как сделать перемещаемый профиль пользователя в домене windows
Создание перемещаемых профилей с помощью Active Directory.
Профиль — это совокупность папок и данных, в которых хранятся текущее окружение пользователя (содержимое рабочего стола, параметры настройки приложений и личные данные). Профиль пользователя также содержит все элементы меню Пуск (Старт) для данного пользователя и список разрешённых сетевых дисков. Профили бывают трех типов. (Local) Локальные — создаются при первом входе пользователя в систему, хранится на локальном жестком диске. Перемещаемый (Roaming) — храниться в общей папке на сервере сети и доступен с любого компьютера. Обязательный (Mandatory) — то же, что и перемещаемый, но изменение может производить только системный администратор. Профиль является неотъемлемой частью каждой учётной записи.
Далее создадим подразделение для наших профилей. Для этого жмем правой кнопкой мыши по названию нашего домена, далее вкладка создать/подразделение и пишем название подразделения. 
Теперь приступим к созданию самих профилей. Для этого жмем правой кнопкой мыши по созданному нами подразделению и создаем пользователя. 
На первом этапе вводим Имя, Инициалы, Фамилия, Имя входа пользователя. Остальные поля заполняются автоматически. Введем имя User1, инициалы и фамилию оставим пустыми, имя входа в систему также напишем user1 и жмем “Далее”.
На следующем этапе нужно ввести пароль, под которым мы будет входить. Введем пароль 123-=qwerty и поставим галочку только напротив “Срок действия пароля не ограничен” и нажмем“Далее”.
На следующем этапе жмем “Готово”. Профиль создан.
Здесь нам нужно выбрать, кто именно будет иметь доступ к этой папке и с какими правами. Выберем их списка “Все”, жмем добавить и ставим его “Совладельцем”, который дает нам полные права для “Все”
Жмем “Общий доступ”, затем “Готово” далее ”Закрыть”.
Корневой путь должен иметь следующий вид: «\\WIN-4BHBTSFYA7I\Allmyprofiles\%username%»,
где «WIN-4BHBTSFYA7I» – имя компьютера
«Allmyprofiles» – папка с открытым доступом
Перейдем к вкладке “Член групп” и добавим наш профиль в группу Операторы Сервера 
Жмем “Применить” потом “ОК”.
На этом создание перемещаемого профиля окончено. Работоспособность проверим позже, когда будем рассматривать настройки и добавление клиентской машины в домен.
Создание группы для профилей с помощью Active Directory.
Теперь мы рассмотрим, как создать группу, как добавить профили в группу, как поставить профиль управлять группой.
Нам предлагают ввести имя группы. Введем “GroupProfiles”. Отметки ставим как на рисунке. 
Жмем “ОК”. Группа создана.
Теперь добавим профили в созданную группу. Для этого нажмите правой кнопкой мыши на профиль и “Добавить в группу”. Вводим название нашей группы и жмем “ОК”. 
Все, профиль теперь находится в группе и чтобы убедится в этом, зайдем в свойства группы и перейдем на вкладку “Члены группы” и видим список профилей находящих в группе
Теперь поставим профиль с правами на управление этой группой(он может добавлять, удалять и т.д.). Для этого в свойствах группы перейдем на вкладку “Управляется”, жмем “Изменить” и добавляем профиль 
Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей
Область применения: Windows Server 2022, Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2
В этом разделе рассматриваются технологии автономных файлов (кэширование на стороне клиента, или CSC), перемещаемых профилей пользователей (также известных как RUP) и перенаправления папок, в том числе новые возможности и поиск дополнительных сведений.
Описание технологий
Технологии автономных файлов и перенаправления папок при совместном использовании позволяют перенаправлять путь к локальным папкам (например, к папке документов) в какое-либо место в сети. При этом для увеличения скорости и улучшения доступности кэширование содержимого производится локально. Технология перемещаемых профилей пользователей позволяет перенаправлять профиль пользователя в какое-либо место в сети. Эти возможности раньше назывались IntelliMirror.
Практическое применение
С помощью технологий автономных файлов, перемещаемых профилей пользователей и перенаправления папок администраторы могут организовывать централизованное хранение данных и настроек пользователей, а также обеспечивать возможность доступа к данным при автономной работе, отказе сети или сервера. Некоторые частные случаи применения:
Новые и измененные функции
В следующей таблице описаны некоторые основные изменения в технологиях автономных файлов, перемещаемых профилей пользователей и перенаправления папок, реализованные в данной версии.
| Компонент или функция | Новый или обновленный компонент | Описание |
|---|---|---|
| Постоянный автономный режим | Создать | Обеспечивает более быстрый доступ к файлам и снижает уровень использования пропускной способности за счет постоянной автономной работы даже при высокоскоростном сетевом подключении. |
| Экономная синхронизация | Создать | Позволяет сократить стоимость синхронизации данных при использовании лимитных подключений или перемещении в сеть стороннего поставщика. |
| Поддержка основного компьютера | Создать | Позволяет применять технологии перемещаемого профиля и перенаправления папок (совместно или раздельно) только на основных компьютерах пользователей. |
Постоянный автономный режим
Начиная с Windows 8 и Windows Server 2012, администраторы могут настроить систему так, чтобы работающие с автономными файлами пользователи всегда находились в автономном режиме, даже если они располагают высокоскоростным сетевым подключением. Windows по умолчанию обновляет автономные файлы в кэше посредством почасовой фоновой синхронизации.
Какую пользу дает постоянный автономный режим?
Постоянный автономный режим дает следующие преимущества:
Как изменяет ситуацию постоянный автономный режим?
До появления ОС Windows 8 и Windows Server 2012 переход между сетевым и автономным режимами осуществлялся в зависимости от доступности и условий сети даже при включении режима медленного подключения с пороговым значением задержки в 1 миллисекунду.
Экономная синхронизация
При экономной синхронизации Windows отключает фоновую синхронизацию, когда пользователь, выбравший сеть с лимитным тарифным планом (например, мобильную сеть 4G), достиг или почти достиг предела пропускной способности, либо в сеть стороннего поставщика.
Как правило, в ОС Windows 8, Windows Server 2019, Windows Server 2016 и Windows Server 2012 для лимитных сетевых подключений автономный режим (режим медленного подключения) включается при увеличении задержки кругового пути до 35 миллисекунд. Поэтому данные подключения переводятся в автономный режим (режим медленного подключения) автоматически.
Какую пользу приносит экономная синхронизация?
Экономная синхронизация помогает пользователям сократить стоимость использования данных при лимитных подключениях или перемещении в сеть стороннего поставщика.
Как изменяет ситуацию экономная синхронизация?
До появления Windows 8 и Windows Server 2012 пользователям, желавшим сократить расходы при работе с автономными файлами на лимитных сетевых подключениях, приходилось отслеживать использование данных с помощью средств, предлагаемых поставщиком мобильной связи. Затем при приближении к пределу пропускной способности или его превышении можно было переключиться на автономный режим вручную.
При использовании экономной синхронизации Windows автоматически отслеживает пределы перемещения и использования пропускной способности на лимитных подключениях. Когда пользователь перемещается, приближается к пределу пропускной способности или превышает его, Windows переключается в автономный режим и препятствует любой синхронизации. Тем не менее синхронизация по-прежнему запускается вручную, а администраторы могут переопределить экономную синхронизацию для конкретных пользователей, например руководителей организации.
Основные компьютеры для перемещаемых профилей пользователей и перенаправления папок
Теперь вы можете для каждого пользователя домена назначить набор компьютеров, которые называются основными, что позволяет контролировать использование технологий перемещаемого профиля и (или) перенаправления папок. Назначение основных компьютеров — простой и эффективный способ сопоставления данных и настроек пользователя с конкретными компьютерами или устройствами. Это упрощает контроль со стороны администратора, повышает безопасность данных и позволяет защитить профили пользователей от повреждения.
Какую пользу приносят основные компьютеры?
Назначение основных компьютеров для пользователей дает четыре ключевых преимущества.
Как изменяют ситуацию основные компьютеры?
Чтобы ограничить загрузку личных данных пользователей на основные компьютеры, с помощью технологий перемещаемых профилей и перенаправления папок производятся следующие проверки логики при входе:
Требования к оборудованию
Технологии автономных файлов, перемещаемых профилей пользователей и перенаправления папок реализуются на компьютерах под управлением 32- или 64-разрядной операционной системы и не поддерживаются на компьютерах под управлением Windows на ARM (WOA).
Требования к программному обеспечению
Для назначения основных компьютеров среда должна соответствовать следующим требованиям.
Дополнительные сведения
Дополнительные сведения по данной теме см. на следующих ресурсах.
🖧 Полигон 218
Учебный портал
Настройка перемещаемых профилей в Windows Server через GPO
В больших компьютерных сетях, когда рабочее место пользователя не привязано к определенному компьютеру удобно использовать перемещаемые профили пользователей.
Рассмотрим процесс настройки перемещаемых профилей пользователей с использованием групповой политики.
Первым делом, создадим специальную группу. Назовем ее, к примеру, Users with roaming profiles.
Сразу после создания группы можно определить для кого и на каком компьютере будут действовать перемещаемые профили.
Поскольку нас интересует создание перемещаемых профилей для всех пользователей мы добавим в группу Users with roaming profiles всех пользователей домена и все компьютеры домена.
На этом подготовка группы закончена, переходим к работе с файловой системой. На сервере, который будет хранилищем перемещаемых профилей создадим новый общий ресурс.
Если не стоит задачи управлять общим ресурсом (к примеру создавать квоты и ограничения), то выбираем профиль SMB Share ProFile
Если требуется настройка квот и ограничений, либо общий ресурс создается на удаленном сервере то потребуется установка дополнительных компонентов.
Если нужно создать общий ресурс на удаленном сервере, то Компоненты ролей должны быть установлены на управляемом и управляющем серверах.
После установки дополнительных компонентов перейдем непосредственно к созданию общей папки.
Определяем параметры Общего ресурса. К этому моменту папка для хранение перемещаемых профилей должна быть создана.
На следующем шаге включим галочку Enable acces-based enumeration. В этом случае пользователь будет иметь доступ только к файлам своего профиля.
Для организации совместного доступа потребуется произвести настройку прав
В частности нужно отключить наследование
В данном примере нас будут интересовать только пользовательские файлы
Если добавление квот не требуется, продолжим работу мастера
Подготовка общего ресурса завершена, осталось все проверить и нажать кнопку Create.
Создав общий ресурс перейдем в редактор групповой политики для окончательно настройки перемещаемых профилей.
Создадим новый объект групповой политики
Откроем его для изменения и найдем параметр Set roaming path for all users logging omto this computer в ветке Computer Configuration-Profiles- Administartive Template Policity definitions-System-User Profile
Указываем путь к созданной ранее общей папке
Развертывание основных компьютеров для перенаправления папок и использования перемещаемых профилей пользователей
Область применения: Windows Server 2022, Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2
В этой статье описывается включение поддержки основных компьютеров и их назначение пользователям. Это действие позволяет управлять тем, какие компьютеры используют перенаправление папок и перемещаемые профили пользователей.
При включении поддержки основного компьютера для перемещаемых профилей пользователей всегда следует включать поддержку основного компьютера для перенаправления папок. Это позволяет сохранить документы и другие пользовательские файлы вне профилей пользователей, что помогает уменьшить размер профилей и быстро входить в систему.
Предварительные условия
Требования к программному обеспечению
К поддержке основного компьютера предъявляются следующие требования:
Хотя для поддержки основного компьютера требуется перенаправление папок или перемещаемые профили пользователей, при первом развертывании этих технологий рекомендуется настроить поддержку основного компьютера перед включением объектов групповой политики (GPO), в которых настраиваются перенаправление папок и перемещаемые профили пользователей. предотвратить копирование данных пользователя на неосновные компьютеры до включения поддержки основного компьютера. Дополнительные сведения см. в статьях Deploy Folder Redirection (Развертывание перенаправления папок) и Deploy Roaming User Profiles (Развертывание перемещаемых профилей пользователей).
Шаг 1. Назначение основных компьютеров для пользователей
На первом шаге при развертывании поддержки основных компьютеров следует назначить основной компьютер для каждого пользователя. Для этого можно использовать Центр администрирования Active Directory, чтобы получить различающиеся имена соответствующих компьютеров, а затем установить атрибут msDs-PrimaryComputer.
Как использовать Windows PowerShell для работы с основными компьютерами, см. в записи блога о подробностях работы с основными компьютерами Windows 8.
Вот как указать основные компьютеры для пользователей:
Шаг 2. Включение перенаправления папок в групповой политике на основных компьютерах (необязательно)
Далее в групповой политике можно настроить перенаправление папок для основных компьютеров. Это позволяет перенаправлять папки пользователя на компьютеры, назначенные в качестве основных компьютеров, но не на другие компьютеры. Можно управлять перенаправлением папок на основных компьютерах отдельно для каждого компьютера или для каждого пользователя.
Вот как включить перенаправление папок для основных компьютеров:
Шаг 3. Включение перемещаемых профилей пользователей в групповой политике на основных компьютерах (необязательно)
Далее в групповой политике можно настроить перемещаемые профили пользователей для основных компьютеров. Это позволяет перемещать профили пользователей на компьютеры, назначенные в качестве основных компьютеров, но не на другие компьютеры.
Вот как включить поддержку основных компьютеров для перемещаемых профилей пользователей:
Шаг 4. Включение GPO
После завершения настройки перенаправления папок и перемещаемых профилей пользователей включите GPO, если он еще не включен. Это позволяет применить GPO к затронутым пользователям и компьютерам.
Вот как включить GPO для перенаправления папок или перемещаемых профилей пользователей:
Шаг 5. Проверка функциональности основного компьютера
Чтобы проверить поддержку основного компьютера, войдите на основной компьютер, убедитесь, что папки и профили перенаправлены, затем войдите на компьютер, не являющийся основным, и убедитесь, что папки и профили не перенаправляются.
Вот как протестировать функциональность основного компьютера:
Войдите в систему основного компьютера при помощи учетной записи пользователя, для которого вы настроили перенаправление папок и перемещаемые профили.
Если вход на компьютер уже выполнен с помощью учетной записи пользователя, откройте сеанс Windows PowerShell или окно командной строки от имени администратора, введите следующую команду и выйдите из системы, чтобы убедиться, что новые параметры групповой политики применены к клиентскому компьютеру:
Щелкните правой кнопкой мыши перенаправленную папку (например, «Мои документы» в библиотеке документов) и выберите пункт Свойства.
Перейдите на вкладку Местоположение и убедитесь, что отображается путь к указанной общей папке, а не локальный путь. Чтобы убедиться, что профиль пользователя перемещается, перейдите в Панель управления, выберите разделы Система и безопасность, Система, Дополнительные параметры системы, щелкните элемент Параметры в разделе с профилями пользователей и убедитесь, что в столбце Тип есть надпись Перемещение.
Войдите с использованием той же учетной записи на компьютер, который не задан как основной компьютер пользователя.
Повторите шаги 2–5, чтобы найти локальные пути и тип локального профиля.
Если папки перенаправлены на компьютер до включения поддержки основных компьютеров, папки останутся перенаправленными, если для каждой папки не будет настроен следующий параметр политики перенаправления: Перенаправьте папку обратно в локальное местоположение профиля пользователя при удалении политики. Аналогичным образом, для профилей, ранее перемещенных на определенном компьютере, будет отображаться состояние Перемещаемый в столбцах Тип. Тем не менее, в столбце Состояние будет отображаться надпись Локальный.
Как сделать перемещаемый профиль пользователя в домене windows
Перемещаемые профили позволяют пользователям иметь одно пользовательское окружение, настройки программ при работе за разными компьютерами. Для системного администратора позволяют управлять пользовательским профилем при выключенном компьютере пользователя, и самое важное, позволяют централизованное резервное копирование. Недостатком перемещаемого профиля может стать его размер и небольшая скорость локальной сети, т.к. перемещаемый профиль это полное копирование пользовательских данных по сети. Но для решения этого недостатка могут помочь перенаправляемые папки. Тестовый стенд состоит из контролелра домена 2012, файлового сервера 2012 и клиента Windows 8. Конфигурации представлены ниже. Подробнее о перемещаемых профилях в документации на английском языке для Server 2003. Для Server 2012 почти ничего не изменилось.
На файловом сервере создаётся общий сетевой ресурс со следующими общими правами:
Настройка NTFS-разрешений для общего ресурса. Снимается наследование от родителя с копированием прав.
Для того, что бы системный администратор имел доступ к профилю на сервере необходимо включить в групповой политике следующую опцию указанную ниже и применить к подразделению с компьютерами. Однако, из-за UAC доступ будет возможен через файловый менеджер, запущенный от имени администратора. Я буду использовать Total Commander. По умолчанию Explorer запущенный от имени администратора всё равно не будет иметь доступа к профилю.
Включить перемещаемый профиль можно двумя способами. Один из них через GPO, однако этот метод содержит включение на уровне компьютера. Т.е. все пользователи, использующие компьютер с данной политикой, будут иметь перемещаемый профиль, который не смогут загрузить на другом компьютере, если там политика не включена. Я не буду рассматривать данный метод.
Второй метод включения перемещения профиля находится в свойствах учётной записи пользователя. Во вкладке «провиль» в поле «путь к профилю» достаточно записать путь к ресурсу, где будут храниться профили пользователей.
Если вы создаёте нового пользователя, у которого должен быть включён перемещаемый профиль, вы можете не создовать новую учётную запись, а скопировать с уже имеющейся учётной записи, для которой перемещамый профиль включён.
Как я уже упоминал, из-за UAC доступ из продника запрещён, т.к. проводник работает с понищенными правами, и запуск его от имени администратора ситуацию не изменит. Если конечно, на сервере не было сделано некоторых изминений, невилирующих такую защиту. Файловый менеджер Total Commander, запущенный от имени администратора, имеет доступ пользовательскому профилю.