Wechsel auf UE-V

Es gibt verschiedene Möglichkeiten, mit den Benutzerprofildaten umzugehen.

Die verschiedenen Möglichkeiten sind in diesem Beitrag beschrieben.

Geschichte
Nachdem wir unter Windows XP Probleme mit wandernden Profilen hatten, haben wir mit Windows 7 nur noch mit lokalen Profilen gearbeitet. Beim Umstieg auf Windows 10 habe ich dann alle Möglichkeiten erneut evaluiert und mich für User State Virtualization, also wandernde Profile mit Ordnerumleitung, entschieden. Da stellt sich noch die Frage, ob man den Ordner Appdata umleitet oder im Profil lässt.

Im Schulumfeld gibt es bei wandernden Profilen aber zwei Probleme, die so in anderen Firmen wahrscheinlich nicht vorkommen.

  • Benutzer sind regelmässig an mehreren Computern gleichzeitig oder nacheinander angemeldet, was zu Problemen führen kann, wenn ein Profil zum Server kopiert wird und gleichzeitig vom Server auf einen anderen Computer.
  • Typischerweise meldet sich eine Klasse gleichzeitig an, was je nach eingesetzter Methode viel Netzwerkverkehr bedeuten kann. Daher sollten die verwendeten Profile möglichst klein sein.

Es hat sich nun gezeigt, dass einzelne Profile sehr gross werden. Im Appdata Teil des Profils sammelt sich diverses an wie Einstellungen von alten Programmen, die nicht mehr eingesetzt werden oder temporäre Dateien, die nicht mehr gelöscht wurden… Ausserdem ist es schwierig, Profilprobleme zu lösen. Da jeweils das Delta synchronisiert wird, kommen die Probleme wieder, sobald man sich an einem Computer anmeldet, auf dem das Problem noch nicht behoben war…. Grundsätzlich kommen solche Probleme zwar nur selten vor, aber bei über 1’000 Benutzer-Accounts summiert es sich.

Aus diesen Gründen habe ich mich entschlossen, UE-V nochmals genauer anzuschauen, zu testen und allenfalls umzusetzen. Die meisten Informationen habe ich aus diesem Technet Beitrag.

Netzwerkfreigabe erstellen
Zuerst soll man eine Sicherheitsgruppe für die UE-V Benutzer erstellen. Danach erstellt man eine Freigabe auf einem Server mit den entsprechenden Freigabeberechtigungen, wie dies unter “To deploy the UE-V network share” in diesem Beitrag beschrieben ist.

Verwaltung einrichten
Man kann UE-V über Gruppenrichtlinien, SCCM oder über Powershell/WMI konfigurieren. Aufgrund der Beschreibungen habe ich mich für die Gruppenrichtlinien entschieden.

Weitere Templates
UE-V bringt schon einige default templates mit. Wenn man aber die Einstellungen weiterer Applikationen einschliessen möchte, kann man das gemäss dieser Anleitung erstellen.  Am besten erstellt man eine weitere Freigabe für den “settings template catalog” von wo die Templates selbständig durch den UE-V Service eingelesen werden. Bei uns waren die empfohlenen Rechte für die Freigabe nicht ausreichend. Sobald ich dem Benutzer „Jeder“ Leserechte gegeben habe, funktionierte es. Leseberechtigungen sollten sicherheitstechnisch kein Problem sein. Ab Windows 10 1607 müssen auch die Standardtemplates in den Katalog kopiert werden. Man findet sie unter %ProgramData%\Microsoft\UEV\InboxTemplates. Diese werden entgegen früheren Versionen nicht mehr automatisch registriert. In der Gruppenrichtlinie habe ich auch noch das Häklein gemäss diesem Forumsbeitrag bei „Standard-Microsoft-Vorlagen ersetzen“ gesetzt.

Umstellung
Es ist ja nicht so, dass wir auf einer grünen Wiese beginnen würden. Da wir ja für alle Benutzer wandernde Profile eingerichtet haben, stellt sich die Frage, wie man Tests mit einzelnen Benutzern machen kann, während dem die anderen Benutzer mit wandernden Profilen weiterarbeiten. Unter “Order of precedence for UE-V settings” ist hier beschrieben, dass die Gruppenrichtlinien für die Benutzer stärker sind, als für die Computer. Daher habe ich eine Benutzerrichtlinie für alle betroffenen Benutzer erstellt, die UE-V deaktiviert.

Benutzerkonfiguration –> Administrative Vorlagen –> Windows Komponenten –> Microsoft User Experience Virtualization –> User Experience Virtualization (UE-V) verwenden –> Deaktiviert.

image

In der Computerrichtlinie wird UE-V aktiviert und die Pfade zu den vorher angelegten Serverspeicherorten angegeben.

image

Danach muss der Computer neu gestartet werden. Man kann den Status mit folgenden Powershellbefehlen überprüfen:

Get-UevStatus

image

Get-UevConfiguration

image

Hier sieht man, dass der Sync noch nicht stattfindet, also kein Problem für die Benutzer. Um nun mit einzelnen Benutzern zu testen, muss man bei diesen den Profilpfad entfernen und sie dann in eine OU verschieben, bei der die Benutzergruppenrichtlinie von oben nicht greift.

image

Wie die Tests verlaufen und ob wir am Schluss alle Benutzer umstellen, werde ich hier veröffentlichen.

Erste Tests laufen sehr gut, nur die lange Ersteinrichtung ist mühsam. Aber scheinbar kann man einfach nicht alles haben…

ersteinrichtung

 

Nachtrag
Schon während der Testphase gab es erste Probleme. Bei einigen Benutzern wurde das Userhome und die verbundenen Laufwerke nicht mehr verbunden, unabhängig davon, ob sie zur Testgruppe mit UE-V gehörten oder noch mit wandernden Profilen arbeiteten. Nach einer langen Suche und vielen Tests fand ich dann diesen Beitrag, der genau mein Problem beschrieb. Beim Computerstart überprüft der Client den „settings template catalog“ auf dem Server. Dieser läuft auf unserem DFS Server. Da zu diesem frühen Zeitpunkt des Bootvorgangs das Netzwerk nicht immer vollständig geladen ist, kann es sein, dass der DFS Server fälschlicherweise als offline angesehen wird. Daher werden dann bei der Benutzeranmeldung auch die Netzlaufwerke und das Userhome nicht korrekt eingebunden. Ich habe nun bei der Gruppenrichtlinie den „settings template catalog“ über den UNC Pfad mit dem Servernamen statt über den DFS Namespace verbunden und so funktioniert nun auch die Verbindung der Netzlaufwerke wieder. Der Autor des hilfreichen Beitrags nervt sich zurecht darüber, dass Techniken, die für sich sinnvoll sind und gut funktionieren, plötzlich Probleme machen, wenn man sie gemeinsam einsetzt:

In this completely reasonable scenario, two pretty amazing Microsoft technologies, at their default settings, fail to work well together and cause the failure of a third technology.

Nachtrag 2
Wir haben ohne grössere Probleme alle unsere Benutzer erfolgreich auf UE-V umgestellt.

6 Gedanken zu „Wechsel auf UE-V

  1. thilolangbein

    Roaming profiles funktionieren doch unter Windows 10 nur sehr eingeschränkt. Das Startmenü ist bei weiteren Anmeldungen an anderen Computern buggy. Wir haben Sie deswegen gar nicht in Betracht gezogen.

    Antwort
  2. frostiede

    Verhindert diese Methode eigentlich, dass bei jeder Erstanmeldung an einem Computer sämtliche Apps installiert werden müssen? Wir planen derzeit den Wechsel von Windows 7 auf Windows 10 und das ist unser größtes Argument gegen Windows 10 derzeit.

    Antwort
    1. ictschule Autor

      Nein, das wird leider nicht verhindert. Es wird zuerst ein lokales Profil angelegt und dann über UE-V einzelne Bestandteile davon synchronisiert. Die Erstanmeldung dauert auf einem Surface Pro 4 etwa 25 bis 30 Sekunden, wir haben aber noch alte Computer, bei denen es deutlich länger dauert. Die Zweitanmeldung ist dann etwa so schnell wie eine lokale Anmeldung. Das Ganze funktioniert sehr schnell und sehr stabil. In unserer Umgebung war es die richtige Entscheidung.

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s