越来越多地使用强制性配置文件。这部分是由于AppSense,RES软件和Microsoft UE / V等用户虚拟化软件的兴起,它使用强制性配置文件作为基础。并非令人惊讶的是,由于强制性配置文件与用户虚拟化软件结合使用,用户登录时间相当降低,并且概述损坏风险较小。
有很多方法可以创建一个强制性的个人资料,我想用这个博客来解释我创建强制性简介的方式以及我认为最有效的方式。
在开始之前,请转到文件夹选项并确保选择“显示隐藏文件,文件夹和驱动器”,并将“隐藏已知文件类型的扩展”和“隐藏受保护的操作系统文件(推荐)”进行取消选择。
步骤1 - 为强制性配置文件创建份额
在中央文件服务器上,创建和共享要用于强制配置文件的文件夹。应用以下份额权限;
经过身份验证的用户– Read
管理人员 - 完全控制
要提供更好的安全性,请始终在NTFS卷上创建共享。确保设置以下NTFS访问权限(包括子对象);
系统– Full Control
管理人员– Full Control
经过身份验证的用户– Read & Execute
第2步 - 为文件夹重定向创建共享
在中央文件服务器上,创建和共享要用于文件夹重定向的文件夹,并应用以下共享和NTFS权限。
分享权限
大家 - 改变
管理人员 - 完全控制
NTFS权限
创建者所有者(仅限子文件夹和文件)
– Full control
经过身份验证的用户(仅限此文件夹)
–traverse文件夹/执行文件
–列表文件夹/读取数据
–读取属性
–读取扩展属性
–创建文件夹/附加数据
–阅读权限
系统(此文件夹,子文件夹和文件)
– Full control
管理员(此文件夹,子文件夹和文件)
– Full control
要配置用户只能看到它们具有访问权限的文件和文件夹,启用基于Access的Asspers枚举。
第3步 - 创建本地模板用户
在Windows Server 2008 R2(或Windows 7客户端)上,创建本地非管理用户帐户。
如果您确实创建了本地管理员帐户,则会在配置文件中获取以下不必要的设置;
软件\ Microsoft \ Microsoft管理控制台
软件\ Microsoft \ Windows \ CurrentVersion \ Internet设置\区域\ 1(至4)
最后一个注册表Hive有很多设置… and why should you’无论如何都会创建管理员帐户?
对于本指南,我将创建一个包含名称“robinhobo-com”的模板用户。
第4步–使用刚刚创建的模板帐户登录
使用在步骤3中创建的本地用户帐户进行登录,并执行必要的自定义。要保持配置文件尽可能干净,仅自定义必要的内容。主要是我自定义固定项目,系统托盘图标行为和一些开始菜单属性。
我还从用户库中删除所有公用文件夹。通过编辑库XML文件,可以在自定义模板用户或之后进行自定义模板用户(参见步骤5)。
要在“开始”菜单中清除最近打开的程序(如下图所示),请打开任务栏和“开始菜单”属性,打开“开始菜单”选项卡,取消选择“存储和在”开始菜单中的“最近打开的程序”和“存储”并在开始菜单和任务栏中显示最近的项目(如下面的左侧图像所示),按“应用”按钮。现在再次选择两个选项,然后单击“应用”。
当你’使用配置文件的自定义完成,退出。
第5步 - 清理模板用户
首先,我将制作配置文件的本地备份副本(在管理员帐户下)。如下图所示,配置文件中的所有不必要的快捷方式都会通过此复制操作自动删除。
我将使用备份副本完成强制性配置文件。下一步是在注册表编辑器中加载ntUser.dat。
打开注册表编辑器,选择HKEY_LOCAL_MACHINE,打开 文件 菜单和选择 负荷Hive...
输入一个密钥名称,在这种情况下,我将为键“robinhobo-com”名称。
右键单击加载的Hive并选择 权限。删除模板用户和Administrators组。添加经过身份验证的用户,并为此组提供完全控制权限。点击 好的.
考虑是否可以清空/删除环境中的以下注册表项;
– <loaded hive>\ Software \ Microsoft \ softgrid \ 4.5 \ Client \ UserInfo \ DataDirectory
– <loaded hive>\ Software \ Microsoft \ WAB \(默认)
– <loaded hive>\Software\Policies
– <loaded hive>\ Software \ Microsoft \ CurrentVersion \策略
– <loaded hive>\ Software \ Microsoft \ Windows \ CurrentVersion \ Run
– <loaded hive>\ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce
在这内<loaded hive>搜索模板用户名并用%用户名%替换它,除了shell文件夹。
壳牌文件夹
壳牌文件夹是一个不同的故事。有些人离开,有些人用%用户名%替换模板用户名,有些人删除所有shell文件夹键。
问题是某些应用程序需要此键工作良好,并且无法使用变量处理。
我将删除除“(默认)”之外的键,“!请勿使用此注册表项”和“字体”,并让Windows在用户登录时使用活动设置重新创建键。
要做,请删除以下注册表项;
– <loaded hive>\软件\ Microsoft \ Active Setup \已安装组件\ {89820200-ecbd-11cf-8b85-00aaa00b4340}
现在,当用户登录时,活动设置将以正确的方式重新创建shell文件夹,以便需要shell文件夹键的程序效果很好。
选择<loaded hive>, go the 文件 菜单并单击 卸载hive.。关闭注册表编辑器。
删除配置文件夹中的以下文件和文件夹;
–appdata \ local.
–appdata \ local
– Contacts\<username>.contact
–.log1,.log2,.blf和.rogtrans-ms文件
公共文件夹
正如我在步骤4中提到的那样,您可以从库中删除公用文件夹。
为此编辑以下(隐藏)文件;
–文档.Library-Ms.
–Music.Library-Ms.
–图片.Library-Ms.
–视频.Library-Ms.
这些文件位于以下位置,只能通过命令提示符可见;
C:\用户\<username>\ appdata \ roaming \ microsoft \ windows \ libraries \
删除最后一个“searchconnectordescription”来自文件的元素以删除公用文件夹,如下图所示。
第6步 - 将配置文件复制到网络共享
将配置文件复制到步骤中创建的网络共享1.将文件夹重命名为名称,以便识别为强制性配置文件,并将.v2扩展名为它(例如“manprofw2k8.v2”。
将ntuser.dat重命名为ntuser.man。
第7步 - 配置组策略
Enable the Mandatory profile for远程桌面服务/ Citrix XenApp
To enable a mandatory profile for远程桌面服务or Citrix XenApp, apply the following GPO settings for the RDS/XenApp OU: (mandatory profile will only be applied when connecting through RDP or ICA)
计算机配置> Policies >管理模板> Windows Components >远程桌面服务>远程桌面会话主机> Profiles
–在RD会话主机服务器上使用强制配置文件 - 启用
– Set path for远程桌面服务Roaming User Profile – Enabled
在最后一个设置中,指定此表单中的配置文件路径:“\\ computername或dfs命名空间\ sharename \ profile文件夹”。不包含配置文件夹的.v2。例如“\\ hobo.lan \ dfs \ menforatory \ manprofw2k8”
启用Windows 7的强制性配置文件
要为Windows 7启用强制性配置文件,请应用Windows 7 OU的以下GPO设置:
计算机配置> Policies >管理模板> System > User Profiles
–删除漫游配置文件的缓存副本 - 启用
–为所有用户登录到此计算机的所有用户设置漫游配置文件路径 - 启用
在最后一个设置中,指定此表单中的配置文件路径:“\\ computername或dfs命名空间\ sharename \ profile文件夹”。不包含配置文件夹的.v2。例如“\\ hobo.lan \ dfs \ mindatory \ manprofw7”。
启用文件夹重定向
要启用用户文件夹重定向,请应用(域)用户的以下GPO设置:
用户配置> Policies > Windows Settings > Folder Redirection
您可以重定向以下文件夹;
– AppData(漫游)(不推荐使用强制性的配置文件)
– Desktop
– Start Menu
– Documents
– Pictures
– Music
– Videos
– Favorites
– Contacts
– Downloads
– Links
– Searches
– Saved Games
在“目标”选项卡上,选择“基本 - 将每个人的文件夹重定向到同一位置”。按目标文件夹位置选择“为根路径下的每个用户创建文件夹”。通过root路径填写在步骤2中创建的共享中。确保在“设置”选项卡上取消选择“授予文档的专用权限”。
要禁用消息,“由于不受支持的库位置,某些库功能不可用”应用以下策略;
用户配置> Policies >管理模板> Windows Components > File Explorer
–关闭依赖索引文件数据的Windows库功能– Enabled
21条评论。 留下新的
是的,我总是为基本设置(仅限基本应用程序,具体取决于他们的生命周期)。
你好,
I’M获取Messege:用户’S配置文件无法加载,但加载了临时配置文件。
我需要在Aduc中设置.v2吗?
可能与文件级别的用户权限或强制性配置文件本身(注册表)有关。
你好,
I’ve made a typo…….
它会与Windows XP合作吗?谢谢!伟大的文章!
你好
很棒的文章,我真的很欣赏它!但是阅读这一点后,我有一个问题:
你为什么这么说“AppData(漫游)(不推荐使用强制性的配置文件)”。与Outlook-Profile或软件设置等设置会发生什么?他们不会持久,赢了’t they?
谢谢
克里斯
如果要保留所有用户设置,则不推荐使用Microsoft,以便使用Res的AppSense等漫游配置文件或Thirt Party软件。
罗宾,伟大的参考资料,只是为我的一个客户使用它。一些次要细节的理由;
–Windows库的最后一个设置依赖于索引文件数据的特征位于User Config \ Admin Templates \ Windows Component \ Windows资源管理器下(在那里拼写错误,文件资源管理器不存在)
– perhaps a word on ‘allow logon locally’对于本地设置中的模板用户\安全性
– a word on ‘no GPO’在您创建Manprof的机器OU上的S分配/阻止策略’或者也许在未加入计算机帐户上执行此指令
–在空机上创建配置文件的注意事项与机器上安装了所有应用程序的所有应用程序?
–关于强制性档案创建的Microsoft文章的链接和单词; KB973289和CC786301
快乐的分析!
Roland Van der Kruk
罗宾伟大的文章!
谢谢雷!
非常有帮助的罗宾!
应该第5步不包括“使用管理员帐户登录”?
对,那是正确的。步骤5需要在管理员帐户下完成。谢谢提到。会将其添加到帖子中。
你好,
谢谢你的伟大和助人的博客。
当我通过这种方式进行强制性配置文件时,我有一个问题,我们在守卫之后安装Internet Explorer 11,它不会启动。它只会运行“As administrator”.
你见过它吗?有什么我做错了什么?我找不到为什么不起作用。
以前从未见过这个。您可以在不删除活动设置密钥的情况下尝试吗?
亲爱的巴特,
我有同样的问题。你解决了吗?
be
嘿robin,您可以使用Server2012策略设置来强制配置文件,但并没有’对于我的工作,直到我将强制性配置文件夹重命名为tsmandatory.v2和gpo中的配置文件路径,而不是.v2当然。然后我用一个新的用户检查了一个新的用户,我可以看到我在appdata \ roam下添加到配置文件的文件夹,这被证明我现在最终使用强制性配置文件!
只有,只有在C:\ Users下的Logoff之后也会删除配置文件,设置为‘删除漫游配置文件的缓存副本’在GPO管理模板中的系统/用户配置文件下
你好,
谢谢你的伟大和助人的博客。
我有一个问题,当我制定强制性的配置文件时。但互联网没有’T在Profile中工作。如果我们右键单击浏览器并以管理员身份运行,则运行。
你见过它吗?有什么我做错了什么?我找不到为什么不起作用。
be
[…]蜂巢仍在加载中,您可以在注册表项中进行一些清理。看 http://www.blogbursaspor.com/how-to-create-a-mandatory-profile-with-folder-redirections/ for some […]
伟大的艺术!首先安装所有基本应用程序是否最适合包括Citrix?