Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.
Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).
Виды обязательный профилей пользователей в Windows
Существует два типа обязательный профилей пользователей Windows:
- Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
- Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man. Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.
В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра).
Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.
Создаем обязательный профиль в Windows 10
- Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами (lusrmgr.msc).
- Создайте новую учетную запись, например, ConfRoom.
- Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6. Например, каталог будет называться: C:\ConfRoom.V6.
- Откройте окно с настройками системы (SystemPropertiesAdvanced.exe).
- В разделе User Profiles нажмите на кнопку Settings.
- Выберите профиль Default Profile и нажмите кнопку Copy To.
- В качестве каталога, в который нужно скопировать профиль выберите C:\ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \\server1\profiles\ConfRoom.V6.
- В разрешениях выберите NT AUTHORITY\Authenticated Users.
Назначаем обязательный профиль пользователям
Теперь вы можете назначить обязательный профиль нужному пользователю.
Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:\ConfRoom.v6.
Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.
Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).
Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.
Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.
The User Profile Service service failed the sign-in.
User profile cannot be loaded.
И в журнале системы появляется событие Event ID:
Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.
Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):
- ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
- Authenticated Users – Read и Execute
- SYSTEM – Full Control
- Administrators – Full Control
Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.
При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LM\Software\Microsoft\Windows\CurrentVersion\Explorer\.
Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.
При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.
- Use mandatory profiles on the RD Session Host server = Enabled
- Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь
Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).
сделала все по инструкции, при заходе другим пользователем не работает меню пуск, хоть ты тресни(
Кнопка Пуск не работает под обычным пользователем или под пользователем с обязательным профилем? Может профиль изначально поврежден? Попробуйте нового пользователя создать и проверить под ним.
У меня таже история была. Так и не вылечил.
Если у кого есть идеи. Пишем не стесняемся.
Аналогичная проблема…
Права в реестре выдайте: полный доступ всем авторизованным юзерам от корня (вроде от корня, лучше проверить, давно настраивали).
Это всё конечно интересно и всё это работает, но только когда один пользователь имеет свой собственный профиль.
К примеру у моих клиентов, в одной школе сотни учеников в домене используют один и тот же мандатный профиль (только для чтения). Это оооочень удобно. Если мне нужно к примеру, всем на рабочий стол положить ярлык или ещё какиенить изменения в профиле сделать. то я делаю это только один раз, а не у 500-та профилей. И один профиль для всех оооочень сильно экономит место на серваке. И всё бы хорошо, но там стоит Windows 7 SP1.
Сейчас они переходят на Windows 10 и я никак не могу настроить профиль так, чтоб его могли использовать сотни разных пользователей.
Для одного конкретного юзера проблем нет. Захожу под ним, меняю что надо, переименовываю NTuser.dat в .man и всё. Но когда другой пользователь из домена с тем же профилем пытается зайти в систему, то начинаются ошибки, то нет доступа, то профиль не найден, то проблема с гпо. Пробовал папке с профилем дать доступ всем, и вообще поигрался с доступом к профилю, но безрезультатно.
Если кто знает, как это сделать в десятке, плиз напишите мне. vfischer @ hcrhamburg.de
Пуск стал работать в много пользовательском режиме на сборке 1809 Widows 10 LTSC ( в моём случае ), и то в ущербном варианте — в Пуске отсутствуют все установленные программы, при закрытом профиле .MAN
помогает «костыль» — перезагрузка проводника после загрузки профиля
Перед закрытием профиля скопировать эти папки в другое место и после закрытия профиля скопировать в место хранения профиля:
AppData \ Local \ Microsoft \ Windows \ CloudStore
AppData \ Local \ Microsoft \ Windows \ кэша
AppData \ Local \ Microsoft \ Windows \ Explorer
Постоянно, после следующего открытия и закрытия профиля проделать эту операцию повторно.
За эти 2 решения (костыля), вам памятник нужно поставить!
Сколько нервов и времени потрачено…..
если не сложно рспишите детальней эти дейсвтия…
спасибо
Спасибо за материал.
Скажите, каков смысл в шагах с 3 по 8 (т.е., в копировании профиля пользователя по умолчанию в папку профиля нового пользователя)? Ведь, при первой авторизации, ОС самостоятельно сделает почти тоже самое (т.е., скопирует дефолтный профиль, но, правда, не назначит NTFS permissions так, как это сделано у вас).
Зачем трогать дефолтный профиль? Тем более он может быть перезаписан при очередном обновлении или установке какого-то софта. Лучше работать с его копией…
Спасибо за ответ.
Из вашего вопроса я заключаю, что мы не понимаем друг друга.
Вы считаете, что я говорил о каких-л.манипуляциях с профилем деф.пользователя со стороны сист. администратора?
Я вас правильно понял :). Вы не поймете, зачем копировать дефолтный профиль. Я говорю о том, что это нужно чтобы не испортить его и использовать для maddatory профиля custom профиль на базе дефолтного:)
Да, теперь вижу, что правильно…
Единственное, что мне неприятно – это то, как можно испортить профиль default user-a если не копировать его самостоятельно, а положиться в этом деле на ОС?