none
Mandatory profily pro Windows 10

    Dotaz

  • Zdravím,

    řešíme teď problém, kdy bych potřeboval udělat mandatory profil pro Windows 10 a naimplementovat je do Windows Server 2008 R2. Jel jsem podle návodu tady http://www.linuxschools.com/karoshi/documentation/wiki/index.php?title=Creating_a_Windows_10_Mandatory_Profile a z části se to zdařilo - po připojení nového počítače k doméně dojde k načtení profilu do počítače - a i konfigurace se přenesla. Ale pokud na do profilu na serveru "třeba do menu Start" přidám nového zástupce, při odhlášení na klientovi a novém přihlášení se změna neprojeví. Mám to chápat tak, že ty profily se stáhnou pouze při první připojení k serveru? Akorát to konfiguroval kolega a ten už u nás nepracuje...

    Dříve jsme měli obdobně nakonfigurované Windows 8 a tam to fungovalo tak, že když se žák (je to školní server) připojil, načetl se mu pokaždé původní uložený profil ze serveru a ať si tam pak dělal co si tam dělal, po odhlášení a novém přihlášení tam měl opět původní profil. Šlo by to nějak zařídit?

    Pak jsem četl na stránkách MS, že je problém s menu Start a lištou - ta se do profilu prý nedá přidat. Co mi ještě nefunguje, tak nastavit nějaký prohlížeč jako defaultní. Když jsem do profilu zadal, že chci mít default Chrome (než jsem ten profil upravil a nahrál na server), tak po připojení klienta, byl jako hlavní zase Explorer. Tyhle věci by šly nějak obejít?

    Díky moc za rady,

    Petr S.

    7. listopadu 2016 21:31

Odpovědi

  • Dobrý den,

    no jakým zpsůsobem bych měl vytvořit profil pro verzi 6? Na to je jiný postup? Měl jsem za to, že postup je stejný v obou případech...

    Jinak abych to správně chápal - mandatory profil znamená, že si klient ze serveru stáhne po každém přihlášení (ne jen po prvním) vše včetně Plochy a nastavení znovu a začíná se jakoby "na zelené louce"?

    Díky moc.


    Dobrý den,

    vytvořte stejně, jako podle návodu, ale změníte NTUSER.DAT na NTUSER.MAN v složce nazev_profilu.V6

    Ve zkratce:

    1) Přihlaste se s uživatelem s právy lokálního správce ke stanici s W10 build 1607

    2) V ovládacích panelech / systém / upřesnit nastavení systému / Profily uživatelů / Nastavení - označte výchozí profil

    3) Zmáčkněte kopírovat do... / jako cestu uveďte \\01Server\profily$\mandatory     (file share na serveru 01Server musíte mítp ředpřipravený)

    4) Změňte oprávnění (povoleno uživat uživatelem) na Everyone

    5) OK

    6) Nabrouzdejte na server 01Server do umístení s profilem madatory.V6

    7) ZMěňte příponu Ntuser.dat na ntuser.man

    8) nastavte uživateli TEST v konzoli AD cestu k profilu ve stylu \\01Server\profily$\mandatory

    9) Přihlaste se s uživatelem TEST ke stanici s WIn10

    Mandatory profil je díky změny ntuser.dat na ntuser.man read only. Takže ano, po odhlašení se všechny změny provedené uživatelem (soubory na ploše, změna plochy, ikon) vrátí zpět do původního stavu.

    Radek



    Když jsem dělal tento pokus poprvé, dělal jsem to trošku jiným postupem - tím, co je zmíněn v článku (tedy ne tím tlačítkem v ovládacích panelech), ale s tím, že jsem použil název nazev_profilu.V6 + tu změnu názvu u souboru ntuser, jsem také provedl.

    Uživateli mám dát cestu k profilu tedy ve vašem příkladě  \\01Server\profily$\mandatory nebo mandatory.V6? Nebo to V6 se tam vytváří podle toho jaký operační systém má klient?

    Cesta k profilu v AD je \\01Server\Profily$\mandatory    

    Ty V2 - V6 označují verzi OS. Tzn. Windows 7 si připojí V2 a Windows 8 si připojí V3. Windows XP si připojí tu složku bez označení .

    Profile Extension Windows Version
    No Extension Windows XP
    .V2 Windows 7
    .V3 Windows 8
    .V4 Windows 8.1
    .V5 Windows 10

    viz:

    https://www.404techsupport.com/2016/07/windows10au-profile-v6/

    Radek

    10. listopadu 2016 6:54
  • Tu složku nemůžete měnit, protože jejím vlastníkem je ten uživatel, který jí vytvořil (např. uživatel jarda) a jen uživatel jarda má práva číst a zapisovat na tuto složku. 

    Vy jako administrátor můžete převzít vlastnictví složky a nastavit na ní potřebné oprávnění (např. read/write pro sebe, nebo pro Authenticated users). https://technet.microsoft.com/en-us/library/cc753659(v=ws.11).aspx

    Hromadně měnit se dá powershellem.

    Takto si například můžete informace uživatelů vylistovat do souboru c:\temp\users.txt:

     Get-ADUser -filter * -properties scriptpath, homedrive, homedirectory | ft Name, scriptpath, homedrive, homedirectory > C:\temp\users.txt
    

    Radek

    8. prosince 2016 7:12

Všechny reakce

  • Zdravím,

    řešíme teď problém, kdy bych potřeboval udělat mandatory profil pro Windows 10 a naimplementovat je do Windows Server 2008 R2. Jel jsem podle návodu tady http://www.linuxschools.com/karoshi/documentation/wiki/index.php?title=Creating_a_Windows_10_Mandatory_Profile a z části se to zdařilo - po připojení nového počítače k doméně dojde k načtení profilu do počítače - a i konfigurace se přenesla. Ale pokud na do profilu na serveru "třeba do menu Start" přidám nového zástupce, při odhlášení na klientovi a novém přihlášení se změna neprojeví. Mám to chápat tak, že ty profily se stáhnou pouze při první připojení k serveru? Akorát to konfiguroval kolega a ten už u nás nepracuje...

    Dříve jsme měli obdobně nakonfigurované Windows 8 a tam to fungovalo tak, že když se žák (je to školní server) připojil, načetl se mu pokaždé původní uložený profil ze serveru a ať si tam pak dělal co si tam dělal, po odhlášení a novém přihlášení tam měl opět původní profil. Šlo by to nějak zařídit?

    Pak jsem četl na stránkách MS, že je problém s menu Start a lištou - ta se do profilu prý nedá přidat. Co mi ještě nefunguje, tak nastavit nějaký prohlížeč jako defaultní. Když jsem do profilu zadal, že chci mít default Chrome (než jsem ten profil upravil a nahrál na server), tak po připojení klienta, byl jako hlavní zase Explorer. Tyhle věci by šly nějak obejít?

    Díky moc za rady,

    Petr S.

    Dobrý den,

    článek není aktuální. Windows 10 build 1511 je verze profilu V5 a Windows 10 build 1607 (anniversary update) je verze profilu V6.

    Zkuste tedy vytvořit mandatory profil pro verzi profilu V6.

    Optimálně ozkoušíte, když necháte v adresáři s plochou nějaký identifikační soubor... např. W10_anniversary.txt a po přihlášení máte hned jasno, jestli jste přihlášený lokálním profilem, manjdatory profilem, nebo temporary profilem.

    Radek

    8. listopadu 2016 6:54
  • Dobrý den,

    no jakým zpsůsobem bych měl vytvořit profil pro verzi 6? Na to je jiný postup? Měl jsem za to, že postup je stejný v obou případech...

    Jinak abych to správně chápal - mandatory profil znamená, že si klient ze serveru stáhne po každém přihlášení (ne jen po prvním) vše včetně Plochy a nastavení znovu a začíná se jakoby "na zelené louce"?

    Díky moc.


    8. listopadu 2016 18:40
  • Vytvoříš ho verzi Windows 10, která profily v6 podporuje.

    Ano, mandatory profil chápeš správně. Při každém přihlášení se stáhne profil v takové podobě, v jaké byl původně na serveru uložen a ignorují se změny provedené uživatelem. Respektive technicky správně - změny provedené uživatelem se neignorují, ony se na rozdíl od roaming profilů při odhlášení uživatele na server ani neuloží.


    BB

    8. listopadu 2016 18:51
  • Dobrý den,

    no jakým zpsůsobem bych měl vytvořit profil pro verzi 6? Na to je jiný postup? Měl jsem za to, že postup je stejný v obou případech...

    Jinak abych to správně chápal - mandatory profil znamená, že si klient ze serveru stáhne po každém přihlášení (ne jen po prvním) vše včetně Plochy a nastavení znovu a začíná se jakoby "na zelené louce"?

    Díky moc.


    Dobrý den,

    vytvořte stejně, jako podle návodu, ale změníte NTUSER.DAT na NTUSER.MAN v složce nazev_profilu.V6

    Ve zkratce:

    1) Přihlaste se s uživatelem s právy lokálního správce ke stanici s W10 build 1607

    2) V ovládacích panelech / systém / upřesnit nastavení systému / Profily uživatelů / Nastavení - označte výchozí profil

    3) Zmáčkněte kopírovat do... / jako cestu uveďte \\01Server\profily$\mandatory     (file share na serveru 01Server musíte mítp ředpřipravený)

    4) Změňte oprávnění (povoleno uživat uživatelem) na Everyone

    5) OK

    6) Nabrouzdejte na server 01Server do umístení s profilem madatory.V6

    7) ZMěňte příponu Ntuser.dat na ntuser.man

    8) nastavte uživateli TEST v konzoli AD cestu k profilu ve stylu \\01Server\profily$\mandatory

    9) Přihlaste se s uživatelem TEST ke stanici s WIn10

    Mandatory profil je díky změny ntuser.dat na ntuser.man read only. Takže ano, po odhlašení se všechny změny provedené uživatelem (soubory na ploše, změna plochy, ikon) vrátí zpět do původního stavu.

    Radek



    9. listopadu 2016 6:49
  • Dobrý den,

    no jakým zpsůsobem bych měl vytvořit profil pro verzi 6? Na to je jiný postup? Měl jsem za to, že postup je stejný v obou případech...

    Jinak abych to správně chápal - mandatory profil znamená, že si klient ze serveru stáhne po každém přihlášení (ne jen po prvním) vše včetně Plochy a nastavení znovu a začíná se jakoby "na zelené louce"?

    Díky moc.


    Dobrý den,

    vytvořte stejně, jako podle návodu, ale změníte NTUSER.DAT na NTUSER.MAN v složce nazev_profilu.V6

    Ve zkratce:

    1) Přihlaste se s uživatelem s právy lokálního správce ke stanici s W10 build 1607

    2) V ovládacích panelech / systém / upřesnit nastavení systému / Profily uživatelů / Nastavení - označte výchozí profil

    3) Zmáčkněte kopírovat do... / jako cestu uveďte \\01Server\profily$\mandatory     (file share na serveru 01Server musíte mítp ředpřipravený)

    4) Změňte oprávnění (povoleno uživat uživatelem) na Everyone

    5) OK

    6) Nabrouzdejte na server 01Server do umístení s profilem madatory.V6

    7) ZMěňte příponu Ntuser.dat na ntuser.man

    8) nastavte uživateli TEST v konzoli AD cestu k profilu ve stylu \\01Server\profily$\mandatory

    9) Přihlaste se s uživatelem TEST ke stanici s WIn10

    Mandatory profil je díky změny ntuser.dat na ntuser.man read only. Takže ano, po odhlašení se všechny změny provedené uživatelem (soubory na ploše, změna plochy, ikon) vrátí zpět do původního stavu.

    Radek



    Když jsem dělal tento pokus poprvé, dělal jsem to trošku jiným postupem - tím, co je zmíněn v článku (tedy ne tím tlačítkem v ovládacích panelech), ale s tím, že jsem použil název nazev_profilu.V6 + tu změnu názvu u souboru ntuser, jsem také provedl.

    Uživateli mám dát cestu k profilu tedy ve vašem příkladě  \\01Server\profily$\mandatory nebo mandatory.V6? Nebo to V6 se tam vytváří podle toho jaký operační systém má klient?

    9. listopadu 2016 21:14
  • Dobrý den,

    no jakým zpsůsobem bych měl vytvořit profil pro verzi 6? Na to je jiný postup? Měl jsem za to, že postup je stejný v obou případech...

    Jinak abych to správně chápal - mandatory profil znamená, že si klient ze serveru stáhne po každém přihlášení (ne jen po prvním) vše včetně Plochy a nastavení znovu a začíná se jakoby "na zelené louce"?

    Díky moc.


    Dobrý den,

    vytvořte stejně, jako podle návodu, ale změníte NTUSER.DAT na NTUSER.MAN v složce nazev_profilu.V6

    Ve zkratce:

    1) Přihlaste se s uživatelem s právy lokálního správce ke stanici s W10 build 1607

    2) V ovládacích panelech / systém / upřesnit nastavení systému / Profily uživatelů / Nastavení - označte výchozí profil

    3) Zmáčkněte kopírovat do... / jako cestu uveďte \\01Server\profily$\mandatory     (file share na serveru 01Server musíte mítp ředpřipravený)

    4) Změňte oprávnění (povoleno uživat uživatelem) na Everyone

    5) OK

    6) Nabrouzdejte na server 01Server do umístení s profilem madatory.V6

    7) ZMěňte příponu Ntuser.dat na ntuser.man

    8) nastavte uživateli TEST v konzoli AD cestu k profilu ve stylu \\01Server\profily$\mandatory

    9) Přihlaste se s uživatelem TEST ke stanici s WIn10

    Mandatory profil je díky změny ntuser.dat na ntuser.man read only. Takže ano, po odhlašení se všechny změny provedené uživatelem (soubory na ploše, změna plochy, ikon) vrátí zpět do původního stavu.

    Radek



    Když jsem dělal tento pokus poprvé, dělal jsem to trošku jiným postupem - tím, co je zmíněn v článku (tedy ne tím tlačítkem v ovládacích panelech), ale s tím, že jsem použil název nazev_profilu.V6 + tu změnu názvu u souboru ntuser, jsem také provedl.

    Uživateli mám dát cestu k profilu tedy ve vašem příkladě  \\01Server\profily$\mandatory nebo mandatory.V6? Nebo to V6 se tam vytváří podle toho jaký operační systém má klient?

    Cesta k profilu v AD je \\01Server\Profily$\mandatory    

    Ty V2 - V6 označují verzi OS. Tzn. Windows 7 si připojí V2 a Windows 8 si připojí V3. Windows XP si připojí tu složku bez označení .

    Profile Extension Windows Version
    No Extension Windows XP
    .V2 Windows 7
    .V3 Windows 8
    .V4 Windows 8.1
    .V5 Windows 10

    viz:

    https://www.404techsupport.com/2016/07/windows10au-profile-v6/

    Radek

    10. listopadu 2016 6:54
  • Mám ještě problém - profily jsou vytvořené, a fungují ale s jiným názvem profilu - respektive s tím, který jsem právě vytvořil.

    Protože se ale jedná o školu, kde jsou stovky žáků, šlo by nějak jednoduše nahradit původní název mandatory profilu za nový? Aby se nemuselo klikat na profil každého žáka a ručně přepisovat název mandatory profilu, který k němu patří?

    např. puvodně je u zaku vytvore profil zak.V3

    pro nove zaky jsme vytvorili zak.V6

    ---> lze třeba přejmenovt zak.V6 na V3? Zkoušel jsem původní profil smazat nebo přejmenovat a místo něj nasadit ten původní, ale hlásí mi to chybu a neprojede to.

    Díky moc.

    7. prosince 2016 9:55
  • Mám ještě problém - profily jsou vytvořené, a fungují ale s jiným názvem profilu - respektive s tím, který jsem právě vytvořil.

    Protože se ale jedná o školu, kde jsou stovky žáků, šlo by nějak jednoduše nahradit původní název mandatory profilu za nový? Aby se nemuselo klikat na profil každého žáka a ručně přepisovat název mandatory profilu, který k němu patří?

    např. puvodně je u zaku vytvore profil zak.V3

    pro nove zaky jsme vytvorili zak.V6

    ---> lze třeba přejmenovt zak.V6 na V3? Zkoušel jsem původní profil smazat nebo přejmenovat a místo něj nasadit ten původní, ale hlásí mi to chybu a neprojede to.

    Díky moc.

    Dobrý den,

    teď moc nerozumím tomu dotazu. Profil s názvem zak.V3 je verze profilu pro operační systémy Windows8 a načte se uživateli, který má v AD cestu k profilu \\muj_file_server\sdilena_slozka_s_profilama\zak

    Když se ten stejný uživatel přihlásí se systémem Windows10 Build 1607, tak se přihlásí profilem s názvem zak.V6. Obsah složky zak.V3 a zak.V6 je jiný, má jinou strukturu, je pro jiný operační systém! Přejmenováním té extension V3 na V6 se nic neřeší, jen to pokzíte.

    Máte možnost hromadně editovat objekty v AD..např. všem žákům změnit cestu profilu na jednotný tvar..To je tak jediné, co hromadně potřebujete dělat. 

    Radek

    7. prosince 2016 11:18
  • Špatně jsem to napsal. Jde o to, že jsme tam dali jiný název než byl původně - např. "novyzak" , ale puvodne to je "zak". Ve slozce s profily se uz nejak (nevím jak) vytvořila složka zak.V6 a nejde smazat. Takže já složku s tím novým profilem novyzak.V6 nemuzu predelat na zak.V6. Prakticky to hlásí, že ta složka zak.V6 při kliknutí na ni a daní vlastnosti neexistuje - nejdou na tom dát vlastnosti, smazat to, přejmenovat to....

    Jakým způsobem se dá změnit hromadně název profilu? Dá se to normálně přes to grafické rozhraní a nebo je nutno to udělat nějakým skriptem apod? To by asi celý problém vyřešilo.

    Jinak moc díky.



    7. prosince 2016 13:10
  • Tu složku nemůžete měnit, protože jejím vlastníkem je ten uživatel, který jí vytvořil (např. uživatel jarda) a jen uživatel jarda má práva číst a zapisovat na tuto složku. 

    Vy jako administrátor můžete převzít vlastnictví složky a nastavit na ní potřebné oprávnění (např. read/write pro sebe, nebo pro Authenticated users). https://technet.microsoft.com/en-us/library/cc753659(v=ws.11).aspx

    Hromadně měnit se dá powershellem.

    Takto si například můžete informace uživatelů vylistovat do souboru c:\temp\users.txt:

     Get-ADUser -filter * -properties scriptpath, homedrive, homedirectory | ft Name, scriptpath, homedrive, homedirectory > C:\temp\users.txt
    

    Radek

    8. prosince 2016 7:12
  • Díky moc, povedlo se :)
    9. prosince 2016 10:47
  • Oobne NIKDY nenechavam profily vytvaret Windows automaticky, ale vytvarim je rucne resp. scriptem vc. nastaveni prav.

    U automaticky vytvareneho profilu:

    - musi mt uzivatel full control do share s profily. NEEXISTUJE

    - se nastavi prava jen pro uzivatele, takze admin musi prebirat vlastnictvi atd atd... aby se do neho dostal. To se nastesti da osetrit "'Add the Administrators security group to roaming ..." politikou

    MP

    9. prosince 2016 11:02
    Moderátor
  • Tak mám ještě problém - nyní mi to hlásí při přihlášení uživatele hlášku - Přihlášení služby Klient zásad skupiny se nepovedlo. Přístup byl odepřen.

    udělal jsem to tak, že na původní profil (zak.v6), který se tam vytvořil automaticky, jsem přebral oprávnění a přejmenoval jej. A nový profil (novyzak.v6) jsem přejmenoval na zak.v6.

    Před přejmenováním profilu to jelo. Nějaký nápad, co by s tím mohlo být? Nemůže to být třeba jinak nastavenými právy?

    14. prosince 2016 12:30