• Создаем учетку в AD добавляем в группу
  • Добавляем эту группу в группу локальных аминов, т.е. даем учетке через её группу (это важно) права админа
  • Заходим под учеткой, прописываем все параметры, настройки программ и прочую лабуду.
  • Перезагружаемся, т.к. учетка хранит в себе некоторые открытей файлы системой
  • Создаем шару на серваке, можно толко для группы, можно скрыть $, кому как нужно, но главное, с полным доступом на данную группу, и безопасность с наследием от родителей
  • gpedit.msc на серваке, ставим:

Computer Configuration /Система/Профили пользователей
Policy
Setting
Добавлять группу администраторов для перемещаемых профилей пользователя
Enabled
Не проверять собственность пользователя перемещаемого профиля
Enabled
Запретить распространение изменений в перемещаемом профиле на сервер
Disabled
Дождаться загрузки перемещаемого пользовательского профиля
Enabled
Оставить установочные данные установщика Windows и групповой политики
Enabled
Удалять кэшированные копии перемещаемых профилей
Enabled

Тут все по вкусу каждого, но если не поставить первых 2 пункта, то в профиль пользователя сетевой админ не зайдет, и профиль не загрузится под другим юзером, т.к. он не является собственником файлов, если собственника менять вручную, то такая же ошибка теперь будет и у исходной учетки.

User Configuration/Система/Профили пользователей
Policy
Setting
Исключить папки из перемещаемого профиля
Enabled
Не включать эти папки в перемещаемый профиль:
My Documents;Desktop;Рабочий стол;Мои документы;



Тут ставим на случай если у вас рабочий стол и доки переобазначены для группы на общую шару (хотя раньше я настраивал общий профиль также и без это опции)

  • заходим под сетевым админом, и копируем учетку на шару (мой комп — свойства — дополнительно — параметры пофилей пользователя), при копировании (важно) задаем разрешение «Разрешить использование (Permitted To Use)» и прописываем там нашу группу.
  • заходим в AD и юзеру с которго копировали профиль добавляем путь на шару профиля
  • теперь заходим под пользователем, при этом происходит синхронизация локальной учетки и сетевой, все зависит от групповой политики (удаление локальных учеток и прочие настройки), теперь на шаре появятся еще 3 файла с настройками учетки, которые ранее не с копировались. Перезагружаемся, чтобы отвязать открытые файлы системой из этой учетки.
  • Заходим еще раз, это уже больше для проверки. Смотрим (лучше по сети) была ли папка профиля в Documents and Settings до входа и исчезла ли после выходе (зависит от группой политики). Ну и как водится презагружаемся.
  • Заходим под сетевым админом и выключаем из админов нашу группу, прописываем ее в «продвинутые пользователи (Power user)»
  • заходим в AD прописываем другому юзеру в профиле путь на шару.
  • Заходим по этим другим юзером и проверяем грузится ли профиль.
  • Ну и не забываем о смене расширения ntuser.dat в ntuser.man, если хотим получить обязательный неизменяемый пользователями профиль.