servergespeicherte-profile-sicherheitsrechte-richtig-vergeben

Servergespeicherte Profile (Roaming Profiles) werden in vielen Unternehmen eingesetzt, aber oftmals ist die Konfiguration falsch bzw. fehlerhaft. Aus diesem Grund möchten wir Euch heute ein paar Tipps für die korrekte Einrichtung der servergespeicherten Profile geben.

Wenn Ihr servergespeicherte Profile einsetzt, dann solltet Ihr Euch ein zentralen Ablage-Ordner für Eure Benutzerprofile anlegen, in unserem Beispiel heißt der Ordner „UserProfile$„. Wir würden Euch empfehlen immer das „$“ an den Freigabenamen des Ordners anzuhängen, denn dadurch wird das Verzeichnis versteckt und Anwender bekommen diesen Ordner erst gar nicht zu Gesicht.

Dieser Ordner wird dann freigegeben, Domänen-Benutzer erhalten Schreib- und Leserechte auf diesen Ordner, aber keinen Vollzugriff. Die Sicherheitsrechte für diesen übergeordneten Ordner sollten dann wie folgt gesetzt werden:

[notification type=“notification_mark“ ]Administratoren = Vollzugriff
System = Vollzugriff

authentifizierte Benutzer = Spezielle Rechte: Ordner auflisten, Ordner erstellen, Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen[/notification]

Im Active Directory ist nun bei den einzelnen Usern der entsprechende Pfad anzugeben, wo die servergespeicherten Profile abgelegt werden sollen.

Profil Verzeichnis angeben

Nun sollte automatisch bei der Anmeldung des Users an einem Windows Server 2008 R2 oder 2012 R2 ein Verzeichnis im Profil Ordner angelegt werden. Bei der Abmeldung wird das lokale Profil dann in den Ordner

[notification type=“notification_info“ ]\\SERVER\UserProfile$\Windows-FAQ.de[/notification]

kopiert. Die Sicherheitsrechte für die einzelnen Verzeichnisse unterhalb dem Ordner „UserProfile$“ werden vom Windows Server automatisch korrekt vergeben, wenn Ihr Euch an die oben aufgeführte Rechte haltet.

Als Tipp würden wir dann noch eine Gruppenrichtlinie mit aufnehmen, durch die auch der Administrator Zugriff auf die servergespeicherten Profilverzeichnisse hat. Das erleichtert dem Admin doch gehörig die Arbeit. Wie das funktioniert haben wir bereits in einem anderen FAQ-Beitrag hier auf Windows-FAQ gepostet unter dem Namen „Administrator Zugriff auf .V2 Profile„.

Solltet Ihr Interesse an weiteren interessanten Informationen rund um die Windows Profile haben, so legen wir Euch nachfolgende Beiträge nahe.

– Roaming Profiles Versionen – .V6 seit Windows 10 Anniversary
– Windows Profil Fehlermeldung „Die Anmeldung des Dienstes „Benutzerprofildienst“ ist fehlgeschlagen.“
– Servergespeicherte Profile auf Fileserver vorhanden (ohne Anmeldung)
– Profil Fehlermeldung „Sie wurden mit einem temporären Profil angemeldet.“
– Profil Verzeichnisse ohne Berechtigung kopieren
– Profile und System Policy Probleme mit Hilfe von Windows Logfiles finden