Wechsel auf UE-V

Es gibt verschiedene Möglichkeiten, mit den Benutzerprofildaten umzugehen.

Die verschiedenen Möglichkeiten sind in diesem Beitrag beschrieben.

Geschichte
Nachdem wir unter Windows XP Probleme mit wandernden Profilen hatten, haben wir mit Windows 7 nur noch mit lokalen Profilen gearbeitet. Beim Umstieg auf Windows 10 habe ich dann alle Möglichkeiten erneut evaluiert und mich für User State Virtualization, also wandernde Profile mit Ordnerumleitung, entschieden. Da stellt sich noch die Frage, ob man den Ordner Appdata umleitet oder im Profil lässt.

Im Schulumfeld gibt es bei wandernden Profilen aber zwei Probleme, die so in anderen Firmen wahrscheinlich nicht vorkommen.

Benutzer sind regelmässig an mehreren Computern gleichzeitig oder nacheinander angemeldet, was zu Problemen führen kann, wenn ein Profil zum Server kopiert wird und gleichzeitig vom Server auf einen anderen Computer.
Typischerweise meldet sich eine Klasse gleichzeitig an, was je nach eingesetzter Methode viel Netzwerkverkehr bedeuten kann. Daher sollten die verwendeten Profile möglichst klein sein.

Es hat sich nun gezeigt, dass einzelne Profile sehr gross werden. Im Appdata Teil des Profils sammelt sich diverses an wie Einstellungen von alten Programmen, die nicht mehr eingesetzt werden oder temporäre Dateien, die nicht mehr gelöscht wurden… Ausserdem ist es schwierig, Profilprobleme zu lösen. Da jeweils das Delta synchronisiert wird, kommen die Probleme wieder, sobald man sich an einem Computer anmeldet, auf dem das Problem noch nicht behoben war…. Grundsätzlich kommen solche Probleme zwar nur selten vor, aber bei über 1’000 Benutzer-Accounts summiert es sich.

Aus diesen Gründen habe ich mich entschlossen, UE-V nochmals genauer anzuschauen, zu testen und allenfalls umzusetzen. Die meisten Informationen habe ich aus diesem Technet Beitrag.

Netzwerkfreigabe erstellen
Zuerst soll man eine Sicherheitsgruppe für die UE-V Benutzer erstellen. Danach erstellt man eine Freigabe auf einem Server mit den entsprechenden Freigabeberechtigungen, wie dies unter “To deploy the UE-V network share” in diesem Beitrag beschrieben ist.

Verwaltung einrichten
Man kann UE-V über Gruppenrichtlinien, SCCM oder über Powershell/WMI konfigurieren. Aufgrund der Beschreibungen habe ich mich für die Gruppenrichtlinien entschieden.

Weitere Templates
UE-V bringt schon einige default templates mit. Wenn man aber die Einstellungen weiterer Applikationen einschliessen möchte, kann man das gemäss dieser Anleitung erstellen. Am besten erstellt man eine weitere Freigabe für den “settings template catalog” von wo die Templates selbständig durch den UE-V Service eingelesen werden. Bei uns waren die empfohlenen Rechte für die Freigabe nicht ausreichend. Sobald ich dem Benutzer „Jeder“ Leserechte gegeben habe, funktionierte es. Leseberechtigungen sollten sicherheitstechnisch kein Problem sein. Ab Windows 10 1607 müssen auch die Standardtemplates in den Katalog kopiert werden. Man findet sie unter %ProgramData%\Microsoft\UEV\InboxTemplates. Diese werden entgegen früheren Versionen nicht mehr automatisch registriert. In der Gruppenrichtlinie habe ich auch noch das Häklein gemäss diesem Forumsbeitrag bei „Standard-Microsoft-Vorlagen ersetzen“ gesetzt.

Umstellung
Es ist ja nicht so, dass wir auf einer grünen Wiese beginnen würden. Da wir ja für alle Benutzer wandernde Profile eingerichtet haben, stellt sich die Frage, wie man Tests mit einzelnen Benutzern machen kann, während dem die anderen Benutzer mit wandernden Profilen weiterarbeiten. Unter “Order of precedence for UE-V settings” ist hier beschrieben, dass die Gruppenrichtlinien für die Benutzer stärker sind, als für die Computer. Daher habe ich eine Benutzerrichtlinie für alle betroffenen Benutzer erstellt, die UE-V deaktiviert.

Benutzerkonfiguration –> Administrative Vorlagen –> Windows Komponenten –> Microsoft User Experience Virtualization –> User Experience Virtualization (UE-V) verwenden –> Deaktiviert.

In der Computerrichtlinie wird UE-V aktiviert und die Pfade zu den vorher angelegten Serverspeicherorten angegeben.

Danach muss der Computer neu gestartet werden. Man kann den Status mit folgenden Powershellbefehlen überprüfen:

Get-UevStatus

Get-UevConfiguration

Hier sieht man, dass der Sync noch nicht stattfindet, also kein Problem für die Benutzer. Um nun mit einzelnen Benutzern zu testen, muss man bei diesen den Profilpfad entfernen und sie dann in eine OU verschieben, bei der die Benutzergruppenrichtlinie von oben nicht greift.

Wie die Tests verlaufen und ob wir am Schluss alle Benutzer umstellen, werde ich hier veröffentlichen.

Erste Tests laufen sehr gut, nur die lange Ersteinrichtung ist mühsam. Aber scheinbar kann man einfach nicht alles haben…

ersteinrichtung

Nachtrag
Schon während der Testphase gab es erste Probleme. Bei einigen Benutzern wurde das Userhome und die verbundenen Laufwerke nicht mehr verbunden, unabhängig davon, ob sie zur Testgruppe mit UE-V gehörten oder noch mit wandernden Profilen arbeiteten. Nach einer langen Suche und vielen Tests fand ich dann diesen Beitrag, der genau mein Problem beschrieb. Beim Computerstart überprüft der Client den „settings template catalog“ auf dem Server. Dieser läuft auf unserem DFS Server. Da zu diesem frühen Zeitpunkt des Bootvorgangs das Netzwerk nicht immer vollständig geladen ist, kann es sein, dass der DFS Server fälschlicherweise als offline angesehen wird. Daher werden dann bei der Benutzeranmeldung auch die Netzlaufwerke und das Userhome nicht korrekt eingebunden. Ich habe nun bei der Gruppenrichtlinie den „settings template catalog“ über den UNC Pfad mit dem Servernamen statt über den DFS Namespace verbunden und so funktioniert nun auch die Verbindung der Netzlaufwerke wieder. Der Autor des hilfreichen Beitrags nervt sich zurecht darüber, dass Techniken, die für sich sinnvoll sind und gut funktionieren, plötzlich Probleme machen, wenn man sie gemeinsam einsetzt:

In this completely reasonable scenario, two pretty amazing Microsoft technologies, at their default settings, fail to work well together and cause the failure of a third technology.

Nachtrag 2
Wir haben ohne grössere Probleme alle unsere Benutzer erfolgreich auf UE-V umgestellt.

8 Gedanken zu „Wechsel auf UE-V“

thilolangbein Februar 24, 2017 um 09:16

Roaming profiles funktionieren doch unter Windows 10 nur sehr eingeschränkt. Das Startmenü ist bei weiteren Anmeldungen an anderen Computern buggy. Wir haben Sie deswegen gar nicht in Betracht gezogen.

Antwort ↓
1. ictschule AutorFebruar 24, 2017 um 09:22
  
  Ja, gibt immer noch Probleme (vgl. auch https://ictschule.com/2015/12/10/windows-10-probleme-mit-startmen-edge/). Es scheint, dass Microsoft bei on-premise Geräten hauptsächlich auf UE-V setzt. Dies ist auch ein Grund, wieso ich es mir nochmals angesehen habe.
  
  Antwort ↓
frostiede April 29, 2017 um 12:46

Verhindert diese Methode eigentlich, dass bei jeder Erstanmeldung an einem Computer sämtliche Apps installiert werden müssen? Wir planen derzeit den Wechsel von Windows 7 auf Windows 10 und das ist unser größtes Argument gegen Windows 10 derzeit.

Antwort ↓
1. ictschule AutorMai 1, 2017 um 07:57
  
  Nein, das wird leider nicht verhindert. Es wird zuerst ein lokales Profil angelegt und dann über UE-V einzelne Bestandteile davon synchronisiert. Die Erstanmeldung dauert auf einem Surface Pro 4 etwa 25 bis 30 Sekunden, wir haben aber noch alte Computer, bei denen es deutlich länger dauert. Die Zweitanmeldung ist dann etwa so schnell wie eine lokale Anmeldung. Das Ganze funktioniert sehr schnell und sehr stabil. In unserer Umgebung war es die richtige Entscheidung.
  
  Antwort ↓
  1. Thilo Langbein Mai 1, 2017 um 13:16
    
    Es sollten möglichst viele provisionierte Apps deinstalliert werden (https://4sysops.com/archives/remove-provisioned-built-in-apps-in-windows-10/), dann geht die Profilerstellung schneller.
  2. ictschule AutorMai 1, 2017 um 13:50
    
    Vielen Dank für den Hinweis. Das hatte ich auf meiner ToDo Liste, aber ich bin noch nicht dazu gekommen. Ausserdem ist das Problem von Microsoft erkannt und wird mit „shared PC mode“ angegangen, vgl. Vortrag von Michael Niehaus ab 55:13: https://youtu.be/uMi5RE4cJQQ?t=55m13s
Henrik Oktober 15, 2018 um 08:58

Ich teste gerade UEV und meine Erfahrungen sind eher negativ. Meist werden Einstellungen erst nach einem zweiten Start einer Anwendung angewendet (z.B., aber nicht nur, beim Internet Explorer). Wie sind hier deine Erfahrungen nach längerem Produktiveinsatz?

Antwort ↓
1. ictschule AutorOktober 15, 2018 um 09:20
  
  Wir arbeiten vermehrt mit dem Edge. Dort werden UE-V Einstellungen nicht übernommen, Microsoft hat noch eine andere Möglichkeit der Synchronisation für UWP Apps (über die Cloud) vorgesehen. Muss dem mal nachgehen.
  Bei uns dauert es meist eine Zeit (vielleicht 5 bis 10 Sekunden), bis die Einstellungen übernommen werden (am besten sieht man das beim Hintergrundbild des Desktops oder den Wordeinstellungen wie nicht gross schreiben nach einem Punkt). Aber das habe ich bisher immer als Vorteil empfunden. Die Anmeldung geht sehr schnell und die Einstellungen werden danach laufend synchronisiert.
  Es wäre aber gelogen, wenn ich sagen würde, dass immer alles perfekt laufen würde. So passiert es zwar selten, aber doch immer wieder mal, dass verbundene Drucker nicht mehr angezeigt werden. Meine Erfahrung ist aber, dass ich deutlich weniger Probleme als mit wandernden Profilen habe. Aber da kommt es vielleicht auch auf die Umgebung an. Bei uns melden sich viele Personen an vielen verschiedenen Geräten an (Schule).
  
  Antwort ↓