Служба поиска windows создала конфигурацию по умолчанию для нового пользователя

Обновлено: 01.07.2024

Первым шагом для конфигурации компьютеров с общим доступом для Blue Yonder Airlines необходимо сконфигурировать на каждом из этих компьютеров учетные записи пользователей. Поскольку компания имеет сеть компьютеров под управлением Windows Server ® 2008 R2 и учетные записи пользователей работника, перечислены в Active Directory ®, не нужно настраивать учетные записи пользователей на совместно используемых сотрудниками компьютерах. Просто необходимо избежать добавления учетных записей пользователей в локальную группу администраторов. Доменные пользователи являются членами группы стандартных пользователей по умолчанию. Такая конфигурация изолирует пользователей так, что они не смогут изменить системные файлы или параметры, а так же не смогут получить доступ к файлам или параметрам других пользователей.

Необходимо создать учетные записи пользователей для компьютеров, используя запись "Гость". Лучший способ определить эти учетные записи на основе ролей. Например, школа может определить три роли — студентов, преподавателей и сотрудников — и затем по необходимости настроить каждую общую учетную запись. Библиотеки можно настроить с ролями начальника и сотрудников. Требуется только одно имя для ByaGuest. Вместо создания учетной записи в Active Directory, нужно создать учетную запись на каждом компьютере и настроить компьютеры на автоматический вход в систему с помощью учетной записи ByaGuest.

Создание учетной записи локального пользователя.

1. На общедоступном компьютере нажмите кнопку "Пуск", введите "Локальные пользователи" и нажмите кнопку "Изменить локальных пользователей и группы". Если Windows 7 предложит вам ввести пароль администратора или подтвердить действие, введите пароль или подтвердите, что вы хотите продолжить.

2. Щелкните папку "Пользователи", щелкните действие и выберите пункт "Новый пользователь".

3. В новом диалоговом окне пользователя (показано на рис.), введите соответствующую информацию и затем нажмите кнопку "Создать".

Создание новой учетной записи пользователя в Windows 7

4. Если вы хотите создать больше чем одну учетную запись пользователя, повторите предыдущие шаги для каждой учетной записи пользователя, а затем нажмите кнопку "Закрыть".

Примечание. Когда вы создаете учетные записи для отдельных пользователей, не ставьте флажок на параметре "пользователь не может изменить пароль". Однако при создании общих, учетных записей на основе ролей пользователей, установите этот флажок, чтобы запретить пользователям изменять пароль и запретить другим пользователям доступ к компьютеру с общим доступом. Кроме того не ставьте флажок если хотите обеспечить непрерывный доступ к общей учетной записи.

Кроме создания учетных записей стандартных пользователей, при первом входе пользователя в компьютер их можно настроить. Windows 7 хранит файлы и параметры пользователей в профилях пользователей, которые отделены от параметров системы. По умолчанию Windows 7 хранит эти профили пользователей в C:\Users, создавая одну вложенную папку для каждого входящего в компьютер пользователя. При первом входе пользователя в компьютер, Windows 7 создает папку профиля пользователя, скопировав папку профиля пользователя по умолчанию из C:\Users\Default.

Настройка профилей пользователей по умолчанию — простой способ настроить новые учетные записи пользователей. Однако они не подходят для всех параметров. Профили пользователя по умолчанию являются отличным и простым способом для настройки предпочтений, которые вы хотите разрешить изменять пользователям. Но, они не подходят для параметров, которые вы хотите контролировать. Для этого надо использовать параметры групповой политики.

Для создания профиля пользователя по умолчанию

1. Войдите на компьютер под управлением Windows 7 в качестве члена локальной группы администраторов. Не используйте учетную запись домена.

Примечание. Для создания профиля пользователя по умолчанию используйте дополнительный компьютер с чистой установкой Windows 7. Не используйте компьютер, который требуется для бизнеса (то есть, компьютер производства). Процесс, который описывают эти шаги, удаляет все учетные записи домена из компьютера, включая папки профиля пользователя. После создания профиля пользователя по умолчанию, его можно скопировать из C:\Users\Default в сетевую папку или на съемный носитель.

2. Настройте параметры, которые требуется включить в профиль пользователя. Например, можно настроить параметры для меню "Пуск", проводник Windows и так далее.

3. Создайте файл Unattend.xml, который устанавливает CopyProfile параметру значение True. CopyProfile параметр вызывает Sysprep, чтобы скопировать папку профиля пользователя, вошедшего в профиль пользователя по умолчанию. Можно использовать диспетчер системных образов Windows, который является частью пакета автоматической установки Windows (Windows AIK) для создания файла Unattend.xml.

4. В командной строке введите следующую команду и нажмите клавишу ВВОД:

sysprep /oobe /reboot /generalize /unattend: unattend.xml

(Sysprep.exe расположен в: C:\Windows\System32\sysprep)

5. Завершите готовое решение и затем войдите на компьютер с учетной записью, имеющей привилегии локального администратора.

7. В диалоговом окне профили пользователей (показано на рис.) щелкните профиль по умолчанию и нажмите кнопку "Копировать".

Копирование профиля пользователя по умолчанию, используя диалоговое окно "Профили пользователей"

8. В диалоговом окне "Копировать в" выполните следующие действия.

a. в текстовое поле "Копировать профиль в" введите путь к месту, где вы хотите сохранить профиль пользователя по умолчанию.

b. в группе "Разрешается использовать" нажмите кнопку "Изменить", введите данные и нажмите кнопку ОК.

9. Нажмите OK, для копирования профиля пользователя по умолчанию.

Примечание. Существуют другие методы создания профилей пользователей по умолчанию. Например, можно нажать кнопку "Копировать" в диалоговом окне "Профили пользователей" для копирования папки профиля пользователя в профиль пользователя по умолчанию. Однако шаги, которые описаны в этом разделе, являются шагами, которые корпорация Майкрософт рекомендует для настройки данного профиля. Эти шаги очистят исходный профиль пользователя так, чтобы он поддерживал несколько пользователей.

В этой статье описывается настройка параметров локального профиля пользователей по умолчанию при создании изображения в Windows 7.

Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 973289

Сводка

После развертывания изображения локальные параметры профилей пользователей по умолчанию применяются к всем новым пользователям, входивших на компьютер.

Чтобы настроить профиль пользователя по умолчанию или обязательный профиль пользователя, сначала необходимо настроить профиль пользователя по умолчанию. Затем профиль пользователя по умолчанию можно скопировать в соответствующую общую папку, чтобы сделать этот профиль пользователя либо профилем пользователя по умолчанию, либо обязательным профилем пользователя.

При настройке профиля пользователя по умолчанию, как описано в этой статье, он восстанавливает исходный профиль в формате, который подходит для использования несколькими пользователями. Это единственный поддерживаемый метод настройки профиля пользователя по умолчанию для Windows операционной системы. Если вы пытаетесь использовать другие методы для настройки профиля пользователя по умолчанию, это может привести к включению в новый профиль пользователя по умолчанию. Такая экстрасенсная информация может привести к серьезным проблемам с приложениями и стабильности системы.

В этой статье порядок настройки локальных профилей пользователей по умолчанию при подготовке изображений в этой статье переопубликовывает все ранее опубликованные процедуры.

Настройка профиля пользователя по умолчанию

Единственный поддерживаемый метод настройки профиля пользователя по умолчанию — это использование параметра Microsoft-Windows-Shell-Setup\CopyProfile в файле Unattend.xml ответа. Файл Unattend.xml ответа передается средству подготовки системы (Sysprep.exe).

Шаг 1. Настройка профиля пользователя по умолчанию

Войдите в Windows с помощью встроенной учетной записи местного администратора.

Вы не можете использовать учетную запись домена для этого процесса.

Откройте панель управления учетной записью пользователей и удалите все добавленные учетные записи пользователей, за исключением учетной записи пользователя на уровне администратора, которую вы использовали для входа в Windows.

Настройка параметров, которые необходимо скопировать в профиле пользователя по умолчанию. Это включает параметры настольных компьютеров, избранное и параметры меню Пуск.

Настройка меню "Пуск" и панели задач ограничена в Windows 7.

Шаг 2. Создание файла Unattend.xml, который содержит параметр Copy Profile

Создайте Unattend.xml файл, содержащий параметр Copy Profile ( Microsoft-Windows-Shell-Setup\CopyProfile ). С помощью этого параметра Скопируйте профиль, параметры пользователя, который в настоящее время вошел в систему, копируются в профиль пользователя по умолчанию. Этот параметр должен быть задан для true в проходе специализируются.

Используйте средство Windows System Image Manager для создания Unattend.xml файла. Средство Windows System Image Manager включено в пакет автоматической установки Windows (Windows AIK). Получение AIK для операционной системы на одном из следующих веб-сайтов:

Шаг 3. Настройка профиля пользователя по умолчанию в Unattend.xml файле

Откройте командную строку с повышенными привилегиями. Для этого нажмите кнопку Начните, введите cmd в поле Поиск, щелкните правой кнопкой мыши cmd в списке Программ, а затем нажмите кнопку Запустить в качестве администратора.

Если вам будет предложен пароль администратора или подтверждение, введите пароль или предоведите подтверждение.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Sysprep.exe находится в %systemdrive%\Windows\System32\sysprep каталоге.

Чтобы подтвердить успешное заполнение команды CopyProfile, откройте %systemroot%\panther\unattendgc\setupact.log файл.

Поиск строк, похожих на следующие (в проходе специализируются):

[оболочка без присмотра] CopyProfileDirectory c:\Users\Administrator успешно.
[оболочка без присмотра] CopyProfile удалось.

Эта строка подтверждает, удалось ли получить команду CopyProfile и какой профиль пользователя был скопирован в профиль пользователя по умолчанию.

Развертывание изображения. Дополнительные сведения об использовании Sysprep для захвата и развертывания изображения см. в технической справке Sysprep.

Необходимо использовать переключатель с sysprep.exe, чтобы можно было использовать параметр /generalize Copy Profile. Этот /unattend параметр используется для указать нужный Unattend.xml файл. Поэтому в этом примере файл Unattend.xml находится в c:\answerfile папке.
Встроенный профиль учетной записи администратора удаляется при выполнении чистой установки Windows или при запуске средства Sysprep. Параметр CopyProfile обрабатывается до удаления встроенной учетной записи администратора. Поэтому все настройки, которые вы делаете, будут отображаться в новом профиле учетной записи пользователя. Это включает встроенные параметры профиля учетной записи администратора.
Если существует несколько профилей пользователей, Windows sysprep может выбрать неожиданный профиль для копирования в профиль пользователя по умолчанию.
Не все настройки будут распространяться на новые профили. Некоторые параметры сбрасываются с помощью нового процесса логоса пользователя. Чтобы настроить эти параметры, используйте параметры групповой политики или сценарии.

Что следует учитывать при использовании автоматизированных систем сборки и развертывания изображений

При использовании таких средств, как microsoft Deployment набор средств или System Center Configuration Manager, параметр CopyProfile не требуется при запуске команды Sysprep. Эти средства обычно заменяют или изменяют файл Unattend.xml после развертывания изображения на диске, но до первого запуска операционной системы после запуска команды Sysprep. Таким образом, Unattend.xml, используемый в процессе развертывания microsoft deployment набор средств или System Center Configuration Manager, должен содержать параметр CopyProfile.

Если параметр CopyProfile установлен верно при запуске установки из средства установки Windows 7 во время процесса сборки изображений, параметры профилей администратора могут быть непреднамеренно скопированы в профиль пользователя по умолчанию. Параметры профиля администратора обычно присутствуют в файле Install.wim на носителю установки.

Превратите профиль пользователя по умолчанию в профиль пользователя по умолчанию сети

Чтобы превратить профиль пользователя по умолчанию в профиль пользователя по умолчанию сети, выполните следующие действия:

Используйте учетную запись с административными учетными данными для входа на компьютер с настраиваемым профилем пользователя по умолчанию.

Используйте команду для подключения к общей папке Run NETLOGON контроллера домена. Например, путь напоминает следующее:
\\<Server_name>\NETLOGON

Создайте новую папку в общей папке NETLOGON и назовем ее User.v2 по умолчанию.

В профиле пользователя нажмите кнопку Параметры. В диалоговом окне Профилей пользователей показан список профилей, хранимых на компьютере.

Выберите профиль по умолчанию и нажмите кнопку Copy To.

В профиле Copy в текстовом окне введите сетевой путь папки профилей Windows по умолчанию, созданной на шаге 3. Например, введите путь \\<Server_name>\NETLOGON\Default User.v2 .

В соответствии с разрешенным использованием нажмите кнопку Изменить, введите имя Все, а затем нажмите кнопку ОК.

Войдите с компьютера после завершения процесса копирования.

Превратите профиль пользователя по умолчанию в обязательный профиль пользователя

Вы можете настроить локальный профиль пользователя по умолчанию, чтобы стать обязательным профилем. При этом можно получить один центральный профиль, который используется всеми пользователями. Для этого необходимо подготовить обязательное расположение профиля, скопировать локальный профиль пользователя по умолчанию в обязательное расположение профиля, а затем настроить расположение профиля пользователя, чтобы указать на обязательный профиль.

Шаг 1. Подготовка обязательного расположения профиля

На центральном файловом сервере создайте новую папку или используйте существующую папку, используемую для роуминга профилей пользователей. Например, можно использовать профили имен папок:
\Profiles

Если вы создаете новую папку, поделитесь этой папкой с помощью имени, подходящего для вашей организации.

Разрешения на общий доступ для общих папок, которые содержат профили пользователей в роуминге, должны включить разрешения полного управления для группы пользователей с проверкой подлинности. Разрешения на совместное использование папок, предназначенных для хранения обязательных профилей пользователей, должны включить разрешения на чтение для группы пользователей с проверкой подлинности и включить разрешения полного управления для группы администраторов.

Создание новой папки в папке, созданной или идентифицированной на шаге 1. Имя этой новой папки должно начинаться с логотипа учетной записи пользователя, если обязательный профиль пользователя для конкретного пользователя. Если обязательный профиль пользователя для более чем одного пользователя, назови его соответствующим образом. Например, в следующем домене имеется обязательный профиль, а имя папки начинается со слова обязательное:
\Profiles\mandatory

Завершите именовать папку, добавив .v2 после имени. Пример, используемый в шаге 3, имеет обязательное имя папки. Поэтому окончательное имя следующей папки для этого пользователя является обязательным.v2:
\Profiles\mandatory.v2

Шаг 2. Скопируйте профиль пользователя по умолчанию в обязательное расположение профиля

Войдите на компьютер с настраиваемым локальным профилем пользователя по умолчанию с помощью учетной записи с административными учетными данными.

Выберите профиль по умолчанию и нажмите кнопку Copy To.

В профиле Copy в текстовом окне введите сетевой путь пользовательской папки Windows по умолчанию, созданной в разделе Шаг 1: Подготовка обязательного раздела расположения профиля. Например, введите следующий путь:
\\<Server_name>\Profiles\mandatory.v2

Войдите с компьютера после завершения процесса копирования.

На центральном файловом сервере найдите папку, созданную в разделе Шаг 1: Подготовка обязательного раздела расположения профиля.

Щелкните Упорядока, а затем щелкните параметры папки.

Щелкните вкладку Просмотр, щелкните, чтобы выбрать поле Показать скрытые файлы и папки, щелкните, чтобы очистить расширения hide для известных типов файлов, щелкните, чтобы очистить поле Скрыть защищенные файлы операционной системы, нажмите да, чтобы отклонять предупреждение, а затем нажмите кнопку ОК, чтобы применить изменения и закрыть диалоговое окно.

Найдите и щелкните правой кнопкой мыши NTUSER. DAT-файл, нажмите переименовать, изменить имя файла на NTUSER. MAN, а затем нажмите ВВОД.

Ранее можно было копировать профили с помощью элемента Панели управления системой. Теперь эта копия параметра профиля по умолчанию отключена, так как она может добавлять данные, которые сделали профиль непригодным для пользователей.

Шаг 3. Подготовка учетной записи пользователя

В качестве администратора домена откройте консоль управления пользователями и компьютерами Active Directory с компьютера Windows Server 2008 R2 или Windows Server 2008.

Щелкните правой кнопкой мыши учетную запись пользователя, к которой необходимо применить обязательный профиль пользователя, а затем нажмите кнопку Свойства.

Щелкните вкладку Profile, введите сетевой путь, созданный в шаге 1: Подготовка обязательного раздела расположения профиля в текстовом окне путь профиля. Однако в конце не добавляйте .v2. В нашем примере путь будет следующим:
\\<Server_name>\Profiles\mandatory

По-прежнему нужна помощь

Если эта статья не отвечает на ваш вопрос, задайте вопрос и задайте его другим членам сообщества в Microsoft Community.

Некогда было редактировать, вся копипаста по проблеме из этих ваших технетов ниже. В большинстве случаев самый годный вариант первый - тут, как говорится, и овцы целы, и волки сыты, а пастух - сам виноват ;)

В некоторых случаях при считывании ОС Windows профиля пользователя могут возникать ошибки (например, если попытка входа выполняется в момент, когда антивирусная программа проверяет компьютер). Прежде чем пытаться применить указанные ниже способы, попробуйте перезагрузить компьютер и повторно выполнить вход, используя свою учетную запись. Если перезагрузка компьютера не решает эту проблему, воспользуйтесь указанными ниже способами.

Способ 1. Исправление профиля учетной записи пользователя

Внимание ! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра в Windows Создание резервной копии и восстановление реестра в Windows

Выберите Пуск, введите regedit в поле Поиск и нажмите клавишу ВВОД.
В редакторе реестра найдите и выберите следующий подраздел:

Если у вас две папки, имена которых начинаются с S-1-5 и содержат одинаковое длинное число, причем имя одной папки заканчивается на .bak, папку .bak нужно переименовать. Выполните указанные ниже действия.
1. Щелкните правой кнопкой мыши папку без строки .bak и выберите пункт Переименовать. Введите .ba и нажмите клавишу ВВОД.
2. Щелкните правой кнопкой мыши папку .bak и выберите пункт Переименовать. Удалите .bak в конце имени папки и нажмите клавишу ВВОД.
3. Щелкните правой кнопкой мыши папку .ba и выберите пункт Переименовать. Измените .ba на .bak в конце имени папки и нажмите клавишу ВВОД.
Действия при наличии одной папки, имя которой начинается со строки S-1-5, содержит длинное число и заканчивается на .bak. Щелкните правой кнопкой мыши папку и выберите Переименовать. Удалите .bak в конце имени папки, а затем нажмите клавишу ВВОД.

Создайте новую учетную запись и скопируйте в нее данные из прежней учетной записи. Дополнительные сведения см. на следующем веб-сайте корпорации Майкрософт:

Способ 3. Удаление ошибочного ИД безопасности и создание профиля

Удалите ошибочный ИД безопасности.
Если для решения проблемы требуется помощь, перейдите к разделу "Получить помощь в решении проблемы". Чтобы устранить проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.

Получить помощь в решении проблемы

Чтобы устранить проблему автоматически, перейдите по ссылке Устранить проблему . Затем нажмите кнопку Выполнить в диалоговом окне Загрузка файла и следуйте инструкциям мастера.

Интерфейс этого мастера может быть доступен только на английском языке, однако автоматическое исправление можно выполнять и в других языковых версиях Windows.
Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Самостоятельное решение проблемы

Дополнительная информация

Эта ошибка может возникнуть, если в групповой политике задан параметр "Запретить вход в систему с временными профилями".

Данная ошибка может произойти, если папка с профилем пользователя была удалена вручную. При удалении папки с профилем вручную идентификатор безопасности (SID) не удаляется из списка профилей в реестре.

ПРЕДУПРЕЖДЕНИЕ. Мы НЕ рекомендуем удалять профили пользователей таким способом. Описанный и поддерживаемый способ предполагает использование параметров профилей пользователей в окне дополнительных параметров системы, которое доступно в меню свойств системы. В приложениях эта возможность доступна через API "DeleteProfile".

При наличии идентификатора безопасности система Windows пытается загрузить профиль с помощью параметра ProfileImagePath, который указывает на отсутствующий путь, поэтому загрузить профиль невозможно.

Сведения журнала событий

Имя журнала: приложение
Источник: служба профилей пользователей Microsoft Windows
Дата: дата
Идентификатор события: 1515
Категория задачи: нет
Уровень: предупреждение
Ключевые слова: классический
Пользователь: пользователь
Компьютер: компьютер
Описание: в Windows создана резервная копия этого профиля пользователя. Во время следующего входа этот профиль будет использован автоматически.

Имя журнала: приложение
Источник: служба профилей пользователей Microsoft Windows
Дата: дата
Идентификатор события: 1511
Категория задачи: нет
Уровень: предупреждение
Ключевые слова: классический
Пользователь: пользователь
Компьютер: компьютер
Описание: не удается найти локальный профиль. Для входа используется временный профиль. После выхода из системы изменения, которые вы внесете в этот профиль, будут потеряны.

Имя журнала: приложение
Источник: служба профилей пользователей Microsoft Windows
Дата: дата
Идентификатор события: 1500
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: пользователь
Компьютер: компьютер
Описание: не удается загрузить профиль, чтобы войти в систему. Проверьте подключение к сети и убедитесь, что она работает надлежащим образом.
СВЕДЕНИЯ — неизвестно

Имя журнала: приложение
Источник: Microsoft-Windows-Winlogon
Дата: дата
Событие: Код: 6004
Категория задачи: нет
Уровень: предупреждение
Ключевые слова: классический
Пользователь: Н/Д
Компьютер: компьютер
Описание: ошибка обработки критического события для подписчика уведомлений Winlogon Профили .

Номер статьи: 947215 — последний просмотр: 10/23/2014 13:34:00 — редакция: 14.0

Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.

Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).

Виды обязательный профилей пользователей в Windows

Существует два типа обязательный профилей пользователей Windows:

Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man . Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра ).

Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.

Создаем обязательный профиль в Windows 10

Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами ( lusrmgr.msc ).

Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6 . Например, каталог будет называться: C:\ConfRoom.V6.
Откройте окно с настройками системы ( SystemPropertiesAdvanced.exe ).
В разделе User Profiles нажмите на кнопку Settings .
Выберите профиль Default Profile и нажмите кнопку Copy To .
В качестве каталога, в который нужно скопировать профиль выберите C:\ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \\server1\profiles\ConfRoom.V6.

В разрешениях выберите NT AUTHORITY\Authenticated Users. В разрешениях выберите NT AUTHORITY\Authenticated Users.

Совет . В Windows 10 1709 и выше при копировании шаблона профиля появилась отдельная опция «Mandatory Profile». При использовании этой опции на папку выдаются права на чтение выбранной группе пользователей.

Назначаем обязательный профиль пользователям

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:\ConfRoom.v6.

Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC .

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man .

Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.

Если при попытке входа в систему под обязательным пользователем у вас появилась ошибка:

The User Profile Service service failed the sign-in.
User profile cannot be loaded.

И в журнале системы появляется событие Event ID:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):

ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
Authenticated Users – Read и Execute
SYSTEM – Full Control
Administrators – Full Control

Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.

При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LM\Software\Microsoft\Windows\CurrentVersion\Explorer\.

Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

Use mandatory profiles on the RD Session Host server = Enabled
Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Читайте также: