Win2012R2/W2016 + Win10 + Mandatory (roaming) profile

Microsoft Windows

Üdv!
A korábbi Win8+W2012R2 megoldás helyett a Win10+W2012R2 kellene. A lényeg, hogy romaing+mandatory profile legyen (tehát kilép a user, majd login, akkor visszaáll az eredeti profil, beállítások).

Itt van egy video: https://www.youtube.com/watch?v=WxWbHXg3YLs
de azt írják nem ez a szép megoldás. Win10 esetén mi a szép megoldás?

(A korábbi, Win8-as módszer nem működik (korábbi témában leírt).)

  • 2339 megtekintés

( bennyh | 2018. 06. 26., k – 13:40 )

Egyáltalán Windows 10 alatt működik még a roaming profile? Valamint ha igen akkor elég hozzá a pro vagy enterprise változat kell?

őőő, SMBv1?
Úgy rémlik, a 1709-ben még csak ajánlott volt kikapcsolni, meg leszedte, ha nem használta semmi, de a 1803-at nem tudom, mert már előtte lekapcsoltam a v1-et a hálózaton, hogy inkább akkor derüljön ki, ha valami még nagyon használná, de szerencsére semmi sem panaszkodott.

Én ma futottam bele a 1803 problémába. Egy régi Zentyal-on van az Electra egy megosztott könyvtárban és a bankhoz csatlakozás közben elhal. Win7-8 alól megy. Érdekes, mert magát a megosztást látom, tudom tallózni is pedig SMB1 (sajna olyan öreg samba, hogy nem is lehet bekapcsolni az smb2-őt, nem ismeri)megnyitni dokumentumokat, stb. A program is fut, csak a bankhoz csatlakozás hasal el. Itt a 1803 ellenére ott az SMB1 ki-be kapcsolás a windows szolgáltatások között, ha kikapcsolom el sem értem a megosztást, szóval nincs teljesen kinyírva az smb1.

--
Tanya Csenöl az új csatorna

( makgab v | 2018. 06. 26., k – 21:14 )

Nekem (virtuális gépben) nem egészen működik:
* A .reg fájl hozzáadása a kliensen hibás: nem sikerült minden bejegyzés hozzáadása, mert használatban vannak...(?)
* A profil másolása szintén nem megy, azt írja: "Nem sikerült alkalmazni a célprofil biztonsági beállításait. Hiba - helytelen a felhasználónév vagy a jelszó."

Ez utóbbi érdekes, mert épp előtte kérdezi az administrator jelszavát (és az jó).

Persze odamásoltam a default profilt (.MAN) a \\winsrv\profiles\Mandatory.V5 mappába, de a profil nem lett kötelező, nem áll vissza a beállítottra kijelentkezés után.

( makgab v | 2018. 06. 27., sze – 07:54 )

Találtam egy hivatalos doksit a témáról:
Create mandatory user profiles

Mintha azt írná, hogy Win10 (1607,1709) csak WinServer 2016 szerver operációs rendszerrel működne?

A sysprep is kell?

Mintha azt írná, hogy Win10 (1607,1709) csak WinServer 2016 szerver operációs rendszerrel működne?

Szerintem nem, a Profile extension for ... táblázatban csak külön oszlopba tették a kliens és szerver verziókat, amik azonos profil verziót használnak (pl. Vistának is kiszolgálhatsz 2k16 alól, de ha úgy értelmezzük a táblát, ahogy mondod, akkor a legutolsó kliens kipusztulásáig meg kéne tartani az akkori szerver verziót), az Apply policies to improve sign-in time pedig csak azt tartalmazza, hogy melyik OS melyik policyt támogatja.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( makgab v | 2018. 06. 27., sze – 18:59 )

Eddig sikerült eljutni:
* kliensen létrehoztam egy usert (user1)
* lokál admin-ként csinálok egy 'Default' usert a video szerint, registry-ből az NTUSER.DAT struktúra beolvasása, majd importálása a user1 %username% cseréjével. A registry hozzáadva (minden bejegyzés nem sikerül, nem baj). A struktúra unload a registryben.
-> Tehát van egy saját deszktop beállítva C:\Users\Default mappában.
* A kliensgép már hozzá van adva a tartományhoz és a szerver administrator userrel a kliensről felmásolom a Default mappát a szerverre: \\srv\profiles
* A Default mappát átnevezem "Mandatory.V6": \\srv\profiles\Mandatory.V6
majd a "Mandatory.V6" mappában az NTUSER.DAT fájlt átnevezem NTUSER.MAN-ra!
* a szerveren a usereknek megadom a profil path-t: \\srv\profiles\%username%
* a kliensen belépve ezt kapja a user:

"Nem sikerült bejelentkezni a fiókjába
A probléma gyakran megoldható azzal, hogy kijelentkezik a fiókjából, majd újra bejelentkezik.
Ha most nem jeletkezik ki, a létrehozott fájlok és a végrehajtott módosítások elvesznek."
|Kijelentkezés| |Elvetés|

Már majdnem működik!
Parancssorban látszik, hogy a kliensen USERPROFILE=C:\Users\TEMP
Bármit változtat a user kilépés után elveszik. Ez jó is, csak a profilja zavar egy kicsit, hogy a TEMP-be teszi.

Milyen beállítás hiányozhat?

Nem, pl. w10user1, w10user2
A "Mandatory.V6" nevet gondolom globálisan kezeli (a google-ban kerestem és valahol láttam, hogy így nevezték el). Minden user onnan veszi a profiladatokat - gondolom.

A szerveren nem jön létre később sem a \\srv\profiles\%username% mappa! Csak a \\srv\profiles\Mandatory.V6 létezik.

A "Mandatory.V6" mappa jogai, ezt adja a rendszer másolás után:

allow,SYSTEM,Full Control, C:\, "this folder, subfolders and files"
allow,Administrator,Full Control, C:\, "this folder, subfolders and files"
allow,Users,Read&Execute, C:\, "this folder, subfolders and files"
allow,Users,Special, C:\, "this folder, subfolders"
allow,CREATOR OWNER,Full Control, C:\, "subfolders and files only"

kipróbáltam egy w10user nevű userrel: Profile path: \\srv\profiles\Mandatory
Így be se enged temporary profillal sem.

Megpróbáltam átmásolni a "Mandatory.V6" -> "w10user.V6": ugyanaz, be se enged
Megpróbáltam átmásolni a "Mandatory.V6" -> "w10user.V5" (+w10user owner/jogok a mappára): így maradt a temporary profile állapot.
Megpróbáltam átmásolni a "Mandatory.V6" -> "w10user.V2" (+w10user owner/jogok a mappára): így maradt a temporary profile állapot.

Valami apró dolog lehet...

Úgy tűnik ez lesz a megoldás a számomra:
* A kliensen létrehozható egy Default user alapbeállításokkal (nem kötelező).
* A szerveren megosztás a profiloknak, pl.: C:\shares\profiles -> \\srv\profiles
(Jogosultság adása a megosztásnak: Everyone: teljes, Biztonság: Tartományi felhasználók: teljes jog.)
* A szerveren létrehozva a user, pl. user1 (Profile path: \\srv\profiles\%username% -> \\srv\profiles\user1)
* A szerveren a GPO-ban beállítottam (nem biztos hogy kell, de így működik):
Delete cached copies of roaming profiles: Enabled
(Prevent Roaming Profile changes from propagating to the server: Disabled)
* A kliensgép hozzáadva a tartományhoz.
* A kliensgépen belépés tartományi userrel, pl. user1 (elvileg a Defult profilból hozza létre a profilt)
* A kliensen még most is beállítható a desktop... stb.
* A kliensen kilépés, lokál adminként belépés.
* Lokál admin megnyitja a \\srv\profiles\user1 útvonalat és belép user1-ként a hálózatra.
* Most már a \\srv\profiles\user1.V6 mappában írható minden, a logok törölhetők. Átnevezés: NTUSER.DAT -> NTUSER.MAN
( a user1.V6 mappa gyökerében elég: NTUSER.MAN, ntuser.ini)
* Most be lehet lépni a kliensen user1 tartományi userrel. Amit módosítunk az a szervere nem íródik vissza (kötelező profil lesz).

Kipróbáltam Win2016 Server alatt is működött (ezért írtam át a topikot :)).