Розгортання переміщуваних профілів користувача

Вимоги до обладнання

Для використання переміщуваних профілів користувачів потрібно комп'ютер з процесором на базі архітектури x64 або x86. Ця функція недоступна в Windows® RT.

Вимоги до програмного забезпечення

Для використання переміщуваних профілів користувачів діють наступні програмні вимоги.

Якщо ви виконуєте розгортання переміщувані профілі користувачів з перенаправленням папок в середовищі з існуючими локальними профілями користувачів, спочатку налаштуйте перенаправлення папок, а потім - переміщувані профілі користувачів, щоб мінімізувати розмір переміщуваних профілів. Після успішного перенаправлення існуючих користувальницьких папок ви можете розгорнути переміщувані профілі користувачів.

Для адміністрування переміщуваних профілів користувачів вам буде потрібно увійти в систему в якості члена групи безпеки "Адміністратори домену", "Адміністратори підприємства" або "Власники-творці групової політики".

Комп'ютери клієнтів повинні бути приєднані до доменних службам Active Directory (AD DS), якими ви керуєте.

На комп'ютері повинні бути встановлені компоненти "Управління груповою політикою" і "Центр адміністрування Active Directory".

Файловий сервер повинен підтримувати переміщувані профілі користувачів.

Якщо загальна папка використовує простору імен DFS, у папок DFS (посилань) повинен бути один цільовий об'єкт, щоб уникнути конфліктів серверів при зміні налаштувань користувачем.

Якщо загальна папка використовує реплікацію DFS для копіювання даних на інший сервер, користувачі повинні мати доступ лише до вихідного сервера, щоб уникнути конфліктів при зміні параметрів серверів.

Якщо загальна папка кластерізованний, вимкніть безперервну доступність в загальнодоступному місці, щоб уникнути проблем з продуктивністю.

Для використання нових можливостей переміщуваних профілів користувачів є вимоги до додаткових клієнтських комп'ютерів і схемою Active Directory. Додаткові відомості див. У розділі Перенаправлення папок, автономні файли і переміщувані профілі користувачів.

Рекомендації по використанню переміщуваних профілів користувачів в кількох версіях Windows

Якщо ви збираєтеся використовувати переміщувані профілі користувачів в кількох версіях Windows, рекомендується виконати наступні дії.

Налаштуйте кожну версію Windows для зберігання окремих версій профілів. Це дозволить уникнути небажаних і несподіваних проблем, таких як ушкодження профілів.

Використовуйте перенаправлення папок, щоб зберігати призначені для користувача файли, такі як документи та зображення, поза профілів користувачів. Це зробить файли доступними для користувачів всіх версій ОС, а також дозволить зменшити розмір профілів і прискорити вхід.

Виділіть досить дискового простору для переміщуваних профілів користувачів. Якщо ви працюєте з двома версіями ОС, кількість профілів (а також займане ними місце) подвоїться, оскільки окремі профілі зберігаються в різних версіях системи.

Повідомте користувачів, що зміни, зроблені в одній ОС, не поширюватимуться на іншу версію системи.

При переміщенні вашої середовища в новішу версію Windows користувачі отримають нові порожні профілі. Перенесення облікових записів користувачів з однієї операційної системи в іншу не підтримується.

Щоб внести ці зміни, виконайте описані нижче дії.

Включення окремих профілів для кожної версії Windows

Скачайте і встановіть необхідні програмні оновлення на всіх комп'ютерах, на яких плануєте використовувати переміщувані, обов'язкові або понад-обов'язкові профілі, а також облікові записи домену за замовчуванням.

Якщо у вашому середовищі ще не налаштовані переміщувані профілі користувачів, в першу чергу необхідно створити групу безпеки, що включає всіх користувачів і / або всі комп'ютери, для яких ви хочете застосувати настройки політики переміщуваних профілів користувачів.

Адміністратори розгортання переміщуваних профілів користувачів загального призначення зазвичай створюють групу безпеки для користувачів.

Адміністратори служб віддалених робочих столів або розгортання віртуальних робочих столів зазвичай використовують групу безпеки для користувачів і загальних комп'ютерів.

Створення групи безпеки для переміщуваних профілів користувачів

Відкрийте диспетчер сервера на комп'ютері з встановленим центром адміністрування Active Directory.

У меню Засоби клацніть Центр адміністрування Active Directory. З'явиться центр адміністрування Active Directory.

Клацніть правою кнопкою миші по необхідному домену або підрозділу, натисніть Створити і клацніть Група.

У вікні Створення групи в розділі Група вкажіть наступні параметри.

В поле Ім'я групи введіть ім'я групи безпеки, наприклад Користувачі переміщуваних профілів і комп'ютери.

У розділі Область дії групи клацніть Безпека і виберіть Глобальна.

У розділі Члени групи натисніть кнопку Додати. Відкриється діалогове вікно "Вибір користувачів, контактів, комп'ютерів, облікових записів служб або груп".

Якщо ви хочете включити в групу безпеки облікові записи комп'ютерів, клацніть Типи об'єктів. встановіть прапорець поруч із пунктом Комп'ютери. після чого натисніть кнопку OK.

Вкажіть імена користувачів, груп і / або комп'ютерів, для яких хочете виконати розгортання переміщуваних профілів користувачів, а потім натисніть OK. після чого ще раз натисніть OK.

Якщо ви створюєте загальну папку на сервері під керуванням іншої версії Windows Server, деякі функції можуть відрізнятися або бути недоступні.

В області навігації диспетчера сервера клацніть елемент Файлові служби та служби сховища. після чого натисніть кнопку Загальні ресурси. щоб перейти на сторінку загальних ресурсів.

На сторінці загальних ресурсів клацніть Завдання. а потім натисніть Новий загальний ресурс. Відкриється майстер створення загальних ресурсів.

На сторінці Вибір профілю клацніть Загальний ресурс SMB - швидкий профіль. Якщо у вас встановлений диспетчер ресурсів файлового сервера і ви використовуєте якості управління папками, замість цього виберіть пункт Загальний ресурс SMB - додаткові.

На сторінці Розташування загального ресурсу виберіть сервер і тому, в якому хочете налаштований для спільного використання.

На сторінці Ім'я загального ресурсу вкажіть ім'я (наприклад, User Profiles $) в поле Ім'я загального ресурсу.

При створенні загального ресурсу необхідно приховати його, додавши після імені символ $. Це запобіжить доступ до нього випадкових веб-оглядачів.

На сторінці Інші параметри зніміть прапорець Включити постійну доступність на цьому клієнті. якщо він показаний, і при необхідності встановіть прапорці Включити перерахування на основі доступу і Шифрувати доступ до даних.

На сторінці Дозволи клацніть Налаштування дозволів доступу .... З'явиться діалогове вікно з розширеними параметрами безпеки.

Клацніть Відключення успадкування. після чого натисніть Перетворити успадковані дозволу для об'єкта в явні.

Встановіть дозволу, як описано в Таблиці 1 і показано на рисунку 1, видаліть дозволу для невказаних груп і облікових записів, а також додайте особливі дозволи для групи користувачів переміщуваних профілів і комп'ютерів, створеної в Кроці 1.

Малюнок 1. Установка дозволів для загального ресурсу переміщуваних профілів користувачів

Якщо ви обрали профіль Загальний ресурс SMB - додаткові. на сторінці Властивості управління встановіть для параметра "Використання папки" значення Файли користувача.

Якщо ви обрали профіль Загальний ресурс SMB - додаткові. на сторінці Квота ви можете при необхідності вибрати квоту, яка буде поширюватися на користувачів загального ресурсу.

На сторінці Підтвердження натисніть кнопку Створити.

Таблиця 1. Необхідні дозволи для спільної папки, якій належать переміщувані профілі користувачів

Якщо у вас ще немає об'єкта групової політики для параметрів переміщуваних профілів користувачів, виконайте описані нижче дії, щоб створити для цієї мети порожній GPO. Цей об'єкт групової політики дозволить вам встановити параметри переміщуваних профілів користувачів (такі, як підтримка основного комп'ютера, обговорювана окремо), а також можуть використовуватися для залучення переміщуваних профілів користувачів на комп'ютерах, як, наприклад, при розгортанні в середовищах віртуальних робочих столів або зі службами віддалених робочих столів.

Створення GPO для переміщуваних профілів користувачів

Відкрийте диспетчер сервера на комп'ютері з встановленим компонентом управління груповою політикою.

В меню Інструменти пункт Керування груповою політикою. З'явиться вікно управління груповими політиками.

Правою кнопкою миші по домену або організаційного підрозділу, в якому хочете налаштувати переміщувані профілі користувачів, після чого натисніть Створити об'єкт групової політики в цьому домені і зв'язати його.

У діалоговому вікні Новий об'єкт групової політики вкажіть ім'я GPO (наприклад, Установки переміщуваного профілю користувача) і клацніть OK.

Клацніть правою кнопкою миші по новому об'єкту групової політики і приберіть прапорець Зв'язок включена. Це виключить застосування GPO до завершення його налаштування.

Виберіть GPO. На вкладці Область в розділі Фільтрація обмежень безпеки виберіть пункт Автентифіковані і клацніть Видалити.

У розділі Фільтрація обмежень безпеки клацніть кнопку Додати.

У діалоговому вікні Вибір користувачів, комп'ютерів або груп вкажіть ім'я групи безпеки, яку ви створили в Кроці 1 (наприклад, Користувачі переміщуваних профілів і комп'ютери), після чого натисніть OK.

Якщо ви робите розгортання переміщуваних профілів для облікових записів користувачів, виконайте описані нижче дії, щоб вказати переміщувані профілі користувачів для облікових записів в доменних службах Active Directory. Якщо ви виконуєте розгортання переміщуваних профілів користувачів для комп'ютерів, як, наприклад, при використанні можливостей RDS або розгортанні віртуальних робочих столів, зверніться до інструкцій, описаним в Кроці 5 цього розділу.

Якщо ви налаштовуєте переміщувані профілі для облікових записів користувачів, використовуючи Active Directory, або для комп'ютерів, використовуючи групову політику, пріоритет віддається налаштування політики на комп'ютері.

Налаштування переміщуваних профілів в облікових записах користувачів

У центрі адміністрування Active Directory перейдіть в контейнер Користувачі (або в контейнер підрозділів) у відповідному домені.

Виберіть всіх користувачів, для яких хочете використовувати переміщувані профілі, клацніть по ним правою кнопкою миші і виберіть пункт Властивості.

У розділі Профіль відзначте прапорцем пункт Шлях до профілю: і вкажіть шлях до спільної папки, в якій плануєте зберігати переміщуваний профіль користувача. В кінці шляху слід додати% username% (автоматично заміниться на ім'я користувача при першому вході). наприклад:

Щоб вказати обов'язковий переміщуваний профіль користувача, введіть шлях до файлу NTuser.man, який ви створили раніше, наприклад \\ fs1.corp.contoso.com \ User Profiles $ \ default. Додаткові відомості див. У розділі Створення обов'язкового профілю користувача.

За замовчуванням при використанні переміщуваних профілів користувачів дозволяється розгортання всіх додатків на основі середовища виконання Windows® (Магазин Windows). Однак при використанні спеціальних профілів програми не розгортаються за замовчуванням. Спеціальний статус мають профілі, зміни в яких скидаються після виходу користувача:

• Переміщувані профілі користувачів, для яких увімкнено групової політики Delete cached copies of roaming profiles (розташований за наступним шляхом: Конфігурація комп'ютера \ Політики \ Адміністративні шаблони \ Система \ Профілі користувачів).
• Обов'язкові і понад-обов'язкові профілі користувачів, створені адміністратором.
• Тимчасові файли користувачів, створені в разі помилки при завантаженні профілю.
• Профілі користувачів для гостьових облікових записів і члени гостьових груп.

Щоб прибрати обмеження на розгортання додатків для спеціальних профілів, включіть параметр політики Allow deployment operations in special profiles (розташований за наступним шляхом: Конфігурація комп'ютера \ Політики \ Адміністративні шаблони \ Компоненти Windows \ Розгортання пакетів програм). Однак при такому сценарії розгорнуті додатки будуть зберігати на комп'ютері певні дані, які можуть накопичуватися, наприклад, якщо з одним ПК працюють сотні користувачів. Щоб очистити пакети додатків для користувачів, у яких більше немає профілю на комп'ютері, знайдіть або створіть засіб, яке використовує API CleanupPackageForUserAsync.

Детальну інформацію про додатки Магазину Windows див. Розділ Управління клієнтським доступом до Магазину Windows.

Якщо ви виконуєте розгортання переміщуваних профілів користувачів для комп'ютерів, як, наприклад, при використанні можливостей RDS або розгортанні віртуальних робочих столів, виконайте описані нижче дії. Якщо ви робите розгортання переміщуваних профілів для облікових записів користувачів, дотримуйтесь інструкцій, наведених в Кроці 4 цього розділу.

Якщо ви налаштовуєте переміщувані профілі користувачів для комп'ютерів, використовуючи групову політику, і для облікових записів користувачів, використовуючи Active Directory, пріоритет віддається налаштування політики на комп'ютері.

Налаштування переміщуваних профілів користувачів на комп'ютерах

Відкрийте диспетчер сервера на комп'ютері з встановленим компонентом управління груповою політикою.

В меню Інструменти пункт Керування груповою політикою. З'явиться вікно управління груповими політиками.

У компоненті управління груповими політиками клацніть правою кнопкою миші по GPO, який ви створили в Кроці 3 (наприклад, Установки переміщуваних профілів користувачів), після чого виберіть пункт Змінити.

Клацніть правою кнопкою миші Встановити шлях до переміщуються профілів для всіх користувачів, що входять в систему на даному комп'ютері і натисніть Змінити.

У діалоговому вікні Властивості клацніть Включити.

В поле Користувачі, що входять на даний комп'ютер, повинні використовувати наступний шлях для переміщуваних профілів вкажіть шлях до спільної папки, в якій збираєтеся зберігати переміщуваний профіль користувача. В кінці шляху слід додати% username% (автоматично заміниться на ім'я користувача при першому вході). наприклад:

Щоб вказати обов'язковий переміщуваний профіль користувача, попередні налаштування якого користувачі не можуть змінити на постійній основі (при виходь користувача зміни скидаються), введіть шлях до файлу NTuser.man, який ви створили раніше, наприклад \\ fs1.corp.contoso.com \ User Profiles $ \ default. Додаткові відомості див. У розділі Створення обов'язкового профілю користувача.

Якщо ви налаштовуєте переміщувані профілі користувачів на комп'ютерах за допомогою групової політики, або змінили інші параметри переміщуваних профілів користувачів за допомогою групової політики, виконайте описані нижче дії, щоб включити GPO і застосувати його до порушених користувачам.

Включення GPO переміщуваного профілю користувача

Відкрийте "Управління груповою політикою".

Клацніть правою кнопкою миші по створеному вами GPO і натисніть Зв'язок включена. Поруч з відповідним пунктом меню з'явиться прапорець.

Перевірка переміщуваних профілів користувачів

Увійдіть в систему на основному комп'ютері (якщо ви включили підтримку основного комп'ютера) за допомогою облікового запису користувача, для якого ви активували переміщувані профілі користувачів. Якщо ви включили переміщувані профілі користувачів на певних комп'ютерах, увійдіть в систему на одному з них.

Якщо користувач вже увійшов в систему, відкрийте командний рядок з підвищеними привілеями і введіть наведену нижче команду, щоб переконатися, що на комп'ютері використовуються останні настройки групової політики.