Für ein Konto, das seine Mitarbeiter nutzen können, ohne dass Veränderungen an den Profileinstellungen möglich sind, wünscht sich einer unserer Leser einen Lösungsvorschlag.

Hier gibt es einen einfachen Weg, da Microsoft dieses Szenario bereits vorgesehen hat. In dem serverseitigen Profil muss die Datei „NTUser.dat” in „NTUser.man” umbenannt werden. Sie wird ab sofort nicht mehr überschrieben. Da in der Datei alle Registrierungseinträge des Benutzers (also alles unterhalb von „HKEY_CURRENT_USER”) gespeichert sind, werden diese nun beim Neustart alle Einstelungen wieder zurückgesetzt.

Sie können auf einem Windows Server 2003 im Benutzerprofil eine Beschränkung für die Zeiten hinterlegt werden, an denen sich der Benutzer am System anmelden kann.

Hiervon sind allerdings nur neue Anmeldungen betroffen. Ein Benutzer, der sich innerhalb des erlaubten Zeitraums an der Domäne angemeldet hat, kann beliebig lange am System arbeiten, ohne dass seine Anmeldung nach Ablauf der ausgewählten Zeitspanne automatisch beendet wird.

Damit die Benutzer außerhalb der Zeitspanne automatisch abgemeldet werden, müssen Sie auf Domänenebene unter der Gruppenrichtlinie „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen” -> „Lokale Richtlinien” -> „Sicherheitsoptionen” die Richtlinie „Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen” aktivieren.

In Zukunft werden Ihre Benutzer somit nach Ablaf des erlaubten Zeitfensters automatisch abgemeldet. So haben Sie eine direkte Kontrolle darüber wann die einzelnen Mitarbeiter Zugriff auf Ihre Systeme haben.

Servergespeicherte Profile können den Benutzern die Arbeit enorm erleichtern. Allerdings sollten nicht alle Daten einfach in dem servergespeicherten Profil abgelegt werden, da das Datenaufkommen sonst zu groß wäre. In der Standardkonfiguration sind deshalb bereits die Ordner „Verlauf”, „Lokale Einstellungen”, „Temp” und „Temporäre Internetdateien” des Benutzerprofils von der serverseitigen Speicherung ausgeschlossen.

Ein Leser fragte mich nun, ob man selber Einfluss darauf nehmen kann, welche Ordner aus den serverseitigen Profilen ausgeschlossen sind.

In Windows-Netzwerken führt der komfortabelste Weg über die Gruppenrichtlinien. Unter „Benutzerkonfiguration” -> „Administrative Vorlagen” -> „System” -> „Benutzerprofile” -> „Verzeichnisse aus servergespeichertem Profil ausschließen” müssen einfach die entsprechenden Ordner eingetragen werden.

Für servergespeicherte Profile sollte ruhig ein eigenes GPO (Gruppenrichtlinienobjekt) angelegt und mit den entsprechenden OUs (Organisationseinheiten) verknüpft werden, in denen sich die Benutzer befinden, die servergespeicherte Profile nutzen sollen.

Heute berichtete mir ein Leser, dass er die Loginzeiten seiner Domänenbenutzer gerne nachvollziehen würde, leider aber die entsprechenden Daten nicht findet.

Das ist nicht verwunderlich, denn zwar wird seit Windows Server 2003 zu jedem Benutzer das Attribut „lastLogonTimestamp” gespeichert und repliziert, es wird aber Unglücklicherweise nicht in der Eigenschaften-Seite eines Benutzerkontos angezeigt.

Hierfür ist eine Erweiterung nötig:

Im Ressource-Kit unter den „Account Lockout Tools” befindet sich die Datei „AcctInfo.dll”. Beides kann bei Microsoft kostenlos heruntergeladen werden.

Nach dem Entpacken (z.B. in das Verzeichnis „c:\ALMTools\”) muss die Datei „AcctInfo.dll” über den Befehl „regsvr32 “C:\ALMTools\acctinfo.dll“ ” registriert werden.
In den Eigenschaften der Benutzerkonten ist nun ein weiteres Register „Additional Account Info” zu sehen, dem man auch das letzte An- und Abmeldedatum entnehmen kann.

Gut, dass ich diese Lösung noch von einer Fortbildung im Hinterkopf hatte. Sonst hätte ich noch angefangen mit der Überwachung von Anmeldeereignissen via Gruppenrichtlinie an die Sache heran zu gehen. So ist es doch viel einfacher.

Mal unter uns: Verwechselt ihr auch gerne regsvr32 und regsrv32?