Za prvé, v GPO zapněte proces zpracování "self-closing" do náhradního režimu.

Konfigurace počítače / zásady / šablony pro správu / systémové / skupinové zásady

Politika: Režim zpracování zpětné zpětné vazby pro skupinu uživatelů
Význam: Povoleno
Režim: Nahraďte

Toto nastavení umožňuje ujistit se, že při zpracování protokolu GPO při přihlášení uživatele k farmovacímu serveru jsou nastavení uživatelského prostředí aplikována výhradně z této zásady a všechna ostatní nastavení uživatele z jiných zásad domény jsou ignorována. Potřebujeme to proto, abychom minimalizovali možné konflikty u stejných uživatelských nastavení dostupných v různých objektech GPO, aby proces řízení prostředí uživatelů na farmách byl co nejpevnější a nejpředvídatelnější.

Praxe ukazuje, že můžete kombinovat nastavení několika politik se zahrnutým režimem uzavření, hlavní věcí je nezapomínat na pořadí použití těchto zásad. To může být užitečné, pokud máte více farmy, každý s jedinečnými nastaveními a většina nastavení je pro všechny farmy stejná. Zde je příklad propojení zásad pro tuto konfiguraci:

Dále se podíváme na několik nastavení zásad skupiny, které musíme použít pro konfiguraci roamingových profilů a funkcí přesměrování složek, stejně jako několika souvisejících parametrů.

Zapněte roamingové profily

Ve vytvořených zásadách skupiny obsahuje nejprve možnost, která přidá skupinu administrátorů do nastavení zabezpečení vytvořených složek profilů roamingových uživatelů (Profily roamingových uživatelů).

Politika: Přidání skupiny zabezpečení Administrators do roamingových profilů uživatelů
Význam: Povoleno

Toto nastavení poskytuje správci plnou kontrolu nad všemi složkami profilu uživatelů a musí být nainstalován během počáteční konfigurace farmy, protože se používá pouze při vytváření nových uživatelských profilů.

Další v objektu GPO obsahuje parametr označující umístění síťového adresáře pro ukládání roamingových uživatelských profilů

Konfigurace počítače / Šablony pro správu / Komponenty systému Windows / Služby vzdálené plochy / Host relace vzdálené plochy / Profily

Politika: Nastavit cestu pro roamingový profil uživatele služby Vzdálená plocha
Význam: Povoleno
Cesta: \\\\ holding.com \\ Services \\ RDS_Profiles

Všimněte si, že v našem případě použijeme odkaz v prostoru domény DFS pro zadání cesty, i když síťový adresář může být zadán přímo na nějakém souborovém serveru. V našem příkladu odpovídá příslušný odkaz v DFS \\\\ holding.com \\ Services \\ RDS_Profiles fyzickému síťovému adresáři \\\\ FileServer01 \\ RDS_Profiles $. Podívejme se blíže na konfiguraci tohoto adresáře.

Adresář sítě, ve kterém budou vytvářeny a ukládány roamingové profily, musí být umístěn v systému souborů NTFS a má určitý volný prostor. Při vytváření řešení tolerantního k chybám v RDS farmě je velmi vhodné, aby síť roamingových profilů nebyla úzkým bodem (bod selhání) a pokud je to možné, zvážit umístění zdroje do vysoce dostupného klastrového prostředí.

Windows Server TechCenter - bezpečnostní doporučení pro roamingové uživatelské profily sdílených složek

Oprávnění NTFS v adresáři:

V našem příkladu je KOM-AD01-RDSCL-AllUsers názvem skupiny domén zabezpečení, která seskupuje uživatele, kteří mají přístup ke zdrojům farmy RDS, a bude potřebovat tento zdroj k vytváření a ukládání uživatelských profilů. Po nakonfigurování oprávnění můžeme tento adresář vytvořit síťový příkaz:

NET SHARE RDS_Profiles $ = "D: \\ RDS_Profiles" / GRANT: DOM \\ KOM-AD01-RDSCL-AllUsers, FULL / UNLIMITED / CACHE: Žádné

To znamená, že v síťovém adresáři jsou uvedena plná oprávnění (úroveň SMB) pro výše uvedenou skupinu přístupů. Dávejte pozor na skutečnost, že název síťového adresáře používáme se znakem $ (skrytý adresář).

Vzhledem k tomu, že otevřeme obsah kořenové složky pro všechny uživatele terminálové farmy, jako další bezpečnostní opatření pro vytvořený síťový adresář je možné zahrnout aplikaci technologie Vyčíslení založené na přístupu  (ABE), které vám umožní zobrazit pouze složky, ke kterým má uživatel přístup. Můžete to provést pomocí snapu Správa sdílených souborů a úložišť  (StorageMgmt.msc) otevřením vlastností odpovídajících síťové složky  na souborovém serveru.

Ve vlastnostech síťové složky zjistíme, že mechanizmus ABE je ve výchozím nastavení vypnutý a pro jeho použití budeme volat rozšířená nastavení tlačítkem Pokročilé

V okně, které se otevře, povolte příslušnou možnost - Povolit výčet založený na přístupu

Navíc chci upozornit, že než začnete používat mechanismus cestovních profilů, měli byste poslouchat doporučení popsaná v článkuWindows Server TechCenter - doporučení pro roamingové uživatelské profily  , zejména:

• Nepoužívejte svazky disků s systémem šifrování souborů (EFS) pro ukládání profilů, protože tyto dvě technologie jsou nekompatibilní.
• Nepoužívejte disky s komprimovanou kompresí NTFS pro ukládání profilů, protože to může způsobit větší fragmentaci dat.
• Velmi pečlivě přistupuje k otázce uplatňování diskových kvót. Nedostatek prostoru s procesem ukládání profilu může vést ke ztrátě uživatelských dat.
• Nepoužívejte složky offline pro adresář úložiště síťového profilu.

V případě problémů s provozem cestovních profilů můžete použít systémový protokol k identifikaci možných příčin problému Aplikace
% windir% \\ Debug \\ Usermode \\ Userenv.log
klíčový registr (v nepřítomnosti klíče, který je třeba vytvořit)

Úlový registr: HKEY_LOCAL_MACHINE
Oddělení registru: Software \\ Microsoft \\ WindowsNT \\ CurrentVersion \\ Winlogon
Klíč:UserEnvDebugLevel  REG_DWORD = 0x30002

Omezení celkové velikosti mezipaměti cestovních profilů

Tato politika nám umožní v zásadě používat režim údržby v mezipaměti na každém serveru v farmě a v případě potřeby odstranit zastaralé mezipaměti profilu (neměli by být zaměňovány s samotnými roamingovými profily uloženými v síťovém adresáři)

Konfigurace počítače / Politiky / Šablony pro správu / Komponenty systému Windows / Služby vzdálené plochy / Host relace vzdálené plochy / Profily

Politika: Omezit velikost celé mezipaměti profilu roamingového uživatele
Význam: Povoleno
Monitorovací interval (v minutách): 1440
Maximální velikost mezipaměti (v GB): 30

Monitorovací interval určuje, jak často je na každém serveru naskenována celá mezipaměť cestovních profilů. Když celková velikost mezipaměti roamingových uživatelských profilů překročí zadanou maximální velikost, budou nejstarší (pokud možno použity) roamingové uživatelské profily v mezipaměti odstraněny, dokud velikost celé mezipaměti roamingových uživatelských profilů nebude menší než zadaná maximální velikost.

Uvolnění pozadí registru uživatelů

Ve výchozím nastavení jsou změny profilu roamingového uživatele zachovány pouze během procesu odhlášení. V praxi můžete najít situaci, kdy může být relace uživatele v aktivním stavu po dlouhou dobu, a v takovém případě může být užitečné zahrnout novou politiku ukládání dat v pozadí registru uživatelů.

Konfigurace počítače / zásady / šablony pro správu / systémové / uživatelské profily

Politika:   Nahrávání pozadí souboru registru roamingového profilu uživatele při přihlášení uživatele
Význam: Povoleno
Způsob plánování zahájení: Běh v nastaveném intervalu
Interval (hodiny): 1

Tímto nastavením budou data registru uživatelů pro aktivní relace uložena na pozadí každou hodinu.

Povolit přesměrování složek

Během provozu se může zvýšit velikost uživatelských profilů, což následně vede k delšímu postupu při nahrávání / nahrávání cestovního profilu. Abychom tomuto problému vyloučili, spolu s mechanismem cestovních profilů používáme mechanismus přesměrování složek pro uživatele (Přesměrování složek). Mechanismus přesměrování složek umožňuje, aby určitá sada profilových složek nebyla zkopírována pokaždé, když se uživatel přihlásí a odhlašuje, a nastavit relaci uživatele, která přesměrovává na tato data umístěná v síti.

Může být myšlenka kombinovat umístění roamingových profilů s umístěním přesměrovaných složek v jednom fyzickém síťovém adresáři. Nicméně v dokumentu Windows Server TechCenter - nejlepší postupy pro profily uživatelů  můžete najít doporučení pro oddělení těchto dat. Tam jsou také diskuse o problémech, které vznikají při pokusu o kombinaci - Windows Server TechCenter Forums - profil roamingu a přesměrování složek

Mechanismus přesměrování složek můžete nakonfigurovat prostřednictvím oddílu Zásady skupinyKonfigurace uživatele / zásady / nastavení systému Windows / přesměrování složek a v aktuální verzi obsahuje možnosti pro 13 složek:

Zvažte nastavení příkladové složky Desktop. Na záložce Cílexistují dva základní režimy přesměrování - základní ( Základní) a Pokročilé ( Pokročilé). Základní režim umožňuje explicitně určit umístění složky v síti a toto nastavení se bude vztahovat na všechny uživatele, na které se tato zásada vztahuje. Pokročilý režim umožňuje kombinovat několik různých síťových umístění složky v rámci jedné zásady v závislosti na členství uživatele v určité skupině zabezpečení domény. V různých zdrojích můžete splnit doporučení použít režim Pokročilé pouze v extrémních případech, protože v některých situacích s tímto nastavením může být proces přihlášení uživatelů výrazně zpožděn. V našem příkladu se používá režim základní přesměrování - Základní - Přesměrovat složku všech uživatelů do stejného umístění

V parametrech, které určují umístění složky, Vytvořte složku pro každého uživatele pod kořenovou cestu, což vede k tomu, že pro každého uživatele automaticky vytvoří podadresář v kořenovém adresáři uvedeném v poli Kořenová cesta

Všimněte si, že příklad znovu používá cestu z oboru názvů domény DFS. Pokusy ukázaly, že pokud změníte tuto cestu v zásadě poté, co byly přesunuté složky alespoň jednou použity se starou cestou, vede to k neadekvátnímu chování profilu, který je následně ošetřen úplným opětovným vytvořením profilu. Při specifikaci cest v politikách přesměrovaných složek by proto měla být věnována zvláštní pozornost otázce plánování, aby se v budoucích možných změnách těchto cest vynechalo. A pokud z nějakého důvodu nepoužíváte službu DFS, a pak abstraktní z konkrétní cesty k souborovému serveru, můžete získat vytvořením aliasu DNS (CNAME), které lze v budoucnu snadno změnit. Možná, že někdo tady nebude se mnou souhlasit a bude schopen dodat ve svých komentářích, že změna cest k přesměrovaným složkám nevede k žádným problémům v dříve používaných profilech.

Pokud Nastavení  nevypínejte výchozí nastavení Udělujte uživateli výhradní práva na ...pak v procesu vytváření složky nebude uděleno skupině administrátorů (pouze vlastníkovi vlastnictví a systému), což v budoucnu může komplikovat proces správy těchto složek. Toto nastavení by mělo být zakázáno co nejdříve, protože funguje pouze při vytváření nových uživatelských složek a nevztahuje se na dříve vytvořené složky.

Takto můžete analogicky nakonfigurovat všechny ostatní složky s jednou výjimkou - pro složky Obrázky, Hudba, Videa  můžete nastavit Postupujte podle složky Dokumenty  , což znamená, že nastavení těchto složek bude použito stejným způsobem jako nastavení pro složku Dokumenty

Během testů se ukázalo, že pokud je tento režim povolen pro složky Obrázky, Hudba, Videa  jsou umístěny do složky Dokumenty  a tak vytváří další zmatek, protože uživatelské rozhraní již má mechanismus Knihovny  logicky odděluje všechny tyto 4 složky. Proto je podle mého názoru lepší konfigurovat zásady pro tyto složky analogicky se všemi ostatními složkami, to znamená, jak je uvedeno v příkladu se složkou Desktop

Nyní mluvíme o síťovém adresáři, který je zadán jako Kořenová cesta.
Adresář sítě, ve kterém budou uživatelské složky, které mají být přesměrovány, budou vytvořeny a uloženy, musí být umístěny v systému souborů NTFS a mají místo na disku. Ve skutečnosti tento katalog může obsahovat všechny stejné požadavky jako katalog cestovních profilů.

Pro adresář nastavíme bezpečnostní oprávnění doporučená v článkuVirtualizaceAdmin.com - Patrick Rouse - Jak nakonfigurovat přesměrování složek

Oprávnění NTFS v adresáři:

V našem příkladu je KOM-AD01-RDSCL-AllUsers názvem skupiny domén zabezpečení, která spojuje uživatele, kteří mají přístup k prostředkům farmy RDS a kteří potřebují tento prostředek k vytváření a ukládání přesměrovaných uživatelských složek. Po nakonfigurování oprávnění můžeme tento adresář vytvořit síťový příkaz:

NET SHARE  RDS_RFolders $ = "D: \\ RDS_RFolders" / GRANT: DOM \\ KOM-AD01-RDSCL-AllUsers, FULL / UNLIMITED / CACHE: Žádné

To znamená, že v síťovém adresáři jsou uvedena plná oprávnění (úroveň SMB) pro příslušnou přístupovou skupinu. Adresář sítě je také skrytý.

Stejně jako u adresáře s roamingovými profily adresář pro přesměrování složek bude logicky obsahovat aplikaci technologie Vyčíslení založené na přístupu  (ABE), které uživatelům umožní zobrazit pouze složky, ke kterým mají přístup.

Při přesměrování složek, například Desktop  a Nabídka Start  existuje funkce. Po spuštění zásady a spuštění pracovních složek jako přesměrování při pokusu o spuštění zástupců se zobrazí upozornění zabezpečení, protože skutečný start nastane z prostředku sítě

Chcete-li se vyhnout takovým varováním, musí být souborový server hostující přesměrované složky přidán do seznamu místních zón intranetu Internet Explorer – Místní intranet  v souboru: // Formát FileServer01 pro konkrétní souborový server nebo např. soubor: //holding.com  - pro celou FQDN domény (zatímco v zásadách přesměrování složek musí být také odkazy na souborový soubor reprezentovány ve formátu FQDN). Jak ukazuje praxe, předpona soubor: //  použití není nutné.

Chcete-li centrálně konfigurovat zónu místního intranetu pro aplikaci Internet Explorer, nastavte příslušný parametr v zásadách skupiny:

Konfigurace uživatele / zásady / šablony pro správu / komponenty systému Windows / Internet Explorer / ovládací panel Internet / bezpečnostní stránka

Politika: Seznam přiřazení stránek k zóně
Význam: Povolit

Chcete-li konfigurovat seznam uzlů, stiskneme tlačítko Zobrazit

V otevřeném seznamu uzlů ve sloupci Název hodnoty  zadejte název souborového serveru nebo celé domény najednou a do složky Hodnota  dát 1 , což znamená, že tento záznam patří do zóny Místní intranet

Po použití těchto zásad zabezpečení musí zkratky při spuštění zmizet.

Dále chci upozornit na funkce přesměrování složek AppData (Roaming). Při přesměrování této složky byste měli pochopit, že pouze podadresář AppData \\ Roaming   uživatelský profil a podadresáře AppData \\ Místní   a AppData \\ LocalLow   se používají jako místní. Například výstup příkazu SETkterý zobrazuje hodnotu proměnných prostředí uživatele:

Ve skutečnosti je potřeba přesměrovat složku AppData (Roaming) v každé konkrétní situaci. Faktem je, že vývojáři software, které budou pravděpodobně používány ve farmě RDS s roamingovými profily a přesměrováním složek, ne vždy věnuje dostatečnou pozornost architektuře aplikace z hlediska umístění souborů této aplikace. V případě, že žádost je místo toho uloženy v AppData (Roaming) zvyk statická data větší využití této složky Chur intenzivně - v takových situacích toto přesměrování složky mohou mít nepříznivý vliv na produktivitu aplikace a vytvářet nepatřičné zatížení sítě.

Nezapomeňte také, že některé aplikace mají své vlastní možnosti změnit nastavení, aby optimalizovali použití složky AppData, například pokud dáte uživatelům v relaci terminálu možnost pracovat s aplikací Outlook připojenou ke službě Exchange, je rozumné vypnout režim ukládání do mezipaměti v nastavení aplikace Outlook.

Pokud dojde k potížím při přesměrování složek, můžete použít systémový protokol k identifikaci možných příčin problému Aplikace  nebo povolit rozšířené protokolování do souboru
% windir% \\ debug \\ usermode \\ fdeploy.log  klíč registru

Úlový registr: HKEY_LOCAL_MACHINE
Oddělení registru: Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Diagnostika
Klíč:FdeployDebugLevel   REG_DWORD = 0x0f

Čekání na nahrání celého profilu

V některých případech, jako je vysokozagruzhennyh prostředí, situace může nastat, když jsou profily služby v uživatel přihlásí nemohla dostatečně rychle, aby stažení cestovního profilu ze síťového umístění, a upozorní uživatele na detekci pomalé připojení, stahování lokální kopii v mezipaměti profilu. Chcete-li zabránit stahování lokální kopie uložené v mezipaměti a vynutit službu profilu, aby počkala, až bude profil plně načten, povolte zásady:

Konfigurace počítače / zásady / šablony pro správu / systémové / uživatelské profily

Politika: Počkejte na vzdálený profil uživatele
Význam: Povoleno

One-session uživatelský limit

Navzdory skutečnosti, že uživatelské relace budou spravovány serverem RD Connection Broker a teoreticky vždy přesměruje uživatele na jeho stávající relaci, nemusí být nadbytečné zahrnout politiku omezení uživatelů jednou relací na každém serveru:

Konfigurace počítače / zásady / šablony pro správu / komponenty systému Windows / služby vzdálené plochy / hostitel relací vzdálené plochy / připojení

Politika: Omezení uživatelů služby Vzdálená plocha na jednu relaci služby Vzdálená plocha
Význam: Povoleno

Zákaz práce s časovými profily

Existují situace, kdy je z nějakého důvodu poškozen uživatelský profil. Ve výchozím nastavení, pokud profil nelze načíst, systém stáhne dočasný profil uživateli a o něm informuje uživatele. V praxi existovaly případy, kdy uživatel nevěnoval pozornost této zprávě a pokračovala v práci, při zachování některých údajů v tomto dočasném profilu. Na konci práce uživatele byl dočasný profil zničen systémem spolu s uživatelskými daty. Abychom se vyhnuli takovým situacím, zakazujeme načítání dočasných profilů podle zásad:

Konfigurace počítače / zásady / šablony pro správu / systémové / uživatelské profily

Pravidla: Nezaregistrujte uživatele s dočasnými profily
Význam: Povoleno

Podrobný výstup stavových informací

Politika upovídaný informace o stavu v procesu nakládání a vykládání profil uživatele pro uživatele dát vizuální efekt urychlit načítání procesů a realizace může dojít ke zpoždění na administrátoři mohou rychle pochopit povrch, v jaké fázi

Konfigurace počítače / zásady / šablony pro správu / systém

Politika: Zpráva verbose versus normální stav
Význam: Povoleno

To v žádném případě není úplným seznamem nastavení zásad skupiny, které mohou flexibilně konfigurovat servery RDSH ve farmě RDCB a jejich aplikace se může v jednotlivých případech lišit v závislosti na požadavcích na infrastrukturu vzdálené plochy.

Zdroje informací:

Tento článek popisuje vytvoření roamingového profilu uživatele. Roamingové uživatelské profily umožňují vytvoření jednoho desktopového prostředí bez ohledu na to, který počítač windows Management  Server 2003 k přihlášení.

  Vytvoření roamingového profilu uživatele

  Vytvoření zkušebního profilu

1. Přihlaste se jako správce.
2. Správaa vyberte příkaz Správa počítačů.
3.   a klikněte na tlačítko Uživatelé.
4. Klepněte pravým tlačítkem myši na uživatele a potom klepněte na tlačítko OK Nový uživatel.
5. Zadejte uživatelské jméno a heslo.
6. Klepnutím zrušíte uživatel musí heslo změnit při příštím přihlášení.
7. Klepněte na tlačítko Nový a potom klepněte na tlačítko Zavřít.
8. Odhlaste počítač.
9. Přihlaste se do systému pomocí uživatelského testovacího účtu, který jste vytvořili v kroku 7.

   Uživatelský profil je automaticky vytvořen na místním disku: Zobrazí se \\ Documents and folder uživatelské jméno(kde jednotka je jednotka, na které je nainstalován systém Windows).

10. Nakonfigurujte nastavení plochy, včetně vzhledu, zkratek a nastavení pro nabídku Start.
11. Odhlaste se a přihlaste se jako správce.

  Kopírování zkušebního profilu

1. Vytvořte složku na síťové jednotce, ve které lze ukládat profily. Například:
2. Klepněte na tlačítko Start, přejděte na položku Ovládací panelya klepněte na ikonu Systém.
3. Klepněte na kartu Upřesnit a potom klepněte na tlačítko Možnosti v okně Profily uživatelů  "" Vlastnosti systému ».
4. Ve skupině Profily uložené v tomto počítačivyberte profil uživatele vytvořený v části Vytváření testovacího profilu v tomto článku a klepněte na tlačítko Kopírovat.
5. V dialogovém okně Kopírovat profil do  zadejte síťovou cestu do složky.
6. Ve skupině Povolit použitíklikněte na tlačítko Upravit.
7. Zadejte název uživatelského účtu vytvořeného v části "Vytvořit profil testu" a klepněte na tlačítko OK.
8. Klepněte na tlačítko OK třikrát.
9. Klepněte na tlačítko Start, přejděte na položku Správaa vyberte příkaz Správa počítačů.
10. Ve stromu konzoly rozbalte uzel Místní uživatelé a skupinya potom poklepejte na položku Uživatelé.
11. Klikněte dvakrát účet  vytvořen v sekci "Vytvoření zkušebního profilu".
12. Klikněte na kartu profilu. V poli cesta k profilu  zadejte cestu do složky profilu v síti. Zadejte například
    \\\\ název_serveru \\ Profiles \\ user_name.
13. Klepněte na tlačítko OK.
14. Zavřete modul snap-in Správa počítače.

  Řešení problémů

Tato dokumentace byla přesunuta do archivu a není podporována.

Nasazení roamingových uživatelských profilů

Platí pro: Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Vista

Tato část popisuje, jak nasadit roamingové uživatelské profily v klientských počítačích se systémem Windows Server.

Seznam nejnovějších změn v sekci naleznete v podsekci této části.

  Požadavky na hardware

Chcete-li používat roamingové uživatelské profily, potřebujete počítač s procesorem x64 nebo x86. Tato funkce není podporována v systému Windows® RT.

  Požadavky na software

Chcete-li používat roamingové uživatelské profily, platí následující softwarové požadavky.

Pokud nasazujete roamingové profily uživatelů s přesměrováním složek v prostředí s existujícími místními uživatelskými profily, nejprve nakonfigurujte přesměrování složek a poté roamingové uživatelské profily, abyste minimalizovali velikost cestovních profilů. Po úspěšném přesměrování stávajících uživatelských složek můžete nasadit roamingové uživatelské profily.

Chcete-li spravovat roamingové uživatelské profily, budete muset být přihlášeni jako člen skupiny zabezpečení správců domén, administrátorů firem nebo vlastníků vlastníků zásad skupiny.

Klientské počítače musí být spravovány Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server 2012 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003. Windows XP a Windows Server 2003 podporují roamingové profily uživatelům pouze v případě, že nakonfigurujete uživatelské účty prostřednictvím služby Active Directory Domain Services. Tyto služby nepodporují aktivaci roamingových uživatelských profilů pro každý počítač pomocí Zásady skupiny.

Klientské počítače musí být připojeny k spravované službám domény služby Active Directory (AD DS).

Počítač musí mít nainstalované součásti "Správa zásad skupiny" a "Centrum pro správu služby Active Directory".

Souborový server musí podporovat roamingové uživatelské profily.

• Pokud veřejná složka používá prostory názvů DFS, složky DFS (odkazy) musí mít jeden cílový objekt, aby se předešlo konfliktům serveru, když uživatel změní nastavení.

  Pokud sdílená složka používá replikaci DFS k kopírování dat na jiný server, uživatelé by měli mít přístup pouze k zdrojovému serveru, aby se předešlo konfliktům při změně nastavení serveru.

  Pokud je sdílená složka seskupena, deaktivujte nepřetržitou dostupnost ve sdílené složce, abyste předešli problémům s výkonem.

  Doporučení pro používání roamingových uživatelských profilů v několika verzích systému Windows

Pokud zamýšlíte používat roamingové uživatelské profily v několika verzích systému Windows, doporučujeme provést následující kroky:

Nakonfigurujte každou verzi systému Windows pro ukládání jednotlivých verzí profilů. Tím se zabrání nežádoucím a neočekávaným problémům, jako je poškození profilů.

Pomocí přesměrování složek můžete ukládat vlastní soubory, například dokumenty a obrázky, mimo uživatelské profily. To umožní zpřístupnění souborů uživatelům všech verzí operačního systému, stejně jako zmenšení velikosti profilů a urychlení vstupu.

Vyberte volné místo pro roamingové profily uživatelů. Pokud pracujete se dvěma verzemi operačního systému, počet profilů (stejně jako jejich prostor) se zdvojnásobí, protože jednotlivé profily jsou uloženy v různých verzích systému.

Nepoužívejte roamingové uživatelské profily v počítačích se systémem Windows Vista / Windows Server 2008 a Windows 7 / Windows Server 2008 R2. Přesun mezi těmito verzemi operačního systému není podporován kvůli nekompatibilitě verzí profilů.

Upozornit uživatele, že změny provedené v jednom OS se nebudou šířit do jiné verze systému.

Při přesunutí prostředí do novější verze Uživatelé systému Windows  obdrží nové prázdné profily. Přenos uživatelských účtů z jednoho operačním systémem  druhá není podporována.

Pokud se chystáte nasadit roamingové uživatelské profily do počítačů se systémem Windows 8.1, Windows 8 a Windows Server 2012 R2 nebo Windows Server 2012, doporučujeme provést sérii změn prostředí Windows před spuštěním procesu. Tyto změny zajistí v budoucnu bezproblémový upgrade operačního systému a také usnadní současné používání více verzí systému Windows s roamingovými uživatelskými profily.

Chcete-li provést tyto změny, postupujte podle následujících kroků.

Povolení jednotlivých profilů pro každou verzi systému Windows

Pokud vaše prostředí ještě není nastaven cestovní profily uživatelů, je třeba nejprve vytvořit skupinu zabezpečení, která obsahuje všechny uživatele a / nebo ve všech počítačích, pro které chcete použít nastavení zásad z cestovní profily uživatelů.

Správci nasazení pro roamingové uživatelské profily obecně vytvářejí skupinu zabezpečení pro uživatele.

Správci služby Vzdálená plocha Administrátoři nebo nasazení virtuální plochy obvykle používají skupinu zabezpečení pro uživatele a sdílené počítače.

  Vytvořte skupinu zabezpečení pro roamingové uživatelské profily

Otevřete správce serveru v počítači, ve kterém je nainstalováno správní centrum služby Active Directory.

V nabídce Fondy  klikněte na tlačítko Centrum pro správu služby Active Directory. Zobrazí se centrální správa služby Active Directory.

Klepněte pravým tlačítkem myši na požadovanou doménu nebo organizační jednotku, klepněte na tlačítko OK Vytvořit  a klepněte na tlačítko Skupina.

V okně Vytvořte skupinu  v sekci Skupina  zadejte následující možnosti.

• V poli Název skupiny  zadejte například název skupiny zabezpečení.

  V sekci Rozsah skupiny  klikněte na tlačítko Bezpečnost  a zvolte Globální.

V sekci Členové skupiny  klikněte na tlačítko Nahrát. Zobrazí se dialogové okno Vybrat uživatele, kontakty, počítače, účty služeb nebo skupiny.

Chcete-li do skupiny zabezpečení zahrnout účty počítače, klepněte na tlačítko Typy objektů, zaškrtněte políčko vedle položky Počítače, poté klikněte na tlačítko OK.

Zadejte názvy uživatelů, skupin a / nebo počítačů, pro které chcete nasadit roamingové uživatelské profily, klepněte na tlačítko OK OK, poté klepněte znovu OK.

Pokud ještě nemáte samostatnou sdílenou složku pro roamingové uživatelské profily (nezávisle na libovolném společné zdroje  u přesměrovaných složek, aby se zabránilo neúmyslnému ukládání do mezipaměti složky cestovního profilu), postupujte podle následujících kroků a vytvořte sdílenou složku na serveru se systémem Windows Server 2012.

  Vytvoření sdílené složky v systému Windows Server 2012

  Tabulka 1. Požadovaná oprávnění pro sdílenou složku, do které patří profily roamingových uživatelů

1 Další oprávnění

Pokud ještě nemáte objekt Zásady skupiny pro roamingové uživatelské profily, vytvořte pro tento účel prázdné GPO. To GPO vám umožní nastavit parametry roaming profilu uživatele (například podpora v hostitelském počítači, je diskutována samostatně), a mohou být také použity pro aktivaci roamingu uživatelských profilů v počítači, například při nasazení v prostředí virtuálních desktopů nebo z RIS pracovních stolů.

  Vytvoření objektu GPO pro roamingové uživatelské profily

Otevřete Správce serverů v počítači, ve kterém je nainstalována součást Správa zásad skupiny.

V nabídce Nástroje  klikněte na tlačítko Správa zásad skupiny. Zobrazí se okno Správa zásad skupiny.

Klepněte pravým tlačítkem myši na doménu nebo organizační jednotku, ve které chcete konfigurovat roamingové profily uživatelů, a klepněte na tlačítko OK Vytvořte objekt GPO v této doméně a propojte jej.

V dialogovém okně Nový objekt Zásady skupiny  Zadejte název objektu GPO (například, Nastavení pro roamingový uživatelský profil) a klikněte na tlačítko OK.

Klepněte pravým tlačítkem myši na nový objekt Zásady skupiny a zrušte zaškrtnutí políčka. Komunikace povolena. To vylučuje použití objektu GPO před dokončením konfigurace.

Vyberte objekt GPO. Na záložce Pole  v sekci vyberte Autentizováno  a klepněte na tlačítko Odstranit.

V sekci Filtrování bezpečnostních omezení  klikněte na tlačítko Nahrát.

V dialogovém okně Vyberte uživatele, počítače nebo skupiny  zadejte název skupiny zabezpečení, kterou jste vytvořili v kroku 1 (například, Uživatelé roamingových profilů a počítačů) a klepněte na tlačítko OK.

Pokud nasazujete roamingové profily pro uživatelské účty, postupujte podle níže uvedených kroků a určete roamingové uživatelské profily pro účty ve službě Active Directory Domain Services. Pokud nasazujete roamingové uživatelské profily pro počítače, například při použití služby Vzdálená plocha nebo zavádění virtuálních desktopů, postupujte podle pokynů v kroku 5 této části.

  Konfigurace roamingových profilů v uživatelských účtech

V centrální správě služby Active Directory přejděte do kontejneru Seznam členů  (nebo v rozdělovacím kontejneru) v odpovídající doméně.

Vyberte všechny uživatele, pro které chcete používat cestovní profily, klepněte pravým tlačítkem myši na ně a vyberte Vlastnosti.

V sekci Profil  zaškrtněte políčko Cesta k profilu:  a zadejte cestu ke sdílené složce, kam plánujete uložit roamingový uživatelský profil. Na konci cesty přidejte% username% (bude automaticky nahrazeno uživatelským jménem při prvním přihlášení). Například:

\\\\ fs1.corp.contoso.com \\ Uživatelské profily $ \\% username%

Chcete-li určit požadovaný profil uživatele roamingu, zadejte cestu k souboru NTuser.man, který jste vytvořili dříve, například \\\\ fs1.corp.contoso.com \\ Profiles User $ \\ default. Další informace naleznete v části Vytvořte povinný profil uživatele.

Klikněte na tlačítko OK.

Rozbalit všechny záložky | Minimalizovat všechny záložky Příznaky Pokud nasazujete roaming uživatelské profily pro počítače, například při použití služeb vzdálené plochy nebo nasazení virtuálních desktopů, postupujte podle následujících kroků. Pokud používáte roamingové profily pro uživatelské účty, postupujte podle pokynů v kroku 4 této části.

Zásady skupiny můžete použít k používání roamingových uživatelských profilů v počítačích se systémem Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 nebo Windows Server 2008.

  Konfigurace roamingových uživatelských profilů v počítačích

Pokud konfigurujete roamingové uživatelské profily v počítačích pomocí Zásady skupiny nebo jste změnili nastavení jiného profilu roamingového profilu pomocí Zásady skupiny, postupujte podle níže uvedených kroků, abyste povolili GPO a aplikovali jej na postižené uživatele.

  Povolit GPO profilu roamingového uživatele

Otevřete Správa zásad skupiny.

Klepněte pravým tlačítkem myši na objekt GPO, který jste vytvořili, a klepněte na něj Komunikace povolena. Značka zaškrtnutí se zobrazí vedle příslušné položky nabídky.

Chcete-li zkontrolovat roamingové profily uživatelů, přihlaste se k účtu počítače, který má uživatelský účet konfigurován tak, aby pracoval s roamingovými uživatelskými profily, nebo se přihlaste k počítači, který je konfigurován pro práci s roamingovými uživatelskými profily. Poté se ujistěte, že profil je přesměrován.

  Zkontrolujte roamingové uživatelské profily

Přihlaste se k primárnímu počítači (pokud jste povolili hostitelský počítač) pomocí uživatelského účtu, pro který jste aktivovali roamingové uživatelské profily. Pokud jste aktivovali roamingové uživatelské profily v konkrétních počítačích, přihlaste se k jednomu z nich.

- Připojení počítačů do domény - Povolení jednotlivých profilů - Vytvoření uživatelských účtů - Nasazení přesměrování složek (v případě potřeby) 2. Vytvořte skupinu zabezpečení pro roamingové uživatelské profily - Název skupiny: - Členové: 3. Vytvořte sdílenou složku pro roamingové uživatelské profily - Název veřejné složky: 4. Vytvořte GPO pro roamingové uživatelské profily - Název GPO: 5. Konfigurace nastavení pravidel roamingového profilu uživatele 6. Povolení roamingových uživatelských profilů: - Používání služby Active Directory Domain Services pro uživatelské účty? - Používání zásad skupiny pro účty počítače? 7. Povolte podporu primárního počítače
• Přiřazení primárních počítačů uživatelům
  • Umístění mapování uživatele a hostitelského počítače:
• Povolit podporu primárního počítače k ​​opětovnému přiřazení složek (v případě potřeby)
  • Na základě počítačů nebo uživatelů?
- Povolení podpory pro primární počítač pro roamingové uživatelské profily (v případě potřeby) 8. Povolte uživatelské profily GPO roamingu 9. Zkontrolujte roamingové uživatelské profily

Následující tabulka uvádí umístění roamingových uživatelských profilů v různých verzích systému Windows.

Verze operačního systému	Umístění roamingového profilu uživatele
Windows XP a Windows Server 2003	\\<имя_сервера> \<общая_папка> \<имя_пользователя>
Windows Vista a Windows Server 2008	\\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2
Windows 7 a Windows Server 2008 R2	\\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2
Windows 8 a Windows Server 2012	\\<имя_сервера> \<общая_папка> \<имя_пользователя> .V3 (po použití aktualizace a klíče registru) \\<имя_сервера> \<общая_папка> \<имя_пользователя>
Windows 8.1 a Windows Server 2012 R2	HYPERLINK \\\\<имя_сервера>\<общая_папка>\<имя_пользователя>.V4 (po použití aktualizace a klíče registru) \\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2 (před použitím aktualizace a klíče registru)

Následující tabulka uvádí nejdůležitější změny této části.

Datum	Popis	Důvod
7. července 2015	Přidány požadavky a pracovní postup pro zablokování trvalé dostupnosti při použití souborového serveru s klastry.	Skupinové sdílené složky jsou produktivnější pro malé operace zápisu (které jsou typické pro roamingové uživatelské profily), pokud je trvalá dostupnost zakázána.
19. března 2014	Kapitalizaci příponových verzí profilů (.V2, .V3, .V4) v	Ačkoli systém Windows nerozlišuje velká a malá písmena, používáte-li systém souborů NFS s sdílenou složkou, je důležité zachovat kapitalizaci pro příponu profilu (použijte velká písmena).
9. října 2013	Změněno pro Windows Server 2012 R2 a Windows 8.1, upřesnil některé problémy a přidal oddíly a.	Změny v novějších verzích; zpětná vazba uživatelů

Roamingové profily

Pohyblivé uživatelské profily se vytvářejí velmi jednoduše. Abyste je vytvořili, nemusíte se ani zabývat politikami služby Active Directory ani skupinovými zásadami, ale znalost těchto technologií značně zjednoduší váš život při správě těchto profilů. Pokud mluvíte o vytváření cestovních profilů v kostce, musíte nakonfigurovat síťové umístění, kde budou umístěny tyto profily, a potom znovu konfigurovat každý uživatelský účet tak, aby odpovídal dříve vytvořenému síťovému umístění. Všechna tato opatření jsou popsána níže:

Na souboru nebo vyhrazeném vyhrazeném serveru vytvořte složku, která bude použita pro ukládání roamingových uživatelských profilů. Tato složka bude považována za složku nejvyšší úrovně pro všechny jednotlivé profily uživatelů;

Otevřete modul snap-in "Uživatelé a počítače služby Active Directory", vyberte uživatele, u kterého chcete konfigurovat cestovní profil, klepněte pravým tlačítkem na profil a klepněte na tlačítko Vlastnosti;

V zobrazeném dialogovém okně klikněte na kartu "Profil"a do příslušného textového pole zadejte cestu ke sdílené složce, kde se nachází aktuální uživatelský profil. Proměnnou prostředí% UserName% můžete použít jako zástupný symbol pro název přihlašovacího jména, který je použit v cestě profilu. Poté, co uživatel zadá první doménu, bude server automaticky vytvoří složku s profilem pro formát uživatelského jména, nebo pokud je uživatel přihlášen z operačního systému Windows Vista nebo novější operační systém, bude imya_polzovatelya.v2 složka bude vytvořen s příslušnými oprávněními .

Přesměrování složek

Konfigurován v zásadách skupiny

Konfigurace uživatele - Konfigurace systému Windows - Přesměrování složek ("Plocha" a "Moje dokumenty") - Vlastnosti - na "Konečné složce"



Politika: Přesměrování složek všech uživatelů na jedno místo (jednoduché) .- Umístění cílové složky: Vytvořte složku pro každého uživatele v kořenové cestě. - Kořenová cesta: \\\\ dc02 \\ _FolderRDR $ \\ Docs (dc02 je název souboru serveru).

Ve spodní části okna vlastností se zobrazí nápověda o tom, jak vypadá konečná cesta.

Po změně zásad skupiny nezapomeňte spustit příkaz gpupdate -force na příkazovém řádku.

Chcete-li otestovat výkon, vložte soubor do složky, na kterou je nakonfigurováno přesměrování. Tento soubor by se měl také zobrazit ve sdílené síťové složce, kterou lze zobrazit na serveru. Když se uživatel přihlásí do jiného počítače, zobrazí se tento soubor ve stejné složce.

Postup instalace diskových kvót

Ve složce Můj počítač nebo v Průzkumníku Windows musíte klepnout pravým tlačítkem myši na disk, který chcete pracovat, a potom zvolit Vlastnosti.

V dialogovém okně Vlastnosti klepněte na kartu Kvóta, která je viditelná pouze v případě, že je uživatel přihlášen jako správce a pevný disk ve formátu NTFS.

Zaškrtněte políčko Povolit správu kvót.

Vyberte požadované konfigurační parametry.



Funkce kvótového disku v systému Windows 2000 umožňuje konfigurovat kvóty jednotlivě nebo zakázat funkci pro uživatele, u nichž jsou výchozí nastavení příliš tvrdá (tj. Pro ty, kteří vytvářejí mnoho velkých souborů). Chcete-li změnit nastavení kvóty pro zaměstnance, který již tento disk používá, otevřete složku Můj počítač nebo Průzkumník Windows, klepněte pravým tlačítkem myši na pevný disk, jehož konfiguraci chcete změnit, a vyberte Vlastnosti. Poté přejděte na kartu Kvóta a kliknutím na položku Kvóty otevřete okno Kvóta pro místní disk. Zde jsou jména všech uživatelů, kteří ukládají své soubory na tento disk, jak je znázorněno na obrazovce 2. Klepněte pravým tlačítkem na uživatelské jméno nebo skupinu uživatelů a vyberte Vlastnosti. V dialogovém okně Nastavení kvót, které je zobrazeno na obrazovce 3, je třeba změnit omezení místa na disku, práh zprávy nebo zakázat kvóty pro daného uživatele. Pokud vyberete více uživatelů, bude místo okna nahrazeno více uživatelů než uživatelské jméno.

Nová uživatelé přistupují k disku, kvóty se automaticky uplatní. Dalším způsobem je konfigurace nastavení individuálně před otevřením uživatele uživateli (jinak je třeba změnit nastavení pomocí postupu popsaného v předchozí části). Chcete-li konfigurovat kvóty pro uživatele, kteří dosud nezískali tento disk (a také pro ty, které nepotřebují použít výchozí nastavení), musíte postupovat podle těchto kroků.

V okně Kvóta pro místní disk vyberte položku Kvóta, položka Nová kvóta a otevřete dialogové okno Vybrat uživatele.

V okně Vyhledat v horní části dialogového okna vyberte oblast, ze které je uživatelský seznam extrahován:

vyberte doménu a zobrazte seznam všech uživatelů domény (toto je výchozí volba);

vyberte místního počítačezobrazit seznam všech uživatelů v počítači;

vyberte položku Celý adresář ("Celá složka") a zobrazte seznam všech uživatelů služby Active Directory (AD), včetně všech domén a lesů.

Vyberte uživatele (nebo více uživatelů), klepněte na tlačítko Přidat ("Přidat") a potom klepněte na tlačítko OK.

1. V dialogovém okně Přidat nové kvóty, které je zobrazeno na obrazovce 4, nastavte potřebná omezení nebo zcela zrušíte kvóty.