Korzystanie z obowiązkowych profili użytkowników w systemie Windows 10

Obowiązkowy profil użytkownika to specjalny wstępnie skonfigurowany typ profilu mobilnego, w którym tylko administratorzy mogą wprowadzać zmiany. Użytkownicy, którym przypisano profil obowiązkowy, mogą w pełni pracować w systemie Windows podczas sesji, ale wszelkie zmiany w profilu nie są zapisywane po wylogowaniu użytkownika. Przy następnym logowaniu wymagany profil zostanie ponownie załadowany.

Katalog z wymaganym profilem można umieścić w folderze sieciowym i przypisać natychmiast wielu użytkownikom domeny: na przykład dla użytkowników serwera terminali, w kioskach informacyjnych lub dla użytkowników, którzy nie potrzebują profilu osobistego (dzieci w wieku szkolnym, studenci, goście). Administrator może skonfigurować przekierowane foldery dla obowiązkowych profili, w których użytkownicy mogą przechowywać dokumenty osobiste na serwerach plików (oczywiście włączyć przydziały na poziomie NTFS lub FSRM, aby użytkownik zatykał dyski śmieciami).

Treść

  • Typy wymaganych profili użytkowników w systemie Windows
  • Utwórz wymagany profil w systemie Windows 10
  • Przypisz wymagany profil do użytkowników

Typy wymaganych profili użytkowników w systemie Windows

Istnieją dwa typy wymaganych profili użytkowników Windows:

  • Normalny wymagany profil użytkownika (Normalny obowiązkowy profil użytkownika) - administrator zmienia nazwę pliku NTuser.dat (zawiera klucz rejestru użytkownika HKEY_CURRENT_USER) na NTuser.man. Korzystając z pliku NTuser.man, system uważa, że ​​ten profil jest tylko do odczytu i nie zapisuje w nim zmian. W przypadku, gdy wymagany profil jest przechowywany na serwerze, a serwer staje się niedostępny, użytkownicy z tym typem profilu obowiązkowego mogą zalogować się przy użyciu poprzednio buforowanej wersji wymaganego profilu.
  • Obowiązkowy profil obowiązkowy (Super obowiązkowy profil użytkownika) - w przypadku korzystania z tego typu profilu zmienia się nazwa katalogu z profilem użytkownika, na końcu jest również dodawany .człowiek. Użytkownicy z tym typem profilu nie będą mogli się zalogować, jeśli serwer, na którym przechowywany jest profil, jest niedostępny..

W niektórych scenariuszach dozwolone jest stosowanie obowiązkowych profili dla lokalnych użytkowników, na przykład na współdzielonych komputerach (kioskach, salach konferencyjnych itp.), Aby każdy użytkownik zawsze pracował w tym samym środowisku, a wszelkie jego modyfikacje nie są zapisywane po wylogowaniu. systemy (zamiast używać filtra UWF).

Następnie pokażemy, jak używać utworzyć normalny wymagany profil w systemie Windows 10 i przypisać go do użytkownika. W tym przykładzie pokażemy, jak utworzyć wymagany profil na komputerze lokalnym (profil będzie przechowywany lokalnie na komputerze), jednak wyjaśnimy, w jaki sposób przypisać wymagany profil do kont domeny w tekście.

Utwórz wymagany profil w systemie Windows 10

  1. Zaloguj się do komputera jako administrator i uruchom lokalną konsolę zarządzania użytkownikami i grupami (lusrmgr.msc).
  2. Utwórz na przykład nowe konto, Confoom.
  3. Teraz musisz skopiować profil domyślny do osobnego katalogu z określonym rozszerzeniem. Ponieważ używamy systemu Windows 10 1607 i nowszych, ten katalog musi mieć przyrostek V6. Na przykład katalog to: C: \ ConfRoom.V6.
  4. Otwórz okno ustawień systemu (SystemPropertiesAdvanced.exe).
  5. W dziale Profile użytkowników naciśnij przycisk Ustawienia.
  6. Wybierz profil Profil domyślny i naciśnij przycisk Skopiuj do.
  7. W katalogu, do którego chcesz skopiować profil, wybierz C: \ ConfRoom.V6 (lub możesz skopiować szablon profilu do katalogu sieciowego, określając ścieżkę UNC, na przykład \\ serwer1 \ profile \ ConfRoom.V6.
  8. W uprawnieniach wybierz NT AUTHORITY \ Uwierzytelnieni użytkownicy.
Wskazówka. W systemie Windows 10, 1709 i nowszych, podczas kopiowania szablonu profilu pojawiła się osobna opcja „Profil obowiązkowy”. Podczas korzystania z tej opcji folderowi przyznaje się prawa odczytu wybranej grupie użytkowników.

Przypisz wymagany profil do użytkowników

Teraz możesz przypisać wymagany profil do żądanego użytkownika.

Jeśli korzystasz z lokalnego obowiązkowego profilu, musisz to zrobić we właściwościach użytkownika na karcie Profil w polu Ścieżka profilu podaj ścieżkę do katalogu C: \ ConfRoom.v6.

W przypadku skonfigurowania obowiązkowego profilu użytkownika mobilnego w domenie AD ścieżka właściwości UNC do katalogu profilu musi zostać określona we właściwościach konta w konsoli ADUC.

Teraz zaloguj się do systemu jako nowy użytkownik i wprowadź niezbędne ustawienia (wygląd, skróty miejsc, niezbędne pliki, konfiguruj oprogramowanie itp.).

Wskazówka. Nie można używać plików XML do dostosowywania wyglądu menu Start i paska zadań dla profili mobilnych.Wskazówka. Aby przyspieszyć logowanie, możesz wyłączyć animowany ekran powitalny przy pierwszym logowaniu do systemu Windows..

Zakończ sesję użytkownika i zaloguj się jako administrator i zmień nazwę pliku w katalogu profilu NTUSER.dat w NTUSER.man.

Teraz spróbuj zalogować się do systemu jako użytkownik z wymaganym profilem i upewnij się, że po wylogowaniu wszystkie zmiany w jego profilu nie zostaną zapisane.

Jeśli wystąpi błąd podczas próby zalogowania się jako wymagany użytkownik:

Usługa usługi profilu użytkownika nie powiodła się.
Profil użytkownika nie może zostać załadowany.

I zdarzenie Identyfikator zdarzenia pojawia się w dzienniku systemowym:

System Windows nie może załadować Twojego profilu mobilnego i próbuje zalogować się do Twojego profilu lokalnego. Zmiany w profilu nie zostaną skopiowane na serwer po wylogowaniu. System Windows nie może załadować Twojego profilu, ponieważ już istnieje kopia serwera folderu profilu, która nie ma odpowiednich zabezpieczeń. Bieżący użytkownik lub grupa Administratorzy musi być właścicielem folderu.

Upewnij się, że następujące uprawnienia są przypisane do katalogu profilu (z wyłączonymi uprawnieniami dziedziczenia):

  • WSZYSTKIE PAKIETY APLIKACYJNE - Pełna kontrola (bez tego menu start nie działa poprawnie)
  • Użytkownicy uwierzytelnieni - odczytywanie i wykonywanie
  • SYSTEM - Pełna kontrola
  • Administratorzy - pełna kontrola

Podobne uprawnienia należy zainstalować w gałęzi rejestru użytkowników, pobierając plik profilu ntuser.dat za pomocą menu Plik -> Załaduj gałąź w regedit.exe.

Podczas korzystania z profilów mobilnych w celu poprawnego wyświetlenia menu Start, należy ustawić klucz rejestru typu DWORD na wszystkich urządzeniach SpecialRoamingOverrideAllowed i wartość 1 w sekcji LM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \.

Jeśli chcesz wprowadzić zmiany w wymaganym profilu, musisz zmienić nazwę pliku ntuser.man na ntuser.dat i skonfigurować środowisko jako użytkownik, a następnie zmienić nazwę pliku z powrotem.

Korzystając z profilu obowiązkowego na serwerach RDS, można użyć następujących zasad, w których można określić ścieżkę do katalogu profilu i włączyć korzystanie z profilów obowiązkowych. Sekcja GPO: Konfiguracja komputera -> Zasady -> Szablony administracyjne -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Host sesji pulpitu zdalnego -> Profile.

  • Użyj obowiązkowych profili na serwerze RD Session Host = Włączone
  • Ustaw ścieżkę dla profilu użytkownika mobilnego w usługach pulpitu zdalnego = Włączone + określ ścieżkę UNC

Pamiętaj również, że jeśli zdecydujesz się na użycie przekierowanych folderów z wymaganym profilem, nie jest zalecane przekierowanie katalogu AppData (roaming).