การใช้โปรไฟล์ผู้ใช้บังคับ (อ่านอย่างเดียว) ใน Windows 10

โปรไฟล์ผู้ใช้บังคับ เป็นโปรไฟล์ผู้ใช้แบบโรมมิ่งที่กำหนดค่าไว้ล่วงหน้าพิเศษซึ่งผู้ดูแลระบบเท่านั้นที่สามารถเปลี่ยนแปลงได้ ผู้ใช้ที่ได้รับมอบหมายโปรไฟล์บังคับสามารถทำงานใน Windows ได้ตามปกติระหว่างเซสชันการเข้าสู่ระบบ แต่ไม่มีการเปลี่ยนแปลงใด ๆ ที่บันทึกไว้ในโปรไฟล์หลังจากผู้ใช้ออกจากระบบ เมื่อเข้าสู่ระบบครั้งถัดไป โปรไฟล์บังคับจะโหลดไม่เปลี่ยนแปลง

ไดเร็กทอรีที่มีโปรไฟล์บังคับสามารถอยู่ในโฟลเดอร์แชร์ของเครือข่ายและกำหนดให้กับผู้ใช้โดเมนหลายคนพร้อมกัน:ตัวอย่างเช่น ไปยังผู้ใช้เทอร์มินัลเซิร์ฟเวอร์ (RDS) ตู้แสดงข้อมูล หรือผู้ใช้ที่ไม่ต้องการโปรไฟล์ส่วนตัว (เด็กนักเรียน นักเรียน ผู้เข้าชม) ผู้ดูแลระบบสามารถกำหนดค่าการเปลี่ยนเส้นทางโฟลเดอร์สำหรับโปรไฟล์บังคับ และผู้ใช้สามารถเก็บไฟล์ส่วนบุคคลไว้บนเซิร์ฟเวอร์ไฟล์ได้ (แน่นอน ขอแนะนำให้เปิดใช้งานโควต้าดิสก์โดยใช้ NTFS หรือ FSRM) เพื่อป้องกันไม่ให้ผู้ใช้จัดเก็บไฟล์ที่ไม่สำคัญในโฟลเดอร์ที่เปลี่ยนเส้นทาง )

ประเภทของโปรไฟล์ผู้ใช้บังคับใน Windows

มีโปรไฟล์ผู้ใช้บังคับสองประเภทใน Windows:

• โปรไฟล์ผู้ใช้บังคับปกติ – ผู้ดูแลระบบเปลี่ยนชื่อไฟล์ NTuser.dat (ประกอบด้วยกลุ่มรีจิสทรีผู้ใช้ HKEY_CURRENT_USER) เป็น NTuser.man เมื่อใช้ Ntuser.man ระบบจะถือว่าโปรไฟล์นี้เป็นแบบอ่านอย่างเดียวและจะไม่บันทึกการเปลี่ยนแปลงใดๆ ถ้าโปรไฟล์บังคับถูกเก็บไว้ในเซิร์ฟเวอร์ระยะไกลและเซิร์ฟเวอร์ไม่พร้อมใช้งาน ผู้ใช้สามารถเข้าสู่ระบบโดยใช้โปรไฟล์บังคับเวอร์ชันแคช
• โปรไฟล์ผู้ใช้บังคับขั้นสูง – เมื่อใช้โปรไฟล์ประเภทนี้ ไดเร็กทอรีที่มีโปรไฟล์ผู้ใช้จะถูกเปลี่ยนชื่อ และเพิ่มนามสกุล .man ที่ส่วนท้ายของชื่อโฟลเดอร์ ผู้ใช้ที่มีโปรไฟล์ประเภทนี้จะไม่สามารถเข้าสู่ระบบได้หากเซิร์ฟเวอร์ซึ่งเก็บโปรไฟล์ไว้ใช้งานไม่ได้

บางสถานการณ์อนุญาตให้ใช้โปรไฟล์บังคับสำหรับผู้ใช้ในพื้นที่เช่นกัน ตัวอย่างเช่น บนคอมพิวเตอร์สาธารณะ (คีออสก์ ห้องประชุม ฯลฯ) แทนที่จะใช้ตัวกรอง UWF ผู้ใช้ทุกคนสามารถทำงานในสภาพแวดล้อมเดียวกันและจะไม่บันทึกการเปลี่ยนแปลงใดๆ เมื่อผู้ใช้ออกจากระบบ

ตอนนี้เราจะแสดงวิธีสร้างโปรไฟล์บังคับปกติใน Windows 10 และกำหนดให้กับผู้ใช้ ในตัวอย่างนี้ เราจะพิจารณาวิธีสร้างโปรไฟล์ผู้ใช้บังคับในคอมพิวเตอร์ (โปรไฟล์จะถูกเก็บไว้ในไดรฟ์ในเครื่อง) อย่างไรก็ตาม เราจะอธิบายวิธีกำหนดโปรไฟล์ผู้ใช้บังคับให้กับบัญชีโดเมน

วิธีการสร้างโปรไฟล์ผู้ใช้บังคับใน Windows 10

1. เข้าสู่ระบบคอมพิวเตอร์ภายใต้บัญชีผู้ดูแลระบบ และเริ่มคอนโซล Local Users and Groups (lusrmgr.msc );
2. สร้างบัญชีใหม่ ตัวอย่างเช่น ConfRoom;
3. ตอนนี้ คุณต้องคัดลอกโปรไฟล์เริ่มต้นไปยังไดเร็กทอรีแยกต่างหากที่มีนามสกุลเฉพาะ เนื่องจากเราใช้ Windows 10 1703 โฟลเดอร์นี้จึงต้องมี V6 คำต่อท้าย ตัวอย่างเช่น ชื่อของโฟลเดอร์จะเป็น C:\ConfRoom.V6;
4. เปิดคุณสมบัติของระบบ (SystemPropertiesAdvanced.exe );
5. ใน โปรไฟล์ผู้ใช้ ส่วน ให้คลิก การตั้งค่า;
6. เลือก โปรไฟล์เริ่มต้น และคลิก คัดลอกไปที่;
7. เลือก C:\ConfRoom.V6 เป็นโฟลเดอร์ที่จะคัดลอกโปรไฟล์ไป (หรือคุณสามารถคัดลอกเทมเพลตโปรไฟล์ไปยังโฟลเดอร์แชร์เครือข่ายบนไฟล์เซิร์ฟเวอร์โดยระบุเส้นทาง UNC เช่น \\lon-fs01\profiles\ConfRoom.V6)
8. เลือก NT AUTHORITY\Authenticated Users ในการอนุญาต

วิธีกำหนดโปรไฟล์บังคับให้กับผู้ใช้

ตอนนี้คุณสามารถกำหนดโปรไฟล์บังคับให้กับผู้ใช้ที่คุณต้องการได้

หากคุณกำลังใช้โปรไฟล์บังคับในพื้นที่ ให้ไปที่ โปรไฟล์ ของคุณสมบัติผู้ใช้และระบุพาธไปยังไดเร็กทอรี C:\ConfRoom.v6 ใน เส้นทางโปรไฟล์ สนาม

หากคุณกำหนดค่าโปรไฟล์ผู้ใช้บังคับโรมมิ่งในโดเมน AD คุณต้องระบุเส้นทาง UNC ไปยังไดเรกทอรีด้วยโปรไฟล์ในคุณสมบัติของบัญชีในคอนโซล ADUC

จากนั้นเข้าสู่ระบบด้วยบัญชีผู้ใช้ใหม่และทำการตั้งค่าที่จำเป็นทั้งหมด (เลือกลักษณะที่ปรากฏ วางทางลัด ไฟล์ที่จำเป็น กำหนดค่าซอฟต์แวร์ ฯลฯ)

เสร็จสิ้นเซสชันผู้ใช้และเข้าสู่ระบบโดยใช้บัญชีผู้ดูแลระบบ จากนั้นเปลี่ยนชื่อ NTUSER.dat เป็น NTUSER.man ในโฟลเดอร์โปรไฟล์ผู้ใช้

ตอนนี้ให้ลองเข้าสู่ระบบในฐานะผู้ใช้ที่มีโปรไฟล์บังคับ และตรวจสอบให้แน่ใจว่าหลังจากที่คุณออกจากระบบจะไม่บันทึกการเปลี่ยนแปลงใดๆ ในโปรไฟล์

The User Profile Service service failed the sign-in. User profile cannot be loaded.

และกิจกรรมต่อไปนี้ปรากฏในบันทึกของระบบ:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

ตรวจสอบให้แน่ใจว่าการอนุญาตต่อไปนี้ถูกกำหนดให้กับไดเร็กทอรีโปรไฟล์ (โดยมีการสืบทอดสิทธิ์ไปยังอ็อบเจกต์ย่อยทั้งหมด):

• แพ็คเกจแอปพลิเคชันทั้งหมด – การควบคุมทั้งหมด (เมนูเริ่มทำงานไม่ถูกต้องหากไม่มี)
• ผู้ใช้ที่ตรวจสอบสิทธิ์ – อ่านและดำเนินการ
• ระบบ – การควบคุมทั้งหมด;
• ผู้ดูแลระบบ – ควบคุมทั้งหมด

ต้องกำหนดสิทธิ์เดียวกันให้กับกลุ่มการลงทะเบียนผู้ใช้โดยการโหลดไฟล์โปรไฟล์ ntuser.dat โดยใช้ ไฟล์ -> โหลดไฮฟ์ ใน regedit.exe

เมื่อใช้โปรไฟล์ข้ามเขต เพื่อให้เมนูเริ่มแสดงอย่างถูกต้องบนอุปกรณ์ทั้งหมด คุณต้องตั้งค่าคีย์ REG_DWORD ด้วยชื่อ SpecialRoamingOverrideAllowed และค่า 1 ในส่วน HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ ของรีจิสทรี

หากคุณต้องการเปลี่ยนแปลงโปรไฟล์บังคับ ให้เปลี่ยนชื่อ ntuser.man เป็น ntuser.dat และกำหนดค่าสภาพแวดล้อมภายใต้บัญชีผู้ใช้ จากนั้นเปลี่ยนชื่อไฟล์อีกครั้ง

เมื่อใช้โปรไฟล์บังคับบนเซิร์ฟเวอร์ RDS คุณสามารถใช้นโยบายกลุ่มต่อไปนี้ ซึ่งคุณสามารถระบุพาธไปยังไดเร็กทอรีโปรไฟล์และเปิดใช้งานโดยใช้โปรไฟล์บังคับ ส่วน GPO ที่เกี่ยวข้องคือ:การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแล -> ส่วนประกอบของ Windows -> บริการเดสก์ท็อประยะไกล -> โฮสต์เซสชันเดสก์ท็อประยะไกล -> โปรไฟล์ .

1. ใช้โปรไฟล์บังคับบนเซิร์ฟเวอร์โฮสต์ของเซสชัน RD =เปิดใช้งาน;
2. กำหนดเส้นทางสำหรับโปรไฟล์ผู้ใช้บริการโรมมิ่งระยะไกลของเดสก์ท็อป =เปิดใช้งาน + ระบุเส้นทาง UNC

โปรดทราบว่าหากคุณตัดสินใจใช้การเปลี่ยนเส้นทางโฟลเดอร์ร่วมกับโปรไฟล์บังคับ เราไม่แนะนำให้เปลี่ยนเส้นทางโฟลเดอร์ AppData (โรมมิ่ง)