HowTo: Windows Desktop read only / roaming Profiles

Problem: Wir haben Laborrechner, an denen ein Benutzeraccount fuer viele User und verschiedene Rechner moeglich ist. Die Anmeldung mit dem Benutzeraccount ist auf die Laborrechner beschraenkt (vgl. Blogeintrag: Samba/LDAP: Benutzeraccount auf Rechner beschraenken). Dadurch das viele User den Account gemeinsam nutzen muellt der Desktop sehr schnell zu und die Anmeldung wird unsagbar langsam.

Loesung: Den Desktop schreibgeschuetzt machen um ein weiteres zumuellen zu verhindern. Dazu…

Wenn man bei einem Benutzeraccount mit roaming Profiles den Windows Desktop auf read only setzen moechte, muss die folgende Zeile in die netlogon.bat fuer den User eingefuegt werden:

cacls "%USERPROFILE%\desktop" /E /P %USERNAME%:R

Damit wird beim Anmelden an den Rechner in der lokalen Kopie des Profils der Ordner „Desktop“ mit NTFS-ACLs auf read only gesetzt.

Wenn man nun aber ebenfalls die Option „Benutzer bei Fehlschlag des servergespeicherteten Profils abmelden“ aktiviert hat, ist eine weitere Anmeldung nicht mehr moeglich, da der Kopiervorgang vom servergespeicherten Profil/Desktop in die lokale Kopie/Desktop nicht mehr moeglich ist, da der Ordner bereits Schreibgeschuetzt ist. Eine Abhilfe schafft dort die Option „Verzeichnisse aus servergespeichertem Profil ausschliessen“ die man aktivieren und als Ordner „Desktop“ angeben muss.