В больших компьютерных сетях, когда рабочее место пользователя не привязано к определенному компьютеру удобно использовать перемещаемые профили пользователей.
Рассмотрим процесс настройки перемещаемых профилей пользователей с использованием групповой политики.
Первым делом, создадим специальную группу. Назовем ее, к примеру, Users with roaming profiles.
Сразу после создания группы можно определить для кого и на каком компьютере будут действовать перемещаемые профили.
Поскольку нас интересует создание перемещаемых профилей для всех пользователей мы добавим в группу Users with roaming profiles всех пользователей домена и все компьютеры домена.
На этом подготовка группы закончена, переходим к работе с файловой системой. На сервере, который будет хранилищем перемещаемых профилей создадим новый общий ресурс.
Если не стоит задачи управлять общим ресурсом (к примеру создавать квоты и ограничения), то выбираем профиль SMB Share ProFile
Если требуется настройка квот и ограничений, либо общий ресурс создается на удаленном сервере то потребуется установка дополнительных компонентов.
Если нужно создать общий ресурс на удаленном сервере, то Компоненты ролей должны быть установлены на управляемом и управляющем серверах.
После установки дополнительных компонентов перейдем непосредственно к созданию общей папки.
Определяем параметры Общего ресурса. К этому моменту папка для хранение перемещаемых профилей должна быть создана.
На следующем шаге включим галочку Enable acces-based enumeration. В этом случае пользователь будет иметь доступ только к файлам своего профиля.
Для организации совместного доступа потребуется произвести настройку прав
В частности нужно отключить наследование
Выбираем пункт
В данном примере нас будут интересовать только пользовательские файлы
Если добавление квот не требуется, продолжим работу мастера
Подготовка общего ресурса завершена, осталось все проверить и нажать кнопку Create.
Создав общий ресурс перейдем в редактор групповой политики для окончательно настройки перемещаемых профилей.
Создадим новый объект групповой политики
Откроем его для изменения и найдем параметр Set roaming path for all users logging omto this computer в ветке Computer Configuration-Profiles- Administartive Template Policity definitions-System-User Profile
Указываем путь к созданной ранее общей папке
Прочитано: 19 048
Ранее я как-то работал с перемещаемыми профилями в Active Directory и это было удобно в плане что все Ваши настройки, файлы всегда у Вас под рукой, не важно сидите ли Вы за компьютер в шоуруме или на складе. Так что сегодня я покажу все действия которые я проделал чтобы пока конкретно для себя сделать данную надстройку.
Первым делом подключаюсь/авторизовываюсь (Login: ekzorchik, Password: 712mbddr@, Group: Domain Admins) к контроллеру домена srv-dc.polygon.local (Server 2012 R2 Standard) либо по RDP, по VNC или же физически подойдя к нему, как в прочем принято у Вас в организации или какие методы используете Вы лично.
Шаг номер один:
Создаю специальный каталог где будут располагаться перемещаемые профили и профиль к профилю не будет иметь доступа, что Важно. Т.к. в моей сети (она тестовая) нет файлового сервера то в роли месторасположения под профили выступит логический диск E контроллера домена. Создаю каталог к примеру с именем profile, после через правый клик мышью по нему открываю его свойства (Properties) — вкладка Sharing — Advanced Sharing
- Share this folder: отмечаю галочкой
- Share name: profile$
- Limit the number of simultaneous users to: 50
После нажимаю Permissions и для всех Everyone проставляю все галочки на доступ:
- Full Control → Allow
- Change → Allow
- Read → Allow
и нажимаю Apply — Ok — Apply — OK, после все еще находясь в свойства каталога profile перехожу на вкладку Security — Advanced — вкладка Permissions — Change permissions, здесь отменяю наследование свыше стоящего: нажимаю Disable inheritance → Convert inherited permissions into explicit permissions on this object и привожу права к следующему виду:
А после пробрасываю текущие права внутрь каталога E:\profile отметкой пункта: Replace all child object permissions entries with inheritable entries from this object — подтверждаю Yes — Ok — Ok
Далее открываю оснастку: Active Directory Users and Computers
Win + X — Control Panel – Active Directory Users and Computers, затем в моем случае в организационном контейнере IT открываю свойства (Properties) учетной записи alektest через правый клик мышью по ней. После перехожу на вкладку Profile и прописываю путь до создаваемого перемещаемого профиля:
- Profile path: \\srv-dc\profile$\DefaultUserV2\%username%
После этого тестирую, как работает вот таким вот образом настройка на работу перемещаемого профиля с одной рабочей станции на другую.
На W7X86
Теперь открываю оснастку управления профилями системы и вижу, что текущий профиль не локальный как если бы пользователь домена или не домена авторизовался в системе:
Пуск — Панель управления — Система — Дополнительные параметры системы – вкладка: Дополнительно — Профили пользователей: Параметры
Если настроить систему на максимальную производительность, добавить ярлыки, файлы в текущий профиль, то при заходе уже на другую систему, к примеру W7X64 все сделанные настройки перенесутся, но для этого нужно завершить текущее подключение: Пуск — Выйти из системы. (Это обязательное условие).
По итогу когда авторизовался под учетной записью alektest на рабочей станции W7X64 все необходимые вынесенные ярлыки отобразились на рабочем столе, выставленные параметры пользовательского окружения также были применены к текущему заходу.
Как же работает перемещаемый профиль: если пользователь уже зашел в систему с использованием перемещаемого профиля, то он первый раз создается, при выходе в каталог на сервере где предопределен путь его хранения копируются только сами изменения сделанные в текущем сеансе, а не весь профиль. Как и говорил выше, изменения синхронизируется с сетевой папкой только когда пользователь делает Log Off (Завершение сеанса) в этом достигается огромнейшее преимущество, что при авторизации на различных компьютера пользователь получит свою систему.
Если же учетная запись (к примеру alektest2) была в домене, но перемещаемый профиль не был настроен, то что произойдет с имеющимися файлами (к примеру на W7X86 на «Рабочем столе» сейчас имеются 7 файлов изображений).
Смотрю какой тип профиля сейчас:
Пуск — Панель управления — Система – Дополнительные параметры системы – вкладка: Дополнительно — Профили пользователей: Параметры
- Имя: POLYGON\alektest2
- Размер: 26,0 Мб
- Тип: Локальный
- Состояние: Локальный
Включаю использование перемещаемых профилей в свойствах учетной записи на домен контроллере: Profile path: \\srv-dc\profile$\DefaultUserV2\%username%
Затем на рабочей станции W7X86 делаю завершение сеанса, после снова авторизуюсь на ней же и проверяю, какой профиль сейчас:
Пуск — Панель управления — Система – Дополнительные параметры системы – вкладка: Дополнительно — Профили пользователей: Параметры
- Имя: POLYGON\alektest2
- Размер: 26,0 Мб
- Тип: Перемещаемый
- Состояние: Перемещаемый
Вспомнив, что на рабочем столе должны быть файлы изображений, проверяю, да так и есть. Теперь делаю Logoff, но уже авторизуюсь на другой станции W7X64 и проверяю все то же самое, итог все соответствует тому моменту когда пользователь имел свои файлы, свои настройки рабочего места.
Пока могу сказать, что использование перемещаемых профилей может сэкономить время при перенастройке системы, переезда пользователя из одного отдела в другой. Теперь не важно нужно ли пользователю подменить кого-то его файлы перемещаться за ним.
На заметку: По практике использования перемещаемых профилей важно чтобы пользовательский профиль был не большого размера, а все тяжеловесные файлы хранились на общем диске, где доступ к которому сделан посредством GPO.
Если пользователей несколько, т. е. Тех кого переводим на использование перемещаемых профилей, то практичнее будет задействование групповых политик домена: (srv-dc)
Win + X — Control Panel — Administrative Tools — Group Policy Management
GPO_Profile — Computer Configuration — Policies — Administrative Templates — System — User Profiles
- Add the Administrators security group to roaming user profiles: Enable
- Disable detection os slow network connections: Enable
- Prompt user when a slow network connection is detected: Disabled
- Set roaming profile path for all users logging onto this computer: Enabled (\\srv-dc\profile$\DefaultUserV2\%username%)
GPO_Profile — User Configuration — Policies — Administrative Templates — System — User Profiles:
- Limit Profile size: Enabled
- Custom Message: У вас слишком большой профиль, почистите его.
- Max Profile size (KB): 1048576 (1Gb)
- Show registry files in the file list: отмечаю галочкой
- Notify user when profile storage space is exceeded: отмечаю галочкой
- Remind user every X minutes: 15
На заметку: из скриншота выше в политике нужно указывать имена учетных записей и всех компьютеров на которых будет работать перемещаемый профиль. Т.е. кто бы не зашел на данные компьютеры у него будет перемещаемый профиль, а если он есть еще и в политике то у него будет ограничение в 1Gb и сообщение при: Пуск — Завершение сеанса:
You have exceeded your profile storage space. Before you can log off, you need to move some items from your profile to network or local storage
Это у меня тестовый пользователь alektest закинул себе на рабочий стол несколько образов и хотел завершить сеанса, но к его сожалению у него ничего не вышло, сработало ограничение в 1Gb.
Также выводится, какие пользовательские файлы учетной записи alektest занимают большой объем и их нужно как правильно говорит информационное окно «Объем хранилища профилей» переместить на другой логический диск или в сетевую папку.
Удаляя самостоятельно подозрительно большие файлы данное окно выше автоматически подсчитывает размер текущего профиля, когда все нормально, то выводится сообщение: «В вашем профиле имеется доступное месторасположения». Раз так, то и выход может быть осуществлен корректно.
На заметку: Чуть больше информации по этой теме Вы можете найти у меня на блоге с платной подпиской:
- GPO Настройки политики перемещение папок и профиля
- Как пересоздать перемещаемый профиль на Server 2012 R2 TS
Как использовать настройку перемещаемых профилей уже решать Вам с учетом ваших задач. Я же для себя сделал напоминалку. Она работает. Что-либо еще добавить пока не зачем, лучше когда что-то будет интересное, а пока все, с уважением автор блога Олло Александр aka ekzorchik.
Все о перемещаемых профилях и перенаправлении папок простыми словами
Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров8.1K
Предисловие
Давно хотел написать про перемещаемые профили, но не было времени. Много в Интернете читал разные отзывы, мнения, комментарии и т. д. Много статей и видеороликов, выкладываемых в сеть, были раскрыты не полностью, а в общих чертах. Такое ощущение, что человек сам не до конца понимает сути вопроса (в чем я сомневаюсь), или считает, что все уже обладают достаточными знаниями и потому многие детали не раскрываются. Пропускались мелочи, на которые стоило бы обратить внимание. Полностью раскрытую тему нигде не нашел, поэтому и решился за написание этой статьи.
Я хотел написать для людей, которые не имеют практического опыта работы с перемещаемыми профилями, не знают, как правильно все сделать, чтобы не было потом больно и обидно за бесцельно потраченные силы и время.
Короче — здесь все для новичков. Разжевано до мелочей. Если все вами будет сделано правильно, проблем не возникнет.
Прежде чем сесть за написание этой статьи, я подключил 56 компьютеров к серверу и все 56 работают через перемещаемые профили. Уже прошло более полугода после подключения последней машины и около 10 месяцев с момента подключения первого компа. Поэтому имею хоть и небольшой, но в данном вопросе хороший опыт.
Уверен, что в комментариях появится много негативных отзывов. Появятся вопросы, обсуждения и осуждения. Я готов к этому. И поэтому начну с небольшой вводной части.
1. Что нам дает перемещаемый профиль и перенаправление папок кроме головной боли?
1.1 Возможность работать со своими документами с любого компьютера, введенного в домен.
1.2 Нет страха, что ваш компьютер сдохнет (сломается, сгорит и т.д.) и все ваши данные будут утеряны, потому как на флешку скинуть с рабочего стола все ценное никогда нет времени, а все ценное мы всегда храним на рабочем столе. Просто берем другой комп и работаем на нем, как на своем.
1.3 Можно экспериментировать с операционкой как вздумается, потому что если ОСЬ накроется медным тазом, всё, что хранилось на рабочем столе, в загрузках, в документах сохранено на сервере.
1.4 Юзер, зная, что содержимое его рабочего стола и остальных папок находятся на сервере в распоряжении сисадмина, вряд ли будет хранить конфиденциальную информацию на своей машине. Даже если она запаролена.
2. Какую головную боль может дать перемещаемый профиль и перенаправление папок?
2.1 Пользователю — никакую. Юзер даже временами не может понять, что сервер помер и он работает с документами в автономном режиме.
2.2 Сисадмину — если все сделано правильно, тоже проблем не будет. Но это при соблюдении необходимых требований.
Немного дегтя в бочку с профилями.
Не стоит разворачивать перемещаемый профиль и перенаправление папок на обычном компьютере, на котором развернут домен. Даже если у вас не один контроллер домена, а целых три (в чем я очень сомневаюсь), и тогда с тремя контроллерами ваша папка с профилями на двух дочерних контроллерах не пригодится.
Да, она реплицируется с первого контроллера на остальные два. Да, все данные профилей у вас дважды будут продублированы. Но если основной контроллер не будет работать, юзеры не смогут подключиться к серверу, потому что их профили жестко привязаны к основному контроллеру домена. И единственным временным вариантом будет работа юзеров в автономном режиме, пока не восстановится основной контроллер.
Чтобы этого избежать, необходимо соблюсти следующие требования к железу:
-
Под домен выделить настоящий сервер, на котором имеется возможность создать RAID‑массивы.
-
Под систему выделить 2 HDD и ввести их в RAID 1.
-
Под профили пользователей выделить не менее 3 HDD и ввести их в RAID 5.
-
Сервер должен иметь опцию возобновления работы после отключения электроэнергии.
Или другой вариант:
-
Сейчас продаются материнские платы с поддержкой RAID 1, 5,10,50. На этой матери собрать компьютер, накатить Server 2016/2019. И в итоге получим не полноценный, но вполне рабочий и надежный сервер. Даже если отключится питание от сервера, всегда можно потом вручную его запустить.
-
На черный день иметь бэкап системы вместе с GPO, с пользователями и т.д. Лучшим вариантом будет бэкап через Акронис. Ну это мое личное мнение. Вольному – воля.
И только при соблюдении этих условий можно разворачивать перемещаемый профиль и перенаправление папок.
Часть 1
Создание папок пользователей в AD и перемещаемого профиля.
-
Открываем на сервере «Пользователи и компьютеры» в AD.
-
В общем подразделении «users» определяемся с правами доступа. Для администраторов нам понадобится группа безопасности «Администратор», а для юзеров — «Пользователи домена».
-
Создаем расшаренную папку — желательно на отдельном диске (на чистом для начала). Объясняю — если с профилями пойдет что‑то не так (пропишете не тот путь) — их удалить тяжело, если совершены ошибки с профилями. Я просто форматировал диск. Потом, когда все будете делать без ошибок, расшарите папку там, где нужно будет.
-
Я создал расшаренную папку под названием «ПРОФИЛИ ЮЗЕРОВ». Это моя папка. Ваша может называться как угодно. Даем полный доступ к этой папке группе безопасности «Пользователи домена». Во вкладке «Безопасность\Дополнительно» убираем наследование.
-
Создаем Подразделения Администраторов и Юзеров в текущем контейнере — т.е в своем домене.
1. Затем создаем подразделения юзеров по отделам, а уже в подразделениях отделов создаем учетные записи пользователей.
1. Открываем свойства учетной записи пользователя Иванова. (Все остальные учетки юзеров создаются по такому же принципу). По умолчанию создаваемые учетные записи имеют группу безопасности «Пользователи домена». Это нам и надо. Ничего не меняем.
Щелкаем на кнопку «Профиль».
Путь к профилю – ничего не вписываем.
Подключить – выбираем диск (это не диск, а папка пользователя на сервере, хотя она будет выглядеть как сетевой диск) и вводим \\имя сервера\имя расшаренной папки\имя отдела\ и %username%
%username% — это переменная пользователя, чтобы вручную не вписывать пользователей в расшаренной папке.
У меня получилось так: \\Virtual-server\профили юзеров\БУХГАЛТЕРИЯ\%username%
Как только нажмем ОК, сразу в расшаренной папке появится папка с именем пользователя Иванова. Затем то же самое делаем с учеткой Петрова и с учеткой Сидорова. В результате в папке БУХГАЛТЕРИЯ появятся личные папки юзеров.
Т.е. переменная %username% преобразуется в имя пользователя в структуре папок.
Удобно.
Для чего такие манипуляции? Для того, чтобы юзер, который входит под своей учетной записью, попадал именно в свою папку на свой рабочий стол, т.е. пропишется имя профиля, а в расшаренной папке появится папка с именем профиля.
В эти папки юзеров будут перенаправляться все служебные папки на основании групповой политики– так они и называются – ПЕРЕНАПРАВЛЯЕМЫЕ ПАПКИ.
В дальнейшем, когда мы создадим несколько GPO с разными параметрами для разных юзеров, их можно будет применять конкретно к определенным компьютерам или для всех пользователей или по отдельности. Об этом в следующей статье.
На данном этапе мы создали структуру профилей пользователей отделов и распределили эти профили по своим папкам. Пока эти папки профилей пустые.
На этом первый этап закончен.
Часть 2
Создание групповой политики ПЕРЕНАПРАВЛЯЕМЫХ ПАПОК
1. В AD запускаем «Управление групповой политикой»
-
В «Объекты групповой политики» создаем новую политику правой клавишей мыши «Создать» и присваиваем ей понятное имя, для чего эта политика предназначена. Для бухгалтерии я присвоил имя — ПРОФИЛИ БУХГАЛТЕРИЯ.
-
ВНИМАНИЕ! Для каждого отдела создаем отдельную GPO с пропиской пути под свой отдел! Позже все поймете.
-
Дальше выделяем созданную ГПО и правой клавишей мыши нажимаем «Изменить». Откроется «Редактор управления групповыми политиками».
-
Открываем этот путь — Конфигурация пользователя\Политики\Конфигурация Windows.
-
Нас интересует вкладка «Перенаправление папки». Открываем ее.
В правом столбце видны папки, которые можно перенаправить. Можно перенаправить только «Рабочий стол» и все. Ну еще добавить «Документы». Но я перенаправляю все папки, кроме «Сохраненные игры». Игры – и так понятно. Некогда играть на работе.
Хотя «Контакты», «Ссылки» и «Поиски» почти никогда не нужны. Это решать каждому, кто какие папки будет перенаправлять.
Далее правой клавишей мыши щелкаем на папке Рабочий стол и открываем вкладку «Свойства».
1. Открывается такое окно:
1. В первой строке надо установить значение «Перенаправлять папки всех пользователей в одно расположение».
2. Во второй строке установить значение «Создать папку для пользователя на корневом пути».
3. И в третьей строке ввести путь своей расшаренной папки, там где будут храниться профили. Обратите внимание — путь перенаправления папок для разных отделов.
Для бухгалтерии после \\имя сервера\имя расшаренной папки\ надо вписать Бухгалтерия, для планового отдела вписать Плановый отдел и т. д.
Об этом я говорил в п.3 Второго этапа.
4. В этом окне есть еще кнопка «Параметры».
-
Первую галку снимаем, вторую оставляем, третью я снял, т.к. у меня нет таких Осей.
-
«Удаление политики». На свое усмотрение, но иногда не корректно папки перенаправляются обратно. Я с этим столкнулся несколько раз. Поэтому я не собираюсь менять политику и оставил точку в первом окне.
-
Нажимаем ОК. Это значит, что папки будут перенаправлены в расшаренную папку и в папку профиля, уже ранее созданного. Все взаимосвязано. Профиль каждого пользователя и GPO имеют одинаковый путь.
-
Как только закончили с этой GPO‑шкой, редактор групповой политики закрываем. Но она еще не привязана к пользователям и компьютерам.
На этом второй этап закончен.
Часть 3
Настройка и привязка GPO к конкретному объекту
Возвращаемся в «Управление групповой политики».
Для того, чтобы привязать GPO к кому-либо объъекту, просто перетаскиваем ее в нужную папку. Т.е. GPO с названием ПРОФИЛИ БУХГАЛТЕРИЯ перетаскиваем в подразделение БУХГАЛТЕРИЯ. Таким образом, эта политика распространяется на всех, кто находится в данном подразделении. И на юзера Иванова, и на юзера Петрова и на Сидорову.
Но если вы по ошибке перетащите GPO-шку в подразделение Петрова, тогда политика будет работать только на юзера Петрова. Я пару раз в запарке ошибался, а потом не мог понять, почем все работает не так.
Но необходимо для созданной GPO-шки установить свои правила применения. Иначе она не будет работать.
Выделяем свою GPO и видим такое окно.
1. В фильтрах безопасности вкладки «Область» добавляем «Компьютеры домена» и «Пользователи домена». По умолчанию там находится группа безопасности «Прошедшие проверку». Мы ее пока удаляем.
2. Смотрим вверху вкладку «Делегирование»
Внизу справа этого окна нажмем кнопку «Дополнительно».
Вот тут и добавляем группу «Прошедшие проверку». Этой группе даем права — только чтение.
«Компьютерам домена» и «Пользователям домена» даем права «Чтение» и «Выполнение групповой политики».
«Контроллеры домена предприятия» — только чтение.
«Система» — права не применяются. У меня пусто.
«Администраторы домена» и «Администраторы предприятия» – полные права, кроме «Выполнение групповой политики».
Примечание! Здесь нужны только «Компьютеры домена», «Пользователи домена» и «Прошедшие проверку». Остальных можно удалить. GPO будет работать исправно, но тогда вы не сможете изменить GPO при необходимости. Поэтому пусть все остается так, как есть.
Вот только после этого GPO считается настроенной
Для обновления на сервере GPO нажать «Пуск»\ Выполнить» и ввести команду «gpupdate /force». Применятся и обновятся все политики.
Теперь дело за малым — надо все проверить.
Заходим на проверочном компе (не на сервере) под созданным пользователем — Иванова и ждем-с. На компьютере будет подготавливаться рабочий стол.
После того, как открылся рабочий стол, на сервере открываем расшаренную папку с именем профиля Иванова.
В папке профиля Иванова должны появиться эти служебные папки:
Это означает, что GPO по перенаправлению папок отработало на УРА.
На этом закончен этап создания групповой политики перенаправления папок и перемещения профиля пользователя.
На этом третий этап закончен.
Часть 4
Заключительная
Теперь для остальных отделов надо создать такие же групповые политики.
Но не надо создавать их заново. Просто в «Объекты групповой политики», копируем созданную политику для Бухгалтерии, вставляем ее в «Объекты групповой политики» (с сохранением существующих разрешений,
Переименовываем на имя другого отдела, правой клавишей – изменить.
Опять идем по пути — Конфигурация пользователя\Политики\Конфигурация Windows\Перенаправление папки.
В перенаправляемых папках только меняем имя отдела, как я говорил ранее.
В итоге получится несколько разных политик для разных отделов.
Напоминаю – это политики для перенаправления папок и перемещения профилей.
Создание групповых политик для разных задач разным пользователям будет разъяснено в другой статье.
Теперь один из важных моментов.
Если отключился основной контроллер, отвалился сетевой провод, умер коммутатор, как юзер сможет работать без подключения к серверу?
Просто. В автономном режиме.
А для этого надо этот режим включить.
После того, как вы вошли в свою учетку (к примеру Иванова) и откроете «Мой компьютер», то увидите примерно такую картинку:
1. Ваши локальные диски.
2. Сетевой диск под названием профиля юзера.
На самом деле это не сетевой диск, а папка профиля на сервере. Для того, чтобы включить автономный режим, правой клавишей мыши щелкаем по этой сетевой папке. Выскакивает такое окно:
Нас интересует вкладка «Автономные файлы». Открываем ее.
Ставим галочку в квадратике «Всегда доступны вне сети» и нажимаем «Синхронизировать».
Начнет выполняться синхронизация ваших файлов в специальную папку.
После синхронизации можете спокойно работать, не боясь, что при отключении от сервера вы не попадете на свой рабочий стол.
При запуске с отключенным сервером загрузка произойдет несколько медленнее ввиду того, что компьютер будет искать сервер. Не найдет его и применится автономный режим. Ничего с рабочего стола не пропадет, все файлы останутся на своих местах.
Вы можете продолжать работать как ни в чем не бывало. Как только сервер снова будет в работе, примерно через 1–2 минуты произойдет репликация вашей машины с сервером и все измененные файлы реплицируются на сервер.
Таким вот образом можно быть уверенным, что все ваши данные под надежной защитой.
Теперь о необходимом.
Мы получили новый рабочий стол, новые системные папки в профиле юзера. Но эти все папки пустые. Остался последний штрих — надо всю информацию юзера с его компьютера перенести на сервер.
Все очень просто. Открываем профиль пользователя на рабочем компьютере, и с каждой системной папки копируем все в такие же папки, которые находятся на «сетевом диске»
Поверьте, то, что я здесь выкладываю, я проверил все на своих серверах и машинах юзеров. Много было ошибок, пока не отработалась технология и последовательность создания и применения перемещаемых профилей.
Ну на этом пока все. Всем желаю удачи.
Roaming user profiles allow a user to log on to any Windows computer in an organization and get their familiar environment, settings, and personal files/folders. In this case, the user profile files are stored in a shared network folder on a file server and are downloaded over the network when the user logs on to the computer. All changed settings and files are synchronized with the server when the user logs out.
In this article, we’ll look at how to configure Windows roaming user profiles in an Active Directory domain.
Roaming profile benefits:
- Users can access their environment’s personal files and settings from any computer in the domain;
- User files are stored on the server, making them easier to back up centrally;
- On a file server, you can apply size quotas to user profiles and specify prohibited file types using FSRM;
- If the user’s computer fails, their data is not lost.
The downside of a roaming profile is that it takes time for the computer to download the profile files from the server when the user logs in. This raises network usage and extends the time it takes for users to log in and log out.
Create a shared network folder to store user files on Windows Server.:
- Open the Server Manager > File and Storage Services > Shares;
- Select Tasks > New Share > SMB Share – Quick;
- Select the local drive where the roaming user profiles will be stored. It is not recommended to store them on the C: drive. Preferably, they should be on a separate drive;
- Set share name (Profiles);
- To hide other users’ profiles, select Enable access-based enumeration;
- Disable inheriting folder permissions;
- Set the NTFS folder permissions according to the table:
| Principal | Access | Applies to |
| Domain Users | Traverse folder / execute file List folder / read data Create folder / append data |
This folder only |
| CREATOR OWNER | Full control | Subfolders and files only |
| Administrators | Full control | This folder, subfolders and files |
| SYSTEM | Full control | This folder, subfolders and files |
Now you need to configure the Profile Path parameter in the user properties.
- Open the Active Directory Users and Computers (ADUC) mmc snap-in;
- Find the user and open his properties;
- Go to the Profile tab;
- In the Profile path attribute, specify the UNC path to the network folder you created. For example, \\fs01\profiles\%username%;
- Use this user account to log on to a domain Windows computer. Check that a directory containing the user profile has been created in the shared folder on the server.
Don’t worry about the .V6 ending the user profile folder name. This is the reference information for the profile version. In this case, it means that the version of the profile that is used is for Windows 10 1607+.
You can use the SetADUser cmdlet in the AD PowerShell Module. To set the path to the user profile directory:
Set-ADUser j.brion -ProfilePath \\fs01\profiles\%username%
Note. In Windows Server RDS farms, the use of user profile discs (UPD) or FSlogix profile technology is preferable to roaming user profiles.
You can configure all computers in a particular domain OU to use roaming profiles by using Group Policy.
- Open the Group Policy Management console (gpmc.msc) and create a new GPO for the OU containing the computer objects;
- Edit the GPO and navigate to Computer Configuration > Policies > Administrative Templates > System > User Profile;
- Enable the Set roaming profile path for all users logging onto this computer policy and specify the path to the shared folder (\\fs01\profiles\%username%). Windows replaces the %USERNAME% environment variable with the user name when the user logs on to the computer;
- After the policy is applied, all users will use roaming profiles when they log on to computers in this OU.
Как добавить Windows 11 в домен и настроить перемещаемые профили
В этой статье мы рассмотрим пошаговый процесс добавления Windows 11 в домен и настройки перемещаемых профилей на Windows Server. Эта инструкция включает в себя правильную настройку сетевого окружения, изменение настроек системы, ввод в домен и настройку перемещаемых профилей. Для наглядности будут приложены скриншоты с ключевыми этапами. Следуйте этим шагам, чтобы успешно подключить вашу машину к домену и настроить ее для администрирования с помощью групповых политик.
Внимание! Добавить в домен можно все версии Windows 11, за исключением Windows 11 Домашняя. Приобрести ключ активации для любых версий Windows 11 можете в нашем каталоге от 1690 ₽ с моментальной доставкой на Вашу электронную почту!
Подготовка к добавлению в домен
Перед началом убедитесь, что у вас запущены следующие машины:
1. Контроллер домена на Windows Server 2022. (как пример, у вас может быть любая другая версия Windows Server)
2. Клиентская машина на Windows 11.
Мы начнем с добавления Windows 11 в домен.
Шаг 1: Проверка сетевых настроек (на Windows 11)
1. Откройте свойства компьютера. Если значок «Этот компьютер» не отображается, найдите его через меню «Пуск» -> «Все приложения» -> «Проводник».
2. Кликните правой кнопкой мыши и выберите «Дополнительно» => «Cвойства».
3. Перейдите в раздел «Домен или рабочая группа» и нажмите «Изменить».
4. Введите Имя компьютер (должно создавать только на Английском языке, без пробелов) и имя вашего домена, после чего нажмите «OK».
5. Если появляется ошибка, нужно проверить настройки сетевой карты, так как Система не видит наш контроллер домена
Шаг 2: Проверка сетевого окружения (на Windows Server)
Нам нужно узнать адреса непосредственно Контролера домена, так что переходим в Windows Server:
1. Зайдите в «Панель управления».
2. Далее «Сеть и интернет».
3. «Центр управления сетями и общим доступом».
4. «Ethernet».
5. «Сведения».
Здесь мы смотрим адреса контроллера домена, а именно:
Адрес IPv4, в нашем случае = 192.168.166.133
DNS-сервер IPv4 = 192.168.166.133 и 77.88.8.8
Именно эти цифры нам и понадобиться вписать в настройки сетевого окружения в Windows 11.
Шаг 3: Изменение DNS-настроек (на Windows 11)
1. Переходим в Ethernet на Windows 11
2. Заходим в «Свойства»
3. Отключаем «IP версии 6 (TCP/IPv6)»
4. Переходим к IP 4 версии (TCP/IPv4), нажимаем «Свойства».
5. В сетевых настройках измените DNS на статический, но оставьте получение IP-адреса автоматически.
6. Далее введите IP-адрес контроллера домена и вторичный DNS (например, 77.88.8.8 от Яндекса).
После чего нажимаем «ОК».
Шаг 4: Настройка сетевого окружения (На Windows 11)
1. Запускаем «Сеть».
2. Нажимаем «ОК»
3. Щелкаем для изменения по всплывающему небольшому окну сверху и выбираем «Включить сетевое обнаружение и общий доступ к файлам»
4. После выбираем «Нет, сделать сеть, к которой подключен этот компьютер, частной»
Теперь система должна увидеть не только контроллер домена но и подключиться к нему.
Шаг 4: Ввод в домен (на Windows 11)
1. Откройте «Параметры».
2. «Система» => «О системе».
3. Находим и открываем «Домен или рабочая группа»
4. Выбираем раздел «Имя компьютера», и нажимаем на «Изменить».
5. Введите новое имя компьютера (на Английском и без пробелов) и ваш домен, нажмите «OK».
6. Если вы все сделали правильно, система попросит вас ввести учетные данные администратора домена. Вводим их.
После чего появится приветственное сообщение «Добро пожаловать в домен …» и потребуется только перезагрузить ваш ПК.
Шаг 5: Проверка подключения (на Windows 11)
1. Запустите перезапуск системы.
2. После перезагрузки ПК, Выберите «Другой пользователь» и зайдите под доменной учетной записью
В нашем примере в домен заведен: pushkinsa@serov.org
Так же можно войти по старому: serov\pushkinsa (то есть сначала название домена, а потом пользователь)
Эти два способа входа работают одинаково.
Настройка перемещаемых профилей (на Windows Server)
Перемещаемые профили позволяют пользователям получать доступ к своим файлам и настройкам с любого компьютера в сети. Это особенно полезно в корпоративной среде, где пользователи могут работать на разных машинах, сохраняя при этом свои рабочие среды.
В нашем примере после подключения Windows 11 в домен, сервер не сохранил данные с подключенного профиля, поэтому его нужно синхронизировать с сервером. В разделе профилей на сервере, вы не увидите никого другого профиля кроме своего собственного, в нашем случае это «Администратор».
Шаг 1: Настройка общего ресурса
1. На сервере создайте папку, например, «profiles».
2. Откройте «Диспетчер серверов»
3. Выберите «Файловые службы и хранилища»
4. «Общие ресурсы» => «Задачи» => «Новый общий ресурс»
5. Выберите «Общий ресурс SMB — быстрый профиль» и нажмите «Далее»
6. Выберите «Ввести пользовательский путь» и нажмите «Обзор»
7. Укажите путь к вашей созданной папке, в нашем случае это «profiles», выберите её и нажмите «Далее».
8. Скопируйте «Удаленный путь к общему ресурсу»
9. Включите «Перечисление на основе доступа».
10. Далее заходим в «Настройки разрешений» => Ставим галочку «Заменить все записи разрешений…» => После нажимаем «Отключение наследования» и выбираем «Преобразовать унаследованные разрешения…»
11. Нажимаем «Применить» => «Да» => «Ок»
12. Прожимаем «Далее» до конца и нажимаем «Создать»
Теперь вы можете увидеть вашу созданную папку в Общих ресурсах.
Шаг 2: Конфигурация групповых политик
1. В разделе «Средства», откройте «Управление групповыми политиками»
2. Раскрываем наш лес => Домены => Ваш домен => Default Domen. Кликаем правой кнопкой мыши «Изменить»
3. Перейдите в «Конфигурация компьютера» => «Политики» => «Административные шаблоны» => «Система»
4. «Профили пользователей», Найдите и откройте «Установить путь к перемещаемым профилям для всех пользователей»
5. Включите эту политику и вставьте путь к папке «profiles», который вы скопировали до этого. В конце допишите \%USERNAME%\, что бы каждому пользователю создавалась отдельная папка которая будет содержать исключительно его данные.
6. Нажмите «Применить» и «ОК».
Шаг 3: Обновление групповых политик
1. Откройте «Командную строку» от имени администратора.
2. Введите команду gpupdate /force и нажмите «Enter».
Проверка работы перемещаемых профилей (на Windows 11)
1. Войдите в систему под доменной учетной записью.
2. Создайте несколько файлов или папок на рабочем столе.
3. Выйдите из системы и войдите снова под другой учетной записью на Windows Server.
4. Проверьте, что созданные файлы и папки доступны и на новом компьютере.
Теперь после каждого выхода пользователя, все данные и файлы будут синхронизироваться и сохраняться на сервере в отдельную папку.
Преимущества перемещаемых профилей
Перемещаемые профили обеспечивают пользователям доступ к их персональным данным и настройкам с любого компьютера в домене. Это особенно полезно для:
— Мобильных сотрудников, которые работают на разных машинах.
— Поддержки ИТ, так как упрощает управление учетными записями и настройками пользователей.
— Централизованного хранения данных, что обеспечивает безопасность и упрощает резервное копирование.
Теперь ваша Windows 11 машина успешно добавлена в домен, и вы настроили перемещаемые профили. Вы можете управлять ею с помощью групповых политик и использовать все преимущества доменной среды.