Как создать обязательные профили пользователей в Windows 10

Многим системным администраторам требуется создать предварительно настроенную учетную запись пользователя, которая работает с фиксированными настройками. Эти профили называются обязательными профилями пользователей (один из множества уникальных профилей) в Windows 10. В этом руководстве мы расскажем, как создать обязательный профиль пользователя , где он вам нужен и как он работает.

Что такое обязательные профили пользователей в Windows 10

Представьте себе сценарий, в котором вам нужно настроить учетную запись с предварительно настроенным доступом практически ко всему. Он включает в себя значки, которые появляются на рабочем столе, фоновые рисунки рабочего стола, пользовательские настройки на панели управления, выбор принтера и многое другое. Любые изменения, сделанные пользователем во время сеанса, не сохраняются и действительны только для этого сеанса.

Этот сценарий хорошо подходит для компьютера, который открыт для публики. Пользователь может иметь только ограниченный доступ ко всему. Этот сценарий также применим к школьному компьютеру , где вы не хотите, чтобы дети вносили какие-либо изменения в систему.

Тем не менее, эти профили обычно связаны с сервером. Системный администратор может вносить изменения. Если сервер недоступен, пользователи с обязательными профилями могут войти в систему с помощью локальной кэшированной копии обязательного профиля, если таковой существует. В противном случае пользователь войдет в систему с временным профилем.

Интересно отметить, что системный администратор может применить обязательный профиль пользователя к существующему профилю. Мы увидим это в деталях.

Как создать обязательный профиль пользователя

Непосредственно перед тем, как начать, это должно относиться только к отдельным случаям, и это сложно для обычного пользователя. Рекомендуется не использовать компьютер для бизнеса или работы. Этот процесс удалит все учетные записи домена, доступные на компьютере, включая папки профиля пользователя. Это приведет к потере файлов.

1. Создайте профиль пользователя по умолчанию и установите настройки для этого профиля пользователя.
2. Используйте Sysprep (средство подготовки системы Microsoft), чтобы скопировать этот настраиваемый профиль пользователя по умолчанию в общий сетевой ресурс.
3. Скопировать профиль и установить в качестве обязательного профиля.
4. Примените обязательный профиль пользователя для пользователей, использующих активный каталог.

Как создать профиль пользователя по умолчанию

1] Войдите на компьютер с учетной записью, которая является членом локальной группы администраторов. Убедитесь, что вы не используете учетную запись домена.

2] Затем внесите изменения в настройки компьютера, которые должны соответствовать этому профилю пользователя. Он может включать фон, удалять приложения, устанавливать бизнес-приложения и так далее. Удаление ненужных приложений поможет ускорить время входа пользователя.

3] После этого нам нужно создать файл ответов (Unattend.xml), который устанавливает для параметра CopyProfile значение True. Короче,

• Файл ответов содержит определения настроек и значения, используемые при установке Windows.
• Параметр CopyProfile позволяет настроить профиль пользователя и использовать настроенный профиль в качестве профиля пользователя по умолчанию.

Сначала мы настраиваем существующий профиль, а затем устанавливаем его как профиль пользователя по умолчанию.

4] Запустите командную строку и введите команду Sysprep .

Эта команда перезагрузит компьютер и запустит процесс настройки, который вы обычно видите, когда настраиваете новую учетную запись. После завершения установки войдите в систему Windows, используя учетную запись с правами локального администратора.

Возможно, вы получите сообщение об ошибке: «Sysprep не смог проверить вашу установку Windows». В этом случае перейдите по адресу% WINDIR% \ System32 \ Sysprep \ Panther \ setupact.log. Он будет иметь список приложений, которые вы должны удалить. Сделай это вручную.

Вы также можете использовать команды Power-Shell Remove-AppxProvisionedPackage и Remove-AppxPackage -AllUsers для удаления этих приложений.

Скопировать профиль и установить в качестве обязательного профиля

5] Следующие шаги – скопировать этот профиль.

Перейдите в Панель управления> Система> Расширенные настройки системы и нажмите Настройки в разделе Профили пользователей .

В профилях пользователей нажмите Профиль по умолчанию , а затем нажмите Копировать в .

Нажмите Копировать в , в разделе Разрешено использовать нажмите Изменить .

Выберите пользователя или группу , в введите имя объекта , чтобы выбрать поле, введите всех, нажмите «Проверить имена», а затем нажмите «ОК».

Нажмите ОК , чтобы скопировать профиль пользователя по умолчанию.

Если вы заметили, есть прямой вариант, чтобы установить это как обязательный профиль, который является нашим основным намерением. Вы можете проверить это и проверить, работает ли он. Если этого не произойдет, у нас есть другой способ в случае возникновения проблемы.

Чтобы сделать профиль пользователя обязательным

В проводнике откройте папку, в которой вы сохранили копию профиля. Перед этим убедитесь, что вы открыли защищенные файлы операционной системы.

Переименуйте файл Ntuser.dat в Ntuser.man.

Примените обязательный профиль пользователя для пользователей, использующих Active Directory

Если вы хотите задать обязательный профиль любого пользователя, вы можете выполнить следующие действия. После завершения вам придется подождать, пока изменения не будут реплицированы на все контроллеры домена.

1. Откройте Пользователи и компьютеры Active Directory (dsa.msc).
2. Перейдите к учетной записи пользователя, которой вы назначите обязательный профиль.
3. Нажмите правой кнопкой мыши имя пользователя и откройте Свойства .
4. На вкладке Профиль в поле Путь к профилю введите путь к общей папке без расширения. Например, если имя папки \\ server \ profile.v6, введите \\ server \ profile.
5. Нажмите ОК .

Хотя я старался изо всех сил упростить процесс для всех вас, дайте нам знать, если мы можем добавить что-то, что отсутствует.

Использование обязательных (mandatory) профилей пользователей в Windows 10

Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.

Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).

Виды обязательный профилей пользователей в Windows

Существует два типа обязательный профилей пользователей Windows:

• Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
• Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man. Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра).

Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.

Создаем обязательный профиль в Windows 10

1. Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами (lusrmgr.msc).
2. Создайте новую учетную запись, например, ConfRoom.
3. Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6. Например, каталог будет называться: C:\ConfRoom.V6.
4. Откройте окно с настройками системы (SystemPropertiesAdvanced.exe).
5. В разделе User Profiles нажмите на кнопку Settings.
6. Выберите профиль Default Profile и нажмите кнопку Copy To.
7. В качестве каталога, в который нужно скопировать профиль выберите C:\ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \\server1\profiles\ConfRoom.V6.
8. В разрешениях выберите NT AUTHORITY\Authenticated Users.

Назначаем обязательный профиль пользователям

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:\ConfRoom.v6.

Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.

Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.

The User Profile Service service failed the sign-in.
User profile cannot be loaded.

И в журнале системы появляется событие Event ID:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):

• ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
• Authenticated Users – Read и Execute
• SYSTEM – Full Control
• Administrators – Full Control

Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.

При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LM\Software\Microsoft\Windows\CurrentVersion\Explorer\.

Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

• Use mandatory profiles on the RD Session Host server = Enabled
• Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Предоставление общего доступа к файлам по сети в Windows 10

В Windows 10 изменились некоторые функции общего доступа к файлам и папкам по сети, в том числе удаление домашней группы. Узнайте ответы на часто задаваемые вопросы о других изменениях, связанных с доступом к файлам и папкам в Windows 10.

Для предоставления общего доступа к файлу или папке в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выберите файл и нажмите Предоставить доступ к > Отдельные люди.

Выделите файл, перейдите на вкладку Поделиться в верхней части проводника, а затем в разделе Поделиться выберите Отдельные люди.

Если выбрать одновременно несколько файлов, вы можете предоставить к ним общий доступ таким же образом. Эта функция работает и для папок: вы можете поделиться папкой, после чего общий доступ будет предоставлен ко всем файлам в ней.

Для прекращения общего доступа в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выделите файл или папку, а затем выберите Предоставить доступ к > Удалить доступ.

Выберите файл или папку, перейдите на вкладку Общий доступ в верхней части проводника, а затем в разделе Поделиться с выберите Удалить доступ.

В проводнике отображается параметр «Удалить доступ» («Прекратить общий доступ» в предыдущих версиях Windows 10) для всех файлов, даже для тех, к которым не предоставляется общий доступ по сети.

Откройте проводник и введите \\localhost в адресной строке.

Примечание: Если вы предоставили общий доступ к файлу из папки в профиле пользователя, то после перехода по адресу \\localhost вы увидите профиль пользователя и все связанные файлы. Это не означает, что ко всем вашим файлам предоставлен общий доступ. Просто у вас есть доступ ко всем собственным файлам.

Если вы открываете проводник, переходите в раздел Сеть и видите сообщение об ошибке («Сетевое обнаружение выключено. «), вам потребуется включить сетевое обнаружение, чтобы просмотреть устройства в сети, который предоставляют общий доступ к файлам. Чтобы включить эту функцию, выберите баннер Сетевое обнаружение выключено и нажмите Включить сетевое обнаружение и общий доступ к файлам.

Для устранения неполадок, связанных с предоставлением общего доступа к файлам и папкам, выполните следующие действия на всех компьютерах, на которых вы хотите настроить общий доступ.

Убедитесь, что компьютеры находятся в одной сети. Например, если компьютеры подключаются к Интернету с помощью беспроводного маршрутизатора, убедитесь, что они подключены через один и тот же беспроводной маршрутизатор.

Если вы подключены к сети Wi-Fi, измените ее тип на Частная. Чтобы узнать, как это сделать, ознакомьтесь с разделом Общедоступные и частные сети Wi-Fi в Windows 10.

Включите сетевое обнаружение и общий доступ к файлам и принтерам, а затем отключите общий доступ с защитой паролем.

Нажмите кнопку Пуск , выберите Параметры > Сеть и Интернет , а затем справа выберите Параметры общего доступа.

В разделе Частная выберите Включить сетевое обнаружение и Включить общий доступ к файлам и принтерам.

В разделе Все сети выберите Отключить общий доступ с парольной защитой.

Включите автоматический запуск служб общего доступа.

Нажмите клавишу Windows + R.

В диалоговом окне Выполнить введите services.msc и нажмите кнопку OK.

Щелкните правой кнопкой мыши каждую из следующих служб, выберите Свойства. Если они не работают, щелкните Запустить и рядом с полем Тип запуска выберите Автоматически: