Назад | Перейти на главную страницу

Могу ли я предоставить права доступа локальным группам домена к профилю (Windows 2003 R2 SP2 / XP)?

У меня проблемы с предоставлением разрешений локальной группе домена обязательному профилю пользователя с Windows Server 2003 R2 SP2 и Windows XP SP3.

Я создал глобальную группу под названием «Продажи» и поместил в нее Джона и Мэри. Затем я создал локальную группу домена под названием «Локальные продажи» и поместил в нее группу «Продажи». Я хочу, чтобы Джон и Мэри использовали один и тот же обязательный профиль.

Я вошел в систему как администратор и пошел, чтобы скопировать профиль в соответствующую папку \ server01 \ profiles \ sales, а также назначить локальной группе домена локальные разрешения на использование профиля.

Я ввел соответствующий путь к новому расположению профиля, а затем щелкнул «Изменить при разрешении на использование» и выбрал локальную группу «Локальный домен продаж» (примечание: для этого мне пришлось нажать «Типы объектов» и отметить «Группы»).

На стороне сервера я переименовал ntuser.dat в ntuser.man, а затем попытался войти в систему как John.

Проблема в том, что Джон видит не весь профиль. Например, он увидит текстовый файл, который я разместил на рабочем столе, но не видит значок папки «Мои документы», который я добавил на рабочий стол. Кроме того, если вы перейдете на Рабочий стол-> Свойства, вы просто увидите черный экран вместо выбранных тем, и если вы попытаетесь добавить папку «Мои документы» на рабочий стол, вы получите сообщение об ошибке, что не удалось установить визуальный стиль.

Ни одной из этих проблем не будет, если я сделаю Продажи глобальной группой, но я подумал, что с A-G-DL-P, это не лучшая практика - давать разрешения на ресурсы на основе глобальной группы. Кроме того, почему я должен выполнять дополнительный шаг проверки «Группы», чтобы предоставить группе разрешения для профиля? Я видел статью с практическими рекомендациями, в которой упоминалось предоставление доступа "BUILTIN \ Users" к обязательному профилю. Это звучит не очень надежно.

Что мне не хватает? Это ошибка конфигурации с моей стороны? Известное ограничение?

Вот краткое изложение того, что я сделал:

  • Создал W2K3 R2 Std. Выпуск x86 SP2 ВМ с доменом Active Directory.

  • На серверной ВМ создана общая папка «Профили». Совместно с разрешениями общего доступа «Все / Полный доступ» и для NTFS установите значение «Администраторы - Полный доступ», «СИСТЕМА - Полный доступ» и «Прошедшие проверку пользователи - Чтение и выполнение - Только эта папка».

  • Создал подпапку «Продажи» в этой папке «Профили».

  • Создана локальная группа домена под названием «Продажи (локальные)» и глобальная группа под названием «Продажи (глобальные)».

  • Созданы две учетные записи пользователей - «Джон» и «Мэри». Оставили их членство в группе «Пользователи домена» по умолчанию без изменений и добавили их в качестве участников в группу «Продажи (глобальные)».

  • Выполнив вход на виртуальную машину Windows XP Professional с пакетом обновления 3 (SP3) как «john», создал новый локальный профиль. Установите красный цвет рабочего стола (для быстрой визуальной индикации загрузки этого профиля) и выйдите из системы.

  • Вы вошли на машину WinXP как учетную запись администратора домена и использовали функцию «Профили пользователей» в свойствах «Мой компьютер», чтобы скопировать вновь созданный профиль пользователя «john» в общую папку «Профили» на серверном компьютере, предоставление «Продажи (местные)» разрешения «Разрешено использовать».

  • Вернувшись на серверный компьютер, я изменил безопасность подпапки «Продажи» папки «Профили», чтобы унаследовать права доступа от родительской папки, и добавил «Продажи (локальные) - Чтение и выполнение». Я повторно применил это разрешение ко всем подпапкам.

  • Я переименовал файл «NTUSER.DAT» в папке «\ Profiles \ Sales» в «NTUSER.MAN».

  • Я изменил свойства учетных записей пользователей «Джон» и «Мэри», чтобы указать перемещаемый профиль пользователя в «\ SERVER \ Profiles \ Sales».

  • Я вошел в систему с Windows XP как «Мэри» (которая никогда раньше не входила в систему) и убедился, что я получил красный фон рабочего стола. Я изменил цвет фона рабочего стола, вышел из системы, снова вошел в систему и убедился, что красный цвет рабочего стола сохраняется (это означает, что применялся обязательный профиль пользователя).

  • Я вошел в систему как «Джон» и выполнил те же шаги проверки, что и «Мэри».

Все заработало, как я ожидал, указав во всех разрешениях «Продажи (локальные)». Я не понимаю, что может отличаться от того, что вы сделали. Что вы видите, что я сделал иначе?