Como evito que um cliente de domínio crie pastas base de usuários locais (por exemplo, C: \ Users \ MyUser)?

Question

Como evito que um cliente de domínio crie pastas base de usuários locais (por exemplo, C: \ Users \ MyUser)?

#1 resposta do (1 votos)

1

Estou trabalhando com um controlador de domínio do Windows Server 2012 R2 e principalmente com clientes do Windows 7 Professional.

Estou tentando configurar um sistema no qual todos os dados do usuário residam em um servidor de arquivos e sejam lidos e gravados da forma mais síncrona possível (ou seja, cópia mínima dos dados do usuário no login e logout e nenhum perfil local ou armazenamento.)

Para fazer isso, estou usando o redirecionamento de pastas e os perfis de usuários móveis em conjunto. Redirecionamentos de pastas ao vivo no servidor de arquivos em

\MYSERVER\Home$\%USERNAME%

e perfis de roaming em,

\MYSERVER\Profile$\%USERNAME%

Além disso, estou usando a política de grupo,

Computer Configuration
> Policies
  > Administrative Templates
    > System
      > User Profiles
        > Set user home folder

para definir a pasta base do usuário para o mesmo local dos redirecionamentos de pasta. Para ser explícito,

Location = On the network
Path = \MYSERVER\Home$
Drive letter = Y:

Isso tem o efeito de montagem,

\MYSERVER\Home$\%USERNAME%

em Y: no login do usuário, como esperado. No entanto, parece que quando um usuário inicia uma instância do Prompt de Comando, o diretório "home" é local em,

C:\Users\%USERNAME%

Esse caminho também é o valor de %USERPROFILE% . Além disso, mesmo que Y: esteja montado e acessível através do Windows Explorer, cd Y: em Prompt de Comando redireciona imediatamente para o local C: . Vindo de um ambiente Linux, isso me deixou um pouco confuso!

Então, minha pergunta é: como posso garantir que a pasta pessoal de um usuário do domínio seja redirecionada de forma adequada e completa para um local de compartilhamento de rede usando a política de grupo?

windows-server-2012-r2

por snoopy91 13.10.2015 / 14:34

1 resposta

Tags windows-server-2012-r2

O cliente NFS não está ignorando os UIDs no mapa NFS Encaminhar porta da conexão externa para um computador na LAN (Ubuntu-iptables)

score 1 · Answer 1

Às vezes, há uma área cinza entre "home drive" e o "perfil" do usuário. Estas são algumas variáveis ambientais a serem lembradas:

User with "network" home drive AND a "local" profile
HOMEDRIVE=Y:
HOMEPATH=\
USERPROFILE=C:\Users\Snoopy
HOMESHARE=\SERVER\Home$\Snoopy

User with "network" home drive  AND a "roaming" profile
HOMEDRIVE=Y:
HOMEPATH=\
USERPROFILE=C:\Users\Snoopy
HOMESHARE=\SERVER\Home$\Snoopy

User without "network" home drive
HOMEDRIVE=C:
HOMEPATH=\Users\Snoopy
USERPROFILE=C:\Users\Snoopy

Observe que:
1) USERPROFILE é o mesmo para todos os 3 tipos de usuários
2) Para um usuário SEM uma unidade de rede doméstica, o USERPROFILE é o mesmo que o (Homedrive + Homepath) e que não há um canal "HOMESHARE".

Existem 3 tipos de perfis: local, roaming, obrigatório.
Todas as 3 variedades de perfis do Windows usam um caminho de perfil local, mas cada um deles o utiliza de maneiras diferentes. Mesmo para usuários com perfis móveis, USERPROFILE ainda é sempre C: \ Usuários ...
Por todas essas razões, você não pode impedir a criação de C: \ Users \ Name.

Você pode controlar o caminho padrão para "cmd" (em uma base por atalho) definindo a opção "iniciar em" do atalho cmd ou para todos os cmd que o usuário inicia definindo uma chave do Registro:

GPO path: UserConf/Prefs/Windows/Registry
Key = HKEY_CURRENT_USER\Software\Microsoft\Command Processor
Type = REG_EXPAND_SZ
Name = Autorun
Value = CD /d %HOMEDRIVE%%HOMEPATH%

VocêpodeusarGPOspararedirecionarqualquerumadaspastas"MyX" para um caminho de rede, para que clicar em um item MyX em um diálogo de arquivo vá para esse caminho, mas se alguém manualmente navegar para C: \ Users \ Name \ somePlace nada pode ou vai impedi-los de escrever para o caminho local.

MyDocuments folder redir:
GPO path: UserConf/Policies/Windows/FolderRedir/Documents

Cada política de grupo tem 2 filiais: computador, usuário.
Você não deseja usar a ramificação COMPUTER para controlar as unidades de origem do USUÁRIO. Eu acho que o seu GPO "Computer /.../ Set user home folder" pode estar causando o Y de volta ao problema C. Você não precisa usar o GPO para mapear a letra da unidade inicial. É melhor controlar isso com as propriedades da conta de usuário e, quando feito dessa forma, é mapeado automaticamente pelo sistema operacional.

PS C:\> set-aduser snoopy -homeDrive "Y" -homeDirectory "\server\home$\snoopy"

Emrelaçãoaoseuobjetivo"assíncrono" - Alguns dos arquivos do seu perfil (ntuser.dat) são bloqueados enquanto estão conectados e só podem ser copiados durante o processo de login / logout.