Профиль windows

Обязательные (read-only) профили пользователей Windows 10

Профиль windows

Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы.

Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы.

При следующем входе обязательный профиль загружается заново.

Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).

Виды обязательный профилей пользователей в Windows

Существует два типа обязательный профилей пользователей Windows:

  • Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
  • Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man. Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра).

Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.

Создаем обязательный профиль в Windows 10

  • Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами (lusrmgr.msc).

Создайте новую учетную запись, например, ConfRoom.

  • Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6. Например, каталог будет называться: C:\ConfRoom.V6.
  • Откройте окно с настройками системы (SystemPropertiesAdvanced.exe).
  • В разделе User Profiles нажмите на кнопку Settings.
  • Выберите профиль Default Profile и нажмите кнопку Copy To.
  • В качестве каталога, в который нужно скопировать профиль выберите C:\ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \\server1\profiles\ConfRoom.V6.

В разрешениях выберите NT AUTHORITY\Authenticated Users.

Совет.

В Windows 10 1709 и выше при копировании шаблона профиля появилась отдельная опция «Mandatory Profile». При использовании этой опции на папку выдаются права на чтение выбранной группе пользователей.

Назначаем обязательный профиль пользователям

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:\ConfRoom.v6.

Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Совет. Вы не можете использовать XML файлы для настройки внешнего вида стартового меню и таскбара для перемещаемых профилей.Совет. Для ускорения входа в систему можно отключить анимированную заставку при первом входе в Windows.

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.

Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.

Если при попытке входа в систему под обязательным пользователем у вас появилась ошибка:

The User Profile Service service failed the sign-in.
User profile cannot be loaded.

И в журнале системы появляется событие Event ID:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off.

Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security.

Either the current user or the Administrators group must be the owner of the folder.

Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):

  • ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
  • Authenticated Users – Read и Execute
  • SYSTEM – Full Control
  • Administrators – Full Control

Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.

При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LM\Software\Microsoft\Windows\CurrentVersion\Explorer\.

Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

  • Use mandatory profiles on the RD Session Host server = Enabled
  • Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Источник

Источник: https://zen.yandex.ru/media/winitpro.ru/obiazatelnye-readonly-profili-polzovatelei-windows-10-5b5eeb1a96f9b900a8f2557d

Как создать обязательные профили пользователей в Windows 10

Профиль windows

Многим системным администраторам требуется создать предварительно настроенную учетную запись пользователя, которая работает с фиксированными настройками.

Эти профили называются обязательными профилями пользователей (один из множества уникальных профилей) в Windows 10.

В этом руководстве мы расскажем, как создать обязательный профиль пользователя , где он вам нужен и как он работает.

Что такое обязательные профили пользователей в Windows 10

Представьте себе сценарий, в котором вам нужно настроить учетную запись с предварительно настроенным доступом практически ко всему.

Он включает в себя значки, которые появляются на рабочем столе, фоновые рисунки рабочего стола, пользовательские настройки на панели управления, выбор принтера и многое другое.

Любые изменения, сделанные пользователем во время сеанса, не сохраняются и действительны только для этого сеанса.

Этот сценарий хорошо подходит для компьютера, который открыт для публики. Пользователь может иметь только ограниченный доступ ко всему. Этот сценарий также применим к школьному компьютеру , где вы не хотите, чтобы дети вносили какие-либо изменения в систему.

Тем не менее, эти профили обычно связаны с сервером. Системный администратор может вносить изменения. Если сервер недоступен, пользователи с обязательными профилями могут войти в систему с помощью локальной кэшированной копии обязательного профиля, если таковой существует. В противном случае пользователь войдет в систему с временным профилем.

Интересно отметить, что системный администратор может применить обязательный профиль пользователя к существующему профилю. Мы увидим это в деталях.

Как создать обязательный профиль пользователя

Непосредственно перед тем, как начать, это должно относиться только к отдельным случаям, и это сложно для обычного пользователя. Рекомендуется не использовать компьютер для бизнеса или работы. Этот процесс удалит все учетные записи домена, доступные на компьютере, включая папки профиля пользователя. Это приведет к потере файлов.

  1. Создайте профиль пользователя по умолчанию и установите настройки для этого профиля пользователя.
  2. Используйте Sysprep (средство подготовки системы Microsoft), чтобы скопировать этот настраиваемый профиль пользователя по умолчанию в общий сетевой ресурс.
  3. Скопировать профиль и установить в качестве обязательного профиля.
  4. Примените обязательный профиль пользователя для пользователей, использующих активный каталог.

Как создать профиль пользователя по умолчанию

1] Войдите на компьютер с учетной записью, которая является членом локальной группы администраторов. Убедитесь, что вы не используете учетную запись домена.

2] Затем внесите изменения в настройки компьютера, которые должны соответствовать этому профилю пользователя. Он может включать фон, удалять приложения, устанавливать бизнес-приложения и так далее. Удаление ненужных приложений поможет ускорить время входа пользователя.

3] После этого нам нужно создать файл ответов (Unattend.xml), который устанавливает для параметра CopyProfile значение True. Короче,

  • Файл ответов содержит определения настроек и значения, используемые при установке Windows.
  • Параметр CopyProfile позволяет настроить профиль пользователя и использовать настроенный профиль в качестве профиля пользователя по умолчанию.

Сначала мы настраиваем существующий профиль, а затем устанавливаем его как профиль пользователя по умолчанию.

4] Запустите командную строку и введите команду Sysprep .

sysprep/oobe/reboot/generalize /unattend:unattend.xml

Эта команда перезагрузит компьютер и запустит процесс настройки, который вы обычно видите, когда настраиваете новую учетную запись. После завершения установки войдите в систему Windows, используя учетную запись с правами локального администратора.

Возможно, вы получите сообщение об ошибке: «Sysprep не смог проверить вашу установку Windows». В этом случае перейдите по адресу% WINDIR% \ System32 \ Sysprep \ Panther \ setupact.log. Он будет иметь список приложений, которые вы должны удалить. Сделай это вручную.

Вы также можете использовать команды Power-Shell Remove-AppxProvisionedPackage и Remove-AppxPackage -AllUsers для удаления этих приложений.

Скопировать профиль и установить в качестве обязательного профиля

5] Следующие шаги – скопировать этот профиль.

Перейдите в Панель управления> Система> Расширенные настройки системы и нажмите Настройки в разделе Профили пользователей .

В профилях пользователей нажмите Профиль по умолчанию , а затем нажмите Копировать в .

Нажмите Копировать в , в разделе Разрешено использовать нажмите Изменить .

Выберите пользователя или группу , в введите имя объекта , чтобы выбрать поле, введите всех, нажмите «Проверить имена», а затем нажмите «ОК».

Нажмите ОК , чтобы скопировать профиль пользователя по умолчанию.

Если вы заметили, есть прямой вариант, чтобы установить это как обязательный профиль, который является нашим основным намерением. Вы можете проверить это и проверить, работает ли он. Если этого не произойдет, у нас есть другой способ в случае возникновения проблемы.

Чтобы сделать профиль пользователя обязательным

В проводнике откройте папку, в которой вы сохранили копию профиля. Перед этим убедитесь, что вы открыли защищенные файлы операционной системы.

Переименуйте файл Ntuser.dat в Ntuser.man.

Примените обязательный профиль пользователя для пользователей, использующих Active Directory

Если вы хотите задать обязательный профиль любого пользователя, вы можете выполнить следующие действия. После завершения вам придется подождать, пока изменения не будут реплицированы на все контроллеры домена.

  1. Откройте Пользователи и компьютеры Active Directory (dsa.msc).
  2. Перейдите к учетной записи пользователя, которой вы назначите обязательный профиль.
  3. Нажмите правой кнопкой мыши имя пользователя и откройте Свойства .
  4. На вкладке Профиль в поле Путь к профилю введите путь к общей папке без расширения. Например, если имя папки \\ server \ profile.v6, введите \\ server \ profile.
  5. Нажмите ОК .

Хотя я старался изо всех сил упростить процесс для всех вас, дайте нам знать, если мы можем добавить что-то, что отсутствует.

Источник: https://techarks.ru/general/osobennosti/kak-sozdat-obyazatelnye-profili-polzovatelej-v-windows-10/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.