none
Не работает перенос профилей!? RRS feed

  • Вопрос

  • Подскажите пожалуйста, что делаю не так, на терминальном сервере 2012R2 надо сделать, что бы профили тупо хранились на диски D. Создал политику как описано много где, поместил её в группу с терминальным сервером, имею при заходе пользователей временный профили в \temp....

    отчет gpresult

    Программа формирования отчета групповой политики операционной системы
    Microsoft (R) Windows (R) версии 2.0
    c Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

    Создано 21.11.2016 в 17:11:04


    Данные RSOP для KOMP\admin на TERMINAL : Режим ведения журнала
    ---------------------------------------------------------------

    Конфигурация ОС: Рядовой сервер
    Версия ОС: 6.3.9600
    Имя сайта: Н/Д
    Перемещаемый профиль: Н/Д
    Локальный профиль: C:\Users\admin
    Подключение по медленному каналу: Нет


    Конфигурация пользователя
    --------------------------
    CN=admin,OU=IT,OU=Moscow,OU=Komponenta,DC=komp,DC=local
    Последнее применение групповой политики: 21.11.2016 в 15:32:15
    Групповая политика была применена с: dc-ext.komp.local
    Порог медленного канала для групповой политики: 500 kbps
    Имя домена: KOMP
    Тип домена: Windows 2008 или более поздняя версия

    Примененные объекты групповой политики
    ---------------------------------------
    Н/Д

    Следующие политики GPO не были применены, так как они отфильтрованы
    --------------------------------------------------------------------
    Local Group Policy
    Фильтрация: Не применяется (пусто)

    Пользователь является членом следующих групп безопасности
    ---------------------------------------------------------
    Пользователи домена
    Все
    Пользователи
    Пользователи удаленного рабочего стола
    Администраторы
    ИНТЕРАКТИВНЫЕ
    КОНСОЛЬНЫЙ ВХОД
    Прошедшие проверку
    Данная организация
    ЛОКАЛЬНЫЕ
    Администраторы домена
    Подтвержденное центром проверки подлинности удостоверение
    Группа с запрещением репликации паролей RODC
    Высокий обязательный уровень

    Куда копать?? 

    21 ноября 2016 г. 14:32

Ответы

  • Где ошибка? - В ДНК! (шутка)

    давайте начнем с азов

    групповая политика содержит в себе 2 части - часть компьютерная и часть пользовательская в большинстве своем эти части можно рассматривать как 2 независимые друг от друга политики.

    политику после создания можно прилинковать на уровень домена целиком или на одну или несколько OU (случай линка на сайт пока не рассматриматриваем).

    Политика применяется только к объектам пользователя и компьютера внутри контейнера(домена или OU) и обьектам лежащим во вложенннных оушках, в случае если явно не указан запрет наследования применения политик. То есть еще раз подчеркну - политика не применяется к обьектам групп лешащих внутри этого контейнера!!! Применение политик к конкретным группам пользователей или компьютеров регулируется исключительно в свойствах самой политики фильтрами применения(security filtering). Т.е. если мы создаем политику на уровне домена целиком, НО! в свойствах политики разрешаем применение(именно применение, не следует путать с чтением политики) этой политики только на едичного пользователя или компьютер - она и будет применятся только для одного этого пользователя\компьютер... но там же в фильтрах можно указать и группу. но при этом нужно иметь в виду что если мы вешаем политику на OU и пользователь или компьютер применение политик для которых разрешено в политике находится вне пределов этой OU(организационной единицы или как я понял подразделения в вашей терминологии) то поликика к ним применятся не будет!

    далее если мы в политике применяемой для конкретного пользователя указываем какую либо настройку - она будет применятся везде, где пользователь залогинится, будь то ноутбук пользователя в домене, один из компютеров домена или терминальный сервер.

    если мы хотим применять настройку исключительно при логине пользователя на каком-то конкретном компьютере\сервере\группе серверов можно воспользоваться механизмом замыкания на себя(loopback processing)

    рекомендую вам ознакомится с механизмом распространения и применения политик, ДО того как вы приметесь что либо настраивать и предварительно протестировав на кошках желательно в отдельной тестовой виртуальной среде. метод научного тыка это конечно прекрасно, но зачем?

    23 ноября 2016 г. 10:40

Все ответы

  • в фильтрации небось убрали autenticated users (прошедшие проверку) и поставили только группу пользователей?

    копать ms 16-072

    хотя...

    вы же только для терминалки делаете? там же через лупбак и применяться она должна на комп, не?

    • Изменено Svolotch 21 ноября 2016 г. 15:03
    21 ноября 2016 г. 15:00
  • разобрался с первой проблемой(не было прав на сетевую шару на запись для всех) профили стали появляться там(D:\%username%V2), НО для меня не понятен алгоритм работы- создаю под зашедшим юзером на рабочем столе файл, смотрим....файл все равно появляется по пути c:\users\%username% в перемещаемом профиле его НЕТ! и только когда я перезайду(разлогинюсь) под этим пользователем, файл появится в перемещаемом профиле!! и что самое мне непонятное, он остается и по пути c:\user.......

    как добиться полного переноса профиля на требуемый диск???

    я изначально хотел сделать этот перенос просто в реестре, поправив ветку для дефолтной папки для профилей, но меня отговорили мол это может выйти боком при обновлении каких либо политик всё слетит.......так ли это?

    22 ноября 2016 г. 10:52
  • мы сейчас про roaming profile говорим или про folder redirection? что вы там настраивали?
    22 ноября 2016 г. 11:42
  • настраивал roaming profile как описано тут www  kovanev.net/faq/microsoft-windows/213-using-roaming-profiles-for-terminal-users
    22 ноября 2016 г. 11:49
  • мммм... а набуя вы извините это делали?

    там же русским по белому написано

    ваша хотелка: 2012R2 надо сделать, что бы профили тупо хранились на диски D

    в статье написано:Перемещаемый профиль пользователя является копией локального профиля, который копируется и хранится в общей папке на сервере.  Этот профиль загружается на любом компьютере, с которого пользователь входит в сеть. Изменения, внесенные в перемещаемом профиле пользователя, синхронизируются с сервером при выходе пользователя из системы.


    вы ваще статью читали прежде чем что либо делать?


    • Изменено Svolotch 22 ноября 2016 г. 12:12
    22 ноября 2016 г. 12:08
  • опишите в чем изначально была проблема. Зачем вам перемещать профили пользователей?
    22 ноября 2016 г. 12:11
  • Перенести на раздел, который находится на SSD
    22 ноября 2016 г. 13:37
  • ну и поменяйте в реестре

    мигрируемые профили несколько для другого используются..

    можно конечно и перенаправлением(folder redirection) заморочится, ноя лично не вижу смысла в вашем случае

    22 ноября 2016 г. 14:18
  • я хотел сделать ровно то, что Вы написали- меняем дефолтную папку в реестре, но уже пару человек меня отговаривают делать это через реестр, я не силен в политиках, поэтому интересуюсь, слететь это потом не может от применения каких либо политик в последсвтии?
    22 ноября 2016 г. 14:38
  • ну если вы политиками будете менять расположение профилей - слетит


    22 ноября 2016 г. 14:47
  • Я все же решил пойти путем folder redirect, возник другой вопрос- создал подразделение в AD -"Переносимые профили", туда добавил терминальный сервер, тестового пользователя и в групповых политиках поместил в это подразделение, свою политику-  всё отлично работает! НО если я в AD создаю в этом подразделении группу и добавляю в неё "пользователи домена", то при заходе на терминальный сервер любым пользователем политика не применяется! группу я создаю, что бы каждого пользователя не перетаскивать руками в это подразделение. Где ошибка?  
    23 ноября 2016 г. 9:44
  • Где ошибка? - В ДНК! (шутка)

    давайте начнем с азов

    групповая политика содержит в себе 2 части - часть компьютерная и часть пользовательская в большинстве своем эти части можно рассматривать как 2 независимые друг от друга политики.

    политику после создания можно прилинковать на уровень домена целиком или на одну или несколько OU (случай линка на сайт пока не рассматриматриваем).

    Политика применяется только к объектам пользователя и компьютера внутри контейнера(домена или OU) и обьектам лежащим во вложенннных оушках, в случае если явно не указан запрет наследования применения политик. То есть еще раз подчеркну - политика не применяется к обьектам групп лешащих внутри этого контейнера!!! Применение политик к конкретным группам пользователей или компьютеров регулируется исключительно в свойствах самой политики фильтрами применения(security filtering). Т.е. если мы создаем политику на уровне домена целиком, НО! в свойствах политики разрешаем применение(именно применение, не следует путать с чтением политики) этой политики только на едичного пользователя или компьютер - она и будет применятся только для одного этого пользователя\компьютер... но там же в фильтрах можно указать и группу. но при этом нужно иметь в виду что если мы вешаем политику на OU и пользователь или компьютер применение политик для которых разрешено в политике находится вне пределов этой OU(организационной единицы или как я понял подразделения в вашей терминологии) то поликика к ним применятся не будет!

    далее если мы в политике применяемой для конкретного пользователя указываем какую либо настройку - она будет применятся везде, где пользователь залогинится, будь то ноутбук пользователя в домене, один из компютеров домена или терминальный сервер.

    если мы хотим применять настройку исключительно при логине пользователя на каком-то конкретном компьютере\сервере\группе серверов можно воспользоваться механизмом замыкания на себя(loopback processing)

    рекомендую вам ознакомится с механизмом распространения и применения политик, ДО того как вы приметесь что либо настраивать и предварительно протестировав на кошках желательно в отдельной тестовой виртуальной среде. метод научного тыка это конечно прекрасно, но зачем?

    23 ноября 2016 г. 10:40