Как сделать перемещаемый профиль пользователя в домене

Добавил пользователь Владимир З.
Обновлено: 10.09.2024

C:\Profiles\User\ - а у меня все равно профиль создается не на сервере и на локальной машине

ЗЫ Перемещаемые профили подразумевают, что у вас централизованный почтовый сервер (Exchange, IMAP и пр.)

у юзеров перемещаемый профиль

иногда возникает такая проблема, например с рабочего стола юзер удаляет папку, перелогинивается, а с сервера ета папка не удаляется.

но если например создать новую папку/документ и перелогиниться, на сервер все скопируется, если эту же папку/документ удалить и перелогиниться - она удаляется, а вот некоторые папки не удаляются, именно с папками такие проблемы

права полные стоят на профиль, в шаре профилей стоит запрет автономных файлов, в гпо ничего не менял.

в разных организациях с такой проблемой сталкивался, причем возникает такая не у всех юзеров.

Конфигурирование перемещаемых профилей.

Перед использованием перемещаемого профиля пользователя вы должны выполнить ряд шагов для его создания.

Подготовка сервера.

Перед созданием первого перемещаемого профиля необходимо выполнить ряд шагов на сервере, который будет хранить перемещаемые профили. Эти шаги выполняются однократно перед созданием первого профиля.

    На диске, предназначенном для хранения профилей пользователей, создайте папку для профилей, например User Profiles. Установите на эту папку следующие разрешения:

Администраторы, Операционная система - полный доступ;
Пользователи - чтение.

Таким образом, в большинстве случаев размер профиля пользователя находится в пределах от 5 до 50 Мб. При определении размера дискового пространства, необходимого для хранения перемещаемых профилей пользователей, рекомендуется резервировать достаточное количество пространства и осуществлять постоянный мониторинг используемого дискового пространства. Если при сохранении перемещаемого профиля на сервере не будет достаточного объема дискового пространства - часть данных профиля может быть утеряна.

Создание перемещаемого профиля пользователя.

Следующие действия должны быть выполнены при создании перемещаемого профиля каждого пользователя:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, который будет использоваться для работы этого пользователя в будущем. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \\имя_сервера\Profiles\%username% средствами операционной системы.
    На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах пользователя укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\%username%.
  • Зарегистрируйтесь на том же компьютере от имени пользователя, для которого создается перемещаемый профиль. Убедитесь, что тип профиля пользователя изменился на "перемещаемый". Завершите сеанс пользователя.

Копирование профиля пользователя.

Копирование профиля пользователя должно выполняться на том компьютере, где уже существует локальный профиль этого пользователя. Копирование должно выполняться из сеанса пользователя с правами локального администратора компьютера и администратора домена. Не рекомендуется выполнять копирование из сеанса того пользователя, чей профиль должен быть скопирован.

Для копирования профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. В списке профилей выберите профиль нужного пользователя и щелкните кнопку Копировать.

В появившемся окне в поле Копировать профиль на укажите полный сетевой путь к папке на сервере, в которую должен быть скопирован профиль пользователя, например \\имя_сервера\Profiles\IvanovII.

При помощи кнопки Изменить вы можете изменить пользователя, который будет иметь возможность использовать перемещаемый профиль. Это позволяет использовать один "шаблонный" профиль для создания перемещаемых профилей нескольких пользователей. Для этого необходимо осуществить операцию копирования профиля несколько раз, каждый раз указывая нужную папку для хранения профиля и пользователя, который будет иметь доступ к профилю. Кроме того, вы можете разрешить использование профиля пользователя не отдельному пользователю, а целой группе. Эта возможность обычно используется при создании назначенных профилей пользователей.

После копирования всех необходимых профилей вы можете закрыть окно свойств системы, щелкнув кнопку ОК или Отмена.

Изменение свойств учетной записи пользователя.

Для изменения свойств учетной записи пользователя запустите консоль управления Active Directory - пользователи и компьютеры. Для этого выберите пункт Администрирование меню Пуск, а в нем щелкните на пункте Active Directory - пользователи и компьютеры. Для просмотра и изменения свойств учетной записи пользователя, найдите интересующий вас объект пользователя в дереве консоли управления Active Directory - пользователи и компьютеры и нажмите на нем правую кнопку мыши. Выберите пункт Свойства контекстного меню. Перейдите на вкладку Профиль.

Введите полный сетевой путь к профилю пользователя в поле Путь к профилю, например, \\имя_сервера\Profiles\ IvanovII. Щелкните кнопку ОК для сохранения изменений.

Проверка и изменение типа профиля пользователя.

Прежде чем вам будет доступна возможность проверить или изменить тип профиля пользователя, он должен как минимум один раз зарегистрироваться в домене для использования своего перемещаемого профиля. Изменение типа профиля может быть выполнено из сеанса пользователя с правами локального администратора компьютера, либо самим владельцем профиля.

Для проверки или изменения типа профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. Если для входа в систему использовалось имя обычного пользователя, то на вкладке Профили пользователей будет виден только профиль этого пользователя. Если пользователь является членом группы локальных администраторов, то он будет видеть все профили, хранящиеся на локальном компьютере.

Выберите в списке профиль нужного пользователя. Убедитесь, что указан правильный тип профиля. вы можете изменить тип профиля пользователя, щелкнув кнопку Сменить тип. В появившемся окне укажите тип профиля пользователя и щелкните кнопку ОК. Если текущий профиль был перемещаемым, то после смены его типа на локальный при завершении сеанса пользователя данные профиля не будут копироваться на сервер и в дальнейшем будет использоваться локальная копия профиля. Если текущий профиль был локальным, то после смены его типа на перемещаемый при завершении сеанса пользователя данные профиля будут скопированы в папку профиля на сервере.

Вы можете изменить тип профиля с локального на перемещаемый только в том случае, если для этого пользователя настроено использование перемещаемого профиля в свойствах его учетной записи и этот пользователь ранее работал с перемещаемым профилем.

Создание обязательного профиля пользователя.

Следующие действия должны быть выполнены при создании обязательного профиля:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, профиль которого будет использоваться в качестве шаблона для обязательного профиля. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \\имя_сервера\Profiles\ имя_профиля средствами операционной системы. Разрешите использование профиля членам соответствующей группы.
    В папке \\имя_сервера\Profiles\имя_профиля переименуйте файл ntuser.dat в ntuser.man.
  • На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах каждого пользователя, который должен использовать обязательный профиль, укажите в качестве пути к профилю пользователя \\имя_сервера\Profiles\имя_профиля.
    Зарегистрируйтесь на том же компьютере от имени одного из пользователей, для которых создается обязательный профиль. Убедитесь, что тип профиля пользователя изменился на "обязательный". Создайте какой-либо файл на рабочем столе пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на том же компьютере от имени того же пользователя. Убедитесь, что на рабочем столе пользователя нет файла, созданного на предыдущем шаге. Завершите сеанс пользователя.

При использовании обязательного профиля вы не можете изменить его тип на перемещаемый или локальный. Для того, чтобы это можно было сделать, необходимо в свойствах учетной записи пользователя указать ссылку на перемещаемый профиль или вообще не указывать никакого профиля.

date

03.09.2013

user

itpro

directory

Windows 7

comments

комментариев 12

Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!

Требования

  • Сервер Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
  • Клиентская рабочая станция с Windows 7
  • Обе машины должно находится в том же домене AD

Создаем домашний каталог на Windows 2008 R2 server





description: width=


Настройка групповых политик GPO для использования перемещаемых профилей

  • Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
  • Создаем новую политику и переходим в режим правки
  • Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection




  • В соответствии со скриншотами настроим и другие параметры политики
  • Параметр Desktop:









Кроме того, можно настроить еще ряд параметров групповой политики

  • User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
  • Создадим также политику для OU пользовательских компьютеров.
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.

ADUC


  • Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом:


Предыдущая статья Следующая статья

page

page

page

Папки на флешке стали ярлыками

BOOTMGR is compressed в Windows 7. Что делать?

Восстанавливаем языковую панель в Windows 7

Доброго времени!
В том то и дело, что мы даем пользователям права только на просмотр корневой папки (This folder Only). Т.е. все будут видеть список папок, но зайти смогут только в свою

А почему у тебя с такими правами Админа не пускает?

Win7logonscript.vbs — где этот скрипт и что он делает?

Zhubai — какой-то специфический VBS скрипт, явно что-то нестандартное. Найдите его поиском и познакомьтесь с кодом…

Ответ ни о чем, уж не обессудьте. Вы его используете не зная назначения?
А почему не привести текст этого скрипта?

За статью в целом — Спасибо. ?

Автор, Folder Redirection это не перемещаемые профили а перенаправление папки

Перемещаемый профиль без использования перенаправления папок практически не пригоден к использованию.

Коллега, а как вы применяете такие квоты и запреты? ? Очень интересно, расскажите, пожалуйста ?

Я так понимая, автор ответа использует перемещаемые профили совместно с функционалом FSRM (File Server Resource Manager
), позволяющем создавать фильтры файлов, например, запрещая пользователям сохранять файлы определенных разрешений, а также позволяющего задавать ограничения (жесткие и мягкие квоты) на пространство (по сути каталог с перемещаемым профилем), занятое пользователем.
Вполне красивое и последовательно решение


Можно сделать через групповые политики и перемещаемые профили, но проще всего перенести ветку реестра:

и папки пользователей копированием.

Ситуация 2. Переносим профили на другой диск.

Зачем это надо? Для терминального сервера. За несколько лет размер занятого пространства диска C:\ (загрузочного раздела) может вырасти до сотен гигабайт и возникнут проблемы с резервным копированием, как это получилось у меня. Расчищая диск C:\ сразу увидел, что профили занимают больше 100GB. И квоты в общем-то тут не решат ситуацию, если квоты вообще допустимы для данной организации. Если пользователи работают с тонких клиентов и терминальный сервер получается единственным местом для хранения их информации, то объём этой информации будет расти и расти.

Кроме этого перенос профилей логически обоснован - для файлов профилей нужно индексирование поиска и теневые копии, для системных файлов индексирование не нужно, теневые копии.. даже не могу представить в какой ситуации это может быть востребовано. Для папок профилей бекап желателен, для загрузочного раздела - бекап необходим и большой суммарный объём профилей на этом же разделе сильно мешает, как уже говорил выше.

Первый вариант

Если система только-только установлена меняем значение ProfilesDirectory - "%SystemDrive%\Users" на новое расположение, в ветке реестра:

профиль Администратора останется на старом месте, новые уже будут созданы по новому пути. Этого вполне достаточно. Однако при таком методе возможны проблемы при обновлении системы в дальнейшем.

Второй вариант

Другой вариант когда система относительно свежая, но уже есть пользователи и программы. В этом случае некоторые программы, например MS Office, прописали абсолютные пути к профилям на диске C:\. Тогда лучше переместить все профили скриптом и создать символическую ссылку папки Users на новое месторасположение, загрузившись с установочного диска в командную строку:

если в указании пути будет пробел, то нужно заключить путь в кавычки. Можно дополнить ключом перезагрузки:

и пойти пить чай.

В реестре при этом менять ничего не надо и в этом большой плюс этого метода - система "думает", что все по прежнему на диске C:/ и корректно работает через символическую ссылку. Проверить можно набив путь к профилю пользователя как C:\Users\"какой-то пользователь" и откроется он именно как C:\Users. , а не как D:\Users. . (при переносе на D).

Установка разрешений

После переноса папок профилей для каждой из них нужно обязательно отключить наследование разрешений и поменять разрешения безопасности на следующие:

Для самой папки Users разрешения следующие:

  1. System - Полный доступ;
  2. Administrators - Полный доступ;
  3. Users - Чтение/Выполнение;
  4. Все - Чтение/Выполнение.

То есть для корректной работы системы все разрешения в новом расположении должны соответствовать разрешениям, какие были на диске C:\. Это важно.

Если же система довольно старая, профили по несколько гигабайт, пользоваться скриптом не рекомендую, лучше делать руками и не копировать, а перемещать, контролируя начальный размер папки профиля и размер перенесенного. В этом случае, это понятно и очевидно, ссылку для всей папки C:/Users создать нельзя, так как в ней есть открытые файлы нашего текущего профиля. Профили переносятся отдельно. Ссылка создаётся для каждого профиля отдельно. Свой профиль либо можно оставить и не переносить, либо перенести, временно создав второго админа. Создать, залогиниться под ним, перенести свой профиль, создать ссылку, установить разрешения, разлогиниться, зайти под собой, убить второго админа.

Одно замечание - при создании символических ссылок сразу проверяйте их работоспособность. Особенно когда ссылок создается сразу много.

Решение проблем

Возможные проблемы при копировании/переносе заключается в отсутствии доступа к какому-либо файлу:

  1. Нет прав на каталог;
  2. Блокировка файла процессом;
  3. Невозможность удаления файла.

Если нет прав на каталог, тогда нужно стать владельцем контейнера и входящих в него объектов:

Перенос профиля пользователя

затем добавить себе полные права на контейнер и заменить наследуемые разрешения для потомков. После этого можно переносить/удалять.

Если блокировка процессом, тогда рекомендую программу Unlocker - много вирусов под видом этой программы. Попробуйте вот эту версию, должна быть без вирусов.

Невозможность удаления файла проявляется в основном файлами нулевого размера с точкой в конце имени файла. При попытке удаления появляется ошибка:

Перенос профиля пользователя

В этой ситуации отлично помогает Far Manager, находите файл и нажимаете Alt-Del, затем кнопку "Wipe".

Перенос профиля пользователя

Все изложенное опробовано в "боевых условиях" продакшена. Пока "полет нормальный", если возникнет ещё что-то, тогда напишу дополнение.

Дополнение от 14.06.2016

Оказалось, что если диск с символической ссылкой, созданной с ключом /D, открыт как сетевой на другом компьютере, то переход по данной ссылке заканчивается ошибкой: - "Символическая ссылка не может быть загружена, так как её тип отключен". Для устранения данной ошибки ссылку нужно пересоздать с ключом /J (junction).

Дополнение от 15.06.2016

Папка Users на диске C:/ была заменена символической ссылкой на другой диск, при этом в реестре ничего не менялось. Обновление с Windows 2008 до 2008 R2 прошло успешно. Установка заменила символическую ссылку на папку и создала в ней дефолтные профили всех пользователей. После установки удалил данную папку и пересоздал ссылку.

ad_user

Краткая информация о перемещаемых и временных профилей пользователей.

Перемещаемый профиль пользователя — технология используемая в семействе операционных систем Microsoft Windows, которая позволяет пользователям, подключенных к домену Windows Server, при входе в операционную систему с различных компьютеров локальной сети, получить доступ к своему профилю. Загружаемый профиль пользователя включает настройки программ, документы, ветви реестр и рабочее окружение, в том числе расположение иконок на рабочем столе и прочие настройки. При выходе из системы все измененные настройки профиля и документы синхронизируются с сервером.

Временный профиль пользователя – технология используемая в семействе операционных систем Microsoft Windows, которая не позволяет пользователям, подключенных к домену Windows Server, при входе в операционную систему с различных компьютеров локальной сети, получить доступ к своему профилю или без доступа к файлам созданным ранее в котором нельзя сохранить никакие данные и при выходе будут удаляться.

Было однажды на Windows Server 2008 R2 при уже существующих пользователей, пришлось поднять Active Directory, но случилась беда все созданные пользователи были с временными профилями. Для этого есть два решения:

1. Заходим в редактор регистра или выполнив в CMD команду regedit

ad_user1

Примичание: Если необходимо востановить профиль то в SID есть окончание .bak его нужно удалить в конце.

2. Этот способ делается в Active Directory (в данном случае речь о нем) , но можно и без него но GPO будет отличатся. Если не удается отключить временый профиль то делаем перенаправление. И так заходим в Управление групповой политикой/Default Domain Policy/Лес/Домены/ВАШ_ДОМЕН/Default Domain Policy изменить Конфигурация компьютера/Административные шаблоны/Система/Профили пользователей/ и установить путь к перемещаемым профелям в указаное место.

ad_user2

Также можно задать какие папки нужно перемещать в параметре перенаправление папок (Смотри на рисунок внизу).

ad_user3

Далее необходимо обновить GPO выполнив GPUpdate /force

Share this:

Подобається це:

Пов’язано

Опубліковано admintouls

2 Comments

Скажите, перемещаемые профилил и перенаправленые папки да! Работают и всё прекрасно! Так же активирован параметр удаления кешированного профился на системном разделе, который создаётся в момент логина в систему. Сденлано это для того, что бы не собирать “отработки” в процессе работы пользователя.
Проблемой стала адресная книга Windows Mail Live! Дело в том, что она хранится в разделе профиля Local, который по умолчанию исключён и из перемещения и из перенаправления. Так же не нашел параметров реестра, который бы смог переопределить хранение базы адресной книги, которая к тому же ещё не у себя в рабочей директории по умолчанию находится, а в каталоге Windows live.
Была попытка сделать логоф скрипт, который бы копировал базу и логон скрипотом возвращал на место, но проблема в том, что скрипт выполняется уже после удаления кешированного профиля!
Что делать в такой ситуации и как найти решение?
Заранее спасибо за ответ!

Напиши коментар Скасувати відповідь

Twitter

Error: Please make sure the Twitter account is public.

Категорії

Недавні записи

Подписатся?

Не так часто но в последних версиях Windows а также Servers, начала появляться ошибка “Защита от атак с использованием криптографического оракула CredSSP” . Решение опубликовал в видео а также частая ошибка с подключением к серверу по RDP.Більше […]

Здравствуйте, вчера была осуществлена кибер атака на ряд предприятий и госпредприятий Украины, как сообщило СБУ уязвимость была в протоколе SMB что между samba и Windows, вирус хоть и сильный, но устраняется не сложно, но заранее нужно перестраховаться. Для начала сохраняем все нужные данные на отдельный диск или флешку, потом Установить патч с оф. сайта – […]

Все привет. Хотел настроить систему анализа и мониторинга данных wireshark в Ubuntu 16.10, но увы ошибка хотя запускал под рутом: Not privileges Вообщем решение такое выполняем: setcap ‘CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/sbin/dumpcap Все готово!Більше […]

Столкнулся с такой проблемой при монтировании раздела, решение такое: mount: wrong fs type, bad option, bad superblock on /tmp/docs, missing codepage or helper program, or other error (for several filesystems (e.g. nfs, cifs) you might need a /sbin/mount. helper program) In some cases useful info is found in syslog – try dmesg | tail or…Більше […]

По мере необходимости, нужно было сделать обмен файлов между серверами, на помощь пришел dropbox, итак загружаем и распаковываем через wget 32-bit: cd ~ && wget -O - "https://www.dropbox.com/download?plat=lnx.x86" | tar xzf - 64-bit: cd ~ && wget -O - "https://www.dropbox.com/download?plat=lnx.x86_64" | tar xzf - распаковы […]

Для вывода списка разделов HDD и их размера используйте команду в терминале df – h, или df -i что дает нам максимальное число теоретически возможных файлов на данной файловой системе. Если нужно посмотреть включая виртуальные разделы то: df -h -a для вывода сортировки по размеру по директориям используйте: sudo du -sm /* | sort -nr для вывода…Більше […]

Читайте также: