Обязательный профиль windows server

В Windows можно создавать профили пользователей, доступные только на чтение, с помощью обязательных (mandatory) профилей. Mandatory профиль — это специальный преднастроенный тип перемещаемого профиля, который не сохраняет изменения, внесенные пользователем в рамках сессии.

Когда пользователь выходит из системы, любые изменения в профиле сбрасываются и при следующем входе профиль загружается в исходном виде. Внести изменения в такой профиль может только администратор. Обязательные профили можно использовать на общедоступных компьютерах, информационных киосках, школах и других учебных заведениях, когда при завершении сеанса нужно сбрасывать любые изменения, внесенные пользователем.

Использование обязательных профилей пользователей в Windows

Обязательный профиль, это профиль, который настраивается администратором и недоступен для изменений пользователем. При входе с таким профилем пользователь может вносить любые изменения в свое окружение, но при выходе из системы они будут потеряны.

Обязательный профиль может хранится как локально, так и в сетевой папке (в этом случае он может использоваться сразу на множестве компьютеров).

Существует два типа обязательный профилей пользователей Windows:

• Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При обнаружении в профиле файла NTuser.man система понимает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. Если такой профиль хранится в сетевой папке, то при недоступности сервера пользователь сможет войти в систему с закэшированной ранее версией обязательного профиля.
• Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя (в конец имени папки добавляется .man). Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В этой статье, мы покажем, как создать и назначить пользователю локальный обязательный профиль на компьютере с Windows 10/11.

Создать обязательный (read-only) профиль пользователя в Windows

Есть два способа создания шаблона для обязательного профиля в Windows:

• Первый вариант предполагает создания рабочего окружения для пользователя и применение настроек к профилю Default через режим аудита (Ctrl+Shift+F3) + sysprep с использованием файла ответов Unattend.xml с включенной опцией CopyProfile = True (этот способ подробно описан здесь)
• Второй способ предполагает копирование настроек из Default Profile и внесение изменений в настройки профиля под администратором

Далее мы рассмотрим только второй способ создания mandatory профиля.

1. Войдите в компьютер под учетной запись с правами администратора и откройте консоль управления локальным пользователями и группами (
   lusrmgr.msc
   ).
2. Создайте новую учетную запись, например, ConfRoom.
   

   Картинка с сайта: winitpro.ru

3. Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Для Windows 11, Windows Server 2022/2019 и Windows 10 1607 и выше, нужно добавить в имя каталога суффикс V6. Например, каталог будет называться:
   C:\ReadOnlyProfile.V6
   .
4. Откройте окно с настройками системы (
   SystemPropertiesAdvanced.exe
   ) и нажмите кнопку Settings в разделе User Profiles.
5. Выберите профиль Default Profile и нажмите кнопку Copy To.
6. В качестве каталога, в который нужно скопировать профиль выберите C:\ReadOnlyProfile.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например
   \\server1\profiles\ReadOnlyProfile.V6
   ).
7. В разрешениях выберите NT AUTHORITY\Authenticated Users. Опцию Mandatory profile включать не нужно!
   

   Картинка с сайта: winitpro.ru

Совет. В Windows 10 1709 и выше при копировании шаблона профиля появилась отдельная опция «Mandatory Profile». При использовании этой опции на папку выдаются права на чтение выбранной группе пользователей.

Назначить read-only профиль определенному пользователю Windows

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу
C:\ReadOnlyProfile
(обратите внимание, что суффикс V6 в этом случае указывать не надо!!).

Если вы настраиваете перемещаемый обязательный профиль для пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.

Картинка с сайта: winitpro.ru

Откройте свойства папки C:\ReadOnlyProfile.V6 и добавьте права
Full Control
для группы «All Application Packages». В итоге на эту папку должны быть назначены следующие разрешения( с наследованием разрешений вниз): :

• ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
• Authenticated Users – Read и Execute
• SYSTEM – Full Control
• Administrators – Full Control

Затем откройте редактор реестра, выберите ветку HKEY_USERS и щелкните File -> Load hive. Загрузите в реестр ветку пользователя из файла
C:\ReadOnlyProfile.V6\ntuser.dat
.

Щёлкните по добавленной ветке и выберите Permissions. Здесь нужно дать
Full Control
права на эту ветку реестра для группы “Authenticated Users” и “All Application Packages”

Картинка с сайта: winitpro.ru

После этого выгрузите из редактора реестра этот ntuser.dat файл, выбрав File -> Unload Hive.

Откройте редактор локальный GPO (gpedit.msc) и настройте следующие политики:

• Computer Configuration > Policies > Administrative Templates > System > User Profiles -> Delete cached copies of roaming profiles =
  Enabled
  

  Картинка с сайта: winitpro.ru

• Отключить анимацию при первом входе в Windows: Computer Configuration -> Administrative Templates -> System -> Logon -> Show first sign-in animation =
  Disable
• Computer Configuration -> Administrative Templates -> Windows Components -> OOBE -> Don’t launch privacy settings experience on user logon =
  Enabled
  .
• При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением
  1
  в разделе HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\.

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.

Картинка с сайта: winitpro.ru

Теперь войдите в систему под пользователем с обязательным профилем и проверьте, что пользователь может полноценно работать в своем профиле: настраивать параметры окружения, настраивать программы. Чтобы проверить, что используется mandadory профиль, выполните PowerShell команду:

gwmi win32_userprofile | select localpath,roamingpath,status

Картинка с сайта: winitpro.ru

Путь к используемому обязательному профилю содержится в параметре roamingpath. Status = 4 указывает на то, что используется mandatory тип профиля.

Проверьте NTFS права на корневые папки дисков и убедитесь что у пользователей нет прав на создание в корне диска новых директорий и файлов.

После выхода из системы все изменения в его профиле (в том числе история, куки, параметры приложений, временные файлы) не сохранятся.

Если нужно внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

• Use mandatory profiles on the RD Session Host server = Enabled
• Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Обязательные профили

Обязательный профиль — это перемещаемый профиль, который нельзя изменять. Хотя пользователи могут изменять некоторые настройки во время сеанса, эти изменения не сохраняются в профиле на сервере и недоступны при следующем входе этого пользователя в сеть. Однако администраторы могут вносить изменения в обязательные профили пользователей. Поскольку обязательные профили нельзя изменять в соответствии с личными настройками пользователя, их можно применять к группам пользователей.

Хотя это может показаться удобным на первый взгляд, лично я советую администраторам избегать использования обязательных профилей, поскольку это порождает множество проблем. Я редко встречал обстоятельства, при которых стоило использовать обязательные профили. У вас есть сотни политик, чтобы запрещать пользователям вносить изменения в их среду, и это намного более надежный подход, чем использование обязательных профилей. Но на тот случай, когда у вас имеется убедительная причина для реализации обязательных профилей, которую я не предусмотрел, ниже описывается это средство.

Обязательные профили очень похожи на перемещаемые профили; фактически это перемещаемые профили, однако этот профиль должен существовать в подпапке профилей пользователя на сервере, прежде чем этот пользователь выполнит вход, поскольку обязательный профиль не может быть записан на сервер клиентской рабочей станцией.

Создавая подпапку профилей для пользователя, вы должны реально создать эту подпапку на сервере, поскольку рабочая станция не может этого делать автоматически, как в случае перемещаемых профилей. Задайте полномочия Read and Execute (Чтение и выполнение).

Кроме того, вы должны добавить расширение .man к последнему компоненту UNC-пути. Например, если бы вы создавали обычный перемещаемый профиль, то задали бы UNC-путь в диалоговом окне Properties для пользователя как \\Server\ProfileFolder\ Имя_пользователя. Для обязательного профиля UNC-путь задается как \\Server\ProfileFolder\ Имя_пользователя.man.

После копирования какого-либо профиля в подпапку этого пользователя переименуйте файл улья NTUSER.DAT в NTUSER.MAN, что сделает его доступным только по чтению. Расширение .man в имени подпапки предупреждает Windows Server 2003, что профиль является обязательным, и это, в свою очередь, вынуждает Windows Server 2003 запрещать пользователю вход в домен, если сервер, содержащий этот профиль, недоступен. Пользователи, которые сконфигурированы для использования перемещаемых профилей, могут использовать для входа в этом случае локальный профиль, а пользователи обязательных профилей не могут. Локальный компьютер выводит сообщение, где говорится, что данный пользователь не может выполнить вход в домен, поскольку его обязательный профиль недоступен. (Теперь вы понимаете, что я подразумевал под «множеством проблем»?)

Проблемы недоступных серверов

Наиболее распространенная проблема перемещаемых профилей возникает, когда при входе пользователя недоступен сервер, содержащий профиль этого пользователя. В этом случае Windows загружает локально кэшированную копию этого профиля. Если пользователь еще не выполнял вход на этом компьютере, то система создает новый временный профиль. В конце каждого сеанса временные профили удаляются. Изменения, внесенные пользователем в настройки и файлы рабочего стола, теряются после завершения сеанса пользователя.

Если сервер становится доступен во время работы пользователя, это не имеет значения. Изменения, которые пользователь внес в профиль, не записываются на сервер при завершении сеанса. Здесь действует простое правило: «недоступен при входе, значит, недоступен при выходе».

Домашние папки

Домашняя папка — это директория, которую вы назначаете как контейнер для документов пользователя. В случае домена это обычно папка на сервере, которая способствует резервному копирования данных пользователя. Резервное копирование серверов происходит регулярно, в то время как резервное копирование локальных рабочих станций не происходит почти никогда, даже если вы «запугиваете» своих пользователей. Вы можете также создавать домашние папки для пользователей на их локальных рабочих станциях, но обычно эту роль выполняет папка My Documents. Домашние папки на сервере создаются для отдельных пользователей внутри заранее созданного разделяемого ресурса. Например, создайте папку с именем Users и с именем разделяемого ресурса Users и задайте для группы Everyone полномочия Full Control. После этого вы можете добавлять подпапки для пользователей (\\Server\Users\ Имя_пользователя ).

Добавление домашних папок к профилям

Чтобы создать домашнюю папку для пользователя, откройте диалоговое окно Properties для этого пользователя в оснастке Active Directory Users and Computers. Перейдите во вкладку Profiles (рис. 12.10), выберите вариант Connect (Присоединить), что фактически является автоматическим отображением буквы накопителя, укажите букву накопителя и затем введите UNC-путь.

Картинка с сайта: intuit.ru

Рис.
12.10.
Привязка буквы накопителя к домашней папке на сервере

Примечание. По умолчанию Windows Server 2003 указывает для домашних папок букву накопителя Z:, но некоторые давно работающие администраторы (включая меня) следуют старой традиции, назначая букву накопителя H:.

Если последняя часть этого пути ( имя_пользователя ) не существует, она немедленно создается. Это отличается от создания данной части пути для перемещаемых профилей, которая не создается на сервере, пока данный пользователь не выполнит вход в домен.

Вам следует продумать концепцию домашних папок и принять решения по использованию этого средства для некоторых или всех пользователей. Большим преимуществом домашних папок является хранение документов пользователей на сервере, что гарантирует резервное копирование документов вашей компании.

В случае перемещающихся пользователей вы автоматически получаете преимущества хранения документов на сервере, поскольку профиль, который загружается на локальный компьютер во время входа пользователя, содержит папку этого пользователя My Documents. Когда пользователь завершает сеанс, профиль снова записывается на сервер, включая папку My Documents и ее содержимое. Но если вы используете домашние папки, то при входе перемещающихся пользователей в домен им не приходится ждать, пока папка My Documents (и все ее содержимое) будет скопирована на локальный компьютер. Вместо этого используется указатель на серверную домашнюю папку, который является частью профиля, что намного ускоряет процессы входа и завершения сеанса (и снимает опасения относительно дискового пространства на локальном компьютере).

Перенаправление документов в домашнюю папку

Если у пользователя без перемещаемого профиля имеется домашняя папка на сервере, то в окне My Computer появляется отображаемая буква накопителя, и приглашение в командной строке тоже содержит эту букву накопителя. Однако программы продолжают сохранять документы в папке My Documents, являющейся домашней папкой. Вам нужно перенаправить папку My Documents в домашнюю папку, и это можно делать разнообразными способами.

Если у вас совсем немного пользователей, если они не являются перемещающимися пользователями и если у них есть домашние папки, то вы можете дать им указания, чтобы они перенаправили свои папки My Documents. Инструкции очень простые: нужно щелкнуть правой кнопкой мыши на папке My Documents, выбрать пункт Properties и затем изменить местоположение в поле Target (Место назначения) на домашнюю папку (соответствующая буква накопителя). Windows спросит вас, нужно ли переместить существующие документы в это новое место. Щелкните на кнопке Yes.

Чтобы пользователи не перенаправляли свои папки My Document вручную, вы можете использовать групповую политику, управляющую этим перенаправлением. Откройте редактор групповых политик (GPE) для данного домена или для организационной единицы (OU), содержащей нужных пользователей, и перейдите на уровень User Configuration\Windows Settings\Folder Redirection\My Documents. Щелкните правой кнопкой на объекте My Documents в дереве консоли, чтобы открыть диалоговое окно его свойств с выбранной вкладкой Target (рис. 12.11).

Поле Setting содержит раскрывающийся список со следующими вариантами выбора.

• Basic (Базовое местоположение). Перенаправление папок всех пользователей в одно и то же место.
• Advanced (Несколько мест). Указываются несколько мест для различных групп пользователей.

Картинка с сайта: intuit.ru

Рис.
12.11.
Вы можете перенаправлять папки My Documents каждого пользователя с помощью групповой политики

Перенаправление типа Basic.При выборе варианта Basic папка My Documents каждого пользователя перенаправляется в один и тот же разделяемый ресурс. Затем внутри этого ресурса система автоматически создает подпапку для каждого пользователя. Поскольку перенаправление данного типа выполняется на один сервер, это наиболее подходит для небольшой сети или для OU, содержащей пользователей из одного места.

В поле Target folder location (Местоположение целевой папки) выберите один из следующих вариантов.

• Redirect to the user’s home directory (Перенаправлять в домашнюю папку пользователя).Выберите этот вариант, если вы уже создали домашние папки для своих пользователей.
• Create a folder for each user under the root path (Создавать папку для каждого пользователя внутри корневого пути).Используйте этот вариант после того, как вы создали разделяемый ресурс на сервере для хранения документов пользователей.
• Redirect to the following location (Перенаправлять в следующее место).Используйте этот вариант, если у вас уже есть подпапки для каждого пользователя. В конце UNC-пути введите переменную %username%.
• Redirect to the local userprofile location (Перенаправлять в локальное местоположение профиля пользователя).Является обратным вариантом для всех остальных вариантов и копирует данные назад в локальный профиль пользователя.

Во вкладке Settings, см. рис. 12.12, сконфигурируйте целевую папку, выбрав следующие опции.

• Grant the user exclusive rights to My Documents (Предоставить данному пользователю исключительные права доступа к папке Мои документы).Этот флажок, который установлен по умолчанию, создает полномочия только для пользователя %username%,не давая доступа всем остальным (включая администраторов).

Если вы как администратор хотите получить доступ в эту папку, то должны получить владение этой папкой. Если сбросить этот флажок, то задаются полномочия, определяемые наследованием (которые зависят от полномочий, заданных вами при создании родительской папки).

• Move the contents of My Documents to the new location (Переместить содержимое папки Мои документы в новое место).Этот флажок, устанавливаемый по умолчанию, полностью соответствует своему названию. При следующем входе пользователя в домен его документы автоматически перемещаются (а не копируются) в целевую папку. Это выполняется как для локального, так и перемещающегося пользователя.
• Policy Removal (При удалении политики).В этой секции можно задать, что происходит, если данная политика не применяется. Здесь на самом деле не предполагается, что вы возвращаетесь в редактор GPE, чтобы удалить свои политики по перенаправлению; эта секция используется в предположении, что вы применяете данную политику к определенной OU. Выбранный здесь вариант определяет, что должно быть выполнено для пользователя, который удаляется из этой OU.
• My Pictures Preferences (Для папки Мои рисунки).Используйте эту секцию, чтобы определить, влияет ли эта политика на папку My Pictures.

Картинка с сайта: intuit.ru

Рис.
12.12.
Настройте вашу политику перенаправления во вкладке Settings

Перенаправление типа Advanced.Перенаправление типа Advanced используется для более крупных предприятий, где вы хотите назначить конкретные серверы, исходя из местоположения (групп). Если вы создали группы безопасности, которые связаны с отделами (например, группа для бухгалтерии), то это средство прекрасно подходит для перенаправления. Если выбрать этот вид перенаправления, то появится окно со списком Security Group Membership (Членство в группах безопасности), см. рис. 12.13.

Картинка с сайта: intuit.ru

Рис.
12.13.
Выбор перенаправления типа Advanced позволяет вам задавать разделяемые точки на серверах на уровне отдельных групп

Щелкните на кнопке Add, чтобы выбрать группу и указать целевую разделяемую точку. Повторите эти шаги для каждой группы и разделяемой точки, которые вы хотите использовать для этой политики.

Картинка с сайта: intuit.ru

Как выбрать или создать подходящий профиль

Те, кто давно работает с клиентскими системами Windows XP Professional Edition, Windows 2000 Professional и Windows NT Workstation, вероятно, знакомы с пользовательскими профилями. Пользовательский профиль позволяет хранить конфигурационные данные пользователя в безопасном месте и предоставлять пользователю доступ к ним каждый раз, когда он регистрируется в системе. Эти конфигурационные данные включают в себя набор элементов рабочего стола Windows, сетевые подключения и подключения принтеров, личные группы программ и пункты подменю внутри этих групп. В пользовательском профиле хранятся также другие, потенциально менее важные параметры конфигурации, такие как цвета экрана, заставки хранителя экрана, настройки для мыши, размеры и положение окон. Когда пользователь регистрируется в системе, Windows загружает пользовательский профиль и выполняет настройку среды в соответствии с его параметрами.

На пользовательские профили, конечно, ничего не стоит навесить какой-нибудь пренебрежительный ярлык типа «пользовательский хлам». Однако, если смотреть глубже, можно найти ряд способов очень эффективного применения пользовательских профилей. Несколько типов доступных пользовательских профилей хорошо приспособлены для различных ситуаций и сред. Зная возможности и ограничения всех типов профилей, можно задействовать именно те профили, которые больше всего подходят для конкретной ситуации.

Что в профиле тебе моем?

Пользовательский профиль хранится в одном из файлов реестра и состоит из группы папок и файлов, содержащих пользовательские настройки и данные, о которых упоминалось выше. Windows загружает файл реестра, ntuser.dat, в ветвь реестра HKEY_CURRENT_USER, когда пользователь регистрируется в системе. Файл, а следовательно, и ветвь, содержат настройки в формате данных реестра, формирующие пользовательскую среду, т. е., например, настройки, которые пользователь указывает через Control Panel, назначенные сетевые диски и подключенные принтеры.

Windows хранит файлы пользовательского профиля в выделенной папке конкретного пользователя под именем, которое зависит от учетного имени пользователя. Выделенная папка конкретного пользователя является хранилищем большого набора файлов, среди которых документы пользователя, файлы конфигурации, данные приложений, файлы рабочего стола и элементы меню Start. В XP и Windows 2000 выделенные папки конкретных пользователей находятся в папке Documents and Settings системного корня (например, C:documents and settings). В NT 4.0 выделенные папки конкретных пользователей хранятся в папке Profiles системного каталога (например, C:winntprofiles).

Типы пользовательских профилей

Существует три типа пользовательских профилей, каждый из которых можно задействовать для настройки среды пользователя или при необходимости для предотвращения несанкционированного изменения настроек пользовательской среды. Это локальные профили пользователя, перемещаемые профили пользователя и обязательные профили пользователя. Windows автоматически загружает четвертый тип профиля, временный профиль пользователя, чтобы воспрепятствовать разрушению пользовательской среды, когда операционная система не может загрузить обычный пользовательский профиль.

Windows хранит локальный профиль пользователя на жестком диске локальной системы. Windows создает локальный профиль пользователя при первой регистрации пользователя в системе, и любые изменения, которые вносятся им в среду, имеют силу только для данного пользователя на конкретном компьютере. Например, если пользователь А зарегистрируется на компьютере XP Pro, имеющем имя ComputerX, то любые изменения, которые он внесет в пользовательские настройки, будут доступны только ему и только когда он использует ComputerX. Локальный профиль пользователя можно применять для большинства пользователей.

Возможности администратора в отношении применения локального профиля пользователя с целью управления пользовательской средой не так велики, но он может копировать и удалять эти профили. Для выполнения таких действий в XP Pro нужно открыть в Control Panel приложение System, выбрать вкладку Advanced, затем щелкнуть Settings в области User Profiles. Появится список пользовательских профилей, хранящихся на локальной системе, как показано на экране 1. За один раз можно выбрать один профиль для удаления или копирования и помещения в другой каталог.

Перемещаемые профили пользователей — это локальные профили пользователей, которые централизованно хранятся в папке общего доступа на сервере, и пользователи могут применять их на нескольких системах. Чтобы иметь возможность задействовать перемещаемый профиль пользователя, клиентские системы должны иметь доступ к системам Windows Server 2003, Windows 2000 Server или NT Server 4.0. Когда пользователь регистрируется на локальной системе, Windows загружает этот профиль и использует его, как если бы он был локальным профилем. Когда пользователь завершает работу, Windows копирует все изменения на сервер, чтобы они были доступны данному пользователю, когда он зарегистрируется в следующий раз на любом другом компьютере сети. Перемещаемые профили пользователей привязаны к конкретным пользователям, но не к конкретным компьютерам. Перемещаемые профили можно применять в тех случаях, когда важна переносимость профилей или когда необходимо для защиты данных хранить профили на сервере.

Для указания пути к тому месту в сети, где будут храниться пользовательские профили, применяется оснастка Active Directory Users and Computers консоли Microsoft Management Console (MMC) — в Windows 2000 Server и более поздних версиях — и User Manager for Domains — в NT Server 4.0.

Локальные и перемещаемые профили настраивать очень просто, и они отвечают требованиям большинства пользователей Windows. Однако бывают ситуации, когда нежелательно, чтобы пользователи меняли настройки, составляющие их профиль, или когда требуется, чтобы компьютерная среда была одинаковой для определенной группы пользователей. Например, если организована компьютерная среда для какой-нибудь диспетчерской службы, имеет смысл наделить соответствующую группу пользователей единым меню Start и единым видом рабочего стола Windows независимо от того, на какой системе они регистрируются. Тогда все пользователи будут оказываться в одной и той же рабочей среде, какую бы систему они ни использовали и кто бы ни работал с этой системой до них. Когда возникают такого рода требования, самым лучшим решением являются обязательные профили пользователей. Обязательный профиль может изменить только администратор; Windows не сохраняет изменения профиля, сделанные пользователем во время сеанса. Обязательные профили пользователей в ходу со времен NT 4.0, но многие администраторы не знают о них или просто не привыкли работать с ними.

Windows создает и использует временные профили пользователей, когда некоторая ошибка препятствует загрузке и использованию системой подходящего обычного профиля пользователя (например, если ресурс, содержащий перемещаемые профили пользователей, недоступен, а локальной копии профиля не существует). По окончании сеанса Windows не сохраняет изменения, которые пользователь мог внести во временный профиль. Временные профили в NT 4.0 и более ранних версиях недоступны.

Настройка обязательных профилей

Если в организации, судя по всему, могли бы использоваться обязательные профили пользователей, то необходимо знать, как работать с этими профилями, которые по типу являются перемещаемыми, настраиваются администраторами и доступны только для чтения. Для того чтобы создать обязательный профиль пользователя, сначала требуется подготовить учетную запись пользователя, которая будет служить шаблоном профиля. Создадим в качестве примера учетную запись с именем userX с теми же разрешениями, что и у пользователей или групп, к которым будет применяться обязательный профиль. Затем используем учетную запись userX для регистрации на клиентской системе так, чтобы Windows создала новый профиль пользователя. Внесем изменения в настройки рабочего стола, меню Start и другие пользовательские настройки и завершим сеанс на клиентской системе.

Теперь, когда Windows создала новый обязательный профиль пользователя, необходимо скопировать его на сервер, который должен быть доступен интересующим нас клиентским системам. Создадим на сервере папку, в которой будет храниться обязательный профиль, дадим ей подходящее имя (например, Profiles), затем откроем общий доступ к этой папке. Можно применить к данной папке меры безопасности на уровне файловой системы, чтобы свести к минимуму возможные последствия некорректных действий в сети, но пользователи, для которых предназначен профиль, должны иметь по крайней мере разрешения Read и Execute.

Далее следует снова зарегистрироваться на той же клиентской системе, но на этот раз использовать доменную учетную запись, предоставляющую администраторский уровень доступа к клиентской системе. Необходимо открыть приложение System, указать вкладку Advanced, затем щелкнуть Settings в области User Profiles. Эти инструкции предназначены для XP Pro, но для Windows 2000 Pro и NT Workstation 4.0 они примерно такие же. Нужно выбрать профиль userX и щелкнуть Copy To. В поле Copy profile to следует ввести путь к папке Profiles или щелкнуть Browse и выделить эту папку, затем добавить имя папки, в которой будет храниться содержимое профиля userX (например, serverprofilesmandatory). Необходимо щелкнуть Change в секции Permitted to use и указать группу, включающую всех пользователей, которым требуется назначить обязательный профиль (например, группа Everyone). Затем нужно дважды нажать OK, чтобы начать копирование профиля.

После того как копирование будет завершено, на сервере, содержащем папку Profiles, следует перейти в папку, в которую было скопировано содержимое профиля userX. Чтобы сделать профиль обязательным, нужно переименовать файл ntuser.dat этой папки в ntuser.man. Если файл ntuser.dat не отображается, следует выбрать в меню Tools пункт Folder Options и на вкладке View установить флажок Show hidden files and folders.

Наконец, для назначения пользователям обязательного профиля необходимо задействовать оснастку Active Directory Users and Computers или User Manager for Domains. Это делается точно так же, как при назначении перемещаемых профилей, — требуется указать полный путь к серверу, папке и профилю, как показано на экране 2.

Разобравшись с содержимым пользовательских профилей и типами пользовательских профилей, любой администратор сможет без труда управлять множеством пользовательских настроек клиентских систем Windows. А без применения обязательных профилей обеспечить интеграцию пользовательских настроек и не запутаться довольно сложно.

Эд Рот — редактор Windows & .NET Magazine. С ним можно связаться по адресу: eroth@winnetmag.com

In this blog post I’m trying to explain how-to create a mandatory profile for Server 2012 and Windows 8. This is only for a clean windows installation. The Microsoft best practices are saying that you need to update the Mandatory profile after each software installation/update on the system.

The Test User

First we create a user named: Manny. This user is used to create the profile. You can name it any way you want. Don’t give it any profile. You can create a local user, but my test machine is also a domain controller, so I only can create an AD user.

Login with Manny and customize the environment. (Don’t forget to remove the PowerShell and Server Manager pinned icons in the taskbar).

Картинка с сайта: www.jeroentielen.nl

Now logoff Manny. (Click in the upper right corner on the user name )

Create The Mandatory Profile Folder

Log back in with an Administrator. Copy the Manny profile to you profile share on the network. Rename the folder into: Mandatory.v2 (or any other name you like). The .v2 must be added because Windows Server 2012 and Windows 8 make use of the .v2 type profiles. (Like Windows 7 and 2008 R2)

Load The Profile Into The Registry To Edit It

Start regedit and open the: ntuser.dat from the profile.

Картинка с сайта: www.jeroentielen.nl

Картинка с сайта: www.jeroentielen.nl

Set The Registry Permissions

Open the permissions of the Manny profile. Remove Manny and the Administrators group. Add authenticated users, full control. The permissions would look like this:

I always check, under advanced, “replace all child object permissions entries with inheritable permissions”. Now, for VDI environments this works good. But in RDS environments the same users on the system could access the registry of other users. This can be locked down with subinacl.exe. This will be another blog post soon

Registry Changes

Search the registry for Manny en clean those value’s or change the type from REG_SZ to REG_EXPAND_SZ and add the value %USERNAME%

Delete all policies: Manny\Software\Microsoft\Windows\CurrentVersion\Policies and Manny\Software\Policies

Check: Manny\Software\Microsoft\Windows\CurrentVerion\Run and RunOnce if they are empty. Things that have to start at logon must be started via other methods like logon script/RES WorkSpace Manager/AppSense

The value’s in Manny\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders should not be touched. Because on top of that key there is a line saying: DO NOT USE THIS REGISTRY KEY. But you can change this value’s to %USERPROFILE%\etc. I had some issue’s with applications which use this key and can’t handle the variable. Then you can try to change to REG_EXPAND_SZ or contact the vendor. Because applications should not use this key anymore. Read this blog: http://blogs.msdn.com/b/oldnewthing/archive/2003/11/03/55532.aspx

Unload The Profile

Unload the profile and close the registry editor.

Open explorer and navigate to the profile. Delete the log and TM files.

Картинка с сайта: www.jeroentielen.nl

Rename the NTUSER.DAT file to NTUSER,MAN. The profile should look like this:

Delete Profile Files

Delete the Local and LocalLow directory from the AppData directory.

Картинка с сайта: www.jeroentielen.nl

Windows Explorer Libraries

To get the Libraries working we have to edit some XML files. Open the following file in notepad: Mandatory.V2\AppData\Roaming\Microsoft\Windows\Libraries\Documents.library-ms

Remove the lines with ownerSID and serialized. The XML should look like this:

Картинка с сайта: www.jeroentielen.nl

The last searchConnectorDescription is the public folder on a system. If you don’t want users to use this library simply remove that element. then the XML would look like this:

Картинка с сайта: www.jeroentielen.nl

This link to the microsoft site will explain all folders: http://msdn.microsoft.com/en-us/library/windows/desktop/dd940483(v=vs.85).aspx

Do the same for Music.Library-ms, Pictures.Library-ms and Videos.Library-ms

Windows Explorer Favorites (Links)

Navigate to the Links folder in the root of the Mandatory profile. The Links folder contains Shortcuts which are presented at the top of the Windows Explorer window under Favorites. Don’t mix them with Internet Explorer Favorites.  Open the properties of the Desktop shortcut. Change the target to %USERPROFILE%\Desktop

Do the same for the Download. (Recent Places, can’t be edited).

Assign The Mandatory Profile To A Test User

Now open the properties of a test account and add the mandatory profile. Don’t add the .v2, Windows will add that automatically.

Картинка с сайта: www.jeroentielen.nl

Of course in a real production environment you would set the mandatory profile with a GPO.

Taskbar Pinned Icons

The pinned icons in the taskbar are stored in the following locations:

File: %AppData%\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Taskbar
Registry: HKCU\Sotware\Microsoft\Windows\CurrentVerion\Explorer\Taskband

That registry key is not easy editable. Use your profile management software to roam these settings. And remove the Server Management and PowerShell icons while creating the default profile

Tips

These tricks also work on Windows 7 and Windows Server 2008 R2

The Active Setup is still in this profile. There will be a post update soon

На этом примере рассматривается подготовка и настройка перемещаемых профилей Windows Vista в существующей IT-среде. Вы узнаете, как настроить сетевой профиль по умолчанию, перемещаемый профиль, обязательный профиль и принудительный обязательный профиль.

1. Подготовка к использованию перемещаемых профилей пользователя
2. Создание сетевого профиля пользователя по умолчанию
3. Назначение перемещаемых профилей учетной записи пользователя
4. Подготовка учетной записи пользователя
5. Подготовка расположения для перемещаемого профиля
6. Вход в систему в качестве пользователя
7. Обязательные профили
8. Создание обязательного профиля
9. Подготовка расположения обязательного профиля
10. Создание нового обязательного профиля
11. Изменение типа профиля с перемещаемого на обязательный
12. Принудительные обязательные профили
13. Создание принудительного обязательного профиля

Подготовка к использованию перемещаемых профилей пользователя

Windows Vista создает профиль, когда пользователь, не имеющий перемещаемого профиля, впервые входит в систему. Вновь создаваемый профиль является копией профиля пользователя по умолчанию. Компьютеры, входящие в домен, выполняют поиск сетевого профиля по умолчанию, который расположен в каталоге «Default User» общего ресурса «Netlogon» контроллеров домена.

ОС Windows Vista не распознает сетевой профиль, созданный системами Windows Server 2003 и Windows XP, поэтому в ОС Windows Vista Вам необходимо создать новый сетевой профиль по умолчанию.

Примечание

Наличие сетевого профиля по умолчанию не является обязательным условием. Если Windows Vista его не обнаружит, то будет задействован локальный профиль по умолчанию.

Важно

При создании сетевого профиля по умолчанию в общий каталог «Netlogon» контроллера домена копируется значительный объем информации. Каталог «Netlogon» расположен в общем каталоге «SYSVOL», который реплицируется службой репликации файлов (File Replication Service, FRS) между всеми контроллерами домена. Если для выполнения следующих шагов Вы будете использовать рабочие сетевые ресурсы, то делать это разумнее всего в часы наименьшей загруженности сети.

Создание сетевого профиля пользователя по умолчанию

• Войдите в систему Windows Vista с любой учетной записью пользователя домена (не используйте учетную запись администратора домена).
• Произведите пользовательские настройки. Например, измените цвет фона и экранную заставку в соответствии с корпоративными стандартами. Выйдите из системы.
• Войдите в систему на этом же компьютере, но уже с учетной записью администратора домена.
• Подключитесь к общему каталогу «Netlogon» контроллера домена, используя диалоговое окно команды Выполнить. Например, для домена contoso.com путь выглядит следующим образом: \\HQ-CON-SRV-01\NETLOGON
• В общем каталоге «Netlogon» создайте новый каталог с именем Default User.v2.
• Нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Компьютер и в контекстном меню выберите команду Свойства.
• Щелкните ссылку Дополнительные параметры системы. В группе Профили пользователей нажмите кнопку Параметры.

• Диалоговое окно Профили пользователей содержит список профилей, имеющихся на данном компьютере. Выберите учетную запись, которую Вы использовали в шаге 1. Нажмите кнопку Копировать.
• В текстовом поле Копировать профиль на диалогового окна Копирование профиля введите сетевой путь к каталогу, который Вы создали в шаге 5. Например, применительно к домену contoso.com сетевой путь выглядит так: \\HQ-CON-SRV-01\NETLOGON \Default User.v2.
• В группе Разрешить использование нажмите кнопку Изменить. Введите имя Все, нажмите кнопку OK.
• Нажмите кнопку OK для начала копирования профиля. По окончании процесса закройте все открытые окна и выйдите из системы.

По завершении вышеописанной процедуры Ваша IT-среда будет успешно подготовлена для использования перемещаемых профилей Windows Vista. Сетевой профиль по умолчанию – это профиль, который является источником для создания всех новых профилей. Применение сетевого профиля по умолчанию позволяет Вам автоматизировать внедрение корпоративных стандартов среди работников организации.

Назначение перемещаемых профилей учетной записи пользователя

После создания профиля по умолчанию Вам необходимо назначить учетной записи пользователя перемещаемый профиль и указать его местоположение.

Подготовка учетной записи пользователя

• Войдите в систему Windows Server 2003 или Windows XP в качестве администратора домена. Откройте оснастку Пользователи и компьютеры Active Directory.
• Щелкните правой кнопкой мыши учетную запись, для которой Вы хотите настроить перемещаемый профиль. Выберите команду Свойства
• В появившемся диалоговом окне перейдите на вкладку Профиль. В текстовом поле Путь к профилю введите сетевой путь, который Вы определили в шаге 2, и добавьте к нему «\%username%». Например, путь к профилю для учетной записи user1 в домене contoso.com выглядит так: \\finance\RUP\%username%.

Примечание

Впоследствии переменная среды %username% будет заменена на имя пользователя (в предыдущем случае – на «user1»). В итоге полный сетевой путь примет вид \\finance\RUP\user1.

• Нажмите кнопку OK и закройте оснастку Пользователи и компьютеры Active Directory.

Подготовка расположения для перемещаемого профиля

• Создайте новый каталог на центральном файловом сервере. Этот каталог Вы будете использовать только для перемещаемых профилей. Присвойте каталогу имя, например, «Profiles».
• Предоставьте к созданному каталогу общий доступ под каким-либо именем в соответствии со стандартами Вашей организации.
• Предоставьте группе Прошедшие проверку разрешение Полный доступ для созданного общего ресурса. Например, у финансового отдела в домене contoso.com есть выделенный сервер, предназначенный для хранения профилей. На этом сервере каталог имеет локальное имя «Profiles» и сетевое имя – «RUP».

Примечание

Владельцем каталога перемещаемого профиля становится пользователь, для которого создается этот каталог.

Для того чтобы различать профили версии 1 и профили версии 2, ОС Windows использует расширение «.v2». Профили версии 1 создаются операционными системами Windows Server 2003, Windows XP и Windows 2000. Такие профили нужно хранить в папке с именем, совпадающим с именем пользователя. Профили версии 2 создаются операционной системой Windows Vista. Подобные профили необходимо хранить в папке с составным именем, первая часть которого является именем пользователя, а вторая – расширением «.v2».

Вход в систему в качестве пользователя

• Войдите в систему на рабочей станции под управлением Windows Vista с учетной записью, сконфигурированной Вами в ходе процедуры Подготовка учетной записи пользователя.
• Выйдите из системы.

Перемещаемый профиль наполняется содержимым, когда пользователь впервые выходит из системы. В дальнейшем, любые изменения в профиле будут синхронизированы при каждом выходе пользователя из системы. Каталог, созданный Вами ранее, включает содержимое упомянутого здесь перемещаемого профиля.

Важно

Не добавляйте расширение «.v2» в пути к профилю объекта пользователя в оснастке Пользователи и компьютеры Active Directory. Это может привести к тому, что Windows Vista не обнаружит перемещаемый или обязательный профиль. Расширение «.v2» необходимо добавлять только в имени каталога пользователя на центральном файловом сервере.

Важно

Допускается использование уже существующего общего ресурса, где хранятся имеющиеся перемещаемые профили. Однако при этом у каждого пользователя будет по два каталога для перемещаемых профилей: один для Windows Vista и второй – для Windows XP. Такое решение потребует дополнительных объемов хранения на сервере. Убедитесь в достаточном наличии дискового пространства сервера и в должной настройке дисковых квот.

Обязательные профили

Обязательные профили служат для унификации пользовательской среды для всех работников. Функционирование обязательных и перемещаемых профилей практически идентично, за исключением того, что при выходе из системы обязательный профиль не сохраняется на сервере. Обязательный профиль создается и обслуживается только сетевыми администраторами. Этот тип профиля обеспечивает единое оформление и набор средств для каждого пользователя, значительно снижая этим совокупную стоимость владения (TCO).

Например, системные администраторы домена contoso.com задействуют обязательные профили. В профиле произведены настройки в соответствии с корпоративными стандартами: в частности, логотип компании сделан фоновым рисунком рабочего стола. Пользователь User1 из финансового отдела входит в систему Windows Vista и получает обязательный профиль. Затем User1 заменяет фоновый рисунок и выходит из системы. Позднее User1 повторно входит в систему и снова видит логотип компании в качестве фонового рисунка.

Если бы пользователь User1 получил перемещаемый профиль, то фоновый рисунок и другие изменения в профиле были бы сохранены. Однако обязательные профили не сохраняют изменения, поэтому пользователь вновь получит профиль, назначенный администратором.

Создание обязательного профиля

На основе любого профиля можно создать обязательный профиль. Вы можете сделать один центральный профиль общим для всех пользователей, или изменить тип индивидуальных профилей с перемещаемого на обязательный.

Подготовка расположения обязательного профиля

• Создайте новый каталог на центральном файловом сервере, либо используйте уже существующий каталог, предназначенный для перемещаемых профилей. Например, используйте каталог «Profiles».
• Если Вы создали новый каталог, предоставьте к нему общий доступ под каким-либо именем в соответствии со стандартами Вашей организации.

Примечание

Для общих каталогов, содержащих перемещаемые профили, необходимо предоставить разрешение Полный доступ группе Прошедшие проверку. Для каталогов, предназначенных для хранения обязательных профилей, необходимо предоставить разрешение Чтение группе Прошедшие проверку, а также разрешение Полный доступ группе Администраторы.

• Создайте новый каталог в каталоге, созданном или определенном в шаге 1. Если обязательный профиль предназначается для одного пользователя, то каталог лучше назвать в соответствии с его именем входа. В противном случае – назовите каталог интуитивно понятным образом. Например, в домене contoso.com имя каталога обязательного профиля начинается со слова «mandatory».
• Добавьте к имени каталога расширение «.v2». В нашем случае окончательное имя каталога примет вид «mandatory.v2».

Создание нового обязательного профиля

• Войдите в систему Windows Vista с любой учетной записью пользователя домена (не используйте учетную запись администратора домена).
• Произведите пользовательские настройки. Например, измените цвет фона и экранную заставку в соответствии с корпоративными стандартами. Выйдите из системы.
• Войдите в систему на этом же компьютере, но уже с учетной записью администратора домена.
• Нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Компьютер и в контекстном меню выберите команду Свойства.
• Щелкните ссылку Дополнительные параметры системы. В группе Профили пользователей нажмите кнопку Параметры.

Диалоговое окно Профили пользователей в Windows Vista

• Диалоговое окно Профили пользователей содержит список профилей, имеющихся на данном компьютере. Выберите учетную запись, которую Вы использовали в шаге 1. Нажмите кнопку Копировать.
• В текстовом поле Копировать профиль на диалогового окна Копирование профиля введите сетевой путь к каталогу, который Вы создали в ходе процедуры Подготовка расположения обязательного профиля. Например, применительно к домену contoso.com сетевой путь выглядит так: \\finance\RUP\mandatory.
• В группе Разрешить использование нажмите кнопку Изменить. Введите имя Все и нажмите кнопку OK.
• Нажмите кнопку OK для начала копирования профиля. По окончании процесса закройте все открытые окна и выйдите из системы.

Вы можете изменить тип профиля с перемещаемого на обязательный простым переименованием файла NTUSER.DAT.

Все настроечные параметры Windows можно разделить на две группы: параметры пользователя и параметры компьютера. Параметры пользователя включают, например, размер шрифта, фоновый цвет или экранную заставку. Пользовательские настройки хранятся в файле NTUSER.DAT, расположенном в профиле пользователя. Для того чтобы изменить тип профиля с перемещаемого на обязательный, Вам необходимо переименовать файл NTUSER.DAT на NTUSER.MAN. Однако по умолчанию NTUSER.DAT скрыт от показа в проводнике, поскольку является защищенным системным файлом.

Изменение типа профиля с перемещаемого на обязательный

• Войдите в систему Windows Vista в качестве администратора домена.
• Нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Компьютер и выберите команду Проводник.
• В меню Упорядочить выберите команду Свойства папки и поиска.
• Перейдите на вкладку Вид диалогового окна Свойства папки. Установите переключатель в положение Показывать скрытые файлы и папки. Снимите флажки Скрывать расширения для зарегистрированных типов файлов и Скрывать защищенные системные файлы. Нажмите кнопку OK в окне предупреждения системы. Нажмите кнопку OK, чтобы принять изменения и закрыть диалоговое окно.
• Укажите сетевой путь к общему каталогу, созданному в ходе процедуры Подготовка расположения обязательного профиля, либо к любому другому каталогу, содержащему перемещаемый профиль, чей тип необходимо изменить на обязательный.
• Щелкните правой кнопкой мыши файл NTUSER.DAT, выберите команду Переименовать. Измените имя файла на NTUSER.MAN. Нажмите клавишу ENTER.

После успешного изменения типа профиля с перемещаемого на обязательный Вы можете назначить этот профиль любому пользователю. Для этого необходимо ввести сетевой путь к обязательному профилю в соответствующее текстовое поле объекта пользователя.

Принудительные обязательные профили

Принудительный обязательный профиль – это обязательный профиль, который отвечает дополнительным требованиям безопасности. Успешная загрузка принудительного обязательного профиля является необходимым условием входа пользователя в систему. Бывают ситуации, в которых пользователям не удается загрузить перемещаемый или обязательный профиль. В этом случае Windows Vista создает временный профиль на основе сетевого или локального профиля по умолчанию. Во время выхода пользователя из системы временный профиль удаляется. Принудительный обязательный профиль блокирует создание временного профиля и запрещает пользователю доступ в систему, игнорируя возможные проблемы с обнаружением или загрузкой обязательного профиля.

Создание принудительного обязательного профиля

• Создайте обязательный профиль, следуя инструкции Создание обязательного профиля.
• Находясь в системе в качестве администратора домена, подключитесь общему сетевому ресурсу, который Вы создали или задействовали в шаге 1. Сетевой путь должен указывать на каталог с обязательным или перемещаемым профилем. Например, в случае с доменом contoso.com сетевой путь выглядит так: \\finance\RUP\.
• Щелкните правой кнопкой мыши каталог, для которого необходимо настроить принудительный обязательный профиль. Выберите команду Переименовать. Добавьте к имени каталога расширение «.man.v2». Закройте проводник.
• В качестве администратора домена откройте оснастку Пользователи и компьютеры Active Directory из системы Windows Server 2003 или Windows XP.
• Щелкните правой кнопкой мыши учетную запись, для которой необходимо настроить обязательный профиль. Выберите команду Свойства.
• Перейдите на вкладку Профиль. В текстовом поле Путь к профилю введите сетевой путь, созданный Вами в шаге 1. Добавьте к пути окончание «.man». Например, путь к обязательному профилю пользователя user1 в домене contoso.com будет таким: \\finance\RUP\user1.man.

Теперь пользователи, для которых успешно настроен принудительный обязательный профиль, не смогут сохранять свои настройки на сервере. Кроме того, пользователь не сможет войти в систему в случае неудачной загрузки обязательного профиля.

(все статьи данного цикла)

Автор: Майк Стивенс (Mike Stephens)
Редактор: Крэйг Либендорфер (Craig Liebendorfer
Перевод: Шамиль Абакаров