none
Automatisches Löschen von Userprofilen auf einem Terminalserver nach Abmeldung des Users

    General discussion

  • Guten Tag an Alle,

    ich habe folgendes Problem, für dessen Lösung ich sehr dankbar wäre:

    Situation:

    - 1* DC (W8KR2)
    - ca. 200 User im AD, eingeteilt in OU´s (Lehrgangsteilnehmer; OU´s stellen die Kurse dar, in denen der jeweilige Teilnehmer ist)
    - 1* Terminalserver W8KR2 (im AD in einer eigenen OU angelegt)

    Der Terminalserver wird zu Lehrgangs-/Unterrichtszwecken benutzt, d.h. die dort erzeugten Daten haben keine Relevanz. Wenn die Nutzer dennoch etwas speichern möchten (z.B. für einen Kurs nächste Woche), dann auf einem zugewiesenem Basislaufwerk auf dem DC. Es gibt einmal durch die Lehrgangsleiter installierte Applikationen, die in der Regel kaum geändert werden.  Es gibt keine servergespeicherten Profile, d.h. der TS erzeugt für jeden neuen Nutzer ein lokales Profil. Da sich diese ca. 200 Benutzer (nicht zeitgleich!) in regelmäßigen Abständen am TS anmelden, werden die lokalen Benutzerprofile recht schnell groß (temp. Internetdaten, u.s.w.) und das Aussehen des Desktops oder das Startverhalten ändert sich.

    Problem / Frage:

    1. Gibt es eine Möglichkeit, diese lokalen Profile einschließlich des jeweiligen Registryeintrages in der PROFILELIST automatisch bei Abmeldung des Nutzers zu löschen?
    2. Wie kann man es erreichen, dass bei jeder Anmeldung das Profil "jungfräulich" ist?
    3. Ist es sinnvoll doch mit servergespeicherten Profilen zu arbeiten? Wenn ja mit wie vielen?
    4. Kann man nur ein "Vorlagen"-Profil benutzen, das als Basis für die lokalen Profile dient? Und sollte man diesem Vorlagenprofil die Schreibrechte entziehen?

    Zunächst erst einmal herzlichen Dank für das Lesen des Artikels.

    Gruß, Thomas

    Wednesday, February 27, 2013 4:34 PM

All replies

  • Am 27.02.2013 schrieb ThomasMeister:

    1. Gibt es eine Möglichkeit, diese lokalen Profile einschließlich des jeweiligen Registryeintrages in der PROFILELIST automatisch bei Abmeldung des Nutzers zu löschen?

    Jepp, per GPO. Computerkonfiguration - Administrative Vorlagen -
    System - Benutzerprofile - "Zwischengespeicherte Kopien von
    servergespeicherten Profilen löschen".

    2. Wie kann man es erreichen, dass bei jeder Anmeldung das Profil "jungfräulich" ist?

    Wenn das Profil gelöscht wird/ist, dann bekommt der Benutzer ein
    frisches Profil. Mit
    http://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/
    kannst Du in regelmässigen Abständigen alle Profile löschen lassen.

    3. Ist es sinnvoll doch mit servergespeicherten Profilen zu arbeiten? Wenn ja mit wie vielen?

    Wieviele brauchst Du denn?

    4. Kann man nur ein "Vorlagen"-Profil benutzen, das als Basis für die lokalen Profile dient? Und sollte man diesem Vorlagenprofil die Schreibrechte entziehen?

    Das Default Profil wird als Vorlage benutzt. Nein, dem Profil brauchst
    Du auch keine Schreibrechte entziehen, die Benutzer bekommen nur die
    Basis aus diesem Profil, selbst schreiben sie nicht in das Profil.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Wednesday, February 27, 2013 5:38 PM
  • Hallo,

    2. Wie kann man es erreichen, dass bei jeder Anmeldung das Profil "jungfräulich" ist?

    Meinst du Mandatory Profiles?

    http://msdn.microsoft.com/de-de/library/windows/desktop/bb776895%28v=vs.85%29.aspx

    Mithttp://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/
    kannst Du in regelmässigen Abständigen alle Profile löschen lassen.

    Ja, oder (zumindest für die lokale Kopie des Profiles):
    http://gpsearch.azurewebsites.net/#2583


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Wednesday, February 27, 2013 8:18 PM
  • Hallo Winfried,

    besten Dank für die Antworten.

    Die Gruppenrichtlinie Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Zwischengespeicherte Kopien von
    servergespeicherten Profilen löschen" hatte ich bereits in der Gruppenrichtlinienverwaltung auf dem DC für die OU Terminalserver gesetzt. Allerdings werden die Profile nicht gelöscht. Liegt es daran, dass keine servergespeicherten Profile vorhanden sind? Deshalb die Frage:

    3. Ist es sinnvoll doch mit servergespeicherten Profilen zu arbeiten? Wenn ja mit wie vielen?

    Wieviele brauche ich? Idealerweise nur eines, das einmal hinsichtlich aller Starteinstellungen auch für die Applikationen festgelegt wird. Geht das überhaupt, wenn sich mehrere Nutzer anmelden?

    Bin dankbar für jede Antwort
    Gruß, Thomas

    Thursday, February 28, 2013 8:15 PM
  • Hallo und auch Dir besten Dank für die Antwort,

    der Artikel ist interessant, weil es ja genau das ist, wonach ich suche. Wo lege ich ein derartiges Profil an? Kann es für alle Nutzer gelten? Oder muss man die ntuser.dat für jedes lokale Profil umbenennen? Müssen neben der Umbennung der ntuser.dat auch noch registry Einträge verändert werden?

    Das Tool von Helge Klein habe ich mir gedownloaded, bin aber heute noch nicht dazu gekommen es auszuprobieren.

    Gruß, Thomas

    Thursday, February 28, 2013 8:25 PM
  • 3. Ist es sinnvoll doch mit servergespeicherten Profilen zu arbeiten? Wenn ja mit wie vielen?

    Wieviele brauche ich? Idealerweise nur eines, das einmal hinsichtlich aller Starteinstellungen auch für die Applikationen festgelegt wird. Geht das überhaupt, wenn sich mehrere Nutzer anmelden?

    Ich sehe gerade, dass du nur einen Terminalserver hast.
    Von dem her ist es eigentlich nicht unbedingt sinnvoll Remote Desktop Profile einzusetzen.
    Wenn du jedoch die Löschfunktionen nutzen willst, warum nicht.
    Ich rede nicht von normalen servergespeicherten Profilen (Roaming Profiles) sondern "User Profiles for Remote Desktop Services".
    Diese werden nur geladen, wenn sich deine User am normalen Terminalserver anmelden.
    Meldet sich der User an einem "normalen" Rechner an, wird ein lokales Profil benutzt.

    Was die Größe deiner Profile anbelangt, du kannst Ordnerumleitungen nutzen und so die Profile wesentlich verkleinern.
    http://technet.microsoft.com/de-de/library/cc732275%28v=ws.10%29.aspx

    der Artikel ist interessant, weil es ja genau das ist, wonach ich suche. Wo lege ich ein derartiges Profil an? Kann es für alle Nutzer gelten? Oder muss man die ntuser.dat für jedes lokale Profil umbenennen? Müssen neben der Umbennung der ntuser.dat auch noch registry Einträge verändert werden?

    Es muss nur die ntuser.dat umbenannt werden.
    Das Profil wird für jeden Benutzer automatisch bei der ersten Abmeldung auf dem angegebenen Server abgelegt.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Thursday, February 28, 2013 10:03 PM
  • Hallo Matthias,

    danke für die Antwort. Ich komme erst in der nächsten Woche dazu. Wenn ich recht verstanden habe, werde ich ein "User Profile for RDS" festlegen, die entsprechende GPO mit dem Verweis auf das Profil aktivieren und per GPO das Löschen von temporären lokalen Profilen "scharf" machen - sie ist es ja schon, jedoch greift sie halt einfach noch nicht.

    Gruß, Thomas

    Friday, March 01, 2013 7:58 PM
  • Hallo Thomas, Zwischengespeicherte Kopien von servergespeicherten Profilen löschen: Diese Option funktioniert nur wenn du wirklich mit servergespeicherten Profilen arbeitest welche dann bei der Anmeldung auf den Terminalserver zur Verarbeitung lokal zwischengespeichert werden. (Mir ist aus diesem Threadverlauf heruas nicht ganz klar ob du wirklich mit Servergespeicherten Profilen arbeitest - denn eigentlich willst du das ja wohl nicht) Wieviele Profile brauche ich?: JEDER User hat sein eigenes Profil. Wenn ich das hier alles richtig verstehe dann willst du ein Mandatory Profil ("Kioskmode" Profil) und das ganze nur lokal auf dem einen TS. Löschen musst du diese Profile dann eigentlich nicht mehr solange die Userkennung existiert! Dazu würde ich dann auf Man Profile umstellen (ntuser.dat!) und ggfs. zusätzlich in der GPO unter Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Nur lokale Benutzerprofile zulassen" setzen (hängt davon ab ob du noch weitere User (Admin?) mit einem servergespeiicherten Profil auf den Rechner lassen willst/musst.

    MfG, Maikel Gädker

    Monday, March 04, 2013 10:24 AM
  • Hallo Maikel,

    besten Dank für die Antwort. Nein, definitiv arbeite ich nicht mit servergespeicherten Profilen.

    Du schreibst:

    Wenn ich das hier alles richtig verstehe dann willst du ein Mandatory Profil ("Kioskmode" Profil) und das ganze nur lokal auf dem einen TS.
    Ja, das wäre ideal!

    Löschen musst du diese Profile dann eigentlich nicht mehr solange die Userkennung existiert!
    Was bedeutet das? Die User melden sich derzeit an und bekommen ein normales Profil mit ihrem Namen ... also das funktioniert ganz normal.

    Dazu würde ich dann auf Man Profile umstellen (ntuser.dat!)
    Das heißt Umbenennen der ntuser.dat auf ntuser.man. Bei welchem Profil auf dem TS? Beim Default-User?

    und ggfs. zusätzlich in der GPO unter Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Nur lokale Benutzerprofile zulassen" setzen (hängt davon ab ob du noch weitere User (Admin?) mit einem servergespeiicherten Profil auf den Rechner lassen willst/musst.
    Nein, es gibt keine servergespeicherten Profile.

    Wie ich sehe, gibt es hier extremen Nachholebedarf meinerseits .....

    Monday, March 11, 2013 11:14 PM
  • Hi,

    Am 12.03.2013 00:14, schrieb ThomasMeister:

    besten Dank für die Antwort. Nein, definitiv arbeite ich nicht mit servergespeicherten Profilen.

    ok, ganz einfach: Pack deine Benutzer in die Gruppe der Gäste.

    Gast Accounts sind von Berechtigungsseite den Benutzern gleichgestellt, aber ihre Benutzerprofile werden immer nur temporär angelegt.
    Die Logik ist halt, das es "Gäste" sind, also nicht permanent am System arbeiten und deswegen das Profilt auch nicht gespeichert werden muss. Es sind für das System keine wiederkehrenden Benutzer.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Tuesday, March 12, 2013 8:24 AM
  • Am 12.03.2013 09:24, schrieb Mark Heitbrink [MVP]:
    > Pack deine Benutzer in die Gruppe der Gäste.
     
    Gute Idee  - aber nur wenn Du auf NIX im Netz zugreifen mußt, wo Du
    anonym  nicht hinkommst. Gäste sind ja auch keine Authentifizierten
    Benutzer... ;-))
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Tuesday, March 12, 2013 9:13 PM
  • Also:

    Lege dir einen User an al Vorlagen-User. Mit dem melde dich an und passe das Profil nach entsprechenden Bedürfnisse an. Anschließend machst du daraus ein Mandetory Profile und lenkst deine User auf dieses Profil.

    hilfreicher Link

    Zum Thema löschen.

    Löschen macht imho nur dann Sinn wenn der User auf verschiedenen Servern arbeitet und er ein Servergespeichertes Profil hat, dann erreichst du mit dem "löschen lokaler Kopien", dass du keine alten und ggfs. korrupten Profile auf dem TS liegen hast.

    Meldet sich der User nur an einem TS an, dann lass das Profil dort doch liegen damit er bei der nächsten Anmeldung nicht erst ein Profil erstellen muss...


    MfG, Maikel Gädker

    Saturday, March 16, 2013 11:50 AM