstellungen aktualisieren)

Nun erstellt man einen neuen lokalen Benutzer zur Einrichtung der Vorlage am RDS-Server, in meinem Falle hieß dieser Benutzer Default – hier sollte dann auf den lokalen Benutzerpfad geachtet werden. Per CMD lässt sich wieder wie folgt abrufen:

set

Wie der Benutzer eingerichtet wird ist jedem selbst überlassen, natürlich muss der Benutzer nach den Anpassungen abgemeldet werden.

Vorbereitend muss nun nur noch das alte Standard-Profil gesichert werden, dies kann über Systemsteuerung/System/Erweiterte Einstellungen/Erweitert/Benutzerprofile -> Kopieren nach getätigt werden.

^Benutzerprofile kopieren

Benutzerprofile kopieren

Finale, ehm – nun einfach die Daten des abgemeldeten Vorlage-Benutzers über das Standard-Profil kopieren (inkl. User.dat) und die Berechtigungen prüfen.
Empfehlung hierzu: ROBOCOPY – Pfade im Beispiel ggf. Anpassen

robocopy /MIR C:UsersDefault.000 C:UsersDefault

Die Berechtigungen sollten danach immernoch wie folgt aussehen:

  • Jeder = lesen
  • Benutzer = lesen
  • Administratoren = Vollzugriff
  • SYSTEM = Vollzugriff
  • Besitzer: SYSTEM/Administratoren

Sobald der Server neugestartet ist, kann das Standard-Profil getestet werden.
Für den produktiven Betrieb dann nicht vergessen den RDS-Server wieder in die normale OU zu verschieben.

HINWEIS: UVHD/VHDX (virtuelle Benutzer-Disks)

UVHD – User-Virtual-Dard-Disks dürfen bei dem RDS-Server welcher das Vorlage-Profil erstellen soll nicht aktiviert werden. Problem: alle Benutzereinstellungen werden in ein zentrale gespeicherten VHD-Container verpackt, der zwar eingebunden werden kann – auf den dann aber wieder alle Berechtigungen etc. neu angewendet werden müssen.
Empfehlung: solange das Vorlage-Profil angepasst werden soll – einfach deaktivieren, dies sparrt Nerven.

RDS-Collection/Deployment Properties

RDS-Collection/Deployment Properties