Перемещаемые профили в Windows 7 на сервере Windows 2008 R2

Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!

Требования

• Сервер  Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
• Клиентская рабочая станция с Windows 7
• Обе машины должно находится в том же домене AD

Создаем домашний каталог на Windows 2008 R2 server

• Создаем папку HomeWin7, жмем на нее правой кнопкой – «Свойства» и идем на вкладку Безопасность
• NTFS права доступа будут следующими

• Нажимаем кнопку «Advanced», а затем «Change Permissions»
• Снимаем галочку с пункта «Include inheritable permission form this object’s parent» (наследовать права от родительского объекта), а затем Add
• Выбираем  ACL “Special” ACL и жмем кнопку Edit

• Изменяем на «Apply to : This folder Only» -> OK
• Выбираем ACL “Read & execute” -> Edit

• Изменяем на «Apply to : This folder Only» -> OK
• Получаем такую картинку

• Нажимаем OK и переходим на вкладку «Общий доступ» (“Sharing ”), создаем новую общую сетевую папку с именем   HomeWin7$

• Нажимаем на кнопки «Кэширование» и выбираем «no files or programs are available offline»
• OK и нажимаем кнопку “Permissions”
• Предоставляем группе everyone права Full Control  и OK.
• Открываем консоль управления сервером и переходим в оснастку «File Services, Share and storage management»
• Выбираем общую папку HomeWin7$, щелкаем по ней правой кнопкой мыши -> свойства
• Выбираем «Enable access-based enumeration» и ок (это нужно для того, чтобы пользователи видели только свои папки, когда они заходят на общий ресурс \servernameHomeWin7$, подробности тут )

Настройка групповых политик GPO для использования перемещаемых профилей

• Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
• Создаем новую политику и переходим в режим правки
• Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection

• Нажимаем правой кнопкой мыши по элементу Appdata(roaming) и выбираем «Properties». Настроим этот параметр следующим образом:

• Переходим на вкладку «Settings» и задаем настройки как на скриншоте:

• В соответствии со скриншотами настроим и другие параметры политики
• Параметр Desktop:

• Параметр Documents:

• Pictures,  Music и  Video:

• Опция Favorites:

• Параметр Contacts:

• Downloads:

• Links:

• Searches:

Кроме того, можно  настроить еще ряд параметров групповой политики

• User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
• Создадим также политику для OU пользовательских компьютеров.
• Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
• Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
• Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.

ADUC

• Открываем консоль Active Directory Users and Computers, переходим в свойства пользователя и настроим параметр «Profile path» следующим образом:

• Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом: