Arbeitsprofil daheim nutzen mit Kniff

Vielleicht hattet ihr das auch: Ihr geht nach den Guide der c’t vor und trotzdem geht etwas nicht. Zum Beispiel taucht der „Anderer User“ anmelden Dialog nicht auf. Bei mir ging zudem die Ausführung von Outlook nicht, weil sich der AADBroker dazwischen geschaltet hat, den der Benutzer nicht quittieren konnte. Dazu unten mehr.

Zuerst muss ich natürlich einen Benutzer anlegen, mit dem ich die Programme und Daten für die Arbeit nutzen möchte.

Hier noch einmal die Schritte in „Kurzfassung“. Es wird ein Benutzer angelegt, ein virtuelles Laufwerk erstellt, das Laufwerk verschlüsselt und das Benutzerprofil verschlüsselt.

  • Netplwiz => Für das Anlegen des Benutzers. Sicherheitsfragen werden hier nicht abgefragt. Konto auf Admin einstellen.
  • compmgmt.msc => Für das Erstellen eines virtuellen Laufwerkes. Name: ArbeitFirma, VHDX, Dynamisch erweiterbar, 2TB, GPT, W:\
  • Laufwerk einbinden und über das Kontext Menü Bitlocker (ToGo) auf diesem Laufwerk aktivieren. Kennwort kann man gleich dem Kennwort des neuen Accounts lassen, sollte man aber notieren und wegspeichern, ausdrucken, USB Stick oder ähnliches. Den Wiederherstellungsschlüssel ebenfalls speichern und wegsichern. Kennwort und Schlüssel eventuell auch in einen „Tresor“.
  • Wichtig bei BitLocker auch: Nur den verwendeten Speicher verschlüsseln.
  • Wenn gewünscht andere Benutzer aus dem Sicherheitskontext rausschmeißen und nur den aktuellen drin lassen. Dies lässt sich mit Admin-Rechten aber zum einen umgehen, zum anderen brauche ich das hier nicht, schließlich will ich die VHDX unter meinem Hauptbenutzer aufmachen.
  • Wenn ich mich an dem Benutzer anmelde, soll das Laufwerk automatisch eingebunden werden. Dazu muss ich in %AppData%\Microsoft\Windows\Start Menu\Programs den Ordner Startup manuell anlegen. In der c’t wird der Befehl shell:startup angegeben, bei nicht existentem Ordner macht der aber nichts.
    • Hier eine Verknäpfung zur VHDX einfügen.
  • Der COntainer ist nur für die Daten da. Das Profil sollte man daher verschlüsseln. Dazu auf das Benutzerprofil (C:\Benutzer\ArbeitFirma), Rechtsklick, Eingenschaften, Allgemein, Erweitert und den Haken „Inhalt verschlüsseln um Daten zu schützen“ reinmachen.
  • Um die Verschlüsselung auch farblich zu erkennen, kann man den Haken „Verschlüsselte oder komprimierte Dateien in einer anderen Farbe anzeigen“ in den Ordneroptionen, Ansicht rein machen.
  • Über das EFS Symbol in der Taskleiste den EFS Key sichern, am besten mit dem gleichen Kennwort des Users.

Erstes Problem: „Andere Benutzer“ taucht nicht auf.

In meinem Fall, war dieses Problem schnell „erledigt“. Problem ist hier unter anderen auch, dass ich mich mit einem „Microsoft-Konto“ anstatt eines „lokalen Kontos“ anmelde. Damit der Button unten links dennoch auftaucht, reicht es den Key ‚dontdisplaylastusername‚ in ‚HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System‚ auf 1 zu setzen. Kann man danach auch wieder weglassen, wenn man sich mit dem Konto nicht wirklich anmeldet.

Zweites Problem: Outlook und der AADBroker.

Beim ersten Anmelden mit Outlook im Arbeits-Profil wurde mir eine Anmeldung angezeigt. Diese habe ich mit den Anmeldedaten von der Arbeit quittiert und weitesgehend einfach ignoriert. Beim Starten von Outlook auf meinem Hauptprofil blieb das Fenster aber scheinbar hängen. Beim hovern über das Symbol in der Taskleiste wurde mir aber ein Fenster über dem Outlook-Fenster angezeigt. Dies war wieder der AADBroker (lässt sich unter anderem über den TaskManager relativ schnell finden).

Scheinbar wollte Outlook also immernoch mit der „Azure AD“ verbinden. Das ist hierfür aber nicht für Azure, sondern für Office 365 da. Also kurzerhand den Key ‚ExcludeExplicitO365Endpoint‚ in ‚KEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover‚ auf ‚1‚ gesetzt (im Arbeits-Profil) und schon geht Outlook einfach auf.

Weiteres

Probleme hatte ich sonst kaum. Es ging kein shell:startup, weil es den Ordner nicht gab und ich hatte die Vermutung, dass das Default Profil zerstört war (hierfür Default aus einer frischen Installation sichern und den alten in Default.old umbenennen), aber sonst alles gut.

Run.bat

Damit ich die Programme unter einem anderen Benutzer einfach starten kann, habe ich mir die kleine Batch hier geschrieben. Kann auf die eigenen Bedürfnisse angepasst werden.

Viele Spaß damit und noch einen schönen Tag.

Lukas

Schreibe einen Kommentar