У меня возникла небольшая проблема с настройкой перемещаемых профилей в Server 2008 R2. Вот разрешения, которые я установил для общего ресурса перемещаемого профиля:
Поделиться разрешениями
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
Разрешения NTFS
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
Кажется, это работает без проблем, профиль автоматически создается для пользователя при первом входе в систему.
Проблема, с которой я столкнулся, заключается в том, что я не хочу, чтобы пользователи могли просто создавать папки в общей папке перемещаемого профиля, но если я удалю это разрешение, ничего не будет создано.
Если вы хотите, чтобы папки профиля создавались при первом входе пользователя в систему, вы застряли с этими разрешениями. При синхронизации папки профиля пользователя при входе / выходе из общей папки профиля используются параметры безопасности пользователя, поэтому, если у пользователя нет разрешений на создание папки в общей папке профиля, у вас возникнет проблема.
К сожалению, нет возможности дать пользователям разрешение на создание только своей собственной папки и не более того.
Я думаю, что вы могли бы заранее создать папки профиля в общей папке профиля для ваших пользователей (и дать каждому пользователю полные разрешения на свою собственную папку профиля) перед их первым входом в систему. В этом случае пользователям должны быть необходимы разрешения только для просмотра / чтения содержимого общей папки профиля (только для этой папки).
Обратите внимание, что мой опыт с этим связан с Win2k и Win2k3 (на данный момент), а не с Win2k8, но я не думаю, что это должно быть по-другому.
Это немного сложно дать правильный ответ, потому что существует несколько способов решить эту проблему, и вам необходимо понять концепцию перемещаемых профилей. Я не говорю, что вы этого не делаете.
Что вы можете и часто хотите делать, так это создавать политики для перенаправления некоторых папок, таких как «Мои документы», «Рабочий стол» и других. Что мне нравится делать, так это создавать несколько каталогов в каталоге данных моего сервера. вот так:
D: \ Пользователи \ RoamingProfiles
D: \ Пользователи \ Homedir
D: \ Пользователи \ Рабочий стол
или что-то вроде того.
Поэтому, когда пользователи входят в свои рабочие столы, если вы правильно реализовали политики для перемещаемых профилей в Active Directory. У вас есть полный контроль над рабочим столом для этого пользователя. В корпоративной среде вы, возможно, захотите:
Создайте стандартный профиль пользователя в качестве шаблона для новых перемещаемых профилей. Заблокируйте рабочий стол и показывайте значки только тех программ, которые вы указали в своем шаблоне. Чтобы гарантировать, что, если пользователи хотят создавать папки или файлы, перенаправляют их в домашний каталог или каталог корпоративных данных. Например: на их рабочей станции H: \ - их домашний адрес на сервере. M: \ - это каталог корпоративных данных.
Для получения дополнительной информации о том, как использовать Active Directory и политики, посетите веб-сайт MSDN.
Надеюсь, это помогло.