- Remove From My Forums
-
Question
-
Is there a simplified way I can create a default profile for my users on Server 2012 R2?
I see that I can no longer simply login with a test account, customise and then log back in again with another user account and overwrite the default profile.
I believe there is a way I can use the netlogon share to drop this down to new users?
Can someone provide some more details on the steps and is this the easiest way of doing this?
Answers
-
-
Proposed as answer by
Monday, May 11, 2015 6:51 AM
-
Marked as answer by
Vivian_Wang
Sunday, May 17, 2015 5:31 AM
-
Proposed as answer by
I want to create a default profile on my terminal server. How do i do this?
Formerly i used to just rename the default profile and name the newly configured profile as default and that would work, but that causes issues now as of 2008 r2 and on. I then started using a tool called defprof which we use for 2008 r2 and windows 7 and now windows 10 with their latest release and do not have any issues. However on server 2012 r2 we have an issue where in the start menu, the file explorer and other shortcuts in the start menu point to the appdata\roaming profile of the originally exported profile…
So my question is what is the proper way to create a default profile in Server 2012 R2?
Things i want to accomplish: (yes i know some things can be accomplished via GPO)
Customize pinned icons to start menu
Unpin Powershell from taskbar and pin a couple other things
Create default settings in word (12 point font single spaced ect)
Open IE and connect to custom in house web application to check box that asks if we want to run a pluggin
Change some java settings
Set backup folder location in word perfect (no, we cant get rid of word perfect right now)
turn off network icon in tasktray
set taskbar to be locked
set default printer to be a PDF printer (they change this later on)
Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Создание обязательных профилей пользователей
- Статья
-
- Применяется к:
- ✅ Windows 11, ✅ Windows 10
Обязательный профиль пользователя — это перемещаемый профиль пользователя, предварительно настроенный администратором для указания параметров для пользователей. Параметры, обычно определяемые в обязательном профиле, включают (но не ограничиваются ими) значки, отображаемые на рабочем столе, фон рабочего стола, пользовательские настройки в панель управления, выбор принтера и многое другое. Изменения конфигурации, внесенные во время сеанса пользователя, которые обычно сохраняются в перемещаемом профиле пользователя, не сохраняются при назначении обязательного профиля пользователя.
Обязательные профили пользователей полезны, когда важна стандартизация, например, на устройстве киоска или в образовательных параметрах. Только системные администраторы могут вносить изменения в обязательные профили пользователей.
Если сервер, на котором хранится обязательный профиль, недоступен, например если пользователь не подключен к корпоративной сети, пользователи с обязательными профилями могут войти с локально кэшируемой копией обязательного профиля, если она существует. В противном случае пользователь войдет в систему с помощью временного профиля.
Профили пользователей становятся обязательными, когда администратор переименовывает NTuser.dat
файл (куст реестра) профиля каждого пользователя в файловой системе сервера профилей с NTuser.dat
на NTuser.man
. Расширение .man
приводит к тому, что профиль пользователя будет доступен только для чтения.
Расширение профиля для каждой версии Windows
Имя папки, в которой хранится обязательный профиль, должно использовать правильное расширение для операционной системы, к которой оно применяется. В следующей таблице перечислены правильные расширения для каждой версии операционной системы.
Версия операционной системы клиента | Версия операционной системы сервера | Расширение профиля |
---|---|---|
Windows XP | Windows Server 2003 Windows Server 2003 R2 |
нет |
Windows Vista Windows 7 |
Windows Server 2008 Windows Server 2008 R2 |
Версия 2 |
Windows 8 | Windows Server 2012 | Версия 3 |
Windows 8.1 | Windows Server 2012 R2 | версия 4 |
Windows 10 версии 1507 и 1511 | Н/Д | v5 |
Windows 10 версии 1607 и более поздних | Windows Server 2016 и Windows Server 2019 | v6 |
Дополнительные сведения см. в разделах Развертывание перемещаемых профилей пользователей, Приложение B и Управление версиями перемещаемых профилей пользователей в Windows 10 и Windows Server Technical Preview.
Обязательный профиль пользователя
Сначала создайте профиль пользователя по умолчанию с нужными настройками, запустите Sysprep с параметром CopyProfile в файле ответов значение True , скопируйте настроенный профиль пользователя по умолчанию в сетевую папку, а затем переименуйте профиль, чтобы сделать его обязательным.
Создание профиля пользователя по умолчанию
-
Войдите на компьютер под управлением Windows в качестве члена локальной группы администраторов. Не используйте учетную запись домена.
Примечание.
Используйте лабораторию или дополнительный компьютер с чистой установкой Windows, чтобы создать профиль пользователя по умолчанию. Не используйте компьютер, необходимый для бизнеса (то есть рабочий компьютер). Этот процесс удаляет все учетные записи домена с компьютера, включая папки профилей пользователей.
-
Настройте параметры компьютера, которые необходимо включить в профиль пользователя. Например, можно настроить параметры фона рабочего стола, удалить приложения по умолчанию, установить бизнес-приложения и т. д.
Примечание.
В отличие от предыдущих версий Windows, нельзя применить макет начального экрана и панели задач с помощью обязательного профиля. Альтернативные методы настройки меню «Пуск» и панели задач см. в разделе Связанные разделы.
-
Создайте файл ответов (Unattend.xml), который задает для параметра CopyProfileзначение True. Параметр CopyProfile заставляет Sysprep скопировать папку профиля текущего вошедшего пользователя в профиль пользователя по умолчанию. Для создания файла Unattend.xml можно использовать диспетчер системных образов Windows, который входит в пакет средств оценки и развертывания Windows (ADK).
-
Удалите любое приложение, которое вам не нужно или не нужно, с компьютера. Примеры удаления приложения Windows см. в разделе Remove-AppxProvisionedPackage. Список доступных для удаления приложений см. в статье Общие сведения о различных приложениях, включенных в Windows.
Примечание.
Настоятельно рекомендуется удалить ненужные или ненужные приложения, так как это ускорит вход пользователей.
-
В командной строке введите следующую команду и нажмите клавишу ВВОД.
sysprep /oobe /reboot /generalize /unattend:unattend.xml
(Sysprep.exe находится по адресу :
C:\Windows\System32\sysprep
. По умолчанию Sysprep ищетunattend.xml
в той же папке.)Совет
Если появляется сообщение об ошибке «Sysprep не удалось проверить установку Windows», откройте
%WINDIR%\System32\Sysprep\Panther\setupact.log
и найдите следующую запись:Используйте командлет Remove-AppxProvisionedPackage и Remove-AppxPackage -AllUsers в Windows PowerShell, чтобы удалить приложение, указанное в журнале.
-
Процесс sysprep перезагружает компьютер и запускается на экране первого запуска. Завершите настройку, а затем войдите на компьютер с помощью учетной записи с правами локального администратора.
-
Щелкните правой кнопкой мыши Пуск, перейдите в раздел панель управления (просмотр по большим или маленьким значкам) >Расширенные системные> параметры и выберите Параметры в разделе Профили пользователей.
-
В разделе Профили пользователей выберите Профиль по умолчанию, а затем нажмите кнопку Копировать в.
-
В разделе Копировать в в разделе Разрешено использовать выберите Изменить.
-
В поле Выбор пользователя или группы в поле Введите имя объекта для выбора введите
everyone
, выберите Проверить имена, а затем нажмите кнопку ОК. -
В поле Копировать в поле Копировать профиль введите путь и имя папки, в которой требуется сохранить обязательный профиль. Имя папки должно использовать правильное расширение для версии операционной системы. Например, имя папки должно заканчиваться
.v6
на , чтобы идентифицировать ее как папку профиля пользователя для Windows 10 версии 1607 или более поздней.-
Если устройство присоединено к домену и вы вошли с учетной записью, которая имеет разрешения на запись в общую папку в сети, можно ввести путь к общей папке.
-
Если устройство не присоединено к домену, вы можете сохранить профиль локально, а затем скопировать его в общую папку.
-
-
Нажмите кнопку ОК , чтобы скопировать профиль пользователя по умолчанию.
Как сделать профиль пользователя обязательным
-
В проводник откройте папку, в которой хранится копия профиля.
Примечание.
Если папка не отображается, щелкните Просмотр>параметров>Изменить папку и параметры поиска. На вкладке Вид выберите Показать скрытые файлы и папки, снимите флажок Скрыть защищенные системные файлы, нажмите кнопку Да , чтобы подтвердить отображение файлов операционной системы, а затем нажмите кнопку ОК , чтобы сохранить изменения.
-
Переименуйте в
Ntuser.dat
Ntuser.man
.
Проверка правильности владельца для обязательных папок профиля
- Откройте свойства папки profile.v6.
- Перейдите на вкладку Безопасность и выберите Дополнительно.
- Проверьте владельца папки. Это должна быть встроенная группа администраторов . Чтобы изменить владельца, необходимо быть членом группы администраторов на файловом сервере или иметь право «Задать владельца» на сервере.
- При настройке владельца выберите Заменить владельца на вложенных объектах и объектах , прежде чем нажать кнопку ОК.
Применение обязательного профиля пользователя к пользователям
В домене вы изменяете свойства учетной записи пользователя, указывая на обязательный профиль в общей папке, размещенной на сервере.
Применение обязательного профиля пользователя к пользователям
- Откройте раздел Пользователи и компьютеры Active Directory (dsa.msc).
- Перейдите к учетной записи пользователя, которому будет назначен обязательный профиль.
- Щелкните правой кнопкой мыши имя пользователя и откройте пункт Свойства.
- На вкладке Профиль в поле Путь к профилю введите путь к общей папке без расширения. Например, если имя папки —
\\server\share\profile.v6
, введите\\server\share\profile
. - Нажмите ОК.
Для репликации этого изменения на все контроллеры домена может потребоваться некоторое время.
Применение политик для улучшения времени входа
Когда для пользователя настроен обязательный профиль, Windows запускается так, как если бы это был первый вход при каждом входе пользователя. Чтобы повысить производительность входа для пользователей с обязательными профилями пользователей, примените параметры групповая политика, показанные в следующей таблице.
Параметр групповой политики | Windows 10 | Windows Server 2016 |
---|---|---|
> Конфигурация компьютера Административные шаблоны > Системный > вход >в систему Показать анимацию первого входа = Отключено | ✅ | ✅ |
> Конфигурация компьютера Административные шаблоны > Windows Components > Allow >Cortana = Disabled | ✅ | ✅ |
> Конфигурация компьютера Административные шаблоны > Компоненты > Windows Облачное содержимое >Отключить взаимодействие с пользователем Майкрософт = Включено | ✅ | ❌ |
Примечание.
Эти групповая политика параметры можно применить в выпуске Windows Professional.
Связанные статьи
- Управление макетом начального экрана Windows 10 и параметрами панели задач
- Ограничение Windows 10 для запуска только заданных приложений
- «Windows: интересное» на экране блокировки
- Настройка устройств без MDM
Дополнительные ресурсы
Дополнительные ресурсы
Для настройки терминального сервера Windows Server 2012 перед публикацией его для приема сессий пользователей необходимо настроить рабочий стол сервера, чтобы пользователи не смогли:
— изменить конфигурацию сервера,
— запустить ненужные программы,
— загрузить сервер непрофильными задачами,
— замусорить диск сервера,
— и тому подобное.
Для начала необходимо настроить часовой пояс сервера, например установить Московский часовой пояс (UTC+3:00)
Далее необходимо настроить языки. Обычно я выбираю русский язык как дополнительный, а английский (США) по умолчанию.
Так же я рекомендую выставить дополнительные языковые параметры
— «разный метод ввода для каждого приложения» — то есть поставить галочку «Let me set a different input method for each app window«,
— «показывать языковую панель» — то есть поставить галочку «Use the desktop language bar when it’s available«.
Сочетание клавиш для переключения языка нужно выставить такое же, какое обычно установлено на пользовательских компьютерах. В моем примере это CTRL+SHIFT.
Региональные настройки рекомендуется выставить российские.
Расположение — Россия.
Язык для не-юникодовых программ — Русский.
Когда все региональные параметры установлены, а сервер перезагружен, то необходимо скопировать выставленные параметры для пользователя по умолчанию, чтобы все новые пользователи терминального сервера получали только что сконфигурированные параметры локализации.
Следующим разделом настройки терминального сервера идет настройка групповых политик, которые ограничивают доступ к настройкам сервера со стороны пользователей.
Групповые политики ветки Computer configuration \ Policies \ Administrative templates накладываются на систему, то есть устанавливают настройки для всех пользователей.
Путь | Параметр | Состояние | Значение |
Настройка учетной записи пользователей | |||
Control Panel\User Accounts | Apply the default user logon picture to all users | Enabled | |
Настройка применения политики к пользователям | |||
System\Group Policy | User Group Policy loopback processing mode | Enabled | Replace |
Настройка службы удаленного рабочего стола | |||
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Connections |
Restrict Remote Desktop Services users to a single Remote Desktop Services session | Enabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Allow audio and video playback redirection | Disabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Allow audio recording redirection | Disabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Do not allow clipboard redirection | Disabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Do not allow COM port redirection | Disabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Do not allow drive redirection | Enabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Do not allow LPT port redirection | Enabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Device and Resource Redirection |
Do not allow supported Plug and Play device redirection | Enabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Printer Redirection |
Redirect only the default client printer | Enabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Temporary folders |
Do not delete temp folder upon exit | Disabled | |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\ Temporary folders |
Do not use temporary folders per session | Disabled |
Групповые политики ветки User configuration \ Policies \ Administrative templates накладываются на пользователя, входящего на компьютер, на который наложена данная политика, при условии, что параметр User Group Policy loopback processing mode включен.
Путь | Параметр | Состояние | Значение |
Настройка панели управления | |||
Control Panel | Prohibit access to the Control Panel | Disabled | |
Control Panel | Show only specified Control Panel items | Enabled | Internet Options Language Region Devices and Printers |
Control Panel\Personalization | Prevent changing desktop background | Enabled | |
Control Panel\Personalization | Prevent changing screen saver | Enabled | |
Control Panel\Printers | Prevent addition of printers | Enabled | |
Control Panel\Printers | Prevent deletion of printers | Enabled | |
Настройка рабочего стола | |||
Desktop | Do not add shares of recently opened documents to Network Locations | Enabled | |
Desktop | Hide Network Locations icon on desktop | Enabled | |
Desktop | Prevent adding, dragging, dropping and closing the Taskbar’s toolbars | Enabled | |
Desktop | Prohibit adjusting desktop toolbars | Enabled | |
Desktop | Prohibit User from manually redirecting Profile Folders | Enabled | |
Desktop | Remove Properties from the Computer icon context menu | Enabled | |
Desktop | Remove Recycle Bin icon from desktop | Enabled | |
Desktop | Remove the Desktop Cleanup Wizard | Enabled | |
Настрока меню Пуск и Панели задач | |||
Start Menu and Taskbar | Add Logoff to the Start Menu | Enabled | |
Start Menu and Taskbar | Prevent changes to Taskbar and Start Menu Settings | Enabled | |
Start Menu and Taskbar | Prevent grouping of taskbar items | Enabled | |
Start Menu and Taskbar | Remove access to the context menus for the taskbar | Enabled | |
Start Menu and Taskbar | Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands | Enabled | |
Start Menu and Taskbar | Remove Clock from the system notification area | Disabled | |
Start Menu and Taskbar | Remove drag-and-drop and context menus on the Start Menu | Enabled | |
Start Menu and Taskbar | Remove Favorites menu from Start Menu | Enabled | |
Start Menu and Taskbar | Remove Games link from Start Menu | Enabled | |
Start Menu and Taskbar | Remove Help menu from Start Menu | Enabled | |
Start Menu and Taskbar | Remove links and access to Windows Update | Enabled | |
Start Menu and Taskbar | Remove Network Connections from Start Menu | Enabled | |
Start Menu and Taskbar | Remove Recent Items menu from Start Menu | Enabled | |
Start Menu and Taskbar | Remove Run menu from Start Menu | Enabled | |
Start Menu and Taskbar | Remove Search link from Start Menu | Enabled | |
Start Menu and Taskbar | Turn off personalized menus | Enabled | |
Настройка Диспетчера задач | |||
System\Ctrl+Alt+Del Options | Remove Task Manager | Enabled | |
Настройка браузера Internet Explorer | |||
Windows Components\Internet Explorer\ Internet Control Panel |
Disable the Advanced page | Enabled | |
Windows Components\Internet Explorer\ Internet Control Panel |
Disable the Content page | Enabled | |
Windows Components\Internet Explorer\ Internet Control Panel |
Disable the Privacy page | Enabled | |
Windows Components\Internet Explorer\ Internet Control Panel |
Disable the Programs page | Enabled | |
Настройка использования остасток | |||
Windows Components\ Microsoft Management Console\ Restricted/Permitted snap-ins |
Computer Management | Enabled | |
Настройка создания сетевых папок | |||
Windows Components\Network Sharing | Prevent users from sharing files within their profile. | Enabled | |
Настройка службы удаленного рабочего стола | |||
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\Session Time Limits |
Set time limit for active but idle Remote Desktop Services sessions | Enabled | 2 hours |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\Session Time Limits |
Set time limit for active Remote Desktop Services sessions | Enabled | Never |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\Session Time Limits |
Set time limit for disconnected sessions | Enabled | 15 minutes |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\Session Time Limits |
Set time limit for logoff of RemoteApp sessions | Enabled | 5 munutes |
Windows Components\Remote Desktop Services\ Remote Desktop Session Host\Session Time Limits |
Terminate session when time limits are reached | Enabled | |
Настройка Проводника Windows | |||
Windows Components\Windows Explorer | Do not move deleted files to the Recycle Bin | Enabled | |
Windows Components\Windows Explorer | Hide these specified drives in My Computer | Enabled | Restrict all except G, H, I, J, K |
Windows Components\Windows Explorer | Hides the Manage item on the Windows Explorer context menu | Enabled | |
Windows Components\Windows Explorer | No Computers Near Me in Network Locations | Enabled | |
Windows Components\Windows Explorer | No Entire Network in Network Locations | Enabled | |
Windows Components\Windows Explorer | Remove «Map Network Drive» and «Disconnect Network Drive» | Enabled | |
Windows Components\Windows Explorer | Remove Shared Documents from My Computer | Enabled | |
Windows Components\Windows Explorer | Remove Windows Explorer’s default context menu | Enabled | |
Windows Components\Windows Explorer | Turn off Windows+X hotkeys | Enabled |
Примечание. Для скрытия определенных дисков в параметре Windows Components\Windows Explorer\Hide these specified drives in My Computer используется шаблон, описанный в заметке Скрытие дисков в Windows Explorer через GPO. Параметр Start Menu and Taskbar\Remove Run menu from Start Menu запрещает пользователю набирать путь к сетевому ресурсу в адресной строке проводника.
Для того, чтобы ограничения для пользователей не накладывались на администраторов сервера, в настройках безопасности политики необходимо выставить запрет на применение политики для группы администраторов.
Следующим пунктом настройки терминального сервера является создание логон-скриптов для пользователей.
Эти скрипты будут настраивать меню Пуск, Панель задач и вид папок Проводника.
По умолчанию профиль пользователя содержит набор папок Контакты, Загрузки, Видео и т.п. Так как на сервере пользователь не должен пользоваться этими папками, то предлагается скрыть их, установив на них атрибуты «скрытый» и «системный«. Для того, чтобы скрыть папки я использую следующий скрипт, который помещен в групповую политику в раздел User configuration \ Policies \ Windows Settings \ Scripts.
Set oShell = CreateObject("WScript.Shell") Set oFSO = CreateObject("Scripting.FileSystemObject") vRootFolder = "C:\Users" vUserName = oShell.ExpandEnvironmentStrings("%USERNAME%") arrSubFolders = Array("AppData", "Contacts", "Downloads", "Favorites", "Links","Music", "Pictures", _ "Saved Games", "Searches", "Videos" ) For i = LBound(arrSubFolders) to UBound(arrSubFolders) vPath = vRootFolder + "\" + vUserName + "\" + arrSubFolders(i) If oFSO.FolderExists(vPath) Then Set objFolder = oFSO.GetFolder(vPath) If ((objFolder.Attributes AND 2) = 0) Then ' Folder is Not Hidden now objFolder.Attributes = objFolder.Attributes + 2 End If If ((objFolder.Attributes AND 4) = 0) Then ' Folder is Not System now objFolder.Attributes = objFolder.Attributes + 4 End If End If Next
В этом скрипте в параметре arrSubFolders нужно указать имена папок, которые нужно скрыть. Так как выставляются сразу 2 параметра: «скрытый» и «системный«, то проводник не будет показывать папки, так как по умолчанию в настройках проводника установлен параметр «Скрывать защищенные системные файлы«.
В моем примере для пользователя остаются доступными только Рабочий стол и Мои Документы, а остальные папки скрыты от использования, но доступ к ним можно получить, написав полный путь к нужной папке.
Для того, чтобы настроить Панель задач для всех пользователей, нужно сделать шаблонную настройку Панели задач на одном пользователе и скопировать ее остальным. То есть конфигурация Панели задач проводится в несколько этапов:
1. У текущего пользователя создается шаблонная Панель задач, на которой создаются и закрепляются необходимые ярлыки.
2. Экспортируется содержание папки %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar текущего пользователя.
3. Экспортируется ветка реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband текущего пользователя.
4. Логон-скриптом в профиль пользователя копируются ярлыки Панели задач, экспортированные ранее.
5. В групповую политику добавляется экспортированные ранее ключи реестра.
Этот скрипт удаляет ярлыки Панели задач из профиля пользователя и копирует в него шаблонные ярлыки, которые сохранены в подпапке Taskband из папки скрипта.
On error resume next Set oShell = CreateObject("WScript.Shell") ' Source folder mWorkDir = Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName)) mTaskbandSource = mWorkDir & "Taskband" ' Destination folder mUsersFolder = "C:\Users" mUserName = oShell.ExpandEnvironmentStrings("%USERNAME%") mTaskbarDestination = mUsersFolder & "\" & mUserName & _ "\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" ' Deleting old files oShell.Run "cmd.exe /C del /S /F /Q """ & mTaskbarDestination & "\*""", 0, True ' Copying new files oShell.Run "cmd.exe /C xcopy.exe """ & mTaskbandSource & """ """ _ & mTaskbarDestination & """ /R /Y /I", 0, True
Эта политика конфигруриует Панель задач, внося в профиль пользователя шаблонные значения реестра. Значения параметров ключей реестра нужно брать из экспортированного ранее файла.
Для того, чтобы настроить меню Пуск для всех пользователей, нужно сделать шаблонную настройку меню Пуск у одного пользователя и скопировать ее остальным. То есть конфигурация меню Пуск проводится в несколько этапов:
1. У текущего пользователя создается шаблонное меню Пуск.
2. Экспортируется файл appsFolder.itemdata-ms из папки %USERPROFILE%\AppData\Local\Microsoft\Windows текущего пользователя.
3. Логон-скриптом в профиль пользователя копируются файл appsFolder.itemdata-ms, экспортированный ранее.
Примечание. Если у шаблонного файла appsFolder.itemdata-ms выставить атрибут «только чтение«, то пользователь не сможет изменить меню Пуск. Хотя эта функция неактульна ввиду того, что при каждом входе в систему файл appsFolder.itemdata-ms в профиле пользователя перезаписывается шаблонным, и меню Пуск опять становится стандартным.
Этот скрипт перезаписывает файл appsFolder.itemdata-ms в профиле пользователя, используя шаблонный файл, который сохранен в подпапке StartScreen из папки скрипта. В этом скрипте используется утилита xcopy.exe, чтобы форсировать перезапись системных файлов и файлов только для чтения.
On error resume next Set oShell = CreateObject("WScript.Shell") ' Source folder mWorkDir = Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName)) mStartScreenSource = mWorkDir & "StartScreen" ' Destination folder mUsersFolder = "C:\Users" mUserName = oShell.ExpandEnvironmentStrings("%USERNAME%") mStartScreenDestination = mUsersFolder & "\" & mUserName & _ "\AppData\Local\Microsoft\Windows" ' Copying new files oShell.Run "cmd.exe /C xcopy.exe """ & mStartScreenSource & """ """ _ & mStartScreenDestination & """ /R /Y /I", 0, True
Для того, чтобы убрать из проводника ненужные секции Избранное, Библиотеки, Сеть, нужно внести следующие изменения в реестр сервера (для того, чтобы изменить нижеприведенные ключи реестра, нужно дать администратору права на изменение реестра).
Избранное:
[HKEY_CLASSES_ROOT\CLSID\{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder] "Attributes"=DWORD:A9400100
Библиотеки:
[HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder] "Attributes"=DWORD:B090010D
Сеть:
[HKEY_CLASSES_ROOT\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder] "Attributes"=DWORD:B0940064
Другой вариант скрытия ненужных секций проводника — это груповые политики для пользователя (для этих ключей не нужно изменять права доступа к секциям реестра):
Сеть:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}"=DWORD:00000001
Библиотеки:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{031E4825-7B94-4dc3-B131-E946B44C8DD5}"=DWORD:00000001
Избранное:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum] "{D34A6CA6-62C2-4C34-8A7C-14709C1AD938}"=DWORD:00000001
Помимо ненужных секций Проводника, рекомендуется так же внести изменения в следующие параметры:
Отключить визуальные эффекты для улучшения быстродействия сервера и быстрой передачи упрощенной графики по сети:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects] "VisualFXSetting"=DWORD:00000002
Показывать расширения файлов:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "HideFileExt"=DWORD:00000000
Отображать элементы Панели управления в виде маленьких значков, а не группами:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel] "AllItemsIconView"=DWORD:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel] "StartupPage"=DWORD:00000001
Отключить группировку программ на Панели задач:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "TaskbarGlomLevel"=DWORD:00000001
Для работы с файлами рекомендуется использовать сетевые диски с файлового сервера вместо профиля на терминальном сервере, поэтому рекомендуется подключить сетевые диски через групповую политику.
Примечание. При подключении сетевых дисков через групповую политику нужно учесть ньюанс, что диск надо подключать с правами пользователя, то есть на вкладке свойств сетевого диска нужно установить параметр «Run in logged-on use’s security contex»
Последней настрокой рабочего пространства терминального сервера будет установка логотипа компании в качестве значка пользователя.
Для того, чтобы всем пользователям терминального сервера установить логотип компании в качестве значка пользователя, нужно создать 4 файла с логотипом компании со следующими именами и свойствами.
Имя файла | Размер файла |
user.bmp | 448 x 448 |
user.png | 448 x 448 |
user-200.png | 200 x 200 |
user-40.png | 40 x 40 |
Готовые файлы логотипов нужно скопировать на терминальный сервер в папку %ProgramData%\Microsoft\User Account Pictures.
Чтобы установленные картинки применились для учетных записей пользователей, нужно в групповой политике компьютера задать следующий параметр Control Panel\User Accounts\Apply the default user logon picture to all users (этот параметр был сконфигурирован выше по тексту в таблице настроек политик компьютера).
После того, как
— групповая политика создана,
— в ней применены все вышеописанные настройки,
— эта политика наложена на контейнер, где расположен терминальный сервер,
— сервер получил групповую политику и был перезагружен,
можно считать, что задача по настройке рабочего стола сервера Windows Server 2012 для конечных пользователей завершена.
При входе в систему обычного пользователя экран приветствия будет выглядеть следующим образом — будет отображаться логотип компании и информаци о процессе входа в систему.
Меню Пуск для всех пользователей будет стандартно и выглядеть как у шаблонного пользователя. Если пользователь изменит меню Пуск, то при следующем входе на сервер ему скопируется шаблонное меню, и настройки опять будут стандартными.
Панель задач и Проводник так же будут выглядеть одинаково для всех пользователей. А вот Рабочий стол будет индивидуальным для каждого пользователя за исключением файлов, которые расположены в папке %PUBLIC%\Desktop. Файлы и ярлыки из этой папки будут опубликованы для всех пользователей без возможности изменения.
Настройка и тест сервера закончены.
Все заметки о службе терминалов в моем блоге можно найти по тегу RDS.
Конфигурация учетных записей стандартных пользователей
Первым шагом для конфигурации компьютеров с общим доступом для Blue Yonder Airlines необходимо сконфигурировать на каждом из этих компьютеров учетные записи пользователей. Поскольку компания имеет сеть компьютеров под управлением Windows Server ® 2008 R2 и учетные записи пользователей работника, перечислены в Active Directory ®, не нужно настраивать учетные записи пользователей на совместно используемых сотрудниками компьютерах. Просто необходимо избежать добавления учетных записей пользователей в локальную группу администраторов. Доменные пользователи являются членами группы стандартных пользователей по умолчанию. Такая конфигурация изолирует пользователей так, что они не смогут изменить системные файлы или параметры, а так же не смогут получить доступ к файлам или параметрам других пользователей.
Необходимо создать учетные записи пользователей для компьютеров, используя запись «Гость». Лучший способ определить эти учетные записи на основе ролей. Например, школа может определить три роли — студентов, преподавателей и сотрудников — и затем по необходимости настроить каждую общую учетную запись. Библиотеки можно настроить с ролями начальника и сотрудников. Требуется только одно имя для ByaGuest. Вместо создания учетной записи в Active Directory, нужно создать учетную запись на каждом компьютере и настроить компьютеры на автоматический вход в систему с помощью учетной записи ByaGuest.
Создание учетной записи локального пользователя.
1. На общедоступном компьютере нажмите кнопку «Пуск», введите «Локальные пользователи» и нажмите кнопку «Изменить локальных пользователей и группы». Если Windows 7 предложит вам ввести пароль администратора или подтвердить действие, введите пароль или подтвердите, что вы хотите продолжить.
2. Щелкните папку «Пользователи», щелкните действие и выберите пункт «Новый пользователь».
3. В новом диалоговом окне пользователя (показано на рис.), введите соответствующую информацию и затем нажмите кнопку «Создать».
Создание новой учетной записи пользователя в Windows 7
4. Если вы хотите создать больше чем одну учетную запись пользователя, повторите предыдущие шаги для каждой учетной записи пользователя, а затем нажмите кнопку «Закрыть».
Примечание. Когда вы создаете учетные записи для отдельных пользователей, не ставьте флажок на параметре «пользователь не может изменить пароль». Однако при создании общих, учетных записей на основе ролей пользователей, установите этот флажок, чтобы запретить пользователям изменять пароль и запретить другим пользователям доступ к компьютеру с общим доступом. Кроме того не ставьте флажок если хотите обеспечить непрерывный доступ к общей учетной записи.
Кроме создания учетных записей стандартных пользователей, при первом входе пользователя в компьютер их можно настроить. Windows 7 хранит файлы и параметры пользователей в профилях пользователей, которые отделены от параметров системы. По умолчанию Windows 7 хранит эти профили пользователей в C:\Users, создавая одну вложенную папку для каждого входящего в компьютер пользователя. При первом входе пользователя в компьютер, Windows 7 создает папку профиля пользователя, скопировав папку профиля пользователя по умолчанию из C:\Users\Default.
Настройка профилей пользователей по умолчанию — простой способ настроить новые учетные записи пользователей. Однако они не подходят для всех параметров. Профили пользователя по умолчанию являются отличным и простым способом для настройки предпочтений, которые вы хотите разрешить изменять пользователям. Но, они не подходят для параметров, которые вы хотите контролировать. Для этого надо использовать параметры групповой политики.
Для создания профиля пользователя по умолчанию
1. Войдите на компьютер под управлением Windows 7 в качестве члена локальной группы администраторов. Не используйте учетную запись домена.
Примечание. Для создания профиля пользователя по умолчанию используйте дополнительный компьютер с чистой установкой Windows 7. Не используйте компьютер, который требуется для бизнеса (то есть, компьютер производства). Процесс, который описывают эти шаги, удаляет все учетные записи домена из компьютера, включая папки профиля пользователя. После создания профиля пользователя по умолчанию, его можно скопировать из C:\Users\Default в сетевую папку или на съемный носитель.
2. Настройте параметры, которые требуется включить в профиль пользователя. Например, можно настроить параметры для меню «Пуск», проводник Windows и так далее.
3. Создайте файл Unattend.xml, который устанавливает CopyProfile параметру значение True. CopyProfile параметр вызывает Sysprep, чтобы скопировать папку профиля пользователя, вошедшего в профиль пользователя по умолчанию. Можно использовать диспетчер системных образов Windows, который является частью пакета автоматической установки Windows (Windows AIK) для создания файла Unattend.xml.
4. В командной строке введите следующую команду и нажмите клавишу ВВОД:
sysprep /oobe /reboot /generalize /unattend: unattend.xml
(Sysprep.exe расположен в: C:\Windows\System32\sysprep)
5. Завершите готовое решение и затем войдите на компьютер с учетной записью, имеющей привилегии локального администратора.
6. Нажмите кнопку «Пуск», введите профиль пользователя и затем нажмите кнопку «Настройка дополнительных свойств профиля пользователя».
7. В диалоговом окне профили пользователей (показано на рис.) щелкните профиль по умолчанию и нажмите кнопку «Копировать».
Копирование профиля пользователя по умолчанию, используя диалоговое окно «Профили пользователей»
8. В диалоговом окне «Копировать в» выполните следующие действия.
a. в текстовое поле «Копировать профиль в» введите путь к месту, где вы хотите сохранить профиль пользователя по умолчанию.
b. в группе «Разрешается использовать» нажмите кнопку «Изменить», введите данные и нажмите кнопку ОК.
9. Нажмите OK, для копирования профиля пользователя по умолчанию.
Примечание. Существуют другие методы создания профилей пользователей по умолчанию. Например, можно нажать кнопку «Копировать» в диалоговом окне «Профили пользователей» для копирования папки профиля пользователя в профиль пользователя по умолчанию. Однако шаги, которые описаны в этом разделе, являются шагами, которые корпорация Майкрософт рекомендует для настройки данного профиля. Эти шаги очистят исходный профиль пользователя так, чтобы он поддерживал несколько пользователей.
Microsoft