Обов'язковий (Mandatory) профіль користувача - це спеціальний Переднастроєні тип переміщуваного профілю, вносити зміни в який можуть тільки адміністратори. Користувачам, яким призначено обов'язковий профіль можуть повноцінно працювати в Windows протягом сесії, але будь-які зміни в профілі не зберігаються після виходу користувача з системи. При наступному вході обов'язковий профіль завантажується заново.
Каталог з обов'язковим профілем можна розмістити в мережевій папці і призначити відразу безлічі користувачів домену: наприклад, для користувачів термінальних сервером, в інформаційних кіосках, або для користувачів, яким не потрібен особистий профіль (школярі, студенти, відвідувачі). Адміністратор може налаштувати для mandatory-профілів перенаправляє папки, в яких користувачі можуть зберігати особисті документи на файлових серверах (звичайно, слід включати квотування на рівні NTFS або FSRM, щоб користувач на забив диски сміттям).
зміст:
- Види обов'язковий профілів користувачів в Windows
- Створюємо обов'язковий профіль в Windows 10
- Призначаємо обов'язковий профіль користувачам
Види обов'язковий профілів користувачів в Windows
Існує два типи обов'язковий профілів користувачів Windows:
- Звичайний обов'язковий профіль користувача (Normal mandatory user profile) - адміністратор перейменовує файл NTuser.dat (містить гілку реєстру користувача HKEY_CURRENT_USER) в NTuser.man. При використанні файлу NTuser.man система вважає, що цей профіль доступний тільки для читання і не зберігає в ньому зміни. У тому випадку, якщо обов'язковий профіль зберігається на сервері, і сервер став недоступний - користувачі з таким типом обов'язкового профілю можуть увійти в систему з закешовану раніше версією обов'язкового профілю.
- Примусовий обов'язковий профіль (Super mandatory user profile) - при використанні цього типу профілю, перейменовується сам каталог з профілем користувача, в кінець також додається .man. Користувачі з цим типом профілю не зможуть увійти в систему, якщо недоступний сервер, на якому зберігається профіль.
У деяких сценаріях допустимо використовувати обов'язкові профілі і для локальних користувачів, наприклад на загальних комп'ютерах (кіоски, зали нарад і т.д.), щоб будь-який користувач працює завжди в одному і тому ж оточенні, будь-які модифікації в якому не зберігаються при виході користувача з системи (замість використання UWF фільтра).
Далі ми покажемо, як використовувати створити нормальний обов'язковий профіль в Windows 10 і призначити його користувачеві. У цьому прикладі ми покажемо, як створити обов'язковий профіль на локальній машині (профіль буде зберігається локально на комп'ютері), однак по тексту пояснимо, як призначити обов'язковий профіль для доменних акаунтів.
Створюємо обов'язковий профіль в Windows 10
- Увійдіть в комп'ютер під облікової запис з правами адміністратора і запустіть консоль управління локальним користувачами і групами (lusrmgr.msc).
- Створіть новий обліковий запис, наприклад, ConfRoom.
- Тепер потрібно скопіювати профіль за замовчуванням в окремий каталог з певним розширенням. Оскільки у нас використовується Windows 10 1607 і вище, у цього каталогу повинен бути суфікс V6. Наприклад, каталог буде називатися: C: \ ConfRoom.V6.
- Відкрийте вікно з настройками системи (SystemPropertiesAdvanced.exe).
- В розділі User Profiles Натисніть на кнопку Settings.
- Виберіть профіль Default Profile і натисніть кнопку Copy To.
- Як каталогу, в який потрібно скопіювати профіль виберіть C: \ ConfRoom.V6 (Або ви можете скопіювати шаблон профілю в мережевий каталог, вказавши UNC шлях, наприклад \\ server1 \ profiles \ ConfRoom.V6.
- У дозволах виберіть NT AUTHORITY \ Authenticated Users.
Призначаємо обов'язковий профіль користувачам
Тепер ви можете призначити обов'язковий профіль потрібного користувачеві.
Якщо у вас використовується локальний обов'язковий профіль, потрібно у властивостях користувача на вкладку Profile в полі Profile Path вказати шлях до каталогу C: \ ConfRoom.v6.
Якщо ви налаштовуєте переміщуваний обов'язковий профіль користувача в домені AD, то UNC шлях до каталогу з профілем потрібно вказати у властивостях облікового запису в консолі ADUC.
Тепер авторизуйтесь в системі під новим користувачем і виконайте необхідні настройки (зовнішній вигляд, розмістіть ярлики, файли, налаштуйте ПО і т.д.).
Порада. Ви не можете використовувати XML файли для налаштування зовнішнього вигляду стартового меню і таскбара для переміщуваних профілів.Порада. Для прискорення входу в систему можна відключити анімовану заставку при першому вході в Windows.Завершіть сеанс користувача і увійдіть в систему під адміністратором і в каталозі з профілем перейменуйте файл NTUSER.dat в NTUSER.man.
Тепер спробуйте авторизуватися в системі під користувачем з обов'язковим профілем і перевірте, що після виходу з системи всі зміни в його профілі не збережеться.
Якщо при спробі входу в систему під обов'язковим користувачем у вас з'явилася помилка:The User Profile Service service failed the sign-in.
User profile can not be loaded.
І в журналі системи з'являється подія Event ID:
Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.
Переконайтеся, що на каталог з профілем призначені наступні дозволи (з успадкуванням дозволів вниз):
- ALL APPLICATION PACKAGES - Full Control (без цього некоректно працює стартове меню)
- Authenticated Users - Read і Execute
- SYSTEM - Full Control
- Administrators - Full Control
Аналогічні дозволу потрібно встановити на гілку реєстру користувача, завантаживши файл ntuser.dat профілю за допомогою меню File -> Load Hive в regedit.exe.
При використанні переміщуваних профілів для коректного відображення стартового меню потрібно на всіх пристроях задати ключ реєстру типу DWORD з ім'ям SpecialRoamingOverrideAllowed і значенням 1 в розділі LM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \.
Якщо вам знадобиться внести зміни в обов'язковий профіль, потрібно перейменувати файл ntuser.man в ntuser.dat і налаштувати середовища під користувачем, після чого перейменувати файл назад.
При використанні mandatory-профілю на RDS серверах можна скористатися наступними політиками, в яких можна вказати шлях до каталогу профілю і включити використання обов'язкових профілів. Розділ GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.
- Use mandatory profiles on the RD Session Host server = Enabled
- Set path for Remote Desktop Services Roaming User Profile = Enabled + вкажіть UNC шлях
Також зверніть увагу, що, якщо ви вирішили використовувати перенаправляє папки спільно з обов'язковим профілем, не рекомендується перенаправляти каталог AppData (Roaming).
