Перемещаемый профиль пользователя в домене windows server

В больших компьютерных сетях, когда рабочее место пользователя не привязано к определенному компьютеру удобно использовать перемещаемые профили пользователей.

Рассмотрим процесс настройки перемещаемых профилей пользователей с использованием групповой политики.

Первым делом, создадим специальную группу. Назовем ее, к примеру, Users with roaming profiles.

Сразу после создания группы можно определить для кого и на каком компьютере будут действовать перемещаемые профили.

Поскольку нас интересует создание перемещаемых профилей для всех пользователей мы добавим в группу Users with roaming profiles всех пользователей домена и все компьютеры домена.

На этом подготовка группы закончена, переходим к работе с файловой системой. На сервере, который будет хранилищем перемещаемых профилей создадим новый общий ресурс.

Если не стоит задачи управлять общим ресурсом (к примеру создавать квоты и ограничения), то выбираем профиль SMB Share ProFile

Если требуется настройка квот и ограничений, либо общий ресурс создается на удаленном сервере то потребуется установка дополнительных компонентов.

Если нужно создать общий ресурс на удаленном сервере, то Компоненты ролей должны быть установлены на управляемом и управляющем серверах.

После установки дополнительных компонентов перейдем непосредственно к созданию общей папки.

Определяем параметры Общего ресурса. К этому моменту папка для хранение перемещаемых профилей должна быть создана.

На следующем шаге включим галочку Enable acces-based enumeration. В этом случае пользователь будет иметь доступ только к файлам своего профиля.

Для организации совместного доступа потребуется произвести настройку прав

В частности нужно отключить наследование

Выбираем пункт

В данном примере нас будут интересовать только пользовательские файлы

Если добавление квот не требуется, продолжим работу мастера

Подготовка общего ресурса завершена, осталось все проверить и нажать кнопку Create.

Создав общий ресурс перейдем в редактор групповой политики для окончательно настройки перемещаемых профилей.

Создадим новый объект групповой политики

Откроем его для изменения и найдем параметр Set roaming path for all users logging omto this computer в ветке Computer Configuration-Profiles- Administartive Template Policity definitions-System-User Profile

Указываем путь к созданной ранее общей папке

Перемещаемые профили позволяют пользователям иметь одно пользовательское окружение, настройки программ при работе за разными компьютерами. Для системного администратора позволяют управлять пользовательским профилем при выключенном компьютере пользователя, и самое важное, позволяют централизованное резервное копирование. Недостатком перемещаемого профиля может стать его размер и небольшая скорость локальной сети, т.к. перемещаемый профиль это полное копирование пользовательских данных по сети. Но для решения этого недостатка могут помочь перенаправляемые папки. Тестовый стенд состоит из контролелра домена 2012, файлового сервера 2012 и клиента Windows 8. Конфигурации представлены ниже. Подробнее о перемещаемых профилях в документации на английском языке для Server 2003. Для Server 2012 почти ничего не изменилось.

На файловом сервере создаётся общий сетевой ресурс со следующими общими правами:

Настройка NTFS-разрешений для общего ресурса. Снимается наследование от родителя с копированием прав.

Для того, что бы системный администратор имел доступ к профилю на сервере необходимо включить в групповой политике следующую опцию указанную ниже и применить к подразделению с компьютерами. Однако, из-за UAC доступ будет возможен через файловый менеджер, запущенный от имени администратора. Я буду использовать Total Commander. По умолчанию Explorer запущенный от имени администратора всё равно не будет иметь доступа к профилю.

Включить перемещаемый профиль можно двумя способами. Один из них через GPO, однако этот метод содержит включение на уровне компьютера. Т.е. все пользователи, использующие компьютер с данной политикой, будут иметь перемещаемый профиль, который не смогут загрузить на другом компьютере, если там политика не включена. Я не буду рассматривать данный метод.

Второй метод включения перемещения профиля находится в свойствах учётной записи пользователя. Во вкладке «провиль» в поле «путь к профилю» достаточно записать путь к ресурсу, где будут храниться профили пользователей.

Если вы создаёте нового пользователя, у которого должен быть включён перемещаемый профиль, вы можете не создовать новую учётную запись, а скопировать с уже имеющейся учётной записи, для которой перемещамый профиль включён.

Если в организации только вводится перемещаемый профиль, вы можете выделить все нужные учётные записи и массово назначить всем путь для перемещаемого профиля. Можно использовать маски, например %username% — будет создана папка с профилем по имени учётной записи. Собственно, на этом настройка перемещаемого профиля закончена.

Как я уже упоминал, из-за UAC доступ из продника запрещён, т.к. проводник работает с понищенными правами, и запуск его от имени администратора ситуацию не изменит. Если конечно, на сервере не было сделано некоторых изминений, невилирующих такую защиту. Файловый менеджер Total Commander, запущенный от имени администратора, имеет доступ пользовательскому профилю.

Как сделать перемещаемые профили

Ранее я как-то работал с перемещаемыми профилями в Active Directory и это было удобно в плане что все Ваши настройки, файлы всегда у Вас под рукой, не важно сидите ли Вы за компьютер в шоуруме или на складе . Так что сегодня я покажу все действия которые я проделал чтобы пока конкретно для себя сделать данную надстройку.

Первым делом подключаюсь/авторизовываюсь (Login: ekzorchik, Password: 712mbddr@, Group: Domain Admins) к контроллеру домена srv-dc.polygon.local (Server 2012 R2 Standard) либо по RDP, по VNC или же физически подойдя к нему, как в прочем принято у Вас в организации или какие методы используете Вы лично.

Создаю специальный каталог где будут располагаться перемещаемые профили и профиль к профилю не будет иметь доступа , что Важно. Т.к. в моей сети (она тестовая) нет файлового сервера то в роли месторасположения под профили выступит логический диск E контроллера домена. Создаю каталог к примеру с именем profile, после через правый клик мышью по нему открываю его свойства (Properties) — вкладка Sharing — Advanced Sharing

• Share this folder : отмечаю галочкой
• Share name: profile$
• Limit the number of simultaneous users to: 50

После нажимаю Permissions и для всех Everyone проставляю все галочки на доступ:

• Full Control → Allow
• Change → Allow
• Read → Allow

и нажимаю Apply — Ok — Apply — OK, после все еще находясь в свойства каталога profile перехожу на вкладку Security — Advanced — вкладка Permissions — Change permissions, здесь отменяю наследование свыше стоящего: нажимаю Disable inheritance → Convert inherited permissions into explicit permissions on this object и привожу права к следующему виду:

А после пробрасываю текущие права внутрь каталога E:profile отметкой пункта: Replace all child object permissions entries with inheritable entries from this object — подтверждаю Yes — Ok — Ok

Далее открываю оснастку: Active Directory Users and Computers

Win + X — Control Panel — Active Directory Users and Computers, затем в моем случае в организационном контейнере IT открываю свойства (Properties) учетной записи alektest через правый клик мышью по ней. После перехожу на вкладку Profile и прописываю путь до создаваемого перемещаемого профиля:

• Profile path: \srv-dcprofile$DefaultUserV2%username%

После этого тестирую, как работает вот таким вот образом настройка на работу перемещаемого профиля с одной рабочей станции на другую.

На W7X86

Теперь открываю оснастку управления профилями системы и вижу, что текущий профиль не локальный как если бы пользователь домена или не домена авторизовался в системе:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

Если настроить систему на максимальную производительность, добавить ярлыки, файлы в текущий профиль, то при заходе уже на другую систему, к примеру W7X64 все сделанные настройки перенесутся, но для этого нужно завершить текущее подключение: Пуск — Выйти из системы. (Это обязательное условие).

По итогу когда авторизовался под учетной записью alektest на рабочей станции W7X64 все необходимые вынесенные ярлыки отобразились на рабочем столе, выставленные параметры пользовательского окружения также были применены к текущему заходу.

Как же работает перемещаемый профиль: если пользователь уже зашел в систему с использованием перемещаемого профиля, то он первый раз создается, при выходе в каталог на сервере где предопределен путь его хранения копируются только сами изменения сделанные в текущем сеансе, а не весь профиль. Как и говорил выше, изменения синхронизируется с сетевой папкой только когда пользователь делает Log Off (Завершение сеанса) в этом достигается огромнейшее преимущество, что при авторизации на различных компьютера пользователь получит свою систему.

Если же учетная запись (к примеру alektest2) была в домене, но перемещаемый профиль не был настроен, то что произойдет с имеющимися файлами (к примеру на W7X86 на «Рабочем столе» сейчас имеются 7 файлов изображений).

Смотрю какой тип профиля сейчас:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

• Имя: POLYGONalektest2
• Размер: 26,0 Мб
• Тип: Локальный
• Состояние: Локальный

Включаю использование перемещаемых профилей в свойствах учетной записи на домен контроллере: Profile path: \srv-dcprofile$DefaultUserV2%username%

Затем на рабочей станции W7X86 делаю завершение сеанса, после снова авторизуюсь на ней же и проверяю, какой профиль сейчас:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

• Имя: POLYGONalektest2
• Размер: 26,0 Мб
• Тип: Перемещаемый
• Состояние: Перемещаемый

Вспомнив, что на рабочем столе должны быть файлы изображений, проверяю, да так и есть. Теперь делаю Logoff, но уже авторизуюсь на другой станции W7X64 и проверяю все то же самое, итог все соответствует тому моменту когда пользователь имел свои файлы, свои настройки рабочего места.

Пока могу сказать, что использование перемещаемых профилей может сэкономить время при перенастройке системы, переезда пользователя из одного отдела в другой. Теперь не важно нужно ли пользователю подменить кого-то его файлы перемещаться за ним.

На заметку: По практике использования перемещаемых профилей важно чтобы пользовательский профиль был не большого размера, а все тяжеловесные файлы хранились на общем диске, где доступ к которому сделан посредством GPO.

Если пользователей несколько, т. е. Тех кого переводим на использование перемещаемых профилей, то практичнее будет задействование групповых политик домена: (srv-dc)

Win + X — Control Panel — Administrative Tools — Group Policy Management

GPO_Profile — Computer Configuration — Policies — Administrative Templates — System — User Profiles

• Add the Administrators security group to roaming user profiles: Enable
• Disable detection os slow network connections: Enable
• Prompt user when a slow network connection is detected: Disabled
• Set roaming profile path for all users logging onto this computer: Enabled (\srv-dcprofile$DefaultUserV2%username%)

GPO_Profile — User Configuration — Policies — Administrative Templates — System — User Profiles:

• Limit Profile size: Enabled
• Custom Message: У вас слишком большой профиль, почистите его.
• Max Profile size (KB): 1048576 (1Gb)
• Show registry files in the file list: отмечаю галочкой
• Notify user when profile storage space is exceeded: отмечаю галочкой
• Remind user every X minutes: 15

На заметку: из скриншота выше в политике нужно указывать имена учетных записей и всех компьютеров на которых будет работать перемещаемый профиль. Т.е. кто бы не зашел на данные компьютеры у него будет перемещаемый профиль, а если он есть еще и в политике то у него будет ограничение в 1Gb и сообщение при: Пуск — Завершение сеанса:

You have exceeded your profile storage space. Before you can log off, you need to move some items from your profile to network or local storage

Это у меня тестовый пользователь alektest закинул себе на рабочий стол несколько образов и хотел завершить сеанса, но к его сожалению у него ничего не вышло, сработало ограничение в 1Gb.

Также выводится, какие пользовательские файлы учетной записи alektest занимают большой объем и их нужно как правильно говорит информационное окно «Объем хранилища профилей» переместить на другой логический диск или в сетевую папку.

Удаляя самостоятельно подозрительно большие файлы данное окно выше автоматически подсчитывает размер текущего профиля, когда все нормально, то выводится сообщение: «В вашем профиле имеется доступное месторасположения». Раз так, то и выход может быть осуществлен корректно.

Как использовать настройку перемещаемых профилей уже решать Вам с учетом ваших задач. Я же для себя сделал напоминалку. Она работает. Что-либо еще добавить пока не зачем, лучше когда что-то будет интересное, а пока все, с уважением автор блога Олло Александр aka ekzorchik.

Пользовательские профили и их управление. Часть 2

Посетителей: 58304 | Просмотров: 101118 (сегодня 3) Шрифт:

Продолжение, начало см. здесь

Создание перемещаемых профилей

Перемещаемые пользовательские профили создаются очень просто. Для их создания вам даже не нужно разбираться с Active Directory или групповыми политиками, но знание этих технологий значительно упростить вам жизнь при управлении такими профилями. Если говорить о создании перемещаемых профилей в двух словах, то вам нужно настроить сетевое размещение, где будут располагаться данные профили, а затем отконфигурировать каждую учетную запись пользователя для сопоставления с созданным ранее сетевым размещением. Все эти действия описаны далее:

1. На файловом или специально выделенном профильном сервере создайте папку, которая будет использоваться для хранения перемещаемых пользовательских профилей. Данная папка будет считаться папкой верхнего уровня для всех индивидуальных профилей пользователей;
2. Перейдите в свойства в свойства текущей папки. В отобразившемся диалоговом окне «Свойства: %имя_папки%» перейдите на вкладку «Доступ» и предоставьте для группы «Прошедшие проверку» полный доступ. Это действие следует выполнить для того, чтобы пользователи, прошедшие проверку могли получать доступ к текущему ресурсу, а также создавать свои профили. Помимо этого, назначьте дополнительные разрешение NTFS для группы «Пользователи». Папка, которая используется для хранения настраиваемого профиля, должна называться DefaultUser.v2, для которой назначьте полный доступ группе «Все»;

Рис. 1. Предоставление разрешений для папки Profiles

Откройте оснастку «Active Directory – пользователи и компьютеры», выберите пользователя, для которого нужно настроить перемещаемый профиль, нажмите на нем правой кнопкой мыши и выберите команду «Свойства»;

Рис. 2. Открытие диалогового окна свойств пользователя

В отобразившемся диалоговом окне перейдите на вкладку «Профиль» и в соответствующем текстовом поле введите путь к общей папке, где содержится профиль текущего пользователя. Вы можете использовать переменную среды %UserName% в качестве заполнителя имени входа в систему, которое используется в пути профиля. После того как пользователь в первый раз войдет в домен, на сервере автоматически будет создана папка профиля в формате имени пользователя или, если пользователь выполнил вход из операционной системы Windows Vista или более поздней версии операционной системы, то будет создана папка имя_пользователя.v2 с соответствующими разрешениями.

Рис. 3. Настройка пути перемещаемого профиля пользователя

Обязательный пользовательский профиль создается по аналогии, только после настройки рабочего стола (достаточно чтобы пользователь, скажем, начальник отдела или вы выполнили все настройки для текущего профиля), файл данного профиля следует переименовать с NTUSER.DAT в NTUSER.MAN. Также каждый обязательный пользовательский профиль следует хранить в специально выделенной папке верхнего уровня. То есть, вам нужно создать следующую иерархию папок: корневая папка верхнего уровня, скажем, Profiles, в которой будет расположена папка mandatory_user_profiles, внутри которой уже будут расположены папки с обязательными профилями пользователей. Для этой папки вам нужно предоставить разрешения только на уровне «Чтения», что не позволит вносить пользователям изменения в свой обязательный пользовательский профиль, который расположен на сервере. После этого, на вкладке «Профиль» пользователя, в соответствующем текстовом поле, задайте имя с суффиксом .man (.man.v2 для пользователей, которые выполняют вход под операционными системами Windows Vista и выше) в конце для папки пользователя, которая станет обязательным пользовательским профилем.

Управление перемещаемыми пользовательскими профилями средствами групповой политики

Как вам известно, в доменах Active Directory для снижения стоимости управления компьютерными системами принято целесообразно использовать групповые политики. Перемещаемые пользовательские профили не исключение. Групповые политики позволяют управлять большинством задач, которые могут стать перед вами при развертывании перемещаемых пользовательских профилей. Для этого корпорация Microsoft предоставляет 23 параметра групповой политики, расположенных в узлах ПолитикиАдминистративные шаблоныСистемаПрофили пользователей разделов конфигурации компьютера и конфигурации пользователя. Рассмотрим эти параметры:

Рис. 4. Параметры политики управления профилями пользователей

Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя.

Данный параметр групповой политики используется для добавления группы безопасности «Администраторы» в общий ресурс с перемещаемым профилей пользователя, а также для назначения полного доступа. После того как вы настроите перемещаемый пользовательский профиль, он будет создан при следующем входе пользователя в систему в указанном вами расположении. Если параметр отключен или не задан, то только пользователь получит полный доступ к своему профилю, а у группы администраторов не будет доступа к файлам, а если данный параметр включен, то группа администраторов также будет иметь все права доступа к папке профиля пользователя. Если вы включите данный параметр после создания профиля, то не будет влиять на созданный ранее профиль. Стоит отметить, что данный параметр вы должны настраивать не профильном сервере, а на компьютере пользователя, так как разрешения общего файлового доступа назначается к перемещаемому профилю во время его создания.

Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Текущий параметр позволяет администратору при перезагрузке системы автоматически удалять профили пользователей, которые не были использованы в течение указанных в этой политике дней, при этом днем считается 24 часа с момента получения доступа к данному профилю. В том случае, если параметр активирован, то при перезагрузке системы неиспользованные в указанном количестве дней профили автоматически удаляются службой пользовательских профилей. Если же параметр не настроен или отключен, то автоматического удаления не произойдет. Для пользователей, находящихся в частых и длительных командировках применение данного профиля следует планировать в частном порядке.

Не проверять собственность пользователя перемещаемых папок профиля.

Этот параметр отключает безопасную настройку по умолчанию для пользовательской папки перемещаемых пользовательских профилей, определяет действия с существующей папкой при обновлении компьютеров, поддерживает и повышает уровень безопасности пользовательского профиля. Начиная с операционной системы Windows XP SP1, папка перемещаемого профиля недоступна для копирования в том случае, если она уже существует и разрешения на нее не верны. При включенном параметре, операционная система Windows не проверяет на существующую папку. При отключенном или не заданном параметре в существующей папке перемещаемого пользовательского профиля, копирование файлов отсутствует, а в журнале событий выводится сообщение об ошибке. В случае отсутствия кэшированного профиля, используется временный профиль пользователя.

Удалять кэшированные копии перемещаемых профилей.

Используя данный параметр, вы можете определить возможность сохранения копий пользовательского перемещаемого профиля на жестком диске при выходе из системы. Совместно со связанными с ним параметрами данной папки, этот параметр определяет стратегию управления пользовательскими профилями, которые расположены на удаленных серверах и определяют действия системы при длительном времени загрузки профиля. Как было сказано ранее, при выходе пользователя из системы производится сохранение перемещаемого профиля пользователя на локальный жесткий диск на исключение ситуации недоступного профильного сервера. При включенном параметре, все локальные копии удаляются, при этом оставляя перемещаемый профиль только на профильном или файловом сервере. В случае медленного подключения этот параметр должен быть отключен, так как он требует наличие локальной копии перемещаемого профиля.

Не выполнять принудительной выгрузки реестра пользователя при его выходе из системы.

Данный параметр групповой политики используется в случае проблем совместимости приложений. Операционная система производит выгрузку системного реестра пользователя при выходе из системы, невзирая на открытые дескрипторы к пользовательским разделам реестра. Так как применение данного параметра может препятствовать получению обновлений перемещаемых профилей, данный параметр рекомендуется использовать только в крайних случаях. В том случае, если этот параметр включен, принудительная выгрузка реестра при выходе из системы не производится, но системный реестре будет перезагружаться после закрытия дескрипторов к пользовательским разделам системного реестра. Отключенный или не настроенный параметр будет выгружать реестр всегда, даже при открытых дескрипторах.

Не определять медленные сетевые подключения.

Как вам уже известно, медленное подключение характеризуется измерением скорости подключения пользовательского компьютера к удаленному серверу, содержащему перемещаемый профиль пользователя. При определении системой медленного подключения, параметры папки перемещаемого профиля определяют характер реакции системы на медленное подключение. При включенном параметре система не определяет медленное подключение и ни одно из сетевых подключений не будет таковым считаться, соответственно, всегда заграждаются перемещаемые профили. Система игнорирует параметры, задающие реакцию на медленные подключения. При отключенном или не настроенном параметре, система измеряет скорость подключения к удаленному серверу, хранящему пользовательский профиль. При медленном подключении система задействует другие параметры, установленные в папке перемещаемого профиля для дальнейших действий, загружая локальную копию пользовательского профиля по умолчанию.

Выдавать запрос пользователю при обнаружении медленного сетевого подключения.

Текущий параметр групповой политики поможет вам в том случае, если ваши пользователи требуют загрузки перемещаемого профиля даже при наличии медленного сетевого подключения к профильному серверу. В операционных системах Windows XP и более ранних, при обнаружении медленного подключения отображается диалоговое окно для выбора параметра загрузки удаленной копии перемещаемого профиля. В операционных системах Windows Vista и более поздних, при входе в систему отображается только флажок, определяющий необходимость загрузки пользовательского профиля. При активированном параметре данной политики, пользователи сами определяют необходимость загрузки перемещаемого профиля при медленном подключении к серверу. При отключенном или не заданном параметре, используется локальная копия профиля пользователя. При включенном параметре «Дождаться загрузки перемещаемого пользовательского профиля», удаленная копия профиля будет загружена автоматически или же система будет полностью игнорировать предварительный выбор пользователя. Для настройки времени, выделенного на ответ в операционных системах ниже Windows Vista, используется параметр «Таймаут диалоговых окон». При включенном параметре «Не определять медленное подключение», данный параметр игнорируется. При включенном параметре «Удалять кэшируемые копии перемещаемых профилей», локальная копия профиля отсутствует, соответственно локальная копия профиля не загружается при медленном подключении.

Оставить установочные данные установщика Windows и групповой политики.

Использование данного параметра позволяет определить, оставляет ли операционная система установочные данные установщика Windows и групповой политики при удалении перемещаемого профиля пользователя. По умолчанию удаляются все относящиеся к нему сведения, в том числе и связанные с установщиком, поэтому при следующем входе в систему возникает необходимость установки всех приложений публикуемых с помощью политики, что, соответственно, увеличивает время входа в систему. При включении данного параметра, установочные данные установщика Windows и групповой политики не удаляются с компьютера, что повышает производительность при следующем входе в систему пользователей с удаленным профилем. При отключенной или не настроенной политике, перемещаемый профиль пользователя удаляется целиком, включая данные установщика Windows и групповой политики. При включённой политике локальный администратор должен удалить данные установщика Windows и групповой политики из реестра и файловой системы пользователя.

Разрешить использование только локальных профилей.

При помощи данного параметра групповой политики, вы можете запретить пользователям с перемещаемым профилем получать его на отдельно взятом компьютере. По умолчанию, при первом входе пользователя в систему, его перемещаемый профиль загружается на локальный компьютер. При последующем входе, перемещаемый профиль объединяется с локальным профилем пользователя. При завершении работы и выходе из системы, локальная копия профиля с произведенными в процессе сеанса изменениями, объединяется с серверной копией профиля. Используя данный параметр, можно запретить пользователям получать свой перемещаемый профиль на отдельно взятом компьютере. При включенном параметре, при первом входе в систему, пользователь получает новый локальный профиль, в котором и будут сохранены все изменения системы. Этот же локальный профиль будет использоваться при всех последующих входах в систему, не синхронизируя с сервером. Если данный параметр отключен или не задан, то по умолчанию используется перемещаемый профиль пользователя.

Установить путь к перемещаемым профилям для всех пользователей, входящих в систему на данном компьютере.

Данный параметр определяет необходимость использования указанного сетевого пути для всех пользователей, отдельно взятого компьютера. Для использования данного параметра вводится путь к общему сетевому ресурсу в следующем формате: \имя_компьютераимя_общего_ресура. Для предоставления индивидуальной папки профиля для каждого пользователя на отдельно взятом компьютере, добавьте пути %Username%, иначе все пользователи будут использовать одну и ту же папку профиля, при этом необходимо убедиться в наличие соответствующих настроек безопасности. При включенном параметре все пользователи используют указанный путь к перемещаемым профилям. При отключенном или не настроенном параметре, пользователи используют локальный или стандартный перемещаемый пользовательский профиль.

Таймаут диалоговых окон.

Используя текущий параметр групповой политики, вы можете определить, как долго операционная система должна ожидать ответа пользователя, прежде чем выполнить действие, которое установлено по умолчанию. Последнее используется в том случае, если пользователь не ответил на сообщение о возникновении событий обнаружения медленного подключения, недоступности профильного сервера или повествующего о том, что локальный пользовательский профиль новее, чем серверный профиль. Целесообразно использовать данный параметр для предопределения системного значения, которое равно 30 секундам. Вы можете указать значение в интервале от 0 до 600 секунд.

Не регистрировать в системе пользователей с временными профилями.

Текущий параметр групповой политики позволяет вам автоматически отключать пользователей от системы при невозможности загрузки их профилей. Данная политика также распространяется в том случае, когда профиль содержит ошибки препятствующие загрузке, при этом, не позволяя операционной системе регистрировать пользователя с временным профилем. При включении данного параметра, операционная система не будет регистрировать пользователя с временным профилем пользователя. Если же параметр отключен или не задан, при невозможности загрузки пользовательских профилей, операционная система будет регистрировать в системе временные профили.

Максимальное число повторов выгрузки и обновления профиля пользователя.

При помощи этого параметра групповой политики вы можете определить количество повторных попыток обновления файла NTUSER.DAT при выходе пользователя или ошибки обновления. Когда пользователь выходит из системы, операционная система выгружает пользовательскую часть реестра и обновляет ее. Система прекращает эти попытки тогда, когда указанное количество попыток оказывается исчерпывающим. По умолчанию система повторяет попытки 60 раз. Если включить данный параметр, то вы можете изменить количество повторных попыток выполнения загрузки и обновления пользовательских параметров реестра. В том случае, если вы установите значение равное нулю, то операционная система будет выполнять выгрузку и обновление параметров реестра только один раз. Если на компьютере расположено много профилей, то желательно увеличить количество повторных попыток.

Запретить передачу на сервер изменений в перемещаемом профиле.

Используя данный параметр, вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. Как уже говорилось ранее, при выполнении пользователем входа в систему, его перемещаемый профиль копируется на локальный компьютер, причем перемещаемый профиль объединяется с локальным в том случае, если ранее уже выполнялся вход. Если включить данный параметр, то при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.

Дождаться загрузки перемещаемого профиля.

Данный параметр групповой политики указывает на то, что операционная система должна дождаться загрузки удаленной копии перемещаемого профиля пользователя, даже в том случае, когда вы подключены через медленное подключение. Включив данный параметр, вы позволить всегда загружать перемещаемый пользовательский профиль с сервера. Стоит обратить внимание на то, что если вы включили параметр «Не определять медленные подключения», то данный параметр групповой политики игнорируется. Также, при включенном параметре «Удалять кэшированные копии перемещаемых профилей», в случае медленного подключения, у вас нет локальной копии перемещаемого профиля, которую можно было бы загрузить. Если же данный параметр групповой политики отключен или не настроен, то при обнаружении медленного подключения система загружает локальную копию перемещаемого профиля пользователя

Таймаут медленных сетевых подключений для профилей пользователей.

Текущий параметр позволяет вам указать, какое подключение для загрузки перемещаемых профилей пользователей будет считаться медленным. Операционная система считает подключение медленным в том случае, если сервер, на котором располагается перемещаемый профиль пользователя, отвечает медленнее, чем указано в данном параметре. Для компьютеров, подключенных к IP-сетям, операционная система вычисляет скорость, с которой удаленный сервер должен возвращать данные в ответ на ping-сообщение. Для задания порогового значения для этой проверки в текстовом поле «Скорость подключения» введите десятичное число от 0 до 4294967200, представляющее минимальную приемлемую скорость передачи в килобитах в секунду. Значение, установленное по умолчанию равняется 500 кбит/с. Помимо этого, если для компьютеров не в IP-сетях файловая система сервера не отвечает в течение максимальной приемлемой задержки в миллисекундах, которая указывается в текстовом поле «Время», сервер также считается медленным. В данное текстовое поле вы можете ввести значение от 0 до 20000. В том случае, если включен параметр групповой политики «Не определять медленные подключения», то данный параметр игнорируется.

Фоновая передача файла реестра перемещаемого профиля пользователя при входе пользователя в систему.

Данный параметр появился только в операционных системах Windows 7 и Windows Server 2008 R2. При помощи этого параметра вы можете задать расписание фоновой передачи файла реестра перемещаемого профиля пользователя. Передача осуществляется только в том случае, если пользователь вошел в систему. Стоит обратить внимание на то, что данный параметр не препятствует передаче файла реестра перемещаемого профиля пользователя при выходе пользователя из системы. Основное отличие данного параметра от всех остальных заключается в том, что для использования этого параметра сначала необходимо выбрать используемый метод планирования расписания. Существует два метода расписания:

• Запуск с заданным интервалом. Выбрав данный план расписания, файл реестра профиля пользователя будет передаваться с указанным интервалом после входа пользователя в систему. В текстовом поле «Интервал» вы можете указать интервал от 1 до 720 часов. Например, если вы укажите интервал 4 часа, то файл реестра будет передаваться в фоновом режиме каждые четыре часа даже если пользователь не выходит из системы. При следующем входе пользователя в систему таймер начнет работать заново;
• Запуск в указанное время. При выборе данного плана куст реестра будет передаваться лишь один раз ежедневно в одно и то же время.

Рис. 5. Диалоговое окно настроек фоновой передачи перемещаемого профиля

Установить максимальное время ожидания для сети, если пользователь имеет перемещаемый профиль или удаленный основной каталог.

По умолчанию, при перемещении профиля или удаления основной папки с профилем во время недоступности сетевого подключения, после выполнения пользователем входа в систему, операционная система Windows ожидает возобновления работы сети в течение 30 секунд. Используя этот параметр, вы можете задать время ожидания возобновления работы сети. В том случае, если по истечении максимального времени ожидания сеть останется недоступной, то вход пользователя в систему будет продолжен без сети. Как только сеть станет доступной до истечения максимального времени ожидания, то вход пользователя непременно продолжится.

Подключить домашнюю папку к корню общего ресурса.

Текущий параметр определяет параметры переменных сред %HOMESHARE% и %HOMEPATH%, которые определяет домашнюю папку пользовательского профиля, а также содержит полный путь к домашней папке. В этом случае пользователи могут получать доступ к домашней папке и любым ее подпапкам через букву диска домашней папки, но в то же время не могут просматривать или получать доступ к ее родительским папкам. При отключении данного параметра, домашние папки сопоставляются с папкой пользователя, а не с общим ресурсом более высокого уровня. Данный параметр вы не можете использовать на операционных системах, которые были созданы после операционной системы Windows XP.

Синхронизировать основные папки только в момент входа или выхода системы.

При помощи данного параметра групповой политики вы можете указать сетевые папки, которые будут синхронизироваться, используя политики автономных файлов при входе и выходе из системы. Этот параметр целесообразно использовать для разрешения проблем с приложениями, работающими некорректно с автономными файлами, когда пользователь находится в интерактивном режиме. Если данный параметр включен, то сетевые пути, которые указаны в параметре будут синхронизироваться при помощи политики автономных файлов. Если отключить или не задан, то пути, которые указаны в текущем параметре, будут вести себя аналогично другим кэшированным данным, обрабатываемым политикой автономных файлов, и останутся в интерактивном режиме при нахождении пользователя в системе, если сетевые пути доступны.

Исключить папки из перемещаемого профиля.

Этот параметр групповой политики позволяет вам исключить папки, которые должны включаться в перемещаемый профиль пользователя, что позволяет не сохранять определенные папки на профильном сервере. Как вам известно, в перемещаемых профилях обязательно исключаются папки «AppdataLocal», «AppdataLocalLow», а также папки, содержащие временные файлы и историю браузера Internet Explorer. Если включить данный параметр, то вы можете исключить любые папки, которые расположены в пользовательском профиле. При отключении данного параметра перемещаться будут, соответственно, только папки по умолчанию.

Ограничить размер профиля.

Данный параметр позволяет вам задать максимальный размер пользовательского профиля и определяет действие операционной системы в том случае, когда профиль достигает максимального значения. При помощи этого параметра вы можете установить максимальный размер профиля, определить, включается ли в размер профиля файлы реестра, указать, будут ли конечные пользователи получать уведомления при превышении максимального размера профиля, указывать специальное сообщение, уведомляющее пользователя о превышении размера профиля, а также определить как часто это сообщение должно отображаться. Если вы отключите или не зададите параметры для данного параметра, то операционная система не будет ограничивать размер пользовательского профиля.

Заключение

В данной статье вы узнали о назначении и типах профилей пользователей, которые ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Узнали о том, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. В статье предоставлена таблица, из которой вы можете узнать обо всех папках, которые входят в состав профилей. Было рассказано о том, как создаются перемещаемые профили пользователей, а также были рассмотрены групповые политики, позволяющие управлять перемещаемыми и локальными профилями пользователей.

В прошлый раз мы развернули отказоустойчивую ферму RD Connection Broker с участием трёх серверов RD Session Host. В этой заметке будет описана часть процесса настройки серверов фермы, в частности, в части настройки пользовательской среды – включение механизмов перемещаемых профилей (Roaming User Profiles) и перенаправления папок пользователей (Folder Redirection).

Для управления параметрами настройки пользовательских профилей воспользуемся групповыми политиками. Создадим объект доменной групповой политики (GPO), который будет настраивать все сервера RD Session Host (RDSH) в нашей ферме RD Connection Broker

Создаём объект групповой политики

В нашем примере GPO будет называться KOM-AD01-OU-CU-SA-RDCB-Farm-Policy и будет прилинкован к контейнеру в домене (OU), в котором расположены только учетные записи серверов RDSH входящих в нашу ферму.
 

Для начала в GPO включим режим обработки «замыкания на себя» в режим замены.

Computer Configuration/Policies/Administrative Templates/System/Group Policy

Политика: User Group Policy loopback processing mode
Значение: Enabled
Режим: Replace

Такая настройка позволит сделать так, чтобы при обработке GPO, при входе пользователя на сервера фермы, применялись настройки пользовательского окружения исключительно из этой политики и игнорировались любые другие пользовательские настройки из других доменных политик. Это нам нужно для того, чтобы свести к минимуму возможные конфликты одних и тех же пользовательских настроек имеющихся в разных GPO с целью сделать процесс управления пользовательской средой на серверах фермы максимально жёстким и предсказуемым.

Практика показывает, что можно совмещать настройки нескольких политик с включённым режимом замыкания, главное не забыть про порядок применения этих политик. Это может быть полезно если у вас несколько ферм, каждая из которых имеет уникальные настройки, а основная масса настроек является одинаковой для всех ферм. Вот пример линковки политик для такой конфигурации:

Далее мы рассмотрим несколько параметров групповых политик, которые нам нужно будет использовать для настройки работы механизмов перемещаемых профилей и перенаправления папок, а также нескольких связанных с этим параметров. 

Включаем перемещаемые профили

В созданной групповой политике, прежде всего включаем параметр добавляющий группу администраторов к параметрам безопасности для создаваемых папок перемещаемых профилей пользователей (Roaming User Profiles).

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Add the Administrators security group to roaming user profiles
Значение: Enabled

Этот параметр обеспечивает администратору полный контроль над всеми папками профилей пользователей и его нужно установить на первоначальном этапе конфигурирования фермы, так как он применяется лишь при создании новых пользовательских профилей.

Следующим в GPO включаем параметр указывающий месторасположение сетевого каталога для хранения перемещаемых профилей пользователей

Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Set path for Remote Desktop Services Roaming User Profile
Значение: Enabled
Путь: \holding.comServicesRDS_Profiles

Обратите внимание на то, что в нашем случае для указания пути используется линк в доменном пространстве имён DFS, хотя может быть и указан сетевой каталог непосредственно на каком-то файловом сервере. В нашем примере, соответствующий линк в DFS holding.comServicesRDS_Profiles ссылается на физический сетевой каталог FileServer01RDS_Profiles$. Рассмотрим подробней настройку этого каталога.

Сетевой каталог, в котором будут создаваться и храниться перемещаемые профили, должен быть расположен на файловой системе NTFS и иметь определённый запас свободного места. Строя отказоустойчивое решение фермы RDS весьма желательно не делать сетевой каталог перемещаемых профилей узким местом (точкой отказа) и при возможности подумать о размещении данного ресурса в высокодоступной кластеризованной среде.

Для каталога зададим разрешения безопасности рекомендованные в статье Windows Server TechCenter- Security Recommendations for Roaming User Profiles Shared Folders

NTFS разрешения на каталог:

Пользователь или Группа безопасности	Область применения прав	Уровень разрешений
SYSTEM	This Folder, Subfolders and Files	Full Control
Administrators	This Folder, Subfolders and Files	Full Control
CREATOR OWNER	Subfolders and Files Only	Full Control
KOM-AD01-RDSCL-AllUsers	This Folder Only	List Folder/Read Data Create Folders/Append Data

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения пользовательских профилей. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_Profiles$=«D:RDS_Profiles» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для вышеупомянутой группы доступа. Обратите внимание на то что имя сетевого каталога мы используем со знаком $ (скрытый каталог).

Так как мы открываем на листинг содержимое корневой папки для всех пользователей терминальной фермы, то в качестве дополнительных мер безопасности для созданного сетевого каталога можно включить применение технологии Access-based enumeration (ABE), которая позволит отображать только те папки, к которым пользователь имеет доступ. Сделать это можно через оснастку Share and Storage Management (StorageMgmt.msc) открыв свойства соответствующей сетевой папки на файловом сервере.

В свойствах сетевой папки мы увидим то, что по умолчанию механизм ABE выключен и для того, чтобы задействовать его, вызовем настройку расширенных параметров по кнопке Advanced

В открывшемся окне включим соответствующую опцию — Enable Access-based enumeration

Дополнительно хочу отметить, что перед началом применения механизма перемещаемых профилей стоит прислушаться к рекомендациям описанным в статье Windows Server TechCenter — Recommendations for Roaming User Profiles, в частности:

• Не использовать для хранения профилей дисковые тома с Encrypting File System (EFS), так как эти две технологии несовместимы.
• Не использовать для хранения профилей дисковые тома с включенной компрессией NTFS, так как это может вызвать усиленную фрагментацию данных.
• Очень внимательно подойти к вопросу применения дисковых квот. Недостаток места с процессе сохранения профиля может привести к потере пользовательских данных.
• Не использовать режим автономной работы (Offline Folders) для сетевого каталога хранения профилей.

В случае возникновения проблем в работе перемещаемых профилей, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%DebugUsermodeUserenv.log
ключом реестра (в случае отсутствия ключа его нужно создать)

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Ключ: UserEnvDebugLevel REG_DWORD = 0x30002

Ограничение общего размера кэша перемещаемых профилей

Эта политика позволит нам по сути задействовать режим обслуживания кэшированных профилей на каждом из серверов фермы и в случае необходимости удалить устаревшие кэши профилей (не путать с самими перемещаемыми профилями которые хранятся в сетевом каталоге)

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Limit the size of the entire roaming user profile cache
Значение: Enabled  
Интервал мониторинга (в минутах): 1440 
Максимальный размер кэша (в ГБ): 30

Интервал мониторинга определяет, как часто проверяется размер всего кэша перемещаемых профилей на каждом сервере. Когда размер всего кэша перемещаемых профилей пользователей превышает заданный максимальный размер, самые старые (использовавшиеся максимально давно) перемещаемые кэшированные профили пользователей будут удаляться, пока размер всего кэша перемещаемых профилей пользователей не станет меньше заданного максимального размера.

Фоновая выгрузка пользовательского реестра

По умолчанию изменения в перемещаемом профиле пользователя сохраняются только в процессе его выхода из системы. На практике можно встретить ситуацию когда пользовательский сеанс может находиться в активном состоянии длительное время и в этом случае, возможно, будет полезным включение новой политики фонового сохранения данных пользовательского реестра.

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Background upload of a roaming user profile’s registry file while user is logged on
Значение: Enabled
Метод планирования запуска: Run at set interval
Интервал (часов): 1

При такой настройке данные пользовательского реестра для активных сеансов будут сохраняться в фоновом режиме каждый час.

Включаем перенаправление папок

В процессе работы размер пользовательских профилей может увеличиваться, что в последствии приводит к более длительной процедуре загрузки/выгрузки перемещаемого профиля. Чтобы избежать этой проблемы, наряду с механизмом перемещаемых профилей задействуем механизм перенаправления папок пользователей (Folder Redirection). Механизм перенаправления папок позволяет определённый набор папок профиля не копировать каждый раз при входе и выходе пользователя, а установить в сессии пользователя перенаправление к этим данным, расположенным в сети.

Может возникнуть мысль о том, чтобы совместить расположение перемещаемых профилей с расположением перенаправляемых папок в одном физическом сетевом каталоге. Однако в документе Windows Server TechCenter — Best Practices for User Profiles можно найти рекомендацию разделения этих данных. Также встречаются обсуждения, говорящие о возникающих проблемах при попытке такого совмещения — Windows Server TechCenter Forums — Roaming profile and Folder Redirection

Настройка механизма перенаправления папок возможна через раздел групповой политики User Configuration/Policies/Windows Settings/Folder Redirection и в текущей версии содержит параметры для 13 папок:

Рассмотрим настройку на примере папки Desktop. На закладке Target eсть два основных режима перенаправления – Базовый (Basic) и Расширенный (Advanced). Базовый режим позволяет явным образом указать месторасположение папки в сети и эта настройка будет распространяться на всех пользователей к которым применяется данная политика. Расширенный режим позволяет комбинировать внутри одной политики несколько разных сетевых расположений папки в зависимости от членства пользователя в той или иной доменной группе безопасности. В разных источниках можно встретить рекомендацию использовать Расширенный режим только в крайних случаях, так как в некоторых ситуациях при такой настройке процесс входа пользователей может значительно затягиваться. В нашем примере используется Базовый режим перенаправления – Basic – Redirect everyone’s folder to the same location

В параметрах определяющих расположение папки выберем — Create a folder for each user under the root path, что приведёт к тому, что для каждого пользователя будет автоматически создаваться подкаталог в корневом каталоге указанном в поле Root Path

Обратите внимание на то, что в примере снова используется путь из доменного пространства имён DFS. Эксперименты показали, что если поменять этот путь в политике после того как перемещаемые папки были хоть раз использованы со старым путём – это приводит к неадекватному поведению профиля, которое лечится в последствии полным пересозданием профиля. Поэтому при задании путей в политиках перенаправляемых папок нужно уделить особое внимание вопросу планирования, чтобы постараться свести на нет в будущем возможные изменения указанных путей. А если вы по каким-то причинам не используете DFS, то для абстрагирования от конкретного пути к файловому серверу можно будет обойтись созданием алиаса в DNS (CNAME), который в последствии можно будет при необходимости легко изменить. Возможно кто-то здесь не согласится со мной и сможет в комментариях привести свои доводы о том, что изменение путей к перенаправляемым папкам не приводит к каким-либо проблемам в уже используемых ранее профилях.  

Если на закладке Settings не отключить включенную по умолчанию настройку Grant the user exclusive rights to … то в процессе создания папки на неё не будут предоставлены права группе Администраторов (только создателю-владельцу и системе), что в перспективе может усложнить процесс администрирования этих папок. Учтите, что эту настройку нужно отключать как можно раньше, так как она действует только в процессе создания новых пользовательских папок и к уже созданным ранее папкам не применяется.

Таким образом, можно по аналогии настроить все остальные папки с одним исключением — для папок Pictures, Music, Videos можно установить настройку Follow the Documents folder , которая означает то, что настройки для этих папок будут использоваться те же что установлены для папки Documents 

В ходе тестов выяснилось, что при включении такого режима  папки Pictures, Music, Videos вкладываются в папку Documents и тем самым создают дополнительную путаницу, так как в пользовательском интерфейсе уже есть механизм Библиотек логически разделяющий все эти 4 папки. Поэтому, на мой взгляд, лучше настроить политики для этих папок по аналогии со всеми другими папками, то есть так же, как указано в примере с с папкой Desktop

Теперь поговорим о сетевом каталоге, указываемом в качестве Root Path.
Сетевой каталог, в котором будут создаваться и храниться перенаправляемые пользовательские папки, должен быть расположен на файловой системе NTFS и иметь запас свободного места. По сути, к этому каталогу можно отнести все те же требования, что и к каталогу перемещаемых профилей.

Для каталога зададим разрешения безопасности рекомендованные в статье VirtualizationAdmin.com — Patrick Rouse — How To Configure Folder Redirection

NTFS разрешения на каталог:

Пользователь или Группа безопасности	Область применения прав	Уровень разрешений
SYSTEM	This Folder, Subfolders and Files	Full Control
Administrators	This Folder, Subfolders and Files	Full Control
CREATOR OWNER	Subfolders and Files Only	Full Control
KOM-AD01-RDSCL-AllUsers	This Folder Only	Traverse Folder/Execute File List Folder/Read Data Read Attributes Create Folders/Append Data

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения перенаправляемых пользовательских папок. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_RFolders$=«D:RDS_RFolders» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для соответствующей группы доступа. Сетевой каталог также скрытый.

Также как и в случае с каталогом перемещаемых профилей, для каталога перенаправления папок логично будет включить применение технологии Access-based enumeration (ABE), которая позволит отображать пользователям только те папки к которым он имеет доступ.

При перенаправлении папок, например Desktop и Start Menu есть особенность. После того как политика начинает действовать и папки начинают работать как перенаправленные, при попытке запуска ярлыков появляется предупреждение безопасности, связанное с тем, что фактически запуск происходит с сетевого ресурса

Чтобы избежать подобных предупреждений, файловый сервер, на котором размещены перенаправленные папки, нужно добавить в список зоны узлов локальной интрасети Internet Explorer – Local intranet в формате file://FileServer01 — для конкретного файлового сервера или, например, file://holding.com — для всего FQDN домена (при этом в политиках перенаправления папок ссылки на файловый ресурс также должны быть представлены в формате FQDN). Как показывает практика, префикс file:// использовать не обязательно.

Для централизованной настройки зоны узлов локальной интрасети Internet Explorer настроим в нашей групповой политике соответствующий параметр:

User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page

Политика: Site to Zone Assignment List
Значение: Enable

Для настройки самого списка узлов нажмём кнопку Show

В открывшемся списке узлов в столбец Value name введём имя файлового сервера или сразу всего домена, а в поле Value поставим 1, что будет означать что эта запись относиться к зоне Local intranet   

После применения данной политики предупреждения безопасности при запуске ярлыков должны исчезнуть.

Далее хочется отметить особенности перенаправления папки AppData(Roaming). При перенаправлении этой папки следует понимать что реально в процессе перенаправления участвует лишь подкаталог AppDataRoaming профиля пользователя, а подкаталоги AppDataLocal и AppDataLocalLow используются как локальные. Для примера можно привести вывод команды SET отображающей значение переменных пользовательского окружения:

На самом деле необходимость перенаправления папки AppData(Roaming) нужно рассматривать индивидуально в каждой конкретной ситуации. Дело в том, что разработчики программного обеспечения, которое возможно будет использоваться в ферме RDS с перемещаемыми профилями и перенаправление папок, далеко не всегда уделяют должное внимание вопросам архитектуры приложения с точки зрения размещения файлов этого приложения. Если приложение вместо того чтобы хранить в AppData(Roaming) пользовательские статические данные больших размеров используют эту папку через чур интенсивно, – в таких ситуациях перенаправление этой папки может отрицательно сказаться на производительность работы такого приложения и создать неоправданную сетевую нагрузку.

Также следует помнить о том, что некоторые приложения имеют собственные возможности изменения своих настроек для оптимизации использования папки AppData, например если вы предоставляете своим пользователям в терминальных сеансах возможность работать с Outlook подключенному к Exchange, то вполне резонно будет отключить режим кэширования в настройках Outlook.

В случае возникновения проблем в работе перенаправления папок, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%debugusermodefdeploy.log ключом реестра

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindows NTCurrentVersionDiagnostics
Ключ: FdeployDebugLevel REG_DWORD = 0x0f

Ожидание полной загрузки профиля

В некоторых случаях, например в высокозагруженных средах, может возникать ситуация когда служба профилей в процессе входа пользователя не смогла достаточно быстро загрузить перемещаемый профиль из сетевого расположения, и предупредив пользователя об обнаружении медленного подключения, загружает локальную копию кэшированного профиля. Для того чтобы предотвратить загрузку локальной кэшированной копии и заставить службу профилей дожидаться полной загрузки профиля включим политику:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Wait for remote user profile
Значение: Enabled

Ограничение пользователя одним сеансом

Несмотря на то, что пользовательскими сессиями будет управлять RD Connection Broker и в теории он всегда будет перенаправлять пользователя в его существующий сеанс, возможно не будет лишним включение политики ограничения пользователя одним сеансом на каждом сервере:

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections

Политика: Restrict Remote Desktop Services users to a single Remote Desktop Services session
Значение: Enabled

Запрет работы с временными профилями

Возможны ситуации когда по каким-то причинам происходит повреждение пользовательского профиля. В конфигурации по умолчанию в случае невозможности загрузки профиля система загружает пользователю временный профиль и оповещает об этом пользователя. На практике были случаи когда пользователь не обращал внимание на данное сообщение и продолжал работу, сохраняя при этом какие-то свои данные в этом временном профиле. При завершении работы этого пользователя временный профиль уничтожался системой вместе с пользовательскими данными. Чтобы избежать подобных ситуаций запретим загрузку временных профилей политикой:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политка: Do not log users on with temporary profiles
Значение: Enabled

Подробный вывод статусной информации

Политика подробного вывода статусной информации в процессе загрузки и выгрузки пользовательского профиля для пользователей даст визуальный эффект ускорения процесса загрузки, а для администраторов позволит быстро поверхностно понять на каком этапе могут происходить задержки выполнения

Computer Configuration/Policies/Administrative Templates/System

Политика: Verbose vs normal status message
Значение: Enabled

Это далеко не весь перечень параметров групповых политик, которыми можно гибко настраивать сервера RDSH в ферме RDCB, и их применение может варьироваться в зависимости от требований, предъявляемых к инфраструктуре удалённых рабочих столов в каждом конкретном случае. 

Источники информации:

• MSDN Blogs > Remote Desktop Services (Terminal Services) Team Blog > User Profiles on Windows Server 2008 R2 Remote Desktop Services
• Windows Client TechCenter — Managing Roaming User Data Deployment Guide
• Windows Server TechCenter — How to Configure Folder Redirection
• Group Policy Central — Best Practice: Roaming Profiles and Folder Redirection (a.k.a. User State Virtualization)

Ситуация 1. Переносим профили на другой сервер.

Можно сделать через групповые политики и перемещаемые профили, но проще всего перенести ветку реестра:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

и папки пользователей копированием.

Ситуация 2. Переносим профили на другой диск.

Зачем это надо? Для терминального сервера. За несколько лет размер занятого пространства диска C: (загрузочного раздела) может вырасти до сотен гигабайт и возникнут проблемы с резервным копированием, как это получилось у меня. Расчищая диск C: сразу увидел, что профили занимают больше 100GB. И квоты в общем-то тут не решат ситуацию, если квоты вообще допустимы для данной организации. Если пользователи работают с тонких клиентов и терминальный сервер получается единственным местом для хранения их информации, то объём этой информации будет расти и расти.

Кроме этого перенос профилей логически обоснован — для файлов профилей нужно индексирование поиска и теневые копии, для системных файлов индексирование не нужно, теневые копии.. даже не могу представить в какой ситуации это может быть востребовано. Для папок профилей бекап желателен, для загрузочного раздела — бекап необходим и большой суммарный объём профилей на этом же разделе сильно мешает, как уже говорил выше.

Первый вариант

Если система только-только установлена меняем значение ProfilesDirectory —  «%SystemDrive%Users» на новое расположение, в ветке реестра:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

профиль Администратора останется на старом месте, новые уже будут созданы по новому пути. Этого вполне достаточно. Однако при таком методе возможны проблемы при обновлении системы в дальнейшем.

Второй вариант

Другой вариант когда система относительно свежая, но уже есть пользователи и программы. В этом случае некоторые программы, например MS Office, прописали абсолютные пути к профилям на диске C:. Тогда лучше переместить все профили скриптом и создать символическую ссылку папки Users на новое месторасположение, загрузившись с установочного диска в командную строку:

robocopy C:Users D:Users /E /COPYALL /XJ 
rmdir C:Users /S /Q 
mklink /D C:Users D:Users

если в указании пути будет пробел, то нужно заключить путь в кавычки. Можно дополнить ключом перезагрузки:

Shutdown -r -f -t 00

и пойти пить чай.

В реестре при этом менять ничего не надо и в этом большой плюс этого метода — система «думает», что все по прежнему на диске C:/ и корректно работает через символическую ссылку. Проверить можно набив путь к профилю пользователя как C:Users»какой-то пользователь» и откроется он именно как C:Users….., а не как D:Users…. (при переносе на D).

Установка разрешений

После переноса папок профилей для каждой из них нужно обязательно отключить наследование разрешений и поменять разрешения безопасности на следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Учётка пользователя — Полный доступ;
4. Больше ничего быть не должно.

Для самой папки Users разрешения следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Users — Чтение/Выполнение;
4. Все — Чтение/Выполнение.

То есть для корректной работы системы все разрешения в новом расположении должны соответствовать разрешениям, какие были на диске C:. Это важно.

Если же система довольно старая, профили по несколько гигабайт, пользоваться скриптом не рекомендую, лучше делать руками и не копировать, а перемещать, контролируя начальный размер папки профиля и размер перенесенного. В этом случае, это понятно и очевидно, ссылку для всей папки C:/Users создать нельзя, так как в ней есть открытые файлы нашего текущего профиля. Профили переносятся отдельно. Ссылка создаётся для каждого профиля отдельно. Свой профиль либо можно оставить и не переносить, либо перенести, временно создав второго админа. Создать, залогиниться под ним, перенести свой профиль, создать ссылку, установить разрешения, разлогиниться, зайти под собой, убить второго админа.

Одно замечание — при создании символических ссылок сразу проверяйте их работоспособность. Особенно когда ссылок создается сразу много.

Решение проблем

Возможные проблемы при копировании/переносе заключается в отсутствии доступа к какому-либо файлу:

1. Нет прав на каталог;
2. Блокировка файла процессом;
3. Невозможность удаления файла.

Если нет прав на каталог, тогда нужно стать владельцем контейнера и входящих в него объектов:

затем добавить себе полные права на контейнер и заменить наследуемые разрешения для потомков. После этого можно переносить/удалять.

Если блокировка процессом, тогда рекомендую программу Unlocker — много вирусов под видом этой программы. Попробуйте вот эту версию, должна быть без вирусов.

Невозможность удаления файла проявляется в основном файлами нулевого размера с точкой в конце имени файла. При попытке удаления появляется ошибка:

В этой ситуации отлично помогает Far Manager, находите файл и нажимаете Alt-Del, затем кнопку «Wipe».

Все изложенное опробовано в «боевых условиях» продакшена. Пока «полет нормальный», если возникнет ещё что-то, тогда напишу дополнение.

Дополнение от 14.06.2016

Оказалось, что если диск с символической ссылкой, созданной с ключом /D, открыт как сетевой на другом компьютере, то переход по данной ссылке заканчивается ошибкой: — «Символическая ссылка не может быть загружена, так как её тип отключен». Для устранения данной ошибки ссылку нужно пересоздать с ключом /J (junction).

Дополнение от 15.06.2016

Папка Users на диске C:/ была заменена символической ссылкой на другой диск, при этом в реестре ничего не менялось. Обновление с Windows 2008 до 2008 R2 прошло успешно. Установка заменила символическую ссылку на папку и создала в ней дефолтные профили всех пользователей. После установки удалил данную папку и пересоздал ссылку.

Технология Microsoft FSLogix используется для управления профилями пользователей и позволяет заменить перемещаемые профили (Roaming Profiles) и User Profile Disks (UPD) в сценариях RDS, VDI и Windows Virtual Desktop (WVD). Сервис FSLogix позволяет динамически подключать контейнеры с профилями пользователей из сетевых ресурсов. Возможно использование как в on-premises решениях, так и в Azure (в качестве хранилища профилей можно использовать Azure Files). В этой статье мы рассмотрим, как использовать перемещаемые профили пользователей FSLogix вместо User Profile Disks в RDS развертываниях Windows Server 2019/2022.

Для чего нужные контейнеры FSLogix?

Концепция FSLogix похоже на привычную технологию RDS User Profile Disks (UPD), когда профили пользователей хранятся в виде виртуальных VHDX дисков и подключаются по сети при входе пользователя в систему. Однако FSLogix позволяет преодолеть многие недостатки UPD в средах RDS и позволяет:

• Существенно увеличить скорости загрузки профиля по сети, и как следствие уменьшается время входа/выхода в систему для пользователя;
• Оптимизирован для приложений Office 365 (Microsoft 365 for Enterprise);
• Один и тот же профиль можно использовать в разных RDS коллекциях, и фермах RDS VDI и даже физических компьютерах;
• Профиль FSLogix можно подключать сразу в несколько сессий (на чтение);
• В UPD поисковый индекс Windows очищается при выходе пользователя и его нужно генерировать заново в следующий раз. В FSLogix можно сохранять индекс в перемещаемом профиле;
• Обеспечивает доступность файлов кэша Outlook (OST, Outlook Cached Mode), индекса (поиска) Outlook, кэша и данных MS Teams и т.д.
• Перемещаемые FSLogix профили можно исопльзовать даже на отдельностоящих хостах RDSH.

Решение FSLogix бесплатно для использования в on-premises развертываниях RDS, при условии, что у вас приобретены RDS CAL и установлены на сервере лицензирования RDS.

Установка и настройка FSLogix для профилей пользователей на Windows Server 2019 RDS

Рассмотрим, как установить и настроить FSLogix для терминальной RDS фермы на базе Windows Server 2019.

1. Скачайте FSLogix по этой ссылке (https://aka.ms/fslogix/download, около 180 Мб). Доступ к утилите свободный;
2. Распакуйте архив и установите агент FSLogic \FSLogix_Apps\x64\Release\FSLogixAppsSetup.exe на RDSH сервера;
3. Затем скопируйте файлы административных политик FSLogix в центральное хранилище административных шаблонов GPO на контроллере домена (fslogix.admx в \PolicyDefinitions, и fslogix.adml в \PolicyDefinitions\en-US).

Создайте на файловом сервере сетевую папку, в которой будут хранится контейнеры с профилями пользователей FSLogic. Например, \\msk-fs\Share\Profiles.

Задайте следующие NTFS права доступа на сетевую папку:

User Account	Folder	Permissions
Users	This Folder Only	Modify
Creator / Owner	Subfolders and Files Only	Modify

Теперь вы можете создать GPO для настройки параметров FSLogix для RDS серверов.

Откройте консоль управления доменными GPO (
gpmc.msc
), создайте новую политику и назначьте ее на OU с вашими RDSH серверами. Разверните Computer Configuration -> Policies -> Administrative Templates -> FSLogix. Настройте следующие параметры GPO:

• Profile Containers -> Enabled – включить профили FSLogix;
• Profile Containers -> VHD Location – указать UNC путь к каталогу профилей (\\msk-fs\Share\Profiles);
• Profile Containers -> Delete local profile when FSLogix Profile should apply – удалить локальный профиль при использовании FSLogix;
• Profile Containers -> Size in MB – максимальный размер файла профиля, по умолчанию 30000 (30 Гб);
• Profile Containers -> Dynamic VHD(X) allocation = Enabled. Если не включить эту политику, то VHD/VHDX диски профилей пользователей сразу создаются максимального размера;
• Profile Containers -> Advanced -> Prevent login with temporary profile – не создавать временные профили пользователей;
• Profile Containers -> Advanced -> Prevent login with failure – запретить вход при неполадках FSLogix;
• Profile Containers -> Advanced -> Locked VHD retry count = 3, указать количество попыток VHD(X) файл, если он заблокирован другим процессом;
• Profile Containers -> Container and Directory Naming -> Virtual disk type – использовать VHDX тип виртуального диска для профиля вместо стандартного VHD;
• Profile Containers -> Container and Directory Naming -> Swap directory name components – использовать %username%_SID в качестве формата для каталогов профилей пользователей (вместо SID_%username%);
• Profile Containers -> Store search database in profile container = Disabled (не хранить в профиле индексную базу Windows Search);
• Enable logging = All logs enabled — включить логи FSLogix
• Path to logging files – путь к логам FSLogix (\\msk-fs\Share\FSLogixLogs\ %COMPUTERNAME%);
• Days to keep log files – сколько дней хранить логи (7 дней достаточно).

Перезагрузите Windows Server, чтобы применить новые настройки GPO. Системные настройки профилей FSLogix хранятся в следующей ветке реестра HKLM\SOFTWARE\FSLogix\Profiles.

Теперь при входе RDP пользователя на экране должно появляться уведомление:

Please wait for the FSLogix Apps Services

После входа вы можете запустить консоль управления дисками (Disk Management) и убедиться, что FSLogix профиль пользователя смонтирован как VHDX диск. В указанном сетевом каталоге при этом появился новый каталог для профиля пользователя.

В каталоге
C:\Program Files\FSLogix\App
s есть несколько дополнительных утилит для администратора:

Расширенная настройка профилей FSLogix на Windows Server RDS

При установке агента FSLogixAppsSetup на сервере, в списке локальных групп появляются несколько дополнительных групп. Вы можете вывести этот список с помощью командлета Get-LocalGroup:

Get-LocalGroup -Name "*fslo*"

• FSLogix ODFC Exclude List — Members of this group are on the exclude list for Outlook Data Folder Containers
• FSLogix ODFC Include List — Members of this group are on the include list for Outlook Data Folder Containers
• FSLogix Profile Exclude List — Members of this group are on the exclude list for dynamic profiles
• FSLogix Profile Include List — Members of this group are on the include list for dynamic profiles

Эти группы позволяют указать пользователей или группы, для которых нужно включить или отключить создание профилей FSLogix.

По умолчанию перемещаемые профили создаются для всех пользователей. Чтобы иметь возможность локального входа на сервер для группы администраторов при неполадках FSLogix, нужно добавить группу администраторов в локальную группу FSLogix Profile Exclude List.

Проще всего это сделать с помощью групповой политики Restricted Group (Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups -> Add Group -> FSLogix Profile Exclude List) или Group Policy Preferences (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Group –> New -> Local Group -> FSLogix Profile Exclude List).

Более подробно использование GPO для добавления пользователей в локальные группы описано в отдельной статье.

Чтобы исключить определенные каталоги из перемещаемого профиля FSLogix, вы можете использовать файл redirection.xml. Каталоги из этого файла перенаправляются в локальные папки на диске сервера.

Путь к этому XML файлу с настройками задается в параметре GPO FSLogix -> Profile Containers -> Advanced -> Provide RedirXML file to customize redirections. Можно исключить Temp папки, каталоги кеша IE, Chrome и т.д.

Пример такого файла указан ниже:

<?xml version="1.0"?>
<FrxProfileFolderRedirection ExcludeCommonFolders="0">
<Excludes>
<Exclude Copy="0">AppData\LocalLow\</Exclude>
<Exclude Copy="0">AppData\Local\Packages\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\Temporary Internet Files\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\Explorer\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\WebCache\</Exclude>
<Exclude Copy="0">AppData\Local\Temp\</Exclude>
<Exclude Copy="0">AppData\Local\Diagnostics\</Exclude>
<Exclude Copy="0">AppData\Local\Comms\</Exclude>
<Exclude Copy="0">AppData\Local\Google\Chrome\User Data\Default\Cache\</Exclude>
</Excludes>
</FrxProfileFolderRedirection>

Проанализируйте профили пользователей и установленные программы и добавьте в файл новые исключения.

Добавьте исполняемые файлы FSLogix в исключения вашего антивируса (frxdrv.sys, frxdrvvt.sys, frxccd.sys, frxccd.exe, frxccds.exe, frxsvc.exe).

При работе в сетевой среде настраиваемые профили пользователей являются очень важным аспектом, который помогает обеспечить сохранность данных и удобство их использования. В Windows Server 2016 появилась новая функция — перемещаемые профили, которая позволяет пользователям иметь свой профиль на разных компьютерах. Это руководство подробно объяснит, как настроить перемещаемый профиль в Windows Server 2016 и каким образом он может быть полезным в вашей работе.

Перемещаемый профиль позволяет сохранить настройки пользователя, документы, настраиваемые параметры и другие данные, которые могут быть удобно использовать на разных компьютерах. Он автоматически синхронизируется с сервером при входе и выходе пользователя, что позволяет создать полностью повторяемую рабочую среду вне зависимости от того, на каком компьютере он работает.

Настроить перемещаемый профиль в Windows Server 2016 довольно просто. Вам потребуется активировать GPO (Group Policy Objects) на сервере и настроить параметры профиля с помощью Active Directory. Это позволит предоставить пользователям возможность использовать свои профили на разных компьютерах, упростить процесс настройки и обеспечить сохранность данных.

Шаги по настройке перемещаемого профиля в Windows Server 2016

1. Откройте Group Policy Management Console на сервере и создайте новый GPO.
2. Откройте GPO для редактирования и перейдите к разделу «Пользовательская конфигурация» -> «Настройки Windows» -> «Параметры папок».
3. Щелкните правой кнопкой мыши на «Папка приложения данных» и выберите «Создать новую папку».
4. Укажите имя папки и путь к расположению на сервере, где будут храниться перемещаемые профили.
5. Настройте права доступа к папке таким образом, чтобы пользователи имели возможность записывать данные в папку.
6. Сохраните изменения и закройте Group Policy Management Console.

После выполнения этих шагов пользователи смогут использовать свои перемещаемые профили на разных компьютерах. Это облегчит работу с персональными настройками, сохранит данные и упростит процесс управления пользователями в сетевой среде.

Настраивая перемещаемый профиль в Windows Server 2016, вы создаете удобную и защищенную рабочую среду для пользователей, облегчаете процесс настройки компьютеров и повышаете эффективность работы в сетевой среде.

Настройка перемещаемого профиля в Windows Server 2016: руководство

В Windows Server 2016 вы можете настроить перемещаемый профиль, чтобы пользователи могли получить доступ к своим персональным настройкам и файлам независимо от того, на каком компьютере они работают.

Чтобы настроить перемещаемый профиль, выполните следующие шаги:

1. Откройте «Диспетчер сервера» и выберите «Управление виртуальными папками» в разделе «Роли и функции».
2. В появившемся окне «Управление виртуальными папками» выберите «Создать новую виртуальную папку».
3. Выберите «Профили» в качестве типа виртуальной папки и нажмите «Далее».
4. Укажите путь к сетевому хранилищу для профилей пользователей и нажмите «Далее».
5. Настройте доступ к виртуальной папке, выбрав соответствующие разрешения для пользователей, и нажмите «Далее».
6. Выберите «Создайте новый шар совместного доступа» и укажите имя шара и путь для доступа к перемещаемому профилю. Нажмите «Далее».
7. Нажмите «Далее» и «Готово», чтобы завершить создание виртуальной папки.

Теперь, когда вы настроили перемещаемый профиль, пользователи могут использовать свои персональные настройки и файлы, независимо от компьютера, на котором они работают.

Обратите внимание, что перемещаемый профиль может потребовать наличия дополнительного пространства на сетевом хранилище и дополнительного времени для загрузки и выгрузки профиля пользователя.

Подготовка к настройке перемещаемого профиля

Перемещаемый профиль предоставляет пользователям возможность работать с персональными настройками и данными на разных компьютерах с использованием одного профиля. Он позволяет сохранять настройки, файлы пользователя и другие данные в центральном хранилище на сервере, что облегчает доступ к персональным данным и упрощает администрирование.

Перед началом настройки перемещаемого профиля на сервере Windows Server 2016 необходимо выполнить несколько предварительных шагов:

1. Установите на сервере роль службы файловых серверов, если она ещё не установлена. Это позволит использовать центральное хранилище для профилей пользователей.
2. Создайте общую папку для хранения профилей пользователей на сервере. Убедитесь, что у всех пользователей есть необходимые разрешения на эту папку.
3. Настройте доступ к общей папке для хранения профилей через сеть. Укажите путь к папке в формате \\servername\profilefolder, где servername — имя сервера, а profilefolder — имя папки.
4. Убедитесь, что в сетевом хранилище профилей пользователей есть достаточно места для хранения всех профилей.

После выполнения этих шагов сервер будет готов к настройке перемещаемого профиля для каждого пользователя.

Продолжение следует…

Настройка групповой политики для перемещаемого профиля

Групповая политика в Windows Server 2016 позволяет настраивать перемещаемые профили пользователей. Это очень полезное и удобное средство, которое позволяет пользователям получить доступ к своему профилю с любого компьютера в домене.

Вот как настроить групповую политику для перемещаемого профиля:

1. Откройте «Управление компьютером» на вашем сервере, щелкнув правой кнопкой мыши на значке «Пуск» и выбрав соответствующий пункт меню.
2. В левой панели найдите и выберите «Групповые политики».
3. Щелкните правой кнопкой мыши на «Групповые политики» и выберите «Создать объект групповой политики».
4. Введите имя объекта групповой политики и нажмите «OK».
5. Щелкните правой кнопкой мыши на созданном объекте групповой политики и выберите «Редактировать».
6. В открывшемся редакторе групповой политики перейдите к разделу «Конфигурация пользователя» -> «Шаблоны административных шаблонов» -> «Система» -> «Перемещаемые профили».
7. В правой панели откройте «Политика перемещаемых профилей» и включите её.
8. Настройте параметры перемещаемого профиля, такие как путь к профилю, дисковый квота и другие.
9. Сохраните и закройте редактор групповой политики.

После применения этой групповой политики, пользователи смогут перемещать свой профиль между разными компьютерами в домене. Это очень удобно, так как они будут иметь доступ к своим данным и настройкам, независимо от того, с какого компьютера они работают.

Настройка групповой политики для перемещаемого профиля является важной частью работы с Windows Server 2016, и она может значительно упростить управление профилями пользователей в вашей организации.

Настройка перемещаемого профиля на клиентской машине

Перемещаемый профиль предоставляет возможность пользователям сохранять свои настройки и данные в централизованном месте, независимо от того, на какой машине они входят в систему. В данной статье будет описано, как настроить перемещаемый профиль на клиентской машине с операционной системой Windows Server 2016.

Шаг 1: Создание каталога для хранения профиля

Первым шагом необходимо создать каталог на сервере, где будут храниться профили пользователей. Для этого выполните следующие действия:

1. Откройте проводник на сервере.
2. Перейдите в нужную папку, где будет располагаться каталог с профилями.
3. Создайте новую папку с названием, соответствующим имени пользователя, например «user1».
4. Установите необходимые права доступа для папки, чтобы пользователь мог получить к ней доступ.

Шаг 2: Настройка перемещаемого профиля на клиентской машине

После создания каталога для хранения профиля на сервере, необходимо настроить перемещаемый профиль на клиентской машине. Для этого выполните следующие действия:

1. На клиентской машине откройте «Панель управления».
2. Выберите «Система и безопасность» -> «Система».
3. В левой панели выберите «Дополнительные параметры системы».
4. В открывшемся окне «Свойства системы» выберите вкладку «Дополнительно».
5. В разделе «Профили пользователей» нажмите на кнопку «Настройки…».
6. Выберите профиль пользователя, которому нужно настроить перемещение, и нажмите на кнопку «Переместить».
7. В открывшемся окне «Перемещение контейнера профиля» укажите путь к каталогу на сервере, созданному на шаге 1, и нажмите «OK».
8. Закройте все окна, нажимая «OK».

Шаг 3: Проверка работы перемещаемого профиля

После настройки перемещаемого профиля на клиентской машине можно проверить его работу. Для этого выполните следующие действия:

1. Выйдите из системы на клиентской машине и войдите в нее под пользователем, для которого был настроен перемещаемый профиль.
2. Убедитесь, что все настройки и данные пользователя сохранились после выхода из системы и повторного входа.
3. Если все работает корректно, значит настройка перемещаемого профиля выполнена успешно.

Теперь пользователи смогут перемещать свои профили на разных машинах, а их настройки и данные будут доступны независимо от того, где они входят в систему.