Mandatory User Profiles und Windows 7

Achtung, im vorliegenden Artikel hat sich eine geringfügige Menge Ironie und Sarkasmus versteckt. Eventuell fällt es dem ein oder anderen Leser bzw. der ein oder anderen Leserin ja auf.

Kurze Situationsbeschreibung: Ich möchte auf mehreren Rechnern jeweils einen einzelnen Benutzer anlegen, der allerdings nach jedem Abmelden wieder zurückgesetzt werden soll. (Sehr gut geeignet für Computerräume an Schulen, wenn man ein Benutzerprofil “Schüler” erstellen möchte, dass auch bei vergessenem Passwort für alle funktioniert.)

Lösung unter Windows XP: Altes SteadyState-Programm installieren, einen Haken an der richtigen Stelle setzen, Profil gesperrt, alle sind glücklich… Danke Microsoft, das ist mal ein praktisches Programm.

Aber wie das mit Microsoft so ist, solch gute Ideen kann man ja fallen lassen, das Programm braucht bestimmt niemand. Gut das es bei CHIP noch zum Download bereit steht.

Nun gut, aber Windows XP ist ja jetzt offiziell eh alt, daher braucht man das Programm sowieso nicht mehr. Denn unter Windows Vista bzw. Windows 7 klappt es nicht mehr. Microsoft könnte natürlich das Programm verbessern, aber Windows 7 bringt ja alle Features mit, so dass man alle Fähigkeiten von Steady State mit Windows 7 Bordmitteln umsetzen kann. Wie das unter Windows 7 gehen soll, das steht hier:

  1. Sauberes Windowssystem mit quasi keinem “normalen” Benutzer aufsetzen (ähm, ich möchte nur einen Benutzer sperren, die anderen möchte ich eigentlich gar nicht anrühren)
  2. Einen einzelnen Benutzer so einrichten, wie man später das Mandatory Profile haben möchte (ok, seh ich noch ein…)
  3. Profil in das Default-Profile kopieren. Aber wie? Das ist dem einfachen Anwender natürlich klar: Da muss man in den System-Preparation-Modus wechseln, eine unattend.xml Datei erstellen (das geht übrigens mit einem 1,3 GB großem Programmpaket und einer Windows 7 DVD, die ich immer bereit in meinem Rucksack liegen habe), das System in der Generalisierungsphase mit anschließender Spezialisierungsphase komplett neueinstellen, damit in der Spezialisierungsphase das Default User Profile neugesetzt werden kann.
    Schade, dass ich mich nicht in der Gruppe von Menschen wiederfinde, die diese Anweisungen fehlerfrei umsetzen können. Immerhin habe ich nur knapp unter 20h Stunden Zeit in diese Aufgabe investiert, bevor ich aufgegeben habe.
  4. Gut, nehmen wir an, wir hätten es doch irgendwie geschafft, dann müssten wir nur ein neues Benutzerprofilverzeichnis erstellen (mit der Endung .v2 — Warum eigentlich, die anderen heißen auch nicht so…)
  5. Danach das Standardprofil dorthin kopieren (ja, da gibt es so ein Menü, Systemsteuerung\System und Sicherheit\System, erweiterte Systemeinstellungen, Benutzerprofile). Was man da beim Benutzer eingeben muss, bleibt unklar, mit “jeder” sollte es klappen…
  6. Jetzt noch die ntuser.dat in ntuser.man umbenennen (ist ja klar, bei den ganzen Einstellungen, die man bei NTFS-Dateisystemen machen kann, ist es ja logisch, dass eine Art Schreibschutz eines ganzen Verzeichnis über die Dateiendung einer einzelnen Datei aufgebaut wird)

Kleiner Tipp: Wenn ihr auch so dumm wie ich seid und die Sache mit dem CopyProfile und dem Sysprep nicht hinbekommt (Nicht das die Aufgabe zu schwierig wäre, nein, wir haben scheinbar diese Trivialität der Deployment-Technologie nicht verstanden, Schade), nicht aufgeben und das Programm DefProf ausprobieren. Das hat mir geholfen!

Nebenbei: Bei Apple Geräten ist ein sich selbst zurücksetzender Benutzer im System eingebaut, der Gastbenutzer. Aber nicht das man mich nun als Apple-Jünger beschimpft: Gut hat Apple das auch nicht gelöst, da die Standardeinstellungen nicht leicht modifiziert werden können. Ich habe es einmal mit ein paar Kopierbefehlen und sudo ausprobiert und es scheint geklappt zu haben. Evtl. notiere ich später dazu auch mal einen kleinen Artikel.