Перемещаемые профили в Windows 7 на сервере Windows 2008 R2 | Windows для системных администраторов

Перемещаемые профили в Windows 7 на сервере Windows 2008 R2

Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!

Требования

  • Сервер  Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
  • Клиентская рабочая станция с Windows 7
  • Обе машины должно находится в том же домене AD

Создаем домашний каталог на Windows 2008 R2 server

  • Создаем папку HomeWin7, жмем на нее правой кнопкой – «Свойства» и идем на вкладку Безопасность
  • NTFS права доступа будут следующими

  • Нажимаем кнопку «Advanced», а затем «Change Permissions»
  • Снимаем галочку с пункта «Include inheritable permission form this object’s parent» (наследовать права от родительского объекта), а затем Add
  • Выбираем  ACL “Special” ACL и жмем кнопку Edit

  • Изменяем на «Apply to : This folder Only» -> OK
  • Выбираем ACL “Read & execute” -> Edit

  • Изменяем на «Apply to : This folder Only» -> OK
  • Получаем такую картинку

  • Нажимаем OK и переходим на вкладку «Общий доступ» (“Sharing ”), создаем новую общую сетевую папку с именем   HomeWin7$

description:  width=

  • Нажимаем на кнопки «Кэширование» и выбираем «no files or programs are available offline»
  • OK и нажимаем кнопку “Permissions”
  • Предоставляем группе everyone права Full Control  и OK.
  • Открываем консоль управления сервером и переходим в оснастку «File Services, Share and storage management»
  • Выбираем общую папку HomeWin7$, щелкаем по ней правой кнопкой мыши -> свойства
  • Выбираем «Enable access-based enumeration» и ок (это нужно для того, чтобы пользователи видели только свои папки, когда они заходят на общий ресурс \servernameHomeWin7$, подробности тут )

Настройка групповых политик GPO для использования перемещаемых профилей

  • Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
  • Создаем новую политику и переходим в режим правки
  • Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection

  • Нажимаем правой кнопкой мыши по элементу Appdata(roaming) и выбираем «Properties». Настроим этот параметр следующим образом:

  • Переходим на вкладку «Settings» и задаем настройки как на скриншоте:

  • В соответствии со скриншотами настроим и другие параметры политики
  • Параметр Desktop:

  • Параметр Documents:

  • Pictures,  Music и  Video:

  • Опция Favorites:

  • Параметр Contacts:

  • Downloads:

  • Links:

  • Searches:

Кроме того, можно  настроить еще ряд параметров групповой политики

  • User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
  • Создадим также политику для OU пользовательских компьютеров.
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.

ADUC

  • Открываем консоль Active Directory Users and Computers, переходим в свойства пользователя и настроим параметр «Profile path» следующим образом:

  • Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом:

Еще записи по теме: Windows 7
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 12

Оставить комментарий
  1. Артем | 20.05.2011

    Приветствую! Вопрос по данному пункту «Изменяем на «Apply to : This folder Only» -> OK». С такой раздачей прав на корневую папку профиля не получили ли все пользователи доступ к данным соседей?

    Ответить
  2. itpro | 20.05.2011

    Доброго времени!
    В том то и дело, что мы даем пользователям права только на просмотр корневой папки (This folder Only). Т.е. все будут видеть список папок, но зайти смогут только в свою

    Ответить
  3. Den | 29.08.2011

    А почему у тебя с такими правами Админа не пускает?

    Ответить
  4. Zhubai | 25.12.2012

    Win7logonscript.vbs — где этот скрипт и что он делает?

    Ответить
  5. itpro | 25.12.2012

    Zhubai — какой-то специфический VBS скрипт, явно что-то нестандартное. Найдите его поиском и познакомьтесь с кодом…

    Ответить
    • Gandy | 28.02.2013

      Ответ ни о чем, уж не обессудьте. Вы его используете не зная назначения?
      А почему не привести текст этого скрипта?

      За статью в целом — Спасибо. :)

      Ответить
  6. Don Suharini | 16.01.2013

    Автор, Folder Redirection это не перемещаемые профили а перенаправление папки

    Ответить
  7. Daz | 27.02.2013

    Перемещаемый профиль без использования перенаправления папок практически не пригоден к использованию.

    К автору хочу слегка придраться. В предложенном в последней части статьи варианте компоновки пользовательских данных есть недостаток. При такой компоновке на мой взгляд крайне сложно применить шаблоны квот и ограничения по типу файлов. Скажем, заставить хранить документы не на рабочем столе путем урезания квоты для него и увеличения квоты для документов, запрет выполняемых файлов везде кроме папки «Downloads» и так далее.

    Ответить
    • Сергей | 06.03.2014

      Коллега, а как вы применяете такие квоты и запреты? :) Очень интересно, расскажите, пожалуйста :)

      Ответить
      • itpro | 11.03.2014

        Я так понимая, автор ответа использует перемещаемые профили совместно с функционалом FSRM (File Server Resource Manager
        ), позволяющем создавать фильтры файлов, например, запрещая пользователям сохранять файлы определенных разрешений, а также позволяющего задавать ограничения (жесткие и мягкие квоты) на пространство (по сути каталог с перемещаемым профилем), занятое пользователем.
        Вполне красивое и последовательно решение

        Ответить
  8. maxkom | 23.05.2014

    Домен поднят. Пользователь под своей учеткой входит.
    Все сделал по инструкции…папки типа AppData и т.д. в целевой папке не появились. Инфа не синхронизируется…
    Единственное что не сделал так это не прописал Win7logonscript.vbs в поле «сценарий входа в настройках пользователя. Расскажите обязателен ли этот скрипт и если да то где его взять?
    OC Windows Server 2012

    Ответить
    • itpro | 27.05.2014

      Скрипт использовать абсолютно не обязательно…
      По сути вопроса могу дать лишь общие рекомендации: в первую очередь проверьте, применяется лик целевому пользователю указанная выше групповая политика (gpresult, rsop.msc), еще раз перепроверьте права доступа на папку ( для тестовых целей предоставьте пользовательской учетки права RW на каталог перенаправляемыми папками)

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00105 sec