Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Перемещаемый профиль в домене 2020 r2

Перемещаемый профиль и перенаправление папок пользователей.

Схема работы с перемещаемым профилем и перенаправлением папок пользователей на сервер (рабочий стол, мои документы) в домене Windows дает большие преимущества. Она обеспечивает снижение простоев в работе персонала при отказе рабочей станции (файлы и настройки пользователей доступны с любого компьютера в сети) — при выходе из строя ПК, пользователь авторизируется на любом свободном компьютере под своей учетной записью и продолжает работу. Снижение затрат на обслуживаение и поддержание работы пользователей — централизированное резервное компирование, удобство администрирования — нет необходимости сохранения файлов, настройке рабочей станции, достаточно восстановить из образа готовую ОС с приложениями.

Так я настраивал у себя на работе, проверено на доменах уровня 2003 и 2008 и серверах Windows Server 2003 R2 Standard и Windows Server 2008 Standard.

1. Создаем папку _FolderRDR. Расшариваем скрытой с $ (everyone — полный доступ) и задаем права NTFS:
Administrators, System, Creator/Owner — полный доступ, Domain Users — чтение, изменение.
2. В ней создаем папки Docs и Profiles — разрешения наследуются.
3. Теперь политики:
Конфигурация компьютера — Административные шаблоны — Система — Профили пользователей: Add the Administrators security group to roaming user profiles / Добавить группу «Администраторы» к перемещаемому профилю пользователя
(Эта опция не применяется на существующие профили).

Конфигурация пользователя — Конфигурация Windows — Перенаправление папки («Рабочий стол» и «Мои документы») — Свойства — на вкладке «Конечная папка»

— Политика: Перенаправлять папки всех пользователей в одно место (простая) .
— Размещение конечной папки: Создать папку для каждого пользователя на корневом пути .
— Корневой путь: dc02_FolderRDR$Docs (dc02 — имя файл сервера).

Внизу окна свойств отображается подсказка о том, как будет выглядеть конечный путь.

На вкладке «Параметры»:
— Предоставить монопольный доступ — отключено — иначе у администратора не будет доступа.
— Перенести содержимое папки в новое место — включено.
— После удаления политики перенаправить папку обратно в локальный профиль пользователя .

Конфигурация пользователя — Административные шаблоны — Сеть — Автономные файлы:
— Синхронизировать автономные файлы при входе в систему — включено
— Синхронизация всех автономных файлов перед выходом из системы — включено
— Синхронизировать автономные файлы перед приостановкой — включено — быстрая
— Действия при отключения от сервера — включено — работать автономно
— Нестандартные действия при отключении от сервера — включено — работать автономно
— Удалить «Сделать доступными автономно» — включено
— Не делать перенаправляемые папки достуными в автономном режиме автоматически — отключено

4. Профиль пользователя: в Acitive Directory, в свойствах пользователя — Профиль — Путь к профилю — указываем путь:
dc02_FolderRDR$Profiles%username%

обязательно с именем пользователя в переменной (%username%), иначе у всех будет один профиль.

Microsoft рекомендует выключить кэширование папки для перемещаемых пользовательских папок (net share sharefolder /cache:no, или свойства папки-доступ-кеширование), но при этом не работают автономные файлы при отключении от сервера. Я оставил кэширование, не понял смысл рекомендации… (=.

Устранение проблем:

Пути к офлайновым папкам прописываются в профиле, и при смене файл сервера с тестового на рабочий, чтобы решить проблему попытки синхронизации с несуществующими шарами я удалил и заново создать профиль пользователя, предварительно сохранив файлы. Думаю, можно было поправить реестр пользователя вместо этого.

Необходимо, чтобы у пользователя была локальная копия профиля изначально, иначе не будет работать сохранение файлов в отсутствии подключения к файл серверу.

Полигон 218

Учебный портал

Настройка перемещаемых профилей в Windows Server через GPO

26.11.2019 Михаил Поликарпочкин Комментарии Нет комментариев

В больших компьютерных сетях, когда рабочее место пользователя не привязано к определенному компьютеру удобно использовать перемещаемые профили пользователей.

Рассмотрим процесс настройки перемещаемых профилей пользователей с использованием групповой политики.

Первым делом, создадим специальную группу. Назовем ее, к примеру, Users with roaming profiles.

Сразу после создания группы можно определить для кого и на каком компьютере будут действовать перемещаемые профили.

Поскольку нас интересует создание перемещаемых профилей для всех пользователей мы добавим в группу Users with roaming profiles всех пользователей домена и все компьютеры домена.

На этом подготовка группы закончена, переходим к работе с файловой системой. На сервере, который будет хранилищем перемещаемых профилей создадим новый общий ресурс.

Если не стоит задачи управлять общим ресурсом (к примеру создавать квоты и ограничения), то выбираем профиль SMB Share ProFile

Если требуется настройка квот и ограничений, либо общий ресурс создается на удаленном сервере то потребуется установка дополнительных компонентов.

Если нужно создать общий ресурс на удаленном сервере, то Компоненты ролей должны быть установлены на управляемом и управляющем серверах.

После установки дополнительных компонентов перейдем непосредственно к созданию общей папки.

Определяем параметры Общего ресурса. К этому моменту папка для хранение перемещаемых профилей должна быть создана.

На следующем шаге включим галочку Enable acces-based enumeration. В этом случае пользователь будет иметь доступ только к файлам своего профиля.

Для организации совместного доступа потребуется произвести настройку прав

В частности нужно отключить наследование

В данном примере нас будут интересовать только пользовательские файлы

Если добавление квот не требуется, продолжим работу мастера

Подготовка общего ресурса завершена, осталось все проверить и нажать кнопку Create.

Создав общий ресурс перейдем в редактор групповой политики для окончательно настройки перемещаемых профилей.

Создадим новый объект групповой политики

Откроем его для изменения и найдем параметр Set roaming path for all users logging omto this computer в ветке Computer Configuration-Profiles- Administartive Template Policity definitions-System-User Profile

Указываем путь к созданной ранее общей папке

Обязательные (read-only) профили пользователей Windows 10

Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.

Читать еще:  Имя учетной записи в домене

Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).

Виды обязательный профилей пользователей в Windows

Существует два типа обязательный профилей пользователей Windows:

  • Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
  • Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man . Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра ).

Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.

Создаем обязательный профиль в Windows 10

  • Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами ( lusrmgr.msc ).

Совет . В Windows 10 1709 и выше при копировании шаблона профиля появилась отдельная опция «Mandatory Profile». При использовании этой опции на папку выдаются права на чтение выбранной группе пользователей.

Назначаем обязательный профиль пользователям

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:ConfRoom.v6.

Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC .

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man .

Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.

Если при попытке входа в систему под обязательным пользователем у вас появилась ошибка:

The User Profile Service service failed the sign-in.
User profile cannot be loaded.

И в журнале системы появляется событие Event ID:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):

  • ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
  • Authenticated Users – Read и Execute
  • SYSTEM – Full Control
  • Administrators – Full Control

Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.

При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LMSoftwareMicrosoftWindowsCurrentVersionExplorer.

Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

  • Use mandatory profiles on the RD Session Host server = Enabled
  • Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Перемещаемый профиль в домене 2020 r2

Конфигурирование перемещаемых профилей.

Перед использованием перемещаемого профиля пользователя вы должны выполнить ряд шагов для его создания.

Подготовка сервера.

Перед созданием первого перемещаемого профиля необходимо выполнить ряд шагов на сервере, который будет хранить перемещаемые профили. Эти шаги выполняются однократно перед созданием первого профиля.

Читать еще:  Как добавить в днс домена запись

    На диске, предназначенном для хранения профилей пользователей, создайте папку для профилей, например User Profiles. Установите на эту папку следующие разрешения:

Администраторы, Операционная система — полный доступ;
Пользователи — чтение.

Предоставьте папку User Profiles в общий доступ под именем Profiles. Для общей папки установите следующие разрешения:

Администраторы, Операционная система — полный доступ;
Пользователи — полный доступ.

Таким образом, в большинстве случаев размер профиля пользователя находится в пределах от 5 до 50 Мб. При определении размера дискового пространства, необходимого для хранения перемещаемых профилей пользователей, рекомендуется резервировать достаточное количество пространства и осуществлять постоянный мониторинг используемого дискового пространства. Если при сохранении перемещаемого профиля на сервере не будет достаточного объема дискового пространства — часть данных профиля может быть утеряна.

Создание перемещаемого профиля пользователя.

Следующие действия должны быть выполнены при создании перемещаемого профиля каждого пользователя:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, который будет использоваться для работы этого пользователя в будущем. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \имя_сервераProfiles%username% средствами операционной системы.
    На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах пользователя укажите в качестве пути к профилю пользователя \имя_сервераProfiles%username%.
  • Зарегистрируйтесь на том же компьютере от имени пользователя, для которого создается перемещаемый профиль. Убедитесь, что тип профиля пользователя изменился на «перемещаемый». Завершите сеанс пользователя.

Копирование профиля пользователя.

Копирование профиля пользователя должно выполняться на том компьютере, где уже существует локальный профиль этого пользователя. Копирование должно выполняться из сеанса пользователя с правами локального администратора компьютера и администратора домена. Не рекомендуется выполнять копирование из сеанса того пользователя, чей профиль должен быть скопирован.

Для копирования профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. В списке профилей выберите профиль нужного пользователя и щелкните кнопку Копировать.

В появившемся окне в поле Копировать профиль на укажите полный сетевой путь к папке на сервере, в которую должен быть скопирован профиль пользователя, например \имя_сервераProfilesIvanovII.

При помощи кнопки Изменить вы можете изменить пользователя, который будет иметь возможность использовать перемещаемый профиль. Это позволяет использовать один «шаблонный» профиль для создания перемещаемых профилей нескольких пользователей. Для этого необходимо осуществить операцию копирования профиля несколько раз, каждый раз указывая нужную папку для хранения профиля и пользователя, который будет иметь доступ к профилю. Кроме того, вы можете разрешить использование профиля пользователя не отдельному пользователю, а целой группе. Эта возможность обычно используется при создании назначенных профилей пользователей.

После копирования всех необходимых профилей вы можете закрыть окно свойств системы, щелкнув кнопку ОК или Отмена.

Изменение свойств учетной записи пользователя.

Для изменения свойств учетной записи пользователя запустите консоль управления Active Directory — пользователи и компьютеры. Для этого выберите пункт Администрирование меню Пуск, а в нем щелкните на пункте Active Directory — пользователи и компьютеры. Для просмотра и изменения свойств учетной записи пользователя, найдите интересующий вас объект пользователя в дереве консоли управления Active Directory — пользователи и компьютеры и нажмите на нем правую кнопку мыши. Выберите пункт Свойства контекстного меню. Перейдите на вкладку Профиль.

Введите полный сетевой путь к профилю пользователя в поле Путь к профилю, например, \имя_сервераProfiles IvanovII. Щелкните кнопку ОК для сохранения изменений.

Проверка и изменение типа профиля пользователя.

Прежде чем вам будет доступна возможность проверить или изменить тип профиля пользователя, он должен как минимум один раз зарегистрироваться в домене для использования своего перемещаемого профиля. Изменение типа профиля может быть выполнено из сеанса пользователя с правами локального администратора компьютера, либо самим владельцем профиля.

Для проверки или изменения типа профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. Если для входа в систему использовалось имя обычного пользователя, то на вкладке Профили пользователей будет виден только профиль этого пользователя. Если пользователь является членом группы локальных администраторов, то он будет видеть все профили, хранящиеся на локальном компьютере.

Выберите в списке профиль нужного пользователя. Убедитесь, что указан правильный тип профиля. вы можете изменить тип профиля пользователя, щелкнув кнопку Сменить тип. В появившемся окне укажите тип профиля пользователя и щелкните кнопку ОК. Если текущий профиль был перемещаемым, то после смены его типа на локальный при завершении сеанса пользователя данные профиля не будут копироваться на сервер и в дальнейшем будет использоваться локальная копия профиля. Если текущий профиль был локальным, то после смены его типа на перемещаемый при завершении сеанса пользователя данные профиля будут скопированы в папку профиля на сервере.

Вы можете изменить тип профиля с локального на перемещаемый только в том случае, если для этого пользователя настроено использование перемещаемого профиля в свойствах его учетной записи и этот пользователь ранее работал с перемещаемым профилем.

Создание обязательного профиля пользователя.

Следующие действия должны быть выполнены при создании обязательного профиля:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, профиль которого будет использоваться в качестве шаблона для обязательного профиля. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \имя_сервераProfiles имя_профиля средствами операционной системы. Разрешите использование профиля членам соответствующей группы.
    В папке \имя_сервераProfilesимя_профиля переименуйте файл ntuser.dat в ntuser.man.
  • На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах каждого пользователя, который должен использовать обязательный профиль, укажите в качестве пути к профилю пользователя \имя_сервераProfilesимя_профиля.
    Зарегистрируйтесь на том же компьютере от имени одного из пользователей, для которых создается обязательный профиль. Убедитесь, что тип профиля пользователя изменился на «обязательный». Создайте какой-либо файл на рабочем столе пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на том же компьютере от имени того же пользователя. Убедитесь, что на рабочем столе пользователя нет файла, созданного на предыдущем шаге. Завершите сеанс пользователя.
Читать еще:  Как пронумеровать страницы в word 2020

При использовании обязательного профиля вы не можете изменить его тип на перемещаемый или локальный. Для того, чтобы это можно было сделать, необходимо в свойствах учетной записи пользователя указать ссылку на перемещаемый профиль или вообще не указывать никакого профиля.

Как правильно перенести профили в Windows Server 2008 R2

Перемещаемые профили в Windows Server 2012R2
Добрый день, ребята. У меня вопрос по Windows Server 2012 R2. Пытаюсь разобраться с перемещаемыми.

Обновление Windows Server 2008 на Windows Server 2012 без каких-либо потерь конфигурации сервера
Добрый день товарищи! Подскажите можно ли как нибудь обновиться до версии 2012 без каких либо.

Подойдёт ли лицензионный ключ от Server Windows 2008 Standart к Server Windows Enterprise 8 ?
Всем привет! Подойдёт ли лицензионный ключ от Server Windows 2008 Standart к Server Windows.

Windows Server 2008 как DC
Какие системные требования для Windows Server 2008,который будет играть роль контроллера домена ?

если настройки путей будут совпадать, в чем проблема ctrl+c ctrl+v

Если нужно сохранить ACl, воспользоваться robocopy

Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему Эта надпись лишь говорит о том, что терминальный сервер настроен не корректно, или вы не добавили пользователи на вкладке удаленный доступ. ?

Добавлено через 2 минуты
Я делал так, создавал группу например Terminal 1C, добавлял ее в Удаленных пользователей в свойствах системы, а в АД уже раскидывал нужную группу, нужным людям.

и что? ну а на новый сервер прав у него значит нет. вы сами попробуйте, комбинаторика

Все это делать надо на новом сервере и проверять!

удалите скопированый профиль зайдите под пользователем, сможет он зайти? ( создасцо дефолтный профиль. если не указан иной путь в свойствах учетки в АД )

Если да? значит была проблема в правах на профиль скопированный

Если нет? все то, что я и сказал, проблема в том, что ОН НЕ ИМЕЕТ ПРАВ НА УДАЛЕННЫЙ СЕАНС НА НОВОМ СЕРВЕРЕ! во вкладке удаленный доступ.

Все, пардон. Не добавил группу пользователей домена для удаленного подкл. Вы были правы. Сейчас заново попробую!

Добавлено через 1 час 10 минут
Не хочет воспринимать профили пользователей простым копированием. Создает папку с именем пользователя и дописывает через точку имя домена.

После того как скопировали профиль, выставите в свойствах безопасности доступно всем, проверьте подгрзут эту папку? могло случится так, что у пользователя элементарно, не прав на свой профиль. в логах такое бы отобразилось.

Добавлено через 1 минуту
И еще, это как ?

Есть 2 сервера на Windows Server 2008 R2 x86 и x64

Спасибо вам за помощь. Все получилось. Перенес профили и они заработали!

Добавлено через 16 часов 32 минуты
Может быть кому надо будет.
1. Скопировал все профили из папки Users
2. Перенести ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Узнать где чей профиль достаточно просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.
С которого переносите реестра, делаете Экспортировать прям всю папку ProfileList (если конечно все нужны профили) и кидаете на тот сервак где хотите её вмонтировать, далее открываете и вносятся изменения в реестр. Готово.

Дело в следующем. 2 дня танцов с бубном по переносу профилей с одного сервера на другой.
100 профилей т.е. 100 папок.
Были выявлены некоторые недочеты в инструкции выше.
Теперь все заработало. Пишу ещё раз:
1. Грузимся в «безопасном режиме с поддержкой сетевых драйверов». Грузим тот сервак с которого хотим перенести профили.
2. Копируем профили с правами NTFS. Легко делается в Total Commander. (TC запускаем от имени администратора). Убеждаемся что права скопировались. Правой кнопкой на любом из профилей(папка с именем профиля) жмем , свойства, безопасность в этой вкладке группа и пользователи должно находится имя профиля. Если видите значит все ОКИ Чпоки!
3. Переносим ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Узнать где чей профиль достаточно просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.
С которого переносите реестра, делаете Экспортировать прям всю папку ProfileList (если конечно все нужны профили) и кидаете на тот сервак где хотите её вмонтировать, далее открываете и вносятся изменения в реестр. Готово.

Добавлено через 1 минуту

Спасибо вам за помощь. Все получилось. Перенес профили и они заработали!

Добавлено через 16 часов 32 минуты
Может быть кому надо будет.
1. Скопировал все профили из папки Users
2. Перенести ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Узнать где чей профиль достаточно просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.
С которого переносите реестра, делаете Экспортировать прям всю папку ProfileList (если конечно все нужны профили) и кидаете на тот сервак где хотите её вмонтировать, далее открываете и вносятся изменения в реестр. Готово.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×