W2012 roaming, mandatory profile

Microsoft Windows

Üdv!
Egy W2012R2-t tesztelek VBox-ban (+Win7 klienssel).
Roaming profilt állítanék be (pl.):
c:\SHARES\profiles$ (megosztva: profiles$)

A 'user1' felhasználónak a Profil tab-on beállítva a profile path: \\WINSRV\profiles$\user1
Hiába lépek be a Win7 kliensen és lépek ki, a profil nem kerül fel a szerverre. Nem is jön létre automatikusan a user1 almappa a profiles$ alatt. Mi hiányzik? Hiába adok full írási jogot a user1-nek... :(

A GPO-ban be van állítva:
* #1 Delete cached copies of roaming profiles: Enabled
* #2 Prevent Roaming Profile changes from propagating to the server: Enabled

A cél az lenne, hogy mandatory profil lenne, azaz a szerveren létrejött profil mindig felülírja a helyi profilt belépéskor (visszaállítja a korábbi profilt). A #2 elvileg ugyanaz mint az NTUSER.DAT átnevezése NTUSER.MAN-ra.

  • 1371 megtekintés

( SzBlackY | 2018. 02. 15., cs – 04:54 )

Ha userként belépsz a megosztásra
1) kér jelszót (elérés rendben)
2) tudsz új mappát létrehozni? (jogosultságok rendben)

Belépéskor panaszkodik a roaming profile hiányára? (tehát a gép egyáltalán tudja, hogy kéne neki RP-t töltenie?)

Prevent Roaming Profile changes from propagating to the server

Ezzel nem tiltod le, hogy létrehozza a profilt? Ha azt mondod neki, hogy nem módosíthat, miért várod, hogy módosítson?
Ha ezt kikapcsolod, akkor sem hozza létre a profilt?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Innen próbáltam:
"If you have Roaming Profile on the server for users, there is a group policy setting that makes profiles mandatory.

Computer Configuration--->Policies--->Administrative Templates--->System--->User Profile--->Prevent Roaming Profile changes from being propagated to the server

It makes profiles mandatory by preventing system from updating the change to the server. This setting have the same effect with renaming NTUSER.DAT to NTUSER.MAN for a roaming profile."

( Tassadar v | 2018. 02. 15., cs – 08:54 )

A "Set roaming profile path for all users logging on to this computer" GPO-t beállítottad a gépekre scope-olva?
Kliens system eventlog-ban semmi hibára utaló bejegyzés?

"Delete cached copies of romaing profiles"

Biztosan ezt szeretnéd? Nincsenek mondjuk laptoppal közlekedő kollégák, akiknél ez problémát okozhat?

Ez van beállítva:
* Delete cached copies of roaming profiles: Enabled
* Set roaming profile path for all users logging on to this computer: Enabled (\\WINSRV\profiles$\%username%)
(a többi most "Not Configured")

A kliensen belépve és kilépve nem kerül fel a szerverre a profil. Az eseménynaplóban ez van:
"A Windows nem találja az (írásvédett) központi profilt, ezért a helyi profiljával próbálja meg bejelentkeztetni.
A hibát okozhatják hálózati problémák, vagy az, hogy nincsenek elégséges biztonsági engedélyei.
RÉSZLETEK - A rendszer nem találja a megadott fájlt."

Ha megtallózom a szervert (\\WINSRV\profiles$) simán tudok létrehozni fájlokat, mappákat!!
Mit nézek el, mi kell még neki? Nem írja, hogy milyen fájlt nem talál!

(upd: "Biztosan ezt szeretnéd? Nincsenek mondjuk laptoppal közlekedő kollégák, akiknél ez problémát okozhat?"
Igen, nem lesz probléma. De most csak tesztelek.)

Van erre valakinek működő leírása?

A Windows nem találja az (írásvédett) központi profilt, ezért a helyi profiljával próbálja meg bejelentkeztetni.

Ez a bejelentkezéses, nem?

Tényleg próbáld ki, hogy kiveszed a "Prevent ... propagating to server" GPO-t, aztán belépés és kilépés után megnézed, hogy létrehoztad-e a profilt.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( makgab v | 2018. 02. 17., szo – 18:00 )

Találtam egy videót (Win8+W2012) és működik: https://www.youtube.com/watch?v=8MZxLqv65Es
Win7 esetén, mintha nem lenne egészen tökéletes. :)

Röviden:
* Feltétel: Működő AD a Win2012R2-ben

* W2012: megosztás a profiloknak: c:\shares\profiles (\\WINSRV\profiles),
jogosultság: Everyone full access

* W2012: User létrehozása, pl. user1
Tagság: Backup Operators (lokális belépés miatt), Profile path: \\WINSRV\profiles\%username%
(Connect: pl. U: -> \\WINSRV\profiles\%username%)

* W2012: cmd: "gpupdate /force"

* W2012: user1 belépés, profile beállítások (pl. asztali ikonok), majd logout

* W2012: administrator login.

* W2012: 'C:\Users\user1' mappa átnevezés: 'user1.V2'
View menü: "hidden ..." kikapcsolás, hogy láthatóak legyenek a rejtett fájlok.
A user1 NTUSER.DAT átnevezése NTUSER.MAN névre! (mandatory!)
*.LOG fájlok törölhetők!

* W2012: A C:\shares\profiles útvonalon a 'user1.V2' átnevezése: 'user1.V2_old' (törölhető),
de a 'user1.V2' mappához nem lesz jogosultság, ezért át kell adni a
tulajdonjogot az administrator-nak (Security tab, replace owner ...)

* W2012: 'C:\Users\user1.V2' másolása 'C:\shares\profiles\user1.V2'

* W2012: cmd: "gpupdate /force"

* Win8: user1 belép és kötelező (mandatory) profilja lesz

* W2012: A 'C:\Users\user1.V2' visszanevezhető: 'C:\Users\user1'

Megjegyzés:
A kliensen ott marad a profil. A "Delete cached copies of roaming profile", "Prevent roaming Profile changes from propagating to the server" beállításokkal is.

Felmerült egy apró kérdés:
A %username%.V2 a "rejtett" mandatory profil útvonala (readonly)?
A sima %username% a tényleges, ha jól láttam.

A V2 azért van, mert a mikroszoft úgy oldotta meg az inkompatibilitási problémákat, hogy az egymást torkon szúró windows verziók más-más verziójú könyvtárba teszik a motyójukat a háttérben, hogy a többi windózka ne zavarodjon össze, de mind a verzió nélkülit lát(tat)ják "igazinak".

Már ha jól emlékszem.

Érdekesség:
Ha a "Delete cached copies of roaming profile", "Prevent roaming Profile changes from propagating to the server" beállításokat alapból (az elején) bekapcsolom, akkor nem jön létre a *.V2 könyvtár a lokális belépéskor és annak átnevezése (*.V2_old) nem szükséges - a lépés kimaradhat. :)