Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!
Требования
- Сервер Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
- Клиентская рабочая станция с Windows 7
- Обе машины должно находится в том же домене AD
Создаем домашний каталог на Windows 2008 R2 server
- Создаем папку HomeWin7, жмем на нее правой кнопкой – «Свойства» и идем на вкладку Безопасность
- NTFS права доступа будут следующими
- Нажимаем кнопку «Advanced», а затем «Change Permissions»
- Снимаем галочку с пункта «Include inheritable permission form this object’s parent» (наследовать права от родительского объекта), а затем Add
- Выбираем ACL “Special” ACL и жмем кнопку Edit
- Изменяем на «Apply to : This folder Only» -> OK
- Выбираем ACL “Read & execute” -> Edit
- Изменяем на «Apply to : This folder Only» -> OK
- Получаем такую картинку
- Нажимаем OK и переходим на вкладку «Общий доступ» (“Sharing ”), создаем новую общую сетевую папку с именем HomeWin7$
- Нажимаем на кнопки «Кэширование» и выбираем «no files or programs are available offline»
- OK и нажимаем кнопку “Permissions”
- Предоставляем группе everyone права Full Control и OK.
- Открываем консоль управления сервером и переходим в оснастку «File Services, Share and storage management»
- Выбираем общую папку HomeWin7$, щелкаем по ней правой кнопкой мыши -> свойства
- Выбираем «Enable access-based enumeration» и ок (это нужно для того, чтобы пользователи видели только свои папки, когда они заходят на общий ресурс \servernameHomeWin7$, подробности тут )
Настройка групповых политик GPO для использования перемещаемых профилей
- Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
- Создаем новую политику и переходим в режим правки
- Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection
- Нажимаем правой кнопкой мыши по элементу Appdata(roaming) и выбираем «Properties». Настроим этот параметр следующим образом:
- Переходим на вкладку «Settings» и задаем настройки как на скриншоте:
- В соответствии со скриншотами настроим и другие параметры политики
- Параметр Desktop:
- Параметр Documents:
- Pictures, Music и Video:
- Опция Favorites:
- Параметр Contacts:
- Downloads:
- Links:
- Searches:
Кроме того, можно настроить еще ряд параметров групповой политики
- User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
- Создадим также политику для OU пользовательских компьютеров.
- Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
- Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
- Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.
ADUC
- Открываем консоль Active Directory Users and Computers, переходим в свойства пользователя и настроим параметр «Profile path» следующим образом:
- Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом:
Приветствую! Вопрос по данному пункту «Изменяем на «Apply to : This folder Only» -> OK». С такой раздачей прав на корневую папку профиля не получили ли все пользователи доступ к данным соседей?
Доброго времени!
В том то и дело, что мы даем пользователям права только на просмотр корневой папки (This folder Only). Т.е. все будут видеть список папок, но зайти смогут только в свою
А почему у тебя с такими правами Админа не пускает?
Win7logonscript.vbs — где этот скрипт и что он делает?
Zhubai — какой-то специфический VBS скрипт, явно что-то нестандартное. Найдите его поиском и познакомьтесь с кодом…
Ответ ни о чем, уж не обессудьте. Вы его используете не зная назначения?
А почему не привести текст этого скрипта?
За статью в целом — Спасибо. 🙂
Автор, Folder Redirection это не перемещаемые профили а перенаправление папки
Перемещаемый профиль без использования перенаправления папок практически не пригоден к использованию.
К автору хочу слегка придраться. В предложенном в последней части статьи варианте компоновки пользовательских данных есть недостаток. При такой компоновке на мой взгляд крайне сложно применить шаблоны квот и ограничения по типу файлов. Скажем, заставить хранить документы не на рабочем столе путем урезания квоты для него и увеличения квоты для документов, запрет выполняемых файлов везде кроме папки «Downloads» и так далее.
Коллега, а как вы применяете такие квоты и запреты? 🙂 Очень интересно, расскажите, пожалуйста 🙂
Я так понимая, автор ответа использует перемещаемые профили совместно с функционалом FSRM (File Server Resource Manager
), позволяющем создавать фильтры файлов, например, запрещая пользователям сохранять файлы определенных разрешений, а также позволяющего задавать ограничения (жесткие и мягкие квоты) на пространство (по сути каталог с перемещаемым профилем), занятое пользователем.
Вполне красивое и последовательно решение
Домен поднят. Пользователь под своей учеткой входит.
Все сделал по инструкции…папки типа AppData и т.д. в целевой папке не появились. Инфа не синхронизируется…
Единственное что не сделал так это не прописал Win7logonscript.vbs в поле «сценарий входа в настройках пользователя. Расскажите обязателен ли этот скрипт и если да то где его взять?
OC Windows Server 2012
Скрипт использовать абсолютно не обязательно…
По сути вопроса могу дать лишь общие рекомендации: в первую очередь проверьте, применяется лик целевому пользователю указанная выше групповая политика (gpresult, rsop.msc), еще раз перепроверьте права доступа на папку ( для тестовых целей предоставьте пользовательской учетки права RW на каталог перенаправляемыми папками)