Есть ли более простой метод «создания обязательных профилей для пользователей Windows 7 в среде Active Directory», чем официально поддерживаемый Microsoft метод использования sysprep и AIK? Если да, то как?
Вот обходной путь:
http://oakdome.com/k5/tutorials/windows-7-mandatory-roaming-profile.php
Обязательные профили можно создать, переименовав файл ntuser.dat в ntuser.man. Вам необходимо изменить "расширение" с .DAT на .MAN.
Вы также можете написать сценарий для переименования всех файлов или, если у всех ваших пользователей должен быть один и тот же рабочий стол, создать «сверхобязательный» профиль, скопировав предопределенный профиль в общую папку, изменив имя ntuser.dat на ntuser.man и укажите путь к профилю на вкладке «профиль» всех пользователей в Active Directory - пользователи и компьютеры. Если у вас есть перемещаемый профиль на сервере для пользователей, существует параметр групповой политики, который делает профили обязательными.
Вот шаги:
Политики конфигурации компьютера Административные шаблоны Профиль пользователя системы Предотвращение распространения изменений перемещаемого профиля на сервер
Это делает профиль обязательным, не позволяя системе обновлять изменения на сервере. Этот параметр имеет тот же эффект при переименовании NTUSER.DAT в NTUSER.MAN для перемещаемого профиля.
На самом деле есть ряд методов для создания обязательных профилей. Проблема в том, что есть только один поддержанный метод. Это то, что документы надо сказать об этом:
Существуют и другие методы создания профилей пользователей по умолчанию. [...] Однако шаги, описанные в этом разделе, являются единственными шагами, которые Microsoft поддерживает для настройки профиля пользователя по умолчанию. Эти шаги очищают исходный профиль пользователя, чтобы он поддерживал нескольких пользователей.
Я обнаружил что создание обязательный профиль через sysprep CopyProfile это не большая проблема. Проблема обычно начинается с того, что вам нужно часто административно изменять обязательный профиль. Если это тоже ваша проблема, вы можете рассмотреть следующие варианты:
Есть способ вообще избежать манипуляций с профилем. Если вы хотите управлять определенными элементами в профиле, вы можете использовать «Пользовательский раздел» групповой политики Active Directory, чтобы изменить те элементы, которые вы хотите изменить. Вы можете вставлять файлы / папки или ключи реестра в первый раз или каждый раз.
Это легко, настраивается и управляется централизованно.
Если вы настраиваете политику для определенного компьютера, то основным параметром, добавляемым в GPO, является Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Обработка петли групповой политики в режиме замены или слияния. Вот статья о том, какие настройки вы можете использовать. Этот параметр включит раздел «Пользователь».
Мы здесь не работаем с перемещаемыми профилями, но я также нашел Microsoft требование использовать Sysprep для дефолт профили пользователей обременительны.
Вместо этого я просто вхожу в систему с фиктивным пользователем AD (без дополнительной групповой политики), вношу желаемые изменения и выхожу из системы. Затем я вхожу в систему как администратор, открываю диспетчер профилей (Свойства системы> Дополнительно> Профили пользователей), выбираю своего фиктивного пользователя, запускаю утилиту под названием Активатор и «Копировать в» C: \ Users \ Default.
У меня никогда не было проблем с этим методом.