Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.
Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).
Виды обязательный профилей пользователей в Windows
Существует два типа обязательный профилей пользователей Windows:
- Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
- Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man. Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.
В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра).
Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.
Создаем обязательный профиль в Windows 10
- Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами (lusrmgr.msc).
- Создайте новую учетную запись, например, ConfRoom.
- Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6. Например, каталог будет называться: C:\ConfRoom.V6.
- Откройте окно с настройками системы (SystemPropertiesAdvanced.exe).
- В разделе User Profiles нажмите на кнопку Settings.
- Выберите профиль Default Profile и нажмите кнопку Copy To.
- В качестве каталога, в который нужно скопировать профиль выберите C:\ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \\server1\profiles\ConfRoom.V6.
- В разрешениях выберите NT AUTHORITY\Authenticated Users.
Назначаем обязательный профиль пользователям
Теперь вы можете назначить обязательный профиль нужному пользователю.
Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:\ConfRoom.v6.
Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.
Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).
Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.
Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.
The User Profile Service service failed the sign-in.
User profile cannot be loaded.
И в журнале системы появляется событие Event ID:
Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.
Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):
- ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
- Authenticated Users – Read и Execute
- SYSTEM – Full Control
- Administrators – Full Control
Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.
При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LM\Software\Microsoft\Windows\CurrentVersion\Explorer\.
Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.
При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.
- Use mandatory profiles on the RD Session Host server = Enabled
- Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь
Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).
