[El Scorpio]

Цитата aESThete:

El Scorpio, не помню уже все тонкости настроек, дело было лет 5-6 назад. »

А что тут "помнить"?
Запускаете RSOP.MSC и всё видите, что, где и когда было прописано.

Цитата aESThete:

Безопасники потребовали, чтобы профили были не перемещаемые, а именно хранились на сервере. Перенаправил на сервер групповой политикой. Синхронизация отключена »

При таком подходе при отказе сети или сервера оператор действительно остаётся практически без профиля.

Если такие требования уже не актуальны, то простой отмены политики может оказаться мало.
Создайте новую политику и явно пропишите в ней использование путей по умолчанию.

[Той Серью]

Как я вычитал в учебнике, начиная с 2003 локальный (который в любом случае создается на локальном, обычно системном диске) и сетевой профили синхронизируются. При изменении на одном из профилей сделанные изменения дублируются на локальный и наоборот. Таким образом ускоряется работа с сетевыми профилями по сравнению с pre-2003 системами (ранее их администраторы не любили). И документы вроде бы не теряются для пользователя при отказавшей сети?

Цитата El Scorpio:

Цитата aESThete: когда профиль из соображений безопасности перенесён на сервер с отключенной синхронизацией, пользователь нормально входил, но получал чистый рабочий стол и отсутствие документов. » Обычно такая ситуация (вход в систему с пустым профилем) возникает, если возникла ошибка при синхронизации перемещаемого профиля (в профиле есть файл с неправильными правами доступа или просто слишком длинным именем). В этом случае система создаёт для сеанса пользователя временный профиль по адресу "%профили%\TEMP". »

Не могу сказать, что у меня с синхронизацией - я думал, что синхронизация происходит автоматически по умолчанию, но ...

Вот я создал профиль пользователя Template, расположил его на расшаренном ресурсе. Настроил. Потом еще выполнил копирование этого преднастроенного профиля в папку друго пользователя Template1. При локальном входе на сервере (пришлось эту возможность включать) все настройки такие же, как у шаблона Template. Казалось бы, задача выполнена.
Однако при входе с рабочей станции Win7, присоединенной к домену, ничего от этих настроек нет и впомине. Обнаруживаю, что в расшаренной для профилей папке создается второй сетевой профиль Template.V2 и Template1.V2 соответственно. Вот чешу репу, нужно ли поднимать WinXP для опытов.

[Iska]

Цитата Той Серью:

Как я вычитал в учебнике, начиная с 2003 локальный (который в любом случае создается в Docements and Settings на локальном, обычно системном диске) и сетевой профили синхронизируются. При изменении на одном из профилей сделанные изменения дублируются на локальный и наоборот. Таким образом ускоряется работа с сетевыми профилями по сравнению с pre-2003 системами (ранее их администраторы не любили). И документы вроде бы не теряются для пользователя при отказавшей сети? »

С появлением службы каталогов — Windows 2000 Server в качестве сервера и Windows 2000 Professional в качестве клиента, если мне не изменяет память. Да, документы не теряются.

[Той Серью]

Ну что, докладаю, видимо, никто такие вещи не замечал, хотя семерочные хосты же работают под управлением 2003-го сервера? Так вот, в семерке преднастроенный профиль с шары 2003 не отрабатывается, по крайней мере Рабочий стол, и вообще, семерке профиль, созданный для нее 2003-м сервером, не нравится, поэтому и создается параллельно сетевой профиль в папке %username%.V2
Но если зайти под юзером домена с сетевым профилем на рабочей станции ХР, то используется созданная изначально папка, рабочий стол получаем такой, каким мы его настроили в профиле на сервере.

Что еще интересно, поскольку соблюдая какие-то там этические нормы, Майкрософт не позволяет Администратору подсматривать за рабочим столом и документами пользователя, и его папка сетевого профиля недоступна для просмотра (доступ запрещен, можно только сменить владельца), но! локальный-то профиль просмотреть можно, а он синхронизируется с сетевым.
Что это, дыра? В чем смысл запрета чтения Администратору?

[Iska]

Цитата Той Серью:

Что еще интересно, поскольку соблюдая какие-то там этические нормы, Майкрософт не позволяет Администратору подсматривать за рабочим столом и документами пользователя, и его папка сетевого профиля недоступна для просмотра (доступ запрещен, можно только сменить владельца), но! локальный-то профиль просмотреть можно, а он синхронизируется с сетевым. Что это, дыра? В чем смысл запрета чтения Администратору? »

Пользовательские профили и их управление. Часть 2:

Цитата:

Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя. Данный параметр групповой политики используется для добавления группы безопасности «Администраторы» в общий ресурс с перемещаемым профилей пользователя, а также для назначения полного доступа. После того как вы настроите перемещаемый пользовательский профиль, он будет создан при следующем входе пользователя в систему в указанном вами расположении. Если параметр отключен или не задан, то только пользователь получит полный доступ к своему профилю, а у группы администраторов не будет доступа к файлам, а если данный параметр включен, то группа администраторов также будет иметь все права доступа к папке профиля пользователя. Если вы включите данный параметр после создания профиля, то не будет влиять на созданный ранее профиль. …

[El Scorpio]

Цитата Той Серью:

Ну что, докладаю, видимо, никто такие вещи не замечал, хотя семерочные хосты же работают под управлением 2003-го сервера? Так вот, в семерке преднастроенный профиль с шары 2003 не отрабатывается, по крайней мере Рабочий стол, и вообще, семерке профиль, созданный для нее 2003-м сервером, не нравится, поэтому и создается параллельно сетевой профиль в папке %username%.V2 »

Дело в том, что Windows Vista и последующие версии Windows используют другой формат пользовательского профиля (тот самый V2).
Посему в целях обеспечения совместимости с предыдущими версиями (2000, XP и 2003) Windows 7 для перемещаемого профиля создаёт и использует каталог с расширением .V2. То есть клиентские компьютеры Windows XP загружают профиль из каталога %Username%, а клиентские компьютеры Windows 7 загружают профиль из каталога %Username%.V2
При этом групповые политики могут применять перенаправление папок "Мои документы", "Рабочий стол" и "Application data" для обоих типов профилей, обеспечивая доступ к единому набору файлов для профилей всех версий.

[Опиум]

тут уже писали, что когда юзеры не брезгут на рабочем столе (читай в профиле) размещать огромные медиаданные, папки с фотками и фильмами... путь даже корпоративными...???

при перемещаемых профилях все это жутко тормозит.

я считаю что гибель локального диска у пользователя, это своего рода самоочистка: почта не теряется, корпоративные доки тоже в шарах на сервере похорошему.
т.е. по сути ничего важного как-правило не теряется.

[paranoya]

Цитата Опиум:

при перемещаемых профилях все это жутко тормозит. »

Ничего не тормозит, если использоваться связку перемещаемый профиль и перенаправление папок. При этом имея Win 2008 и выше можно использовать file screening и навсегда запретить юзерам хранить фотки и видео на рабочем столе.
Гибель диска = простой юзера = потеря денег фирмой. К тому-же юзер может хранить промежуточные данные у себя на диске, что только увеличивает сумму потерь.