In diesem Blog möchte ich nicht nur zwei Neuerungen des Windows Server 2012/2012 R2 vorstellen sondern auch demonstrieren wie mit den Technologien servergespeicherte Profile ganz wegfallen und die Profildaten zudem verschlüsselt gespeichert werden können.

Zwei wesentliche Neuerungen im Windows Server 2012/2012 R2 sind die Workfolder (Arbeitsordner) und die Ordnerumleitung für das Verzeichnis AppData/Roaming.
Beide Technologien können Vorteile im Unternehmensbereich haben.

In der Vergangenheit wurden die Benutzerprofile als servergespeicherte Profile etabliert. Dies hatte zwar den Vorteil, dass die Benutzerdaten zentral gespeichert werden und entsprechende Backup-Strategien gestaltet werden konnten. Doch stellen sich nicht selten andere Probleme wie lange Ladezeiten und hohe Netzlast zu den Spitzenzeiten ein.

Mit der Einführung der Ordnerumleitung durch Microsoft wurden viele Anwenderordner darüber direkt auf dem Server gespeichert um die Profile zu entlasten und zu verkleinern. Doch auch dies ist nicht immer ganz problemlos.
So ist die Ordnerumleitung auf ein Netzlaufwerk wie SAN immer auch an die Synchronisation gebunden, die gerne für Ärger bei der Synchronisation der Dateien sorgt. Außerdem gab es bisher keine Möglichkeit das AppData/Roaming-Verzeichnis umzuleiten. So wurden verschiedene systemrelevante Benutzerdaten gar nicht durch die Ordnerumleitung erfasst.

So gingen die Ordnerumleitung und die servergespeicherten Profiele meistens Hand in Hand.

Neuerung bei der Ordnerumleitung:
Mit Einführung des Windows Server 2012/2012R2 werden nun nahezu alle wichtigen Ordner für eine Umleitung unterstützt. So auch das Verzeichnis AppData/Roaming.

Neuerung Work Folders:
Die "Work Folders" können in einer Windows Server 2012 Domäne direkt über die Server verwaltet werden. Dabei handelt es sich um eine besondere Freigabe die nach Benutzern und Benutzergruppen bereitgestellt werden kann.
Bei entsprechender Bereitstellung werden alle Dateien und Verzeichnisse in den "Work Folders" direkt, transparent verschlüsselt. Die Verschlüsselung ist Benutzergebunden und stellt sicher, dass kein Dritter die Dateien öffnen kann.
Werden die Dateien auf ein Wechselmedium kopiert ohne die Verschlüsselung zu entfernen, kann nur der Eigentümer die Dateien auch tatsächlich öffnen.
Allerdings wird die Verschlüsselung nur für NTFS unterstützt, so das bei einem Kopieren auf ein Medium ohne NTFS eine entsprechende Meldung erscheint und die Verschlüsselung während des Kopiervorgangs entfernt wird.
Auch die "Work Folders" können wie die alt bekannten Offlinedateien verwendet werden. Allerdings hat Microsoft auf die Verwendung des bisherigen Synchronisationscenter verzichtet.
Die neue Art der Synchronisation erfolgt über das RDP im Hintergrund.
Der Anwender arbeitet zunächst immer auf seiner Festplatte während die Synchronisation sobald wie möglich im Hintergrund erfolgt.
Probleme wie beim bisherigen Synchronisationscenter bleiben daher aus. Denn den Wechsel zwischen Online- und Offlineversion einer Datei gibt es nicht mehr.
Dateien die sich aktuell im Zugriff befinden werden für eine Synchronisation gesperrt.

Neue Strategie:
Das neue Konzept, das von mir auch vor geraumer Zeit mehrfach erfolgreich implementiert werden konnte, kommt nun ganz ohne servergespeicherte Profile aus.
Stattdessen werden die Profildaten im Verzeichnis der WorkFolders gespeichert wodurch diese verschlüsselt sind und im Hintergrund synchronisiert werden. Die Anmeldezeiten am lokalen System sind dadurch entsprechend kurz.
Außerdem ist es den Benutzern (z.B. Administratoren) möglich an mehreren Systemen gleichzeitig angemeldet zu sein ohne das ein servergespeichertes Profil dabei zerstört wird.
Es ist zudem möglich die "Work Folders" am Server in einem DFS zu speichern.

Voraussetzung:
Die vorliegende Erklärung geht davon aus, dass es eine Windows Server 2012/2012 R2 Domäne gibt. Die Domain-Controller heißen "DC1" und "DC2".
Unsere Domäne verügt hier über eine PKI so dass alle Benutzer ein Benutzerzertifikat und alle Computer ein Computerzertifikat als automatische Verteilung erhalten.
Alle Laufwerke wurden mit NTFS eingerichtet.
Unsere Clients sind mit Windows 8/8.1 Enterprise ausgestattet.
Die Freigaben und damit auch die "Work Folders" werden über einen separaten Server ("SRV2") verwaltet und bereitgestellt.

Die Einrichtung:

1. Vorbereitung der "Work Folders"
Vor der Änderung der Profile richten wir die "Work Folders" ein, damit kein Client ins Leere läuft wenn die neuen GPOs greifen.
Wer die "Work Folders" auf ein "DFS" leiten möchte muss dieses natürlich zu Anfang bereitstellen.
In userem Fall verwenden wir ein einfaches lokales Laufwerk auf dem "SRV2".

Zunächst installieren wir im ServerManager die Serverrollen "Work Folders" oder "Arbeitsordner" unterhalb der Einträge "Datei-/Speicherdienste"->"Datei- und iSCSI-Dienste" wie im Screenshot gezeigt.

Wurde diese Installation erfolgreich abgeschlossen, findet sich im Servermanager unter "Datei- und Speicherdienste" auch ein Eintrag für die "Arbeitsordner" bzw. "Work Folders".

Mit einem "Rechtsklick" und der Auswahl "Neue Synchronisierungsfreigabe" kann nun eine "Work Folder" oder "Arbeitsordner"- Freigabe eingerichtet werden.

Es erscheint anschließend ein Asisistent um eine Freigabe einzurichten und zu konfigurieren.

Es kann hier zunächst der Server ausgewählt werden auf welchem die Freigabe bereitgestellt werden soll. Zudem kann gewählt werden ob eine bestehende Freigabe im Netz oder ein lokaler Pfad das Ziel sein soll.

Wer mit der Rechtevergabe bei Dateien und Verzeichnissen nicht sicher ist sollte hier unter dem Eintrag "Geben Sie einen lokalen Pfad ein:" einen neuen Windowspfad eintippen, welcher noch nicht existiert.
Wird hier ein Pfad eingetippt welcher nicht existiert, wird dieser neu angelegt und mit den erforderlichen Rechten versehen.

Im nächsten Schritt wird nach der Struktur gefragt.

Haben Sie nur eine Domäne reicht die Auswahl "Benutzeralias".
Dies führt dazu, dass für jeden Benutzer ein eigener Ordner in der Freigabe angelegt wird, der nur von ihm selbst verwendet werden kann.

Besteht das Netzwerk aus mehreren Domänen in denen Benutzernamen mehrfach vorkommen können, sollte die Einstellung "Benutzeralias@Domäne" verwendet werden.

So werden die Unterverzeichnise für jeden Benutzer auch in diesem Format angelegt und das mehrfache Vorkommen eines Benutzernamens ist kein Problem mehr.

Eine Einschränkung der Synchronisierung durch Angabe der Ordner die synchronisiert werden sollen entfällt in unserem Beispiel.

Nun gilt es anzugeben welche Benutzer und/oder Gruppen diese Freigabe verwenden dürfen. So ist eine Aufteilung möglich die es erlaubt verschiedene Benutzer oder Gruppen auf unterschiedliche Laufwerke oder Server zu verteilen.
Wichtig ist hier die Einstellung zur Deaktivierung der Berechtigungen. So ist gewährleistet, dass jeder Benutzer nur auf seine eigene Freigabe zugreifen kann.

Nun wird noch angegeben ob die Verschlüsselung erfolgen soll und die Richtlinie zur Bildschirmsperre erzwungen werden soll.
Werden diese Optionen aktiviert muss der Benutzer erst deren Anwendung zustimmen damit die Work Folders genutzt werden.

Abschließend werden diese Einstellungen kontrolliert, bestätigt und eingerichtet. Damit ist dieser Schritt dann abgeschlossen und die Workfolders können genutzt werden.

Die Verwendung der "Work Folders" muss entweder vom Benutzer in der Systemsteuerung manuell oder über die GPOs aktiviert werden.

Damit ist dieser Teil der Konfiguration abgeschlossen.

2. Vorbereitung der Ordnerumleitung:
Zu Beginn muss ich hier anmerken, dass wir uns eines Tricks bedienen.

Erfolgt eine Ordnerumleitung auf einen Server, wird automatisch das Synchronisationscenter aktiviert, was wir nicht wollen.

Der Pfad zu den Workfolders ist "C:\Users\benutzername\Work Folders\" was allerdings auch zu einem Problem führt.
Denn bei der Ordnerumleitung wird der Benutzername in dem Pfad durch das System gesetzt und erlaubt nicht die Angabe eines weiteren Verzeichniseintrags. Wir können also nach dem Benutzernamen nicht "Work Folders" angeben. Selbst wenn dies ohne weiteres möglich wäre, bestände noch immer ein Problem bei mehrfach vorkommenden Benutzernamen. Das heißt wenn ein Benutzername sowohl in der Domäne als auch lokal besteht.

Denn in diesem Fall legt Windows das lokale Benutzerverzeichnis einmal mit und einmal ohne Computernamen bzw. Domainnamen nach dem Benutzernamen an.

Gehen wir also davon aus, dass es den Benutzer "defaultadmin" einmal lokal und einmal in der Domäne gibt, würde ein Benutzerverzeichnis unter c:\users\defaultadmin und das andere unter c:\users\defaultadmin.domaene liegen. Nach der Anmeldung wäre in der Variable %username% aber jedesmal nur der Benutzername eingetragen. Der "defaultadmin" der Domaene würde also versuchen auf die Verzeichnisse vom lokalen Benutzer zuzugreifen.

Damit wäre der generierte Pfad unbrauchbar und die Verwendung von %username% nicht sinnvoll.

Der Wert in %USERPROFILE% stimmt jedoch auf jeden Fall, wird allerdings nicht umgesetzt. Dies liegt daran, dass uns bei der Anmeldung diese Variable nicht zur Verfügung steht.

Um diesem Problem aus dem Weg zu gehen verteilen wir über die Gruppenrichtlinien eine neue Variable mit dem Namen "newuserpath" die den Wert von %USERPROFILE% beinhaltet.
Diese Variable setzen wir in den GPOs unter "Benutzerkonfiguration"->"Einstellungen"->"Windows-Einstellungen"->"Umgebung".

Damit ist die Vorbereitung der Einrichtung der Gruppenrichtlinien im Wesentlichen abgeschlossen.

3. Einrichten der Ordnerumleitung:
Im nächsten Schritt können wir die Ordnerumleitung einrichten.
Dazu wählen wir in der GPO die "Benutzerkonfiguration"->"Richtlinien"->Windows-Einstellungen"->"Ordnerumleitung"
Darunter befinden sich alle umleitbaren Ordner die wir mit einem Rechtsklick jeweils konfigurieren können.

Unter dem Register "Ziel" konfigurieren wir, wie die Speicherung erfolgen soll. Wir wollen für alle Benutzer den gleichen Pfad angeben, nämlich den Eintrag aus unserer neuen Variable mit dem angehangenen "Work Folders".

Im Register "Einstellungen" konfigurieren wir noch wie Clients mit den Richtlinien umgehen sollen.

Mit den hier geziegten Einstellungen werden alle Daten von den bestehenden Pfaden auf den neuen Pfad kopiert und anschließend gelöscht. Der Benutzer bekommt davon normalerweise nichts mit.
Sollte die Richtlinie einmal wieder entfernt werden, werden alle Daten wieder an den lokalen Ort verschoben.

Nun können die Gruppenrichtlinien zum Beispiel mit "invoke-gpupdate" auf die Systeme verteilt werden und, wenn nicht bereits über die GPOs geschehen, die "Arbeitsordner" bzw. "Work Folders" manuell aktiviert werden.

Wurde alles erfolgreich verteilt finden sich im Exporer unter "Arbeitsordner" alle Profilordner wieder. Dabei fällt dann auf, dass die Verzeichnis- und Dateinamen in "grün" dargestellt werden.
Alle grünen Datei- und Verzeichnisnamen sind verschlüsselt.

Auf die Dateien und Verzeichnisse kann aber dennoch direkt zugegriffen werden, da sie transparent ver- und entschlüsselt werden.
Soll eine Datei ohne Verschlüsselung verfügbar gemacht werden, kann diese mit einem Rechtsklick und Auswahl "Enterprise Steuerelement entfernen" entfernt werden.