Da UE-V nach diversen Tests für uns doch nicht in Frage kommt, habe ich mich nun entschieden User State Virtualization umzusetzen. Microsoft bezeichnet so die Kombination aus “roaming profiles” (wandernden Profilen) und “folder redirection” (Ordnerumleitung).

Freigabe Ordnerumleitung
Gemäss diesem Technet-Artikel erstellt man eine Freigabe.

Im nächsten Schritt wählt man den Speicherort (in meinem Fall den DFS Unterordner und nicht einfach ein Laufwerk).

Die optionalen anderen Einstellungen habe ich nicht verwendet. Ich meine, gelesen zu haben, dass die “Zugriffsbasierte Aufzählung” ressourcenintensiv ist.

Nun vergibt man die entsprechenden Berechtigungen für die Freigabe. Unter anderem für die Benutzer, die die Freigabe benutzen. Ich habe zwei Freigaben mit entsprechenden Berechtigungen eingerichtet. Eine für die Lehrpersonen und eine davon unabhängige für die Schüler/-innen.

Um diesen Ordner später einmal problemlos zu migrieren habe ich ihn auch noch in den DFS Namespace aufgenommen.

Gruppenrichtlinie Ordnerumleitung
Nachdem die Freigabe eingerichtet ist, kann man die entsprechende Gruppenrichtlinie erstellen.

Unter Einstellungen habe ich das Häklein bei “Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen” entfernt. Im Moment habe ich diese Einstellung für alle Ordner eingetragen, mal schauen, ob das so bleibt. Falls ich das ändere, werde ich es hier anpassen.

Freigabe wanderndes Profil
Die Freigaben für die wandernden Profile werden gemäss diesem Technet Artikel analog zu der Ordnerumleitung oben erstellt.

Einrichtung wanderndes Profil
Es gibt zwei Varianten, das wandernde Profil einzurichten. Zum einen kann man den Profilpfad im Active Directory angeben.

Oder man verwendet die entsprechende Gruppenrichtlinie unter “Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “System” –> “Benutzerprofile”: “Pfad des servergespeicherten Profils für alle Benutzer festlegen”.

Da ich getrennte Freigaben für Lehrkräfte und Schüler/-innen eingerichtet habe, kann der Weg über die Gruppenrichtlinie nicht genommen werden, da dort nur eine Freigabe benutzt werden kann. Die erste Einstellung “Sicherheitsgruppe “Administratoren” zu servergespeicherten Profilen hinzufügen” habe ich aber gesetzt. So können z.B. auch die Profilordner gelöscht werden, wenn Schüler/-innen austreten.

Den Profilpfad im AD kann man für viele Benutzer gleichzeitig setzen. Dazu kann man einfach mehrere Benutzer markieren und über einen Rechtsklick “Eigenschaften” auswählen. Im Register “Profil” kann der Profilpfad mit der Variablen %username% eingetragen werden.

Für neue Benutzer kann man das PowerShell Skript um diese Zeile ergänzen:

-ProfilePath („\\netzwerkpfad\schuelerprofile\“+$_.username) `

Anmeldegeschwindigkeit
Wie bei den Abklärungen zu UE-V beschrieben, soll eine Anmeldung möglichst schnell erfolgen. Ein Szenario speziell in Schulen ist, dass sich über 20 Schüler/-innen gleichzeitig in einem Raum mit nur einem Accesspoint über WLAN anmelden. Bei diesen Tests ist das noch nicht berücksichtigt, die Profildaten sind aber dank der Ordnerumleitung sehr klein und sollten nicht einen allzu grossen Einfluss haben. Die Messwerte entstanden auf virtuellen Windows 10 Maschinen und dürfen nicht absolut genommen werden, mehrere Versuche haben nicht immer die gleiche Zeit ergeben. Ausserdem waren die Testuserprofile sehr klein. Trotzdem gibt es einen Anhaltspunkt.

Die erste Anmeldung im Netzwerk dauert extrem lange, dies ist aber nur einmal nötig. Danach ist die Anmeldung auf einem Computer, an dem man sich noch nie angemeldet hat, etwa doppelt so schnell, wie wenn ein lokales Profil eingerichtet werden muss. Wir werden also mit Windows 10 wieder wandernde Profile einführen – im Gegensatz zu damals unterstützt durch die Ordnerumleitung.

Wir haben mit “roaming profiles” (wandernde Benutzerprofile) zu Windows XP Zeiten aufgehört, weil es immer wieder Probleme damit gab. Zum einen gab es zwar selten, aber immer mal wieder ein korruptes Profil, und zum anderen dauerte die Anmeldung extrem lange, wenn Benutzer grosse Dateien in ihrem Profil hatten.

Wenn sich ein Benutzer ohne wanderndes Profil zum ersten Mal an einem Computer anmeldet, wird eine Kopie des “default profile” für ihn angelegt. Änderungen die der Benutzer dann am Profil vornimmt, werden nur lokal gespeichert und sind bei einem anderen Computer nicht verfügbar. Die Benutzer sind entsprechend informiert und wissen, dass nur die Dateien auf den Netzlaufwerken wie z.B. das eigene Userhome gesichert werden. Dies hat sich auch durch die “Windows 7 Zeit” bewährt – viele Vorteile, ein paar wenige Nachteile.

Mit der Einführung von Windows 10 wollte ich das wieder einmal angehen. Vor allem, da das Einrichten des lokalen Profils doch einige Zeit dauert…

In einer schnellen virtuellen Maschine braucht die Ersteinrichtung des Profils 24 Sekunden, die zweite Anmeldung dann nur noch 2 Sekunden. Wenn man das auf 5-jährigen Laptops mit einer 5’400er Harddisk macht, dauert es entsprechend noch viel länger…

Also habe ich mich da mal ein wenig eingelesen. Aussagen wie diese lassen befürchten, dass wir auch die alten Probleme wieder bekommen:

“After using Roaming profiles for many years I think that „Best Practices“ are DON’T use them.”

User State Virtualization
Microsoft hat die “roaming profiles” seit den Windows XP Zeiten weiterentwickelt. Das Problem mit den zu grossen Profilen löst man am besten mit “folder redirection” (Ordnerumleitung). Die Kombination von “roaming profiles” und “folder redirection” nennt Microsoft ”User State Virtualization”. In diesem Technet Tutorial wird erklärt, was damit gemeint ist. Im zweiten Teil wird “folder redirection” genauer erklärt und im dritten die “roaming user profiles”.

User Experience Virtualization
Microsofts “User Experience Virtualization” (UE-V) gilt als Weiterentwicklung der “roaming profiles”. Gemäss diesem Blogbeitrag liegt der Vorteil darin, dass viel detaillierter entschieden werden kann, welche Teile der Userdaten wirklich wandern (roam). Microsoft sieht UE-V als Technik für grosse Umgebungen und verkauft es als Teil von MDOP (Microsoft Desktop Optimization Pack). MDOP ist nur für Software Assurance Kunden verfügbar. Mit unserer Schullizenz erfüllen wir das alles. Damit kommt UE-V für uns auch in Frage. Bei UE-V muss man einen Agent auf dem Windows Client installieren und konfigurieren. Bis jetzt habe ich aber noch nicht herausgefunden, ob bei der ersten Anmeldung dann nicht doch ein lokales Profil (vgl. oben) angelegt werden muss, das dann durch UE-V angepasst wird. Dann würde die Erstanmeldung auch lange wie bei lokalen Profilen dauern.

Was nehmen?
Als Schule haben wir andere Anforderungen als in einer Firma. Ein typisches Szenario ist, dass sich über 20 Schüler/-innen gleichzeitig in einem Raum mit nur einem Accesspoint über WLAN anmelden. Das Erstellen eines lokalen Profils aus dem lokalen “default profile” dauert Zeit (abhängig vom Client – CPU, Festplatte, …), benötigt aber keine WLAN Bandbreite. Roaming Profiles (optimiert durch folder redirection), werden vom und auf den Server kopiert. Wenn 20 Schüler/-innen je nur 100MB über WLAN holen, müssen 2 GB übers WLAN…

Ich kann im Moment also nicht sagen, wie ich das mit Windows 10 umsetze. Weiterhin nur lokale Profile, “roaming profiles” mit möglichst kleinen Profilen dank “folder redirection” und Profilausschlüssen oder doch “User Experience Virtualization”. Im Internet habe ich da keine abschliessende Antwort gefunden, bleibt wohl nichts anderes übrig, als eigene Tests durchzuführen.

Nachtrag
Nun habe ich einige Tests mit UE-V durchgeführt und bin nicht wirklich zufrieden. Für meine Tests habe ich unter Windows 10 den Sync Provider auf “none” gestellt. Scheinbar gibt es ein Problem mit den Offline Folders, das man lösen konnte, aber für meine Tests war “none” ausreichend (damit werden die Daten nicht lokal zwischengespeichert, sondern direkt in den SettingsStore auf dem Server geschrieben).

Problemlos funktioniert haben Änderungen am Bildschirmhintergrund und Einstellungen an Office Programmen (Word Autokorrektur und andere Einstellungen). Das Hauptproblem ist aber, dass immer zuerst ein lokales Profil erstellt werden muss, bevor UE-V Änderungen vornehmen kann. Die ganze Einrichtung (Bild 1 oben) dauert also mindestens so lange wie wenn man nur lokale Profile hätte. Ausserdem kam auch beim Start von Word auf einem neuen Computer erneut der Willkommensdialog und Outlook musste auch erneut eingerichtet werden (Einstellungen nach der Ersteinrichtung wurden dann aber problemlos synchronisiert).

UE-V ist also sicher eine schlanke, schnelle, einfach zu wartende Alternative zu Roaming Profiles, wenn Mitarbeiter immer an den gleichen Computern arbeiten. Sobald die Ersteinrichtung auf allen benutzten Computern abgeschlossen ist, funktioniert es schnell und problemlos. Unser Problem ist aber, dass die Schüler auf jedem neuen Computer (z.B. wenn sie einfach einen vom Laptopwagen nehmen) die Ersteinrichtung von Profil und Programmen abwarten müssten, bis UE-V die Synchronisation übernimmt. Also im Moment keine Alternative. Leider.

Nachtrag 2
Wir werden wieder wandernde Profile einsetzen. Das Vorgehen ist in diesem Beitrag dokumentiert.