Перемещаемый профиль+word+реестр [Архив] - FRB | FORUM RUBOARD

TumanI

05.09.2007, 09:33

Ситуация такая.
Локальная сеть: Сервак win2003, локальные машины winXP. У пользователей на локальных машинах профиль грузится с сервака.
До недавнего времени все было нормально. Решил переставить виндовз на локалках. Установил другую "версию"(?сборку?).
Теперь профиль все нормально грузится, ТОЛЬКО word при каждом его запуске "собирает информацию о компьютере" и т.п. т.е. каждый раз сам себя настраивает.
Насколько понимаю, word просто не может прописать себя в реестре, у данных пользователей почему то не хватает на это прав. Проверял regmonом, действительно "в доступе процессу winword.exe отказано"
Если захожу под админом на эти машины, все нормально. Если даю пользователям права админов сети, то тоже все нормально. Но когда у них есть права только обычных пользователей сети, то такая фигня.
Как понимаю, в этой винде где то поумолчанию стоит запрет на доступ обычных пользователей в реестр. (может и ошибаюсь).
Что можно сделать, посоветуйте пожалуйста!

vadium

15.01.2009, 14:59

Создаем учетку в AD добавляем в группу
Добавляем эту группу в группу локальных аминов, т.е. даем учетке через её группу (это важно) права админа
Заходим под учеткой, прописываем все параметры, настройки программ и прочую лабуду.
Перезагружаемся, т.к. учетка хранит в себе некоторые открытей файлы системой
Создаем шару на серваке, можно толко для группы, можно скрыть $, кому как нужно, но главное, с полным доступом на данную группу, и безопасность с наследием от родителей
gpedit.msc на серваке, ставим:

Computer Configuration /Система/Профили пользователей
Policy
Setting
Добавлять группу администраторов для перемещаемых профилей пользователя (javascript:void();)
Enabled
Не проверять собственность пользователя перемещаемого профиля (javascript:void();)
Enabled
Запретить распространение изменений в перемещаемом профиле на сервер (javascript:void();)
Disabled
Дождаться загрузки перемещаемого пользовательского профиля (javascript:void();)
Enabled
Оставить установочные данные установщика Windows и групповой политики (javascript:void();)
Enabled
Удалять кэшированные копии перемещаемых профилей (javascript:void();)
Enabled

Тут все по вкусу каждого, но если не поставить первых 2 пункта, то в профиль пользователя сетевой админ не зайдет, и профиль не загрузится под другим юзером, т.к. он не является собственником файлов, если собственника менять вручную, то такая же ошибка теперь будет и у исходной учетки.

User Configuration/Система/Профили пользователей
Policy
Setting
Исключить папки из перемещаемого профиля (javascript:void();)
Enabled
Не включать эти папки в перемещаемый профиль:
My Documents;Desktop;Рабочий стол;Мои документы;

Тут ставим на случай если у вас рабочий стол и доки переобазначены для группы на общую шару (хотя раньше я настраивал общий профиль также и без это опции)

заходим под сетевым админом, и копируем учетку на шару (мой комп — свойства — дополнительно — параметры пофилей пользователя), при копировании (важно) задаем разрешение «Разрешить использование (Permitted To Use)» и прописываем там нашу группу.
заходим в AD и юзеру с которго копировали профиль добавляем путь на шару профиля
теперь заходим под пользователем, при этом происходит синхронизация локальной учетки и сетевой, все зависит от групповой политики (удаление локальных учеток и прочие настройки), теперь на шаре появятся еще 3 файла с настройками учетки, которые ранее не с копировались. Перезагружаемся, чтобы отвязать открытые файлы системой из этой учетки.
Заходим еще раз, это уже больше для проверки. Смотрим (лучше по сети) была ли папка профиля в Documents and Settings до входа и исчезла ли после выходе (зависит от группой политики). Ну и как водится презагружаемся.
Заходим под сетевым админом и выключаем из админов нашу группу, прописываем ее в «продвинутые пользователи (Power user)»
заходим в AD прописываем другому юзеру в профиле путь на шару.
Заходим по этим другим юзером и проверяем грузится ли профиль.