Eu tenho uma caixa do Windows Server 2003 que funcionará como um servidor de terminal. Na verdade, ele estará executando o Citrix, mas não acredito que seja relevante aqui.
Houve uma solicitação para que todos os usuários usem um único perfil obrigatório. Eu usei perfis obrigatórios antes, mas geralmente existem perfis diferentes para usuários diferentes, então eu sempre usei a guia "Perfil de serviços de terminal" com bons resultados.
O que eu gostaria que desta vez fosse uma única configuração, como uma Política de Grupo ou semelhante, que simplesmente força cada usuário administrador que não faz logon na caixa a usar o perfil obrigatório. Nós estaremos usando o Redirecionamento de Pastas para cuidar de todo o resto.
Estou ciente do seguinte GPO:
Computer Policy\Computer Configuration\Administrative Templates\Windows Components/Terminal Services
Set path for TS Roaming Profiles
Mas, como essa é uma política de computador, ela não se aplica a todos os usuários, inclusive administradores? Em caso afirmativo, é possível excluir administradores de alguma forma?
Isso provavelmente será decepcionante, mas não há como excluir administradores (ou qualquer pessoa por causa disso) quando você usa uma política de computador.
Estamos no mesmo intervalo aqui, onde os administradores recebem um perfil de roaming. Tentamos várias abordagens diferentes, mas não é possível fugir a menos que você use o campo de perfil de serviços de terminal no AD.
Como esta é uma Política de Computador, ela se aplica a todos, independentemente do acesso. Você mencionou Citrix; se você tiver uma edição enterprise ou platinum, poderá conseguir algo próximo do que deseja usando o Profile Manager.
Você configuraria o modelo .admx do Citrix Profile Management e criaria um GPO especificando um "perfil de modelo" em vez de um perfil obrigatório. Na política, você pode especificar "grupos processados" ou desabilitar "Logons de processo de administradores locais".
Os perfis de modelo não permitem o uso de perfis obrigatórios exatamente, então você não pode usar um ntuser.man, ele teria que ser um ntuser.dat.
Sinta-se à vontade para recusar isso, minha resposta inicial foi totalmente errada e essa resposta também não é ótima. De alguma forma, ignorei o fato de que, de fato, é uma política de computador.