Перемещаемый профиль

Располагая документы, канцелярские принадлежности и иные предметы на своем рабочем месте, вы стремитесь сделать собственное рабочее окружение максимально удобным. Многочисленные настройки операционной системы и приложений позволяют добиться того же и на компьютере. Вы можете настраивать цветовую гамму и обои рабочего стола, создавать ярлыки для быстрого доступа, выбирать комбинацию клавиш для переключения раскладки клавиатуры, вносить изменения в Панель задач и Главное меню и делать многое другое по своему вкусу. Все настройки, сделанные вами на компьютере, сохраняются и восстанавливаются при следующем входе в систему. С другой стороны, настройки, выполненные вами, не влияют на других пользователей, регистрирующихся на этом же компьютере, и наоборот. Иными словами, операционная система Windows сохраняет индивидуальные настройки для каждого пользователя. Структура данных, предназначенная для хранения пользовательской информации, называется профилем пользователя.

На жестком диске профиль пользователя представляет собой довольно сложную структуру папок и файлов, а также пользовательский раздел особой системной базы данных – реестра. Реестр используется для сохранения пользовательского окружения, тогда как в папках находятся ярлыки, документы пользователя и файлы, создаваемые приложениями и специфичные для индивидуального пользователя. Windows сохраняет профиль на локальном диске, загружает профиль, когда пользователь регистрируется в системе, и выгружает в процессе выхода из системы.

По умолчанию, область действия профиля пользователя ограничивается лишь компьютером, на котором профиль был создан и настроен. Войдя в систему на другом компьютере, пользователь уже не получит привычное рабочее окружение, и настройку придется провести заново. Между тем, нередки ситуации, когда специфика работы или обучения пользователей заставляет их регистрироваться в разное время на разных компьютерах. В этом случае важно предоставлять пользователю одно и то же рабочее окружение, независимо от компьютера, на котором он входит в систему.

Наиболее простым решением является применение перемещаемого профиля. Перемещаемый профиль располагается в сетевой папке на файловом сервере. В процессе регистрации пользователя Windows копирует профиль из сетевой папки в кэшированную копию на локальном компьютере. При наличии предыдущей кэшированной копии копируются только изменения, а не весь профиль. Когда пользователь выходит из системы, операционная система копирует измененные данные профиля в сетевую папку. Это гарантирует, что пользовательские данные и рабочее окружение следуют за пользователем, даже если он входит в систему на разных компьютерах.

Внедрение перемещаемых профилей потребует небольшой предварительной подготовки. Создайте на файловом сервере папку, в которой будут храниться перемещаемые профили. Следует предоставить папку в совместное использование и назначить сетевой папке разрешения на общий доступ и разрешения NTFS. Для этого, находясь в Проводнике, щелкните правой кнопкой мыши по созданной папке, в контекстном меню выберите Свойства, перейдите на закладку Доступ и щелкните кнопку Общий доступ.

В появившемся окне выберите группу Все, нажмите на кнопку Добавить, в полеУровень разрешений выберите пункт контекстного меню Чтение и запись и нажмите на кнопку Общий доступ. Закончите настройку, щелкнув кнопкуГотово.

Далее перейдите на вкладку Безопасность и установите разрешения NTFS, так чтобы доменная группа Пользователи домена имела разрешения на запись, как показано на рисунке.

Возможно устанавливать и более строгие детальные разрешения, однако в общем случае требуется, чтобы пользователи домена имели разрешение создавать подпапки в папке сетевых профилей.

Теперь все готово для настройки перемещаемых профилей для учетных записей пользователей. Находясь в консоли Active Directory – пользователи и компьютеры, откройте свойства учетной записи пользователя, перейдите на закладку Профиль и в поле Путь к профилю введите сетевой путь к подпапке пользователя, которая будет создана в папке, хранящей перемещаемые профили. Путь должен быть в формате UNC, т.е. содержать имя сервера и имя разделяемой папки и начинаться c двух символов обратной черты (backslash, “\\”). Указанная подпапка будет создана автоматически. Не ошибитесь и не введите локальный путь!

В общем случае, имя подпапки может быть произвольным, однако весьма удобно использовать при указании пути системную переменную %Username%. При сохранении свойств учетной записи пользователя вместо переменной будет подставлено имя учетной записи. Использование переменной предохраняет от неправильного ввода имени пользователя и позволяет воспользоваться групповой операцией для назначения пути к перемещаемым профилям одновременно для многих учетных записей.

Если в свойствах учетной записи назначен путь к профилю, то при следующей регистрации пользователя в системе в папке сетевых профилей будет создана папка с именем пользователя и расширением V2, например, Пользователь1.V2. Вследствие существенных отличий в структуре, перемещаемые профили, сохраненные в операционных системах Windows Vista, Windows 7, Windows Server 2008 и 2008 R2, несовместимы с предыдущими операционными системами. Иными словами, если в вашей сети есть компьютеры с установленной Windows XP, то в процессе регистрации пользователей на таких компьютерах будут создаваться собственные перемещаемые профили. В сетевой папке профилей они будут сохраняться в папках с именами пользователей без расширения и загружаться только на компьютерах с более ранними версиями Windows. Общий вид папки с перемещаемым профилем пользователя приведен на рисунке.

Рассмотрим теперь инструмент управления профилями пользователей. В Панели управления – Система щелкните пункт Дополнительные параметры…Откроется окно Профили пользователей, в котором отображается список профилей, когда-либо созданных на локальном компьютере.

Для каждого профиля отображается его тип (локальный или перемещаемый), размер и дата последнего изменения. Администратор может удалить выбранный профиль, если, например, текущий профиль поврежден и приводит к каким-либо ошибкам при входе пользователя в систему. Для перемещаемого профиля возможно изменение типа.

Если вы знакомы с инструментом управления профилями пользователей по предыдущим операционным системам, то вы заметите, что его функциональность существенно ограничена в Windows 7 и Windows Server 2008 R2. Отсутствует возможность копирования локальных профилей между пользователями, а также в профиль по умолчанию. Вместо этого предлагается более сложная процедура, описанная в статье 973289 Базы знаний Microsoft “Настройка профилей пользователей по умолчанию в Windows 7 и Windows Server 2008 R2”.

Одним из вариантов перемещаемых профилей является обязательный профиль. В отличие от перемещаемого профиля, обязательный профиль загружается, но не сохраняет изменения в папке перемещаемых профилей, иными словами, все изменения, сделанные пользователем, сбрасываются после его выхода из системы. Такая возможность оказывается востребованной в ряде случаев, например в компьютерных классах и для компьютеров, устанавливаемых в общедоступных местах.

Для преобразования перемещаемого профиля в обязательный следует открыть папку, содержащую профиль пользователя, и переименовать файл реестра NTUSER.DAT в NTUSER.MAN.

Далее следует изменить разрешения NTFS на папку с профилем, оставляя пользователю разрешение только на чтение.

Перечисленных сведений вполне достаточно, чтобы начать работать с перемещаемыми профилями. Для более детального управления функциональностью перемещаемых профилей можно воспользоваться групповыми политиками, о которых можно более подробно узнать из Главы **. Политики, влияющие на поведение перемещаемых профилей, расположены в разделе Конфигурация компьютера/Административные шаблоны/Система/Профили.

С их помощью, в частности, можно решить проблему с доступом администраторов к содержимому перемещаемых профилей. Дело в том, что в конфигурации по умолчанию, перемещаемый профиль доступен только пользователю, для которого он был создан. Для того чтобы иметь возможность открывать папку с перемещаемым профилем, администратору приходится изменять разрешения NTFS: сначала объявлять себя владельцем папки и затем настраивать разрешения. Это неудобно, ведь указанные действия требуется повторять для каждого вновь созданного перемещаемого профиля.. Как сделать, чтобы еще при создании профиля группа администраторов добавлялась автоматически в список разрешений NTFS?

За это отвечает правило групповой политики Добавить группу безопасности “Администраторы” к перемещаемым профилям пользователя. Для внесения изменений в групповые политики воспользуйтесь Консолью управления групповыми политиками. Создайте новый или отредактируйте какой-либо существующий объект групповых политик, привязанный на уровне домена или организационной единицы, в которой содержатся объекты типа Компьютер.

Включите указанное выше правило, и тогда в момент создания перемещаемого профиля разрешения NTFS – Полный доступ будут назначаться не только пользователю – владельцу профиля, но и локальной группе Администраторы. Это позволит администраторам файлового сервера или администраторам домена открывать папки с перемещаемыми профилями без дополнительных ухищрений.

Автор: Олег Ржевский