У меня возникла небольшая проблема с настройкой перемещаемых профилей на Server 2008 R2. Вот разрешения, которые я установил для общего доступа к перемещаемому профилю:
Разрешения на общий доступ
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
Разрешения NTFS
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
Кажется, это работает без проблем, профиль автоматически создается для пользователя при первом входе в систему.
Проблема, с которой я столкнулся, заключается в том, что я не хочу, чтобы пользователи могли просто создавать папки в общем ресурсе перемещаемого профиля, но если я уберу это разрешение, ничего не будет создано.
решение1
Если вы хотите, чтобы папки профиля создавались при первом входе пользователя в систему, то вы застряли с этими разрешениями. При синхронизации папки профиля пользователя при входе/выходе с общим доступом к профилю используются настройки безопасности пользователя, поэтому если у пользователя нет разрешений на создание папки в общем доступе к профилю, у вас возникнут проблемы.
К сожалению, нет возможности предоставить пользователям разрешение создавать только свою собственную папку и ничего более.
Я думаю, что обойти это можно, если предварительно создать папки профиля в общем доступе профиля для ваших пользователей (и предоставить каждому пользователю полные права на его собственную папку профиля) до их первого входа в систему. После этого пользователям понадобятся только разрешения на просмотр/чтение содержимого общего доступа профиля (только этой папки).
Обратите внимание, что мой опыт работы с Win2k и Win2k3 (на данный момент), а не с Win2k8, но я не думаю, что все должно сильно отличаться.
решение2
На это немного сложно дать правильный ответ, потому что есть несколько способов решить эту проблему и нужно понимать концепцию перемещаемых профилей. Я не говорю, что вы этого не понимаете.
Что вы можете и часто хотите сделать, так это создать политики для перенаправления некоторых папок, таких как Мои документы, Рабочий стол и другие. Что я люблю делать, так это создавать некоторые каталоги в каталоге данных моего сервера. Вот так:
D:\Users\RoamingProfiles
D:\Users\Домашний_каталог
D:\Пользователи\Рабочий стол
или что-то вроде того.
Итак, когда пользователи входят в свои рабочие столы, если вы правильно реализовали политики для перемещаемых профилей в Active Directory. У вас есть полный контроль над рабочим столом для этого пользователя. В корпоративной среде вы, возможно, захотите сделать следующее:
Создайте стандартный профиль пользователя в качестве шаблона для новых перемещаемых профилей. Заблокируйте рабочий стол и покажите только значки программ, которые вы указали в своем шаблоне. Чтобы гарантировать, что если пользователи захотят создать папки или файлы, перенаправьте их в домашний каталог или каталог корпоративных данных. Например: на их рабочей станции H:\ — это их домашний каталог на сервере. M:\ — это каталог корпоративных данных.
Дополнительную информацию об использовании Active Directory и политик можно найти на веб-сайте MSDN.
Надеюсь, это помогло.