Serverrekken in een datacenter, het soort opslag waarop de fileshare voor profielcontainers draait.

Citrix Profile Container instellen: stap voor stap (en hoe het zich verhoudt tot FSLogix)

Leestijd:
11ā€“17 minutes

Yunus Kayhan

11/05/2026

Je kent het patroon: een gebruiker logt in op een Citrix-werkplek, opent Outlook, en wacht. En wacht. Trage logons en haperende profielen zijn bij Citrix-, AVD- en Horizon-omgevingen zelden een raadsel: het is bijna altijd het roaming-profiel dat bij elke logon duizenden kleine bestanden over het netwerk sleept.

De moderne oplossing heet een profile container: in plaats van bestanden te kopiƫren, mount het systeem bij de logon ƩƩn VHDX-schijf waar het hele profiel in zit. Op AVD en Windows 365 doe je dat met FSLogix. Citrix heeft een eigen variant, ingebouwd in Citrix Profile Management. In deze post: wat die Citrix Profile Container precies is, hoe hij zich verhoudt tot FSLogix, en daarna stap voor stap hoe je hem inricht, inclusief de fileshare, de NTFS permissions en alle relevante Group Policy-instellingen. We slaan geen stap over.

Even terug naar af: wat doet een profile container?

Citrix Profile Management (ook wel UPM, User Profile Management) is de profieloplossing die meekomt met de Citrix VDA in Citrix Virtual Apps and Desktops en Citrix DaaS. Het kent twee werkwijzen:

  • File-based (de klassieke manier). Bij de logon worden de profielbestanden vanuit een netwerklocatie, de user store, naar het lokale profiel gekopieerd; bij de logoff weer terug. Met profile streaming gebeurt dat kopiĆ«ren on-demand, maar het blijft kopiĆ«ren. Veel bestanden = trage logon.
  • Container-based (de profile container). Het profiel staat in een VHDX-bestand op de user store. Bij de logon wordt die schijf gemount onder C:\Users\<gebruiker>, en het profiel is direct beschikbaar. Geen gekopieer, dus de logon is snel en blijft snel, ongeacht hoe groot het profiel wordt.

Je kunt de container voor het hele profiel gebruiken (de “container-based profile solution”), of alleen voor een paar dikke mappen (bijvoorbeeld die ene cache die je logon traag maakt) en de rest via de klassieke user store laten lopen. Allebei kan.

Een profile container kopieert niets. Hij mount Ć©Ć©n schijf, en daarmee is je trage logon weg, ongeacht hoe groot het profiel wordt.

Citrix Profile Container vs. FSLogix

Ze doen hetzelfde basistruukje, maar zitten anders in elkaar:

  Citrix Profile Container FSLogix Profile Container
Onderdeel van Citrix Profile Management, zit in de Citrix VDA (CVAD/DaaS-licentie) Gratis: de gebruiksrechten zitten in Windows Enterprise/Education E3 of hoger, Microsoft 365 E3/E5/F3/Business Premium, AVD-rechten, RDS CAL’s, enzovoort
Werkt op Alleen Citrix-sessies (Citrix VDA vereist) Elk Windows-sessieplatform: RDS, Azure Virtual Desktop, Windows 365, Citrix, Omnissa Horizon
Disk format Alleen VHDX VHD Ć©n VHDX (VHDX aanbevolen)
Beheer Citrix-policies in Studio of Web Studio, GPO via ctxprofile.admx, Workspace Environment Management, of een .ini-bestand GPO via fslogix.admx, of direct in het register; geen eigen beheerconsole
Hybride (deel in container, deel klassiek) Ja: “profile container voor een deel van het profiel” naast de klassieke user store Nee, de container is het hele profiel (wel met include/exclude-regels en een aparte Office Container)
Office/Outlook apart Aparte VHDX’en voor de Outlook OST en de zoekindex; daarnaast een OneDrive Container Aparte Office Container (ODFC) als losse schijf
Lokale cache voor uptime “Enable local caching for profile containers” (eventueel met profile streaming on-demand) Cloud Cache (kan zelfs naar meerdere opslaglocaties tegelijk schrijven)
Auto-expansion Vanaf Profile Management 2308: bij 90% vol +10 GB, tot 80 GB, instelbaar De dynamische VHD(X) groeit vanzelf tot de ingestelde maximumgrootte
Monitoring Integreert met Citrix Director (logon- en profielstatistieken) Geen native dashboard; logs in %ProgramData%\FSLogix\Logs

Wanneer kies je wat? Heb je een gemengde omgeving (AVD of Windows 365 naast Citrix), of wil je gewoon de oplossing met de meeste community-kennis en die toch al gratis bij je Microsoft-licenties zit, dan is FSLogix logisch; op AVD en Windows 365 is het sowieso de standaard. Ben je puur Citrix en wil je Ć©Ć©n leverancier, Ć©Ć©n set policies (samen met je andere Citrix-instellingen, beheerd in Studio of WEM), de hybride aanpak (alleen die paar dikke mappen in een container) of de strakke koppeling met Citrix Director, dan is de Citrix Profile Container een prima keuze. Een veelgehoorde praktijkvuistregel, onder meer van Carl Stalhood: voor profile containers FSLogix, voor klassieke file-based profielen Citrix Profile Management.

Voorbereiding: wat heb je nodig?

  • Een omgeving met de Citrix VDA (CVAD of DaaS), met de Profile Management-component geĆÆnstalleerd (die zit standaard bij de VDA).
  • Een SMB-fileshare voor de user store: bij voorkeur op een file server-failovercluster, of op Azure Files (met Kerberos via Entra Domain Services of AD DS), of op een NetApp. EĆ©n losse fileserver is een single point of failure.
  • De Citrix Profile Management ADMX (ctxprofile.admx en ctxprofile.adml), als je via GPO wilt configureren.
  • Een pilot-AD-groep met een paar testgebruikers, zodat je niet meteen de hele organisatie omzet.
  • De juiste antivirus exclusions op de fileserver en de sessiehosts (komen we op terug).

Stap 1: maak de fileshare (de user store)

1a. Maak en deel de map. Maak op de fileserver een map, bijvoorbeeld D:\CtxProfiles. Deel hem als een verborgen share, bijvoorbeeld CtxProfiles$. Zet op de share Access-Based Enumeration aan, zodat gebruikers elkaars profielmappen niet zien.

1b. Share permissions. Verwijder Everyone uit de share permissions. Voeg de gebruikersgroep (of Authenticated Users) toe met Full Control. Let op: bij containers is Full Control echt nodig, niet “Change/Modify”. Profile Management kent op de aangemaakte VHDX-bestanden namelijk Full Control toe aan Domain Computers, en daarvoor moet de gebruiker zelf Full Control hebben op de bovenliggende map. Met alleen Modify krijg je een “could not mount virtual disk”-foutmelding.

1c. NTFS permissions op de root van de map. Ga naar het tabblad Security > Advanced, schakel inheritance uit (convert de bestaande permissions), en verwijder de standaard Users-vermelding. Stel vervolgens deze permissions in (dit is het Microsoft-model voor roaming-profielshares, met de aanvullingen die Citrix aanbeveelt):

Account Permissions Applies to
SYSTEM Full Control This folder, subfolders and files
Administrators Full Control This folder, subfolders and files (Citrix: nodig om profielen te kunnen beheren of verwijderen)
CREATOR OWNER Full Control Subfolders and files only
De gebruikersgroep (bv. CTX-ProfileUsers) of Authenticated Users List folder / read data, Create folders / append data; en voor containers: Full Control This folder only

De gedachte: gebruikers mogen in de root hun eigen profielmap aanmaken, maar niet in elkaars map kijken (“This folder only” + Access-Based Enumeration). Binnen hun eigen map zijn ze de eigenaar, via CREATOR OWNER. Bij de container heeft de gebruiker Full Control op zijn eigen map nodig omdat Profile Management op de VHDX-bestanden permissions moet kunnen zetten. Administrators krijgt Full Control op alles, zodat je oude of corrupte profielen kunt opruimen.

1d. Folder Redirection apart. Wil je naast de container ook Folder Redirection gebruiken (Documents, Desktop, enz.), maak daar dan een aparte share voor, met dezelfde permissions. In de praktijk is OneDrive Known Folder Move vaak makkelijker; dan hoef je die mappen helemaal niet te roamen. Belangrijk: redirected mappen horen niet in de container of in de exclusion list (anders werkt Folder Redirection niet meer).

Stap 2: zet de Citrix Profile Management ADMX in je policy store

Configureer je via GPO, dan heb je de Profile Management-ADMX nodig. Die vind je op de CVAD/DaaS-installatiemedia in \x64\ProfileManagement\ADM_Templates\en\ (of in de losse Profile Management-download onder \Group Policy Templates\en\).

  1. Kopieer ctxprofile.admx naar je central store: \\<domein>\SYSVOL\<domein>\Policies\PolicyDefinitions. Heb je geen central store, dan naar C:\Windows\PolicyDefinitions op de machine waar je de GPO bewerkt.
  2. Kopieer ctxprofile.adml naar de en-US-submap daarvan.
  3. Staat er al een oudere ctxprofile.admx? Verwijder die eerst. De ADMX bepaalt alleen welke instellingen beschikbaar zijn, niet wat er geconfigureerd is, dus vervangen is veilig.

Liever geen GPO? Je kunt exact dezelfde instellingen ook configureren als Citrix-policies in Studio of Web Studio, of in Workspace Environment Management. De namen van de instellingen zijn hetzelfde; de stappen hieronder noemen de GPO-route, maar werken in Studio net zo.

Stap 3: maak een GPO voor de Citrix-sessiehosts

Maak een nieuwe GPO en koppel hem aan de OU met je VDA-machines. De Profile Management-instellingen staan allemaal onder Computer Configuration, dus de GPO werkt op de sessiehosts, niet op de gebruikers. Wil je tijdens een pilot alleen op een deel van je sessiehosts werken, gebruik dan security filtering of een aparte OU. Alle instellingen hierna staan onder Computer Configuration > Policies > Administrative Templates > Citrix Components > Profile Management.

Stap 4: de basisinstellingen

  • Enable Profile management > Enabled. Zonder dit doet Profile Management helemaal niets.
  • Path to user store > Enabled, en als pad iets als: \\fileserver\CtxProfiles$\#sAMAccountName#\!CTX_OSNAME!.!CTX_OSBITNESS!. De variabele #sAMAccountName# is de aanmeldnaam, zodat elke gebruiker zijn eigen map krijgt; !CTX_OSNAME! en !CTX_OSBITNESS! houden Windows-versies en -architecturen netjes gescheiden. (Splits je per locatie via DFS, gebruik dan #l# voor het AD-attribuut location.) De profile container komt vervolgens automatisch in ...\ProfileContainer\<OS>\ binnen dat pad.
  • Processed groups > Enabled en voeg je pilotgroep toe. Zonder deze instelling worden alle gebruikers verwerkt. (Excluded groups doet het omgekeerde: iedereen behalve deze groepen.) Tijdens de pilot wil je hier alleen je testgebruikers; bij de uitrol breid je hem uit.

De instellingen Active write back en Delete locally cached profiles on logoff horen bij de klassieke, file-based werkwijze. Zodra je de hele profile container aanzet, vervallen die (en ook Profile streaming en de File system exclusions, tenzij je local caching gebruikt). Je hoeft ze dan niet in te stellen.

Stap 5: zet de profile container aan (de kern)

Ga naar Computer Configuration > Policies > Administrative Templates > Citrix Components > Profile Management > Profile container settings.

  1. Open Profile container > Enabled > klik op Show > voeg Ć©Ć©n regel toe met een sterretje: * > OK. Dit is de “container-based profile solution”: het hele profiel zit nu in de VHDX.
  2. Variant: wil je niet het hele profiel maar alleen een paar dikke mappen in de container, zet dan in plaats van * Ć©Ć©n of meer relatieve mappaden in de lijst, bijvoorbeeld AppData\Local\Citrix\Citrix Files\PartCache. De rest van het profiel blijft dan via de klassieke user store lopen en wordt gesynchroniseerd met de container.
  3. Open Folders to exclude from profile container > Enabled > Show > voeg relatieve paden toe van mappen die niet hoeven mee te roamen, vooral grote vluchtige caches (Microsoft Teams classic cache, browser-caches, OneDrive-cache). Wildcards op mapnamen mogen, maar werken niet recursief. Let op: redirected mappen hier niet opnemen. Bij de volledige container wordt appdata\local\temp automatisch uitgesloten.
  4. Heb je een map uitgesloten maar wil je er Ć©Ć©n submap of bestand uit tĆ³ch meenemen? Gebruik Folders to include in profile container en Files to include in profile container (relatieve paden, moeten binnen een uitgesloten map vallen). Vanaf 2112 kun je ook Files to exclude from profile container gebruiken.
  5. De standaardgrootte van de container is 50 GB (een dynamische VHDX, dus pas echt ruimte zodra hij vol loopt). Wil je dat aanpassen of de container op een andere netwerklocatie zetten dan de user store, dan kan dat met de instellingen voor opslagcapaciteit en pad van de VHD-containers (zie de Citrix-docs over VHD disk compaction / storage capacity).
  6. Vanaf Profile Management 2308: zet Enable VHD auto-expansion for profile container op Enabled. De drempel (standaard 90%), het increment (standaard 10 GB) en de limiet (standaard 80 GB) regel je in de node Advanced settings via Profile container auto-expansion threshold / increment / limit.

Stap 6: meervoudige sessies en beschikbaarheid

  • Enable multi-session write-back for profile containers > Enabled als gebruikers tegelijk in meerdere Citrix-sessies kunnen zitten. Dan krijgt Ć©Ć©n sessie read/write en de rest read-only; bij de logoff van de read/write-sessie worden de wijzigingen samengevoegd in de container. Heb je liever precies Ć©Ć©n sessie tegelijk, gebruik dan Enable exclusive access to VHD containers (dat schakelt multi-session write-back automatisch uit).
  • Enable local caching for profile containers > Enabled voor extra uptime: het profiel uit de container wordt bij de logon ook lokaal gecachet, zodat een lopende sessie blijft draaien als de fileshare even wegvalt. Zet er Profile streaming bij aan om die cache on-demand te vullen in plaats van alles bij de logon (kortere logon). Let op: OneDrive werkt niet goed samen met local caching, tenzij je de OneDrive Container-policy gebruikt.
  • Replicate user stores > om de container naar een tweede fileshare te repliceren voor disaster recovery. Of zet de share op een failovercluster of DFS-R.
  • Log off users when profile container is not available during logon > Enabled als je liever hebt dat een gebruiker een nette foutmelding krijgt en wordt uitgelogd, dan dat hij met een temporary profile verder werkt (waarbij zijn wijzigingen aan het einde van de sessie verloren gaan).
  • Users and groups to access profile container > om bijvoorbeeld je supportgroep Read & Execute op alle containers te geven (standaard is een container alleen toegankelijk voor de eigenaar).

Stap 7: antivirus, Folder Redirection en de exclusions die je echt wilt

  • Antivirus. Sluit op de fileserver Ć©n op de sessiehosts de VHDX-bestanden en de mount points uit van real-time scanning: *.vhdx, de bijbehorende .lock– en .metadata-bestanden, en de tijdelijke mount locations (de map onder C:\Users\ waar de container wordt gemount, en eventuele \\?\GLOBALROOT\...-paden). Volg de aanbevolen exclusion list van je AV-leverancier en van Citrix; dit voorkomt zowel prestatieproblemen als beschadigde containers.
  • Folder Redirection. Regel die Ć³f via dezelfde GPO (de eigen Folder Redirection-node van Citrix, of de Windows-node), Ć³f, vaak makkelijker, via OneDrive Known Folder Move. Documents, Desktop en Pictures hoeven dan niet in de container.
  • Uitsluitingen. Gooi de grote, vluchtige caches uit het profiel: Teams classic, browser-caches, de OneDrive-cache, de Citrix Files-cache. Citrix levert hiervoor een kant-en-klare default exclusion list (onder Profile Management > File system en onder Registry); zet die aan en breid hem uit. Voor de bekende app-specifieke lijstjes is het werk van mensen als James Kindon een goede bron. Een opgeruimd profiel is een snelle, kleine container.

Stap 8: testen, controleren en uitrollen

  1. Doe gpupdate /force op een test-sessiehost (of herstart hem) en log in met een testgebruiker uit je pilotgroep.
  2. Controleer de fileshare: er hoort nu een map te verschijnen als \\fileserver\CtxProfiles$\testuser\Win11.x64\ (jouw pad), met daarin een ProfileContainer-map met een .vhdx-bestand.
  3. Controleer de sessie: in Disk Management of met mountvol zie je een gemounte virtuele schijf onder C:\Users\testuser. Maak een wijziging (zet een shortcut op de Desktop, pas een instelling aan), log uit, en log opnieuw in: de VHDX wordt opnieuw gemount en je wijziging staat er nog. Heb je multi-session write-back aangezet, test dan ook twee gelijktijdige sessies.
  4. Logs. Zet tijdens de pilot Enable logging aan met de relevante log levels. De log files staan standaard in C:\Windows\System32\LogFiles\UserProfileManager\ (of het pad dat je instelt met Path to log file). Profile Management-gebeurtenissen verschijnen ook in de Windows Event Log onder “Citrix Profile management”.
  5. Uitrollen. Bevalt het, breid dan Processed groups uit naar de hele organisatie. Bestaande lokale Windows-profielen en bestaande Citrix file-based profielen worden bij de eerste logon automatisch naar de container gemigreerd; het oude profiel blijft staan, dus ruim dat later op. Migreer je vanaf FSLogix? Op de CVAD 2311-ISO (en nieuwer) staat onder \x64\ProfileManagement\Tools\ een script dat FSLogix-containers naar Citrix-containers omzet.

Vuistregel: Begin altijd met een kleine pilotgroep via Processed groups, met logging aan. Een container die niet netjes dismount, geeft de volgende keer "could not mount virtual disk"; dat los je liever op bij twee testgebruikers dan bij je hele organisatie. En vergeet de antivirus exclusions niet, dat is de meest voorkomende oorzaak van trage of beschadigde containers.

Veelgestelde vragen

Kan ik FSLogix en de Citrix Profile Container tegelijk draaien?

Voor de profile container kies je er Ć©Ć©n per machine; twee containeroplossingen die allebei het hele profiel willen beheren, gaan elkaar in de weg. Wel laten sommige beheerders de file-based onderdelen van Citrix Profile Management naast FSLogix-containers draaien, puur om de logon- en profielmonitoring in Citrix Director te houden. Maar twee profile containers tegelijk: niet doen.

Werkt de Citrix Profile Container ook op Azure Virtual Desktop of Windows 365?

Nee. De Citrix Profile Container hoort bij de Citrix VDA. Draai je AVD of Windows 365 zonder Citrix, dan is FSLogix de aangewezen oplossing, en die zit doorgaans al gratis bij je Windows Enterprise- of Microsoft 365-rechten. Zie ook Windows 365 vs. Azure Virtual Desktop en onze cloudwerkplek.

Welke versie van Profile Management heb ik nodig?

De profile container zelf zit erin sinds rond Profile Management 2009 (najaar 2020) en is in elke release sindsdien uitgebreid. Voor VHD auto-expansion heb je 2308 of nieuwer nodig; voor de FSLogix-naar-Citrix-migratietool op de ISO 2311 of nieuwer. Houd je VDA en Profile Management op een recente versie, het liefst de huidige LTSR met de laatste Cumulative Update, en controleer voor versiespecifieke features altijd de pagina op docs.citrix.com.

Zit je vast met trage logons, haperende profielen of een migratie tussen FSLogix en de Citrix Profile Container? Bij Kayhan IT Consultancy ontwerpen, implementeren en beheren we Citrix-werkplekken, inclusief het profielverhaal van fileshare tot policy, met minimale verstoring van jullie gebruikers. Neem contact op voor een vrijblijvend gesprek. neem contact op.

Meer Nieuws & Inzichten

  • Mensen werken op laptops in een kantoor, het type werkplek waar Citrix Platform Flex zich op richt.

    Citrix Platform Flex: wat het is, wat het kost en wanneer het voor jouw organisatie slim is

    Citrix lanceert Platform Flex: een persona-based platform met Flex credits, Citrix-managed infrastructuur op Azure en Citrix DaaS Flex als eerste dienst. De voordelen, de…

    Read more

  • Ethernet-kabels in een serverrack, het soort eigen hardware waarop AVD-sessiehosts on-premises kunnen draaien.

    Azure Virtual Desktop Hybrid: je sessiehosts on-premises draaien (en wanneer dat slim is)

    Met AVD Hybrid draait de Azure Virtual Desktop-broker in de cloud, maar staan je sessiehosts on-premises. Wat is het, hoe werkt het, en wanneer…

    Read more

  • Collega's werken samen op laptops op kantoor.

    Microsoft 365 Business Standard of Business Premium: wat heb je echt nodig?

    Business Standard of Business Premium? Het verschil zit niet in de Office-apps, maar in beveiliging en beheer. Zo bepaal je welk Microsoft 365-abonnement bij…

    Read more

Ben jij klaar om je IT eindelijk gewoon goed geregeld te hebben? Sluit je aan bij organisaties die al vertrouwen op onze IT-oplossingen.

Neem contact op
IT consultancy support en beheer