Hồ sơ người dùng bắt buộc là một loại hồ sơ người dùng chuyển vùng được định cấu hình trước đặc biệt mà chỉ quản trị viên mới có thể thay đổi được. Người dùng đã được chỉ định một hồ sơ bắt buộc có thể làm việc trong Windows như bình thường trong phiên đăng nhập, nhưng không có thay đổi nào được lưu vào hồ sơ sau khi người dùng đăng xuất. Ở lần đăng nhập tiếp theo, hồ sơ bắt buộc được tải không thay đổi.
Thư mục có hồ sơ bắt buộc có thể được đặt trên thư mục chia sẻ mạng và được gán cho nhiều người dùng miền cùng một lúc:ví dụ:cho người dùng máy chủ đầu cuối (RDS), ki-ốt thông tin hoặc người dùng không cần hồ sơ cá nhân (học sinh, sinh viên, du khách). Quản trị viên có thể định cấu hình chuyển hướng thư mục cho các cấu hình bắt buộc và người dùng có thể giữ các tệp cá nhân trên máy chủ tệp (tất nhiên, bạn nên bật hạn ngạch đĩa bằng NTFS hoặc FSRM) để ngăn người dùng lưu trữ các tệp không quan trọng trong các thư mục được chuyển hướng ).
Các loại Hồ sơ Người dùng Bắt buộc trong Windows
Có hai loại hồ sơ người dùng bắt buộc trong Windows:
- Hồ sơ người dùng bắt buộc bình thường - quản trị viên đổi tên tệp NTuser.dat (chứa tổ hợp đăng ký người dùng HKEY_CURRENT_USER) thành NTuser.man. Khi sử dụng Ntuser.man, hệ thống sẽ giả định rằng hồ sơ này ở chế độ chỉ đọc và không lưu bất kỳ thay đổi nào đối với hồ sơ đó. Nếu hồ sơ bắt buộc được lưu trữ trên máy chủ từ xa và máy chủ không khả dụng, người dùng có thể đăng nhập bằng phiên bản đã lưu trong bộ nhớ cache của hồ sơ bắt buộc;
- Hồ sơ người dùng siêu bắt buộc - khi sử dụng loại hồ sơ này, thư mục chứa hồ sơ người dùng được đổi tên và phần mở rộng .man được thêm vào cuối tên thư mục. Người dùng có loại hồ sơ này sẽ không thể đăng nhập nếu máy chủ, nơi lưu trữ hồ sơ của họ, không khả dụng.
Một số trường hợp cho phép sử dụng cấu hình bắt buộc đối với người dùng cục bộ, chẳng hạn như trên máy tính công cộng (ki-ốt, phòng họp, v.v.) thay vì sử dụng bộ lọc UWF. Mọi người dùng đều có thể làm việc trong cùng một môi trường và không có thay đổi nào được lưu khi người dùng đăng xuất.
Bây giờ, chúng tôi sẽ hướng dẫn cách tạo hồ sơ bắt buộc bình thường trong Windows 10 và gán hồ sơ đó cho người dùng. Trong ví dụ này, chúng tôi sẽ xem xét cách tạo hồ sơ người dùng bắt buộc trên máy tính cục bộ (hồ sơ sẽ được lưu trữ trên ổ đĩa cục bộ), tuy nhiên, chúng tôi sẽ giải thích cách chỉ định hồ sơ người dùng bắt buộc cho các tài khoản miền.
Cách Tạo Hồ sơ Người dùng Bắt buộc trong Windows 10
- Đăng nhập vào máy tính bằng tài khoản quản trị viên và khởi động Bảng điều khiển Nhóm và Người dùng Cục bộ ( lusrmgr.msc );
- Tạo một tài khoản mới, ví dụ: ConfRoom;
- Bây giờ bạn cần sao chép cấu hình mặc định vào một thư mục riêng biệt với một phần mở rộng nhất định. Vì chúng tôi đang sử dụng Windows 10 1703, thư mục này phải có V6 hậu tố. Ví dụ:tên của thư mục sẽ là C:\ ConfRoom.V6;
- Mở Thuộc tính Hệ thống ( SystemPropertiesAdvanced.exe );
- Trong Hồ sơ Người dùng , nhấp vào Cài đặt ;
- Chọn Cấu hình mặc định và nhấp vào Sao chép sang ;
- Chọn C:\ ConfRoom.V6 dưới dạng thư mục để sao chép hồ sơ vào (hoặc bạn có thể sao chép mẫu hồ sơ vào thư mục chia sẻ mạng trên máy chủ tệp bằng cách chỉ định đường dẫn UNC, ví dụ:\\ lon-fs01 \ profiles \ ConfRoom.V6).
- Chọn NT AUTHORITY \ Authenticated Users trong các quyền.
Cách chỉ định hồ sơ bắt buộc cho người dùng
Giờ đây, bạn có thể chỉ định hồ sơ bắt buộc cho người dùng mà bạn muốn.
Nếu bạn đang sử dụng hồ sơ bắt buộc cục bộ, hãy đi tới Hồ sơ tab thuộc tính người dùng và chỉ định đường dẫn đến thư mục C:\ ConfRoom.v6 trong Đường dẫn hồ sơ trường.
Nếu bạn định cấu hình hồ sơ người dùng bắt buộc chuyển vùng trong miền AD, bạn cần chỉ định đường dẫn UNC đến thư mục có hồ sơ trong thuộc tính tài khoản trong bảng điều khiển ADUC.
Sau đó đăng nhập vào hệ thống bằng tài khoản người dùng mới và thực hiện tất cả các cài đặt cần thiết (chọn giao diện, đặt các phím tắt, tệp cần thiết, cấu hình phần mềm, v.v.).
Mẹo . Bạn không thể sử dụng các tệp XML để định cấu hình Bố cục Bắt đầu và Thanh tác vụ cho các cấu hình chuyển vùng.Kết thúc phiên người dùng và đăng nhập bằng tài khoản quản trị viên. Sau đó, đổi tên NTUSER.dat vào NTUSER.man trong thư mục hồ sơ người dùng.
Bây giờ, hãy thử đăng nhập vào hệ thống với tư cách là người dùng với hồ sơ bắt buộc và đảm bảo rằng sau khi bạn đăng xuất, không có thay đổi nào được lưu trong hồ sơ.
Nếu sau khi đăng nhập bằng hồ sơ người dùng bắt buộc, bạn gặp lỗi:
The User Profile Service service failed the sign-in. User profile cannot be loaded.
Và sự kiện sau xuất hiện trong nhật ký hệ thống:
Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.
Đảm bảo rằng các quyền sau được gán cho thư mục hồ sơ (với sự kế thừa quyền cho tất cả các đối tượng con):
- TẤT CẢ CÁC GÓI ỨNG DỤNG - Toàn quyền kiểm soát (Start Menu không hoạt động bình thường nếu không có nó);
- Người dùng được xác thực - Đọc và Thực thi;
- HỆ THỐNG - Toàn quyền kiểm soát;
- Quản trị viên - Toàn quyền kiểm soát.
Các quyền tương tự phải được chỉ định cho tổ đăng ký người dùng bằng cách tải tệp hồ sơ ntuser.dat bằng Tệp -> Tải Hive trong regedit.exe.
Khi sử dụng cấu hình chuyển vùng, để menu Bắt đầu hiển thị chính xác trên tất cả các thiết bị, bạn cần đặt khóa REG_DWORD với tên SpecialRoamingOverrideAllowed và giá trị 1 trong phần HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ của sổ đăng ký.
Nếu bạn cần thay đổi cấu hình bắt buộc, hãy đổi tên ntuser.man thành ntuser.dat và định cấu hình môi trường trong tài khoản người dùng. Sau đó đổi tên tệp một lần nữa.
Khi sử dụng hồ sơ bắt buộc trên máy chủ RDS, bạn có thể sử dụng Chính sách nhóm sau, trong đó bạn có thể chỉ định đường dẫn đến thư mục hồ sơ và cho phép sử dụng hồ sơ bắt buộc. Phần GPO tương ứng là: Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Dịch vụ máy tính từ xa -> Máy chủ phiên máy tính từ xa -> Cấu hình .
- Sử dụng cấu hình bắt buộc trên máy chủ Máy chủ phiên RD =Đã bật;
- Đặt đường dẫn cho Hồ sơ Người dùng Chuyển vùng Dịch vụ Máy tính Từ xa =Đã bật + chỉ định đường dẫn UNC.
Xin lưu ý rằng nếu bạn quyết định sử dụng chuyển hướng thư mục cùng với cấu hình bắt buộc, thì bạn không nên chuyển hướng thư mục AppData (Chuyển vùng).