Один профиль на двух пользователей

divan1 пт, 11 дек 2009 - 12:16
Windows Server
Windows

Задача

В конторе одно-ранговая сеть. Решено делать домен(Active Directory) и всех пользователей и компьютеры загонять в домен. При этом надо сохранить локальные настройки всех пользователей. В идеале надо сделать так, чтобы пользователь даже не понял что что-то произошло :)

Решение

Будем считать что есть сотрудник Иванов И.И., на локальном компьютере он работает под пользователем "local_user". В домене его имя будет "ivanov_ii"(полное имя ivanov_ii@domain.local).

  1. Создаём в домене пользователя "ivanov_ii".
  2. Вводим компьютер в домен "domain.local".
  3. Входим в систему под локальным пользователем "local_user"(если у него нет прав админа их желательно дать на время проведения операций).
  4. Выполняем команду: runas /user:ivanov_ii@domain.local notepad. Ждем появление блокнота и закрываем его.
    Эта, казалось-бы бестолковая, операция создаст запись о профиле в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  5. Настроим доменного пользователя ivanov_ii, на использование профиля локального пользователя local_user.
    1. Даём доменному пользователю ivanov_ii, права на папку с профилем локального пользователя. Подсказка: в проводнике, в строке "Адрес:" напишите %USERPROFILE% и <Enter> - окажетесь в той самой папке.
    2. Запускаем regedt32.exe
    3. Добавляем права(полный доступ) доменному пользователю ivanov_ii на ветвь HKEY_CURRENT_USER.
      Добавляем права только чтение доменному пользователю ivanov_ii на ветвь HKEY_CURRENT_USER\Software\Policies и полный доступ на HKEY_CURRENT_USER\Software\Classes.
    4. Правим путь к профилю, для доменного пользователя. Для этого находим раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[SID-доменного-пользователя]. Значение параметра ProfileImagePath изменим так, чтобы оно указывало на папку с профилем локального пользователя.
      По поводу [SID-доменного-пользователя] можно не парится, достаточно перебрать все подпапки в ProfileList и следить за значением параметра ProfileImagePath. Где параметр заканчивается именем доменного пользователя(в нашем случае ivanov_ii), значит эта ветка и описывает его профиль.
    5. Закрываем редактор реестра.
  6. Всё! Выполняем выход из системы.
  7. Входим доменным пользователем ivanov_ii.
  8. ???????
  9. PROFIT!

Если есть желание настроить профиль для нескольких пользователей, то имеет смысл создать локальную группу безопасности. И права выдавать уже этой группе, а не отдельным пользователям. А нужных пользователей(как доменных так и локальных) уже добавлять в эту группу, не забывая выполнять пункт 5.4.