У нас есть развертывание удаленного рабочего стола Windows Server 2012 R2 с набором сеансов, состоящим из 6 узлов сеанса. Мы также используем Office365 и DirSync, чтобы включить единый вход с запущенным ADFS.
Мне сообщили, что в AD есть атрибут, называемый эскизом фото, который синхронизируется с Office 365. Для всех учетных записей это должно означать, что у пользователя может быть одно и то же изображение профиля в Office 365 и активном каталоге.
Моя проблема в том, что сервер 2012, похоже, нигде не отображает фото пользователя AD. Он остается пустым изображением по умолчанию. Я могу изменить изображение после входа в систему, но как только я выхожу из системы и снова включаюсь, изображение снова сбрасывается до значения по умолчанию.
Я не могу найти никаких объектов групповой политики, которые блокируют эти функции, поэтому меня, во-первых, смущает, почему изображение сбрасывается, а во-вторых, почему этот образ учетной записи не заполняет AD, поскольку учетная запись, которую я использую, является учетной записью домена.
Возможно ли, чтобы они были связаны, позволяя пользователю войти на сервер, изменить свой образ, заполнить его в AD, а затем синхронизировать с 365?
Дальнейшее открытие
Я немного покопался и обнаружил, что, когда вы устанавливаете изображение учетной записи, есть раздел реестра: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AccountPicture \ Users. Затем для каждого пользователя устанавливаются подключи с их SID в качестве имени ключа. По умолчанию пользователи имеют доступ только для чтения. Я дал пользователям доступ на запись, и когда я меняю образ учетной записи, он создает записи в этом ключе: Image200, Image240, Image40, Image448 и Image96.
Все они имеют значения данных C: \ Users \ Public \ AccountPictures \ Users_SID \ {some_GUID} -imagexxx.jpg, где xxx - это номер, соответствующий имени записи. Эти изображения являются защищенными файлами операционной системы, поэтому мне пришлось снять этот флажок, чтобы увидеть их. Как только я выхожу из системы, эта папка удаляется.
Я не знаю, возможно, это временное место для изображений аккаунта?
Миниатюра фотографии не имеет отношения к профилю пользователя как таковому.
Это свойство было добавлено с Exchange2010 для создания централизованного управляемого репозитория для изображений пользователей в Outlook.
Поскольку было быстро определено, что вы не хотите, чтобы ваш ИТ-отдел отвечал за сотни пользовательских фотографий (здесь вы вспоминаете плохие воспоминания о моей первой работе «системного администратора»!), Существует довольно много инструментов, которые позволяют чтобы пользователи могли загружать собственное изображение.
Для этого требуется небольшая настройка разрешений в AD (ничего, что могло бы представлять угрозу безопасности).
Возможно, вы захотите погуглить "Загрузка фото AD".