Использование перемещаемых профилей для пользователей терминальных серверов
Перемещаемый профиль пользователя является копией локального профиля, который копируется и хранится в общей папке на сервере. Этот профиль загружается на любом компьютере, с которого пользователь входит в сеть. Изменения, внесенные в перемещаемом профиле пользователя, синхронизируются с сервером при выходе пользователя из системы. Преимущество перемещаемых профилей пользователей в том, что пользователям не нужно создавать новый профиль на каждом из компьютеров, на который они логинятся.
Эта возможность может быть особенно полезна при использовании в вашей организации терминальных серверов, куда сотрудники подключаются через удаленный рабочий стол со своих рабочих станций или, например, тонких клиентов.
Для возможности использовать перемещаемые профили нужно создать политику Active Directory (GPO), которую привязать к тому организационному подразделению (OU), в котором у вас размещается терминальный сервер (или ферма терминальных серверов). Необходимо задать всего лишь два параметра этой политики:
1) Разрешаем использование перемещаемых профилей пользователей служб удаленных рабочих столов:
Computer Configuration -> Administrative Templates -> Windows Components ->Remote Desktop Services -> Remote Desktop Session Host -> Profiles -> Set Path for Remote Desktop Services Roaming User Profile
Здесь указываем сетевую папку, в которой будут созданы и в дальнейшем храниться перемещаемые профили. Убираем наследование прав для данной папки (снимаем галку include inheritable permissions from this object's parent), после чего выдаем на неё следующие уникальные права:
Учетная запись/группа | Доступ | Применять к: |
System | Full control | This folder, subfolders and files |
Administrators | Full control | This folder only |
Creator/Owner | Full control | Subfolders and files only |
Группа безопасности, в которой находятся терминальные пользователи | List folder / read data Create folders / append data | This folder only |
2) Предоставляем права Администраторам на всё содержимое сетевой папки, содержащей перемещаемые профили:
Computer Configuration -> Policies -> Administrative Templates -> System -> User Profiles -> Add the Administrators security group to roaming user profiles