В реестре профиль пользователя


Как корректно удалить профиль пользователя с терминального сервера на Windows Server 2008

WinITPro.ru  /  Windows Server 2008  /  Как корректно удалить профиль пользователя с терминального сервера на Windows Server 2008

09.08.2012 itpro Windows Server 2008 комментариев 7

Достаточно часто при работе на терминальном сервере для решения проблем пользователей приходится удалять их профили, тем самым при следующем входе пользователя будет создан новый чистый профиль. Однако многие системные  администраторы Windows при переходе с Windows 2003 на Windows 2008 сталкиваются с тем, что удаление профиля в этих ОС необходимо выполнять по разному. Если в Windows Server 2003  было достаточно удалить профиль пользователя из каталога C:\Documents and Settings, то в Windows 2008 не все так просто.

Во-первых, как вы знаете, в Windows Server 2008, Windows Vista и Windows 7 локальные профили пользователей хранятся в каталоге C:\Users. Кроме того, эти ОС  ведут учет всех локальных профилей в веке реестра “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList” Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел.  Имя подраздела – это SID учетной записи пользователя. Сопоставить имя пользователя и SID можно с помощью PsGetSid так, или же просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.

Что будет, если просто удалить каталог с профилем пользователя?

Что же будет, если удалить каталог с профилем пользователя в Windows 2008 или Windows 7 (C:\Users\”Username”) без модификации реестра? После удаления профиля, при следующем входе пользователя в системном трее появится сообщение, говорящее о том, что Windows не смогла загрузить профиль пользователя и пользователь будет работать с временным профилем.

Event ID 1511.Your user profile was not loaded correctly. You have been logged on with a temporary profile. Changes you make to this profile will be lost when you log off. Please see the event log for details or contact your administrator.

А как вы знаете, временный профиль Windows – это профиль, который загружается при наличии проблем с нормальным профилем, и который при завершении сеанса, не сохраняется.

Как же корректно удалить профиль пользователя в Windows 2008?

Воспользуйтесь одним из следующих методов удаления профиля:

  1. Удалите каталог с профилем пользователя И соответствующую ему ветку реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  2. Откройте Пуск > Выполнить и наберите sysdm.cpl. Перейдите на вкладку Advanced, затем в разделе User Profiles  нажмите кнопку Settings и удалите нужный (или ненужный :)) вам профиль пользователя.

Поздно,  я уже удалил каталог с профилем пользователя, что делать?

Не беспокойтесь, к счастью, Windows достаточно умна. Если система находит в реестре в ветке ProfileList,  SID пользователя, с которым не ассоциирован ни один каталог с профилем пользователя (C:\Users\”username”), она создает резервную копию этой ветки с расширением .bak. Просто удалите эту резервную ветку.

Предыдущая статья Следующая статья

winitpro.ru

Исследуем профили

Профиль пользователя загружается, когда пользователь входит в систему, и выгружается при выходе пользователя из нее. Профиль содержат  настройки реестра (куст реестра), которые к нему добавляются при загрузке  профиля. Но профиль пользователя — это не только куст реестра, но и  совокупность различных папок, хранящих много различной информации — от служебных файлов системы до личных файлов пользователя. В этом разделе мы подробно рассмотрим профиль пользователя.

Обычно профили пользователей находятся в каталоге %SYSTEMDRIVE% Documents and Settings (например, C:Documents and Settings).

Примечание

При обновлении ОС, например, с Windows NT 4.0 до Windows XP, профили пользователей будут находиться в каталоге SSYSTEMROOT%Profiles.

Список профилей пользователей хранится в реестре в разделе HKEY_LOCAL_ MACHlNESOFTWAREMicrosoftWindows NTCunentVersionProfileList.

Каждый подраздел этого раздела описывает отдельный профиль пользователя.

Имя раздела соогветствует SID пользователя. В каждом разделе, описывающем профиль, находится параметр ProfilelmagePath типа REG_SZ, содержащий название домашнего каталога пользователя.

В каждом профиле есть файл Ntuser.dat. Этот файл, как мы уже знаем, является файлом куста профиля пользователя. При загрузке профиля Windows загружает данный файл в подключ HKU, где SID — это  идентификатор безопасности пользователя. После этого Windows связывает ключ HKCU c HKUVSID.

Профиль пользователя, кроме файла куста, включает в себя названия  служебных папок и их содержимое:

Ø  Application Data — файлы приложений. Содержимое подкаталогов этого каталога зависит от установленных программ. Каждая программа сама решает, что хранить в этом каталоге;

Ø  Cookies — Cookies пользователя для Internet Explorer;

Ø  Desktop — ярлыки, файлы и папки рабочего стола. Практически все  (кроме служебных пиктограмм, таких как Мой компьютер. Корзина), что находится на рабочем столе, хранится в этой папке;

Ø  Local Settings — файлы приложений, которые не перемещаются вместе с профилем пользователя по сети. Обычно здесь находятся или  общекомпьютерные файлы (одинаковые для всех пользователей), или файлы,  которые слишком велики для копирования по сети. В данном каталоге есть четыре подкаталога:

Ø  Application Data — содержит данные приложений. Например, в Local SettingsApplication DataNFS Underground 2 содержатся пользовательские файлы игры Need For Speed;

Ø  History — содержит историю адресов IЕ;

Ø  Temp — содержит временные файлы пользователя;

Ø  Temporary Internet Files — включает в себя кэшированные файлы IE;

Ø  NetHood — содержит ярлыки объектов, расположенных в сети.  Пользователи видят эти ярлыки в папке Сетевое окружение;

Ø  PrintHood — содержит ярлыки принтеров. Пользователи видят эти ярлыки в папке Принтеры;

Ø  Recent — в этом каталоге находятся ярлыки на недавние документы;

Ø  SendTo — содержит ярлыки дисков, папок и приложений, которые  способны принять целевой файл. Эти ярлыки пользователь видит в  контекстном меню Отправить в...;

Ø  Главное меню — содержит папки и ярлыки главного меню (меню Пуск) пользователя;

Ø  Избранное (Favorites) — каталог содержит избранные ссылки Internet Explorer. Содержимое этого каталога отображается в меню Избранное браузера IE;

Ø  Мои документы — используется для хранения документов пользователя. Содержит подкаталоги Мои рисунки, Моя музыка и некоторые другие для хранения, соответственно, графических и музыкальных файлов пользователя, а также файлов с другим содержанием. Кроме этого,  некоторые приложения сохраняют файлы, созданные пользователем, в  подкаталогах этого каталога, например, ICQ Lite хранит историю переписки и другие параметры учетной записи пользователя в каталоге Мои документы МСО Lite;

Ø  Шаблоны — хранит пользовательские шаблоны MS Office.

Некоторые из этих каталогов скрыты, поэтому для их отображения нужно включить отображение скрытых файлов и каталогов.

Кроме упомянутых ранее, в реестре есть еще один очень интересный раздел — HKCLSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders. Если в него заглянуть, то вы найдете в нем размещение каждой из папок, которая является частью профиля пользователя.

reestrwin.evgb4.ru

Служба профилей пользователей препятствует входу в систему

21.05.2015  windows

Если при входе в Windows 7 вы видите сообщение о том, что служба профилей пользователей препятствует входу в систему, то как правило, это является следствием того, что происходит попытка входа с временным профилем пользователя и она не удается. См. также: Вы вошли в систему с временным профилем в Windows 10, 8 и Windows 7.

В этой инструкции опишу шаги, которые помогут исправить ошибку «Невозможно загрузить профиль пользователя» в Windows 7. Обратите внимание, что сообщение «Вход в систему выполнен с временным профилем» можно исправить точно теми же способами (но есть нюансы, которые будут описаны в конце статьи).

Примечание: несмотря на то, что первый описываемый способ является основным, я рекомендую начать со второго, он проще и вполне возможно поможет решить проблему без лишних действий, которые к тому же могут быть не самыми простыми для начинающего пользователя.

Исправление ошибки с помощью редактора реестра

Для того, чтобы исправить ошибку службы профилей в Windows 7, прежде всего потребуется войти в систему с правами Администратора. Самый простой вариант для этой цели — загрузить компьютер в безопасном режиме и использовать встроенный аккаунт Администратора в Windows 7.

После этого запустите редактор реестра (нажать клавиши Win+R на клавиатуре, ввести в окно «Выполнить» regedit и нажать Enter).

В редакторе реестра перейдите к разделу (папки слева — это разделы реестра Windows) HKEY_LOCAL_MACHINE\ Software \Microsoft \Windows NT \CurrentVersion \ProfileList\ и раскройте этот раздел.

Затем по порядку выполните следующие действия:

  1. Найдите в ProfileList два подраздела, начинающихся с символов S-1-5 и имеющих много цифр в имени, один из которых заканчивается на .bak.
  2. Выберите любой из них и обратите внимание на значения справа: если значение ProfileImagePath указывает на папку вашего профиля в Windows 7, то это именно то, что мы искали.
  3. Кликните правой клавишей мыши по разделу без .bak в конце, выберите «Переименовать» и добавьте в конце имени что-то (но не .bak). В теории, можно и удалить этот раздел, но я бы не рекомендовал делать это раньше, чем вы убедитесь, что ошибка «Служба профилей препятствует входу» исчезла.
  4. Переименуйте раздел, имя которого в конце содержит .bak, только в данном случае удалите «.bak», так чтобы осталось только длинное имя раздела без «расширения».
  5. Выберите раздел, имя которого теперь не имеет .bak в конце (из 4-го шага), и в правой части редактора реестра кликните по значению RefCount правой кнопкой мыши — «Изменить». Введите значение 0 (ноль). 
  6. Аналогичным образом установите 0 для значения с именем State.

Готово. Теперь закройте редактор реестра, перезагрузите компьютер и проверьте, была ли исправлена ошибка при входе в Windows: с большой вероятностью, сообщений о том, что служба профилей препятствует чему-либо, вы не увидите.

Решаем проблему с помощью восстановления системы

Один из быстрых способов исправить возникшую ошибку, который, правда, не всегда оказывается работоспособным — использовать восстановление системы Windows 7. Порядок действий таков:

  1. При включении компьютера нажимайте клавишу F8 (так же, как для того, чтобы зайти в безопасный режим).
  2. В появившемся меню на черном фоне выберите первый пункт — «Устранение неполадок компьютера».
  3. В параметрах восстановления выберите пункт «Восстановление системы. Восстановление ранее сохраненного состояния Windows.» 
  4. Запустится мастер восстановления, в нем нажмите «Далее», а затем — выберите точку восстановления по дате (то есть следует выбрать ту дату, когда компьютер работал как следует).
  5. Подтвердите применение точки восстановления.

По окончании восстановления, перезагрузите компьютер и проверьте, появляется ли вновь сообщение о том, что имеются проблемы со входом в систему и невозможно загрузить профиль.

Другие возможные варианты решения проблемы со службой профилей Windows 7

Более быстрый и не требующий редактирования реестра способ исправить ошибку «Служба профилей препятствует входу в систему» — зайти в безопасном режиме с помощью встроенного аккаунта Администратора и создать нового пользователя Windows 7.

После этого, перезагрузите компьютер, войдите под вновь созданным пользователем и, при необходимости, перенесите файлы и папки от «старого» (из C:\Users\Имя_Пользователя).

Также на сайте Microsoft присутствует отдельная инструкция с дополнительными сведениями об ошибке, а также утилитой Microsoft Fix It (которая как раз удаляет пользователя) для автоматического исправления: https://support.microsoft.com/ru-ru/kb/947215

Вход в систему выполнен с временным профилем

Сообщение о том, что вход в Windows 7 был выполнен с временным профилем пользователя может означать, что в следствие каких-либо изменений, которые вы (или сторонняя программа) сделали с текущими настройками профиля, он оказался поврежден.

В общем случае, чтобы исправить проблему, достаточно использовать первый или второй способ из этого руководства, однако в разделе реестра ProfileList в данном случае может не оказаться двух одинаковых подразделов с .bak и без такого окончания для текущего пользователя (будет только с .bak).

В этом случае достаточно просто удалить раздел состоящий из S-1-5, цифр и .bak (правый клик мышью по имени раздела — удалить). После удаления, перезагрузите компьютер и войдите снова: в этот раз сообщений о временном профиле появиться не должно.

А вдруг и это будет интересно:

remontka.pro

Меняем месторасположение профилей в Windows 7 | Реальные заметки Ubuntu & Mikrotik

По умолчанию если мы ставим систему, профили пользователей располагаются на том же самом диске что и система: (обычно это системный диск C:)

C:\Users\

, но как быть, если на системном диске заканчивается место.

К примеру, под системный раздел было HDD 20 Gb,  подключаем диск на 30 Gb и переопределяем где размещать профили пользователей:

Исходная система: Windows 7

Зайдём в систему под учётной записью Администратора (ekzorchik), далее нажимаем клавиатурное сокращение (Win + R) для вызова меню «Выполнить» и набираем regedit.exe (Редактор Реестра).

По умолчанию пути настройки профилей определены в реестре по следующему пути:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\ProfileList

ProfilesDirectory — по умолчанию %SystemDrive%\Users (,т.е C:\Users)

См. скриншот ниже.

Чтобы переназначить создание последующих профилей в системе, внесём изменения в реестр посредством командной строки:

C:\Users\ekzorchik>REG ADD «HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\ProfileList» /v ProfilesDirectory /t REG_EXPAND_SZ /d d:\Users

Параметр ProfilesDirectory уже существует, заменить (Y — да/N — нет)? Y

Операция успешно завершена.

Создадим пользователя Derek:

C:\Users\ekzorchik>net user Derek Aa1234567 /add

Перезагрузим систему и зайдём под созданным пользователем. И видим, что профиль пользователя уже располагается по новому пути:

D:\Users\derek>

, но те учётные записи которые уже заходили в систему, перенести, таким образом, не получится.

Данный способ хорош, когда система только вводится в эксплуатацию и нужно выделить под систему место и не засорять системный диск профилями пользователей. На этом всё, удачи!!!

www.ekzorchik.ru

Восстановление пути к файлам профиля пользователя Windows 2000/XP

  2 февраля 2012,  Павел Данилов

После очередного случая несанкционированного пользователем изменения пути к профилю пользователя в операционной системе Windows, с которым мне пришлось столкнуться буквально пару дней назад, я решил написать эту статью. Возможно, она кому-то поможет. Данный сбой характерен для Windows 2000/XP. Чаще всего, возникает на компьютерах, подключенных к домену, особенно, если профили пользователей хранятся на сервере. Однако и на домашних компьютерах, не введенных в домен такое тоже бывает. Данная статья именно для домашних пользователей.

Симптомами этой проблемы, как правило, бывают:

  • неожиданно изменившийся вид рабочего стола Windows (изменились на обои – на однотонную заливку, пропал значок переключения языка в трее, пропали значки с рабочего стола и т.п.),
  • сброшенные настройки профиля,
  • урезанные до минимума права пользователя (невозможно редактировать реестр, не устанавливаются программы, не сохраняются настройки и т.п.). 

В первую очередь, пользователи замечают именно пропажу значков с рабочего стола и из системного трея. При наличии таких симптомов следует проверить путь к профилю пользователя. Для этого зайдите в каталог «%SystemDrive%\Documents and Settings\» (%SystemDrive% – это системный диск, как правило, диск C:). При настройках по умолчанию там находятся папки, которые названы так же, как называются пользователи системы. Если среди них появилась папка TEMP, в которой находятся файлы и объекты, которые лежат на рабочем столе и в документах пострадавшего пользователя вместо тех, которые он потерял (пути: «%SystemDrive%\Documents and Settings\TEMP\Рабочий стол» и «%SystemDrive%\Documents and Settings\TEMP\Мои документы»), то вы можете смело считать, что ваш компьютер стал жертвой именно той болезни, которая описывается в данной статье – несанкционированной смены пути к профилю пользователя.

А где же все пропавшие файлы? Да вот же они мирно лежат в соседней папке – «%SystemDrive%\Documents and Settings\[имя пострадавшего пользователя]». Чаще всего, с ними ничего не происходит (хотя бывает и по-другому, но восстановление файлов – тема для отдельной статьи). Перед нами стоит задача указать ОС Windows правильный путь к нашему профилю пользователя, который она отчего-то сменила.

Причины изменения пути к профилю пользователя Windows 2000/XP могут быть различны. Однако все они сводятся к тому, что в какой-то момент времени во время загрузки система не смогла получить доступа к файлам профиля загружаемого пользователя и не смогла создать новый. Это может быть из-за переполнения диска данными или из-за физической неисправности носителя, из-за действий вируса или неграмотных действий самого пользователя. Вариантов много, а итог – смена папки, где хранятся файлы профиля на временную.

Лечение этого недуга связано с редактированием реестра. Поэтому необходимо зайти на ПК под именем пользователя, имеющего права администратора. Можно попробовать сделать это в безопасном режиме. В крайнем случае, можно воспользоваться редакторами реестра, которые загружаются с загрузочных дисков, например Hiren’s Boot CD. Через них можно редактировать реестр в системе, не загружая ее.

Хочу сразу попросить всех, кто будет опираться на эту статью при своем восстановлении исходного пути к профилю пользователя Windows, - сделайте копию реестра, чтобы потом не было мучительно больно и обидно. Даже если вы все сделаете правильно, нет никакой гарантии, что не произойдет что-то непредвиденное. Еще я бы рекомендовал сделать копию файлов из исходного профиля пользователя, который находится в «%SystemDrive%\Documents and Settings\[имя пострадавшего пользователя]». Как правило, ничего не случается, но береженого…

Итак, открываем редактор реестра. Если вам удалось зайти в вашу систему с правами администратора, то вам достаточно нажать Win+R и  в появившемся окне набрать команду «regedit». В открывшемся редакторе реестра следует найти ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\. В этой ветке будет несколько папок. Названия они имеют не слишком понятные. Что-то типа S-1-5-21-448539723-796845957-1801674531-1003. Это профили тех пользователей, которые есть на вашем ПК. Для того, чтобы определить, какой из них наш нам придется просмотреть по очереди каждую из этих папок. В них есть ключ «ProfileImagePath». Значение этого ключа содержит путь к папкам профиля, за который отвечает данная папка. В нашем случае нужно отыскать две папки с путями к профилю: «%SystemDrive%\Documents and Settings\TEMP» и «%SystemDrive%\Documents and Settings\[имя пострадавшего пользователя]». Обратите внимание, что эти папки имеют почти идентичные названия, только к названию той, чей параметр «ProfileImagePath» – «%SystemDrive%\Documents and Settings\[имя пострадавшего пользователя]» добавлено «.bak».

Для начала удаляем папку, где содержится путь «%SystemDrive%\Documents and Settings\TEMP», а потом удаляем «.bak» из названия оставшейся папки, содержащей изначальный вариант пути к профилю пользователя Windows.

После этого перезагружаем компьютер и наслаждаемся видом восстановленного профиля пользователя.

www.cdmail.ru

Профили пользователей изнутри

15.05.2004 Даррен Мар-Элиа

Если спросить у администраторов систем Windows, что создает наибольшие сложности в их работе, многие вспомнят о проблемах, связанных с профилями пользователей. Если же говорить о перемещаемых (roaming) профилях, то затруднения возникают у 80-90% администраторов. Несмотря на все усилия, предпринимаемые Microsoft при выпуске каждой версии Windows, пользовательские профили все еще остаются слабым местом системы. Давайте посмотрим, как, по замыслу разработчиков, должны функционировать пользовательские профили, а также что происходит при создании профиля и при его записи на сервер. Тогда станет ясно, какие проблемы могут возникнуть при выполнении этих действий и каким образом их можно избежать.

Что такое профиль пользователя

Пользовательский профиль представляет собой множество файлов и папок, в которых Windows хранит персональные настройки пользователя. Так, составными частями профиля являются настройки Microsoft Outlook и все ярлыки, размещенные пользователем на рабочем столе. Вообще в профиле хранятся все пользовательские настройки Windows и приложений, с которыми работает пользователь.

В Windows предусмотрено три вида профилей пользователя — локальные (local), перемещаемые (roaming) и обязательные (mandatory). Каждый регистрирующийся на рабочей станции Windows пользователь имеет собственный локальный профиль, который по умолчанию хранится в папке \%systemroot%documents and settings\%username% (например, C:documents and settingsjoesmith) для систем Windows Server 2003, Windows XP и Windows 2000 или в папке \%systemroot%profiles\%username% — для компьютеров Windows NT 4.0.

Перемещаемый профиль пользователя, как следует из его названия, применяется на любой рабочей станции, с которой данный пользователь регистрируется в сети. Для этого Windows копирует локальный профиль пользователя в специальный общий каталог на сервере каждый раз при завершении пользователем сеанса работы в сети. Если у пользователя нет перемещаемого профиля, то при регистрации в сети с различных рабочих станций он может иметь разные настройки рабочего стола. Поэтому если в сети пользователи часто регистрируются с разных рабочих станций и при этом должны иметь на них одни и те же настройки, следует настроить перемещаемые профили. Чтобы сделать локальный профиль пользователя перемещаемым, в Windows 2000 и более поздних версиях достаточно изменить объект пользователя в Active Directory и указать путь разделяемого каталога на сервере для хранения перемещаемых профилей в нотации UNC (например, s3gpo1profilesdarren, см. экран 1). После указания пути в объекте пользователя система сохраняет профиль на сервере при следующем завершении сеанса.

Экран 1. Задание пути перемещаемого профиля для пользователя в AD

Обязательный профиль пользователя представляет собой разновидность перемещаемого профиля. Обязательный профиль гарантирует, что каждый пользователь в данной среде имеет одинаковый профиль. Имеются две разновидности обязательного профиля — обычный и принудительный (super mandatory profile). Обычный обязательный профиль не позволяет пользователям менять настройки приложений, но при этом допускает создание новых ярлыков на рабочем столе и сохранение документов в папке «Мои документы». Принудительный обязательный профиль не позволяет вносить какие бы то ни было изменения в настройки. Обязательные профили обычно применяются в тех случаях, когда необходим строгий контроль над действиями пользователей.

Независимо от вида пользовательского профиля, следует помнить, что пользователь всегда работает с локальной копией профиля, размещаемой в папке \%systemroot%documents and settings\%username% (или %systemroot%profiles\%username% в Windows NT 4.0). Даже если пользователь имеет перемещаемый профиль, при регистрации в системе рабочая станция создает локальную копию профиля, и все последующие изменения, которые выполняет пользователь во время сеанса, сохраняются в локальной папке. Запись изменений в перемещаемый профиль пользователя на сервере происходит при завершении сеанса, но по умолчанию на рабочей станции локальная копия профиля пользователя сохраняется. Таким образом, если перемещаемый профиль не изменился и пользователь повторно регистрируется на той же рабочей станции, работа происходит с сохраненной локальной копией профиля без повторной загрузки с сервера. Механизм этого процесса будет рассмотрен ниже.

Теперь давайте посмотрим, как происходит обработка пользовательского профиля системой. Как уже было сказано выше, в профиле хранятся различные пользовательские настройки, а также ярлыки. Имя каталога, в котором хранятся профили, говорит само за себя — documents and settings. В разделе документов могут храниться различные файлы — ярлыки, документы Word, временные файлы Internet, конфигурационные файлы приложений и т. п. Если взглянуть на профиль обычного пользователя через Windows Explorer, мы увидим структуру, подобную изображенной на экране 2 .

Как показано на экране 2, пользовательские данные в профиле пользователя хранятся всего в нескольких папках. Так, в папке «Мои документы» хранятся документы пользователя, созданные в Microsoft Word и других приложениях. В папке «Рабочий стол» содержатся элементы, отображаемые на рабочем столе пользователя. В папке Application Data содержатся конфигурационные файлы приложений. Например, Microsoft Outlook сохраняет в этом каталоге заданные пользователем настройки. Некоторые папки от пользователя скрыты. Так, ряд папок, показанных на экране 2, такие как Application Data и Local Settings, не предназначены для непосредственного просмотра пользователем и скрыты (их значки отмечены более блеклым цветом).

Раздел настроек профиля пользователя хранится в файле ntuser.dat в папке пользователя, как показано на том же экране 2. Его содержимое можно просмотреть с помощью редактора реестра в ветви HKEY_CURRENT_USER. Содержимое этой ветви загружается в реестр при регистрации пользователя в системе. Все изменения настроек, сделанные пользователем во время сеанса работы, такие как смена обоев на рабочем столе или изменение настроек Outlook, записываются Windows именно в эту ветвь реестра и сохраняются в файле ntuser.dat. Здесь уместно отметить, что при необходимости просмотра настроек другого пользователя, не начавшего сеанс работы Windows, можно загрузить соответствующий файл в редактор реестра в качестве временной ветви с помощью команды Файл/Загрузить ветвь в редакторе реестра (regedit.exe в Windows XP и 2003, regedt32.exe в Windows 2000).

Обратите внимание, что обязательные профили используют отличную от описанной ранее систему именования элементов. Как правило, обычный обязательный профиль — это тот профиль, в котором файл ntuser.dat переименован в ntuser.man. Принудительный обязательный профиль представляет собой перемещаемый профиль, в котором полное имя файла конфигурации имеет расширение .man. Так, перемещаемый профиль, размещенный в папке serverprofilesstdprofile.man, указывает на принудительный обязательный профиль.

Создание профиля

Что же происходит при создании профиля? На первый взгляд все очень просто: если пользователь регистрируется в сети со своей рабочей станции Windows впервые и не имеет профиля, кэшированного на данной рабочей станции или перемещаемого на сервере, Windows создает для этого пользователя профиль по умолчанию. На самом деле все несколько сложнее. Рассмотрим последовательно процесс создания профиля пользователя — это поможет понять причины возможных проблем. Отметим, что существуют некоторые различия обработки профилей пользователей в разных версиях Windows; в этой статье обработка профилей операционной системой рассматривается на примере Windows XP. Рассмотрим ситуацию, когда пользователь домена AD, для которого имеется перемещаемый профиль, впервые выполняет регистрацию в сети на данной рабочей станции.

  • При отработке регистрации в сети Windows в первую очередь проверяет учетную запись AD на предмет существования пути перемещаемого профиля.
  • Далее выполняется ping к указанной общей папке на сервере для проверки скорости соединения. Если обнаружено медленное соединение, операционная система использует альтернативный способ загрузки профиля. Порог медленного соединения определяется групповой политикой и по умолчанию равен 500 Кбит/с.
  • Когда Windows выясняет, что используется быстрое соединение, Windows проверяет разрешения NTFS папки перемещаемого профиля, дабы убедиться, что владельцем является регистрирующийся в сети пользователь или член группы локальных администраторов. Эта проверка была добавлена в XP SP1 и Windows 2000 SP4, чтобы убедиться, что некий злоумышленник не создал подменный перемещаемый профиль, который может быть загружен пользователем случайно.
  • В случае когда проверка шага 3 выполнена успешно, Windows проверяет общую папку на наличие профилей, а сервер — на наличие файлов ntuser.dat или ntuser.man (для обязательного профиля). Если таких файлов нет, как в том случае, если пользователь регистрируется впервые, Windows переходит к следующему шагу.
  • Система определяет наличие кэшированной копии профиля пользователя в папке C:documents and settings. При этом Windows обращается не к файловой системе, а проверяет записи в реестре. Все легитимные профили пользователей, кэшируемые на рабочей станции, регистрируются в разделе системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList. В разделе ProfileList для каждого пользователя, имеющего локальную кэшированную копию профиля, создается подраздел с уникальным идентификатором SID, определяющим данного пользователя. В этом подразделе хранится название папки с профилем, путь перемещаемого профиля, а также информация о статусе профиля и о времени последних сделанных изменений.
  • Если Windows не находит ни перемещаемого, ни локального профиля, то в соответствующем разделе системного реестра создается новый подраздел и формируется локальный профиль в папке Documents and Settings.
  • Далее Windows назначает пользователю новый профиль по умолчанию. Профиль по умолчанию можно определить одним из двух способов. Можно разместить профиль пользователя по умолчанию в общей папке Netlogon на контроллере домена AD, etlogondefault user. При создании нового профиля пользователя Windows обращается в первую очередь именно в эту общую папку. Если в этой папке профиль отсутствует, Windows использует локальный профиль по умолчанию, размещенный на рабочей станции в папке \%system root%documents and settingsdefault user. Если вы хотите задать профиль по умолчанию, он должен быть полным, то есть содержать файл ntuser.dat и включать в себя все папки, которые Windows рассчитывает найти в профиле пользователя. С точки зрения простоты управления профиль по умолчанию рекомендуется разместить в общей папке Netlogon, хотя, конечно, можно сформировать профиль по умолчанию и в образе стандартной сетевой рабочей станции.
  • Определив правильный путь для профиля пользователя по умолчанию, Windows копирует содержимое этой папки в локальную папку пользователя в Documents and Settings. При этом Windows устанавливает настройки безопасности файловой системы таким образом, что к папке \%systemroot%documents and settings\%username% полный доступ имеют только данный пользователь и члены локальной группы «Администраторы». Поскольку файл ntuser.dat представляет собой ветвь реестра, с которой связаны соответствующие разрешения системы безопасности, то, когда система выполняет копирование данного файла из профиля пользователя по умолчанию, разрешения на разделы реестра в данной ветви устанавливаются такие же, как для файлов профиля пользователя. Таким образом, правами доступа к настройкам в этом профиле обладают только сам пользователь и локальные администраторы. Данный факт важно принимать во внимание, так как по этой причине оказывается бесполезным копировать файл ntuser.dat и передавать от одного пользователя к другому. Даже если поменять разрешения на файлы, разрешения в реестре все равно будут указывать на исходного пользователя, которому принадлежал файл. Из такой ситуации существует два выхода: в приложении System панели управления Windows выбрать закладку Advanced, в группе User Profiles пользователей нажать кнопку Settings и в диалоговом окне, изображенном на экране 3, воспользоваться кнопкой Copy to или же задействовать утилиту moveuser.exe, входящую в состав Microsoft Windows 2000 Resource Kit.
Экран 3. Применение приложения System для копирования профиля пользователя

Созданный профиль пользователя не будет скопирован на сервер до тех пор, пока пользователь не выйдет из системы. При завершении сеанса Windows сначала проверяет, какие элементы профиля не являются перемещаемыми. По умолчанию перемещаемыми не являются настройки, хранящиеся в папках History, Local Settings, Temp, и Temporary Internet Files, так что содержимое этих папок на сервер не копируется. В эту группу попадают кэш Internet Explorer, временные файлы и автономные хранилища Outlook (файлы .ost). Список папок, не сохраняемых для перемещаемого профиля, можно указать в политике Administrative Template объекта групповых политик. Эта политика размещается в папке User ConfigurationAdministrative TemplatesSystemUser ProfilesExclude Directories перемещаемого профиля пользователя.

По сравнению с NT 4.0, в Windows 2000 значительно усовершенствован алгоритм сохранения изменений в перемещаемый профиль пользователя при завершении сеанса. В NT 4.0 при завершении сеанса система выполняла копирование всех файлов профиля пользователя на сервер вне зависимости от того, изменялись они или нет. Начиная с Windows 2000 система сравнивает дату и время создания файлов в локальном и перемещаемом профилях пользователя и при завершении сеанса выполняет копирование только тех файлов, которые требуют обновления. Это позволяет значительно ускорить процедуру завершения сеанса и снизить сетевой трафик по сравнению с NT 4.0. Аналогичным образом оптимизирован процесс копирования файлов перемещаемого профиля пользователя при регистрации пользователя в сети с рабочей станции, на которой уже имеется его кэшированный профиль.

Управление обработкой профилей пользователей

Некоторые настройки работы профилей пользователей в сети можно изменить. Как уже отмечалось, групповые политики позволяют указать, какие из папок профиля являются перемещаемыми, а какие — нет. Можно изменить политики, определяющие реакцию системы в случае использования медленного соединения для копирования перемещаемого профиля из общей папки профилей. Windows по-другому осуществляет обработку перемещаемых профилей и групповых политик в случае использования медленного соединения. Так, для медленного соединения Windows не выполняет копирование перемещаемого профиля из общей папки на сервере, вместо этого используется кэшированная локальная копия профиля. При необходимости можно изменить это заданное по умолчанию поведение Windows. Например, при включении политики Prompt User When Slow Link Is Detected (запрашивать пользователя при обнаружении медленного соединения) пользователь при регистрации через медленное соединение будет получать запрос, дождаться копирования перемещаемого профиля пользователя или продолжить работу с кэшированной копией профиля. Можно также изменить политику Logs User Off When Roaming Profile Fails таким образом, чтобы запретить пользователю регистрацию в сети при невозможности загрузки перемещаемого профиля.

Групповые политики позволяют изменять другие аспекты обработки системой профилей пользователей. Например, если необходимо удалять кэшированную локальную копию перемещаемого профиля пользователя при завершении сеанса работы, можно включить политику Delete Cached Copies of Roaming Profiles («Удалять из кэша копии перемещаемого профиля») в разделе, описанном ранее. Это удобно сделать в среде с использованием терминальных серверов Windows, когда на одной и той же рабочей станции может работать множество пользователей и накопление в кэше большого количества профилей пользователей будет приводить к неоправданному расходованию дискового пространства.

Можно установить квоту на размер профиля пользователя. Следует помнить о том, что профиль пользователя может содержать и другие файлы, помимо пользовательских настроек, причем некоторые из этих файлов могут оказаться довольно большими. Если размер этих файлов окажется велик, они будут занимать очень много места в общей папке на сервере, а регистрация пользователя в сети и завершение работы будут требовать слишком много времени. В некоторых случаях с помощью квотирования имеет смысл ограничить возможности пользователей по части включения в профиль слишком больших файлов. Квота профиля устанавливается в GPO в разделе User ConfigurationAdministrative TemplatesSystemUser ProfilesLimit Profile Size. При этом квотирование следует применять осторожно, так как в некоторых случаях увеличение размеров профиля является оправданным, а ограничение размера может помешать сотрудникам выполнять свои прямые служебные обязанности.

Руководство по борьбе с неполадками

Мне приходилось сталкиваться с различными типами проблем, связанных с профилями пользователей, и, как показывает практика, применение перемещаемых профилей усугубляет положение. Но есть некоторые правила и утилиты, использование которых может помочь в решении проблем, возникающих в сети.

Прежде всего необходимо уяснить, что происходит с профилем пользователя в необычных условиях. Например, что если для пользователя задан перемещаемый профиль, на рабочей станции его локальная копия отсутствует, а Windows не может получить доступ к перемещаемому профилю на сервере? В Windows 2000 и XP система создает локальный временный профиль на основе профиля пользователя по умолчанию в папке \%systemroot%documents and settings emp, так что пользователь может продолжить работу. По завершении сеанса система просто удаляет временный профиль, так что все сделанные пользователем изменения настроек будут потеряны.

Рассмотрим другую распространенную ситуацию. Что если на рабочей станции регистрируются два пользователя под одним и тем же именем — произойдет ли в этом случае замена одного профиля другим? Нет, не произойдет, хотя причина этого неочевидна. Нужно помнить о том, что каждая кэшируемая локальная копия профиля регистрируется в реестре с идентификатором SID пользователя, что позволяет предотвратить перезапись локальной копии профиля. Но где же система сохраняет дублирующий профиль? На самом деле Windows добавляет к имени пользователя название домена или рабочей группы. Допустим, на рабочей станции workstationA уже зарегистрирован локальный пользователь jsmith с соответствующим локальным профилем в папке \%systemroot%documents and settingsjsmith. Тогда при регистрации пользователя jsmith из домена AD mycompany.com (NetBIOS — имя домена mycompany) Windows создаст профиль в папке \%systemroot%documents and settingsjsmithmycompany. Это не очень удобно, зато позволяет избежать путаницы.

Почти во всех сетях я сталкивался с одной и той же проблемой, достойное решение которой пока не найдено. Иногда при завершении сеанса пользователя система не производит полную выгрузку профиля на сервер. Какой-то из выполняющихся на рабочей станции процессов держит ветвь реестра ntuser.dat, что не позволяет полностью выгрузить профиль. Это может привести к негативным последствиям для рабочей станции, поскольку сделанные пользователем изменения в ntuser.dat не копируются в перемещаемый профиль пользователя или Windows не может удалить локальную копию профиля, если у вас выбран такой вариант. Некоторые администраторы используют утилиту delprof.exe из Resource Kit для удаления кэшированных локальных копий профиля. В тех случаях, когда файл ntuser.dat заблокирован, эта утилита не может удалить локальный профиль. Единственным простым решением в данной ситуации является перезагрузка рабочей станции, при которой происходит снятие всех блокировок с реестра. Правда, в некоторых ситуациях такое решение нежелательно. В Windows XP Microsoft предоставляет возможность увеличить число попыток сохранения профиля пользователей на сервере. Это делается с помощью политики Computer ConfigurationAdministrative TemplatesSystemUser ProfilesMaximum retries, определяющей допустимое число попыток сохранения и обновления профиля пользователя, — в некоторых сетях изменение данной политики позволяет частично решить проблему.

Если не получается разобраться, что происходит с профилями пользователей в сети, я бы посоветовал включить подробный журнал userenv. Файл userenv.log находится на любой рабочей станции Windows 2000, XP и Windows 2003 в папке \%systemroot%debugusermode. Процедура включения подробного журнала для профилей пользователей и групповых политик описана в статье Microsoft «How to Enable User Environment Debug Logging in Retail Builds of Windows» (http://support.microsoft.com/?kbid=221833). Детализированный журнал действий, выполняемых при загрузке и выгрузке профиля, может помочь при устранении проблем, возникающих с профилями пользователей.

По сравнению с Windows NT 4.0, обработка профилей пользователей претерпела значительные изменения. Понимание механизма использования профилей может помочь в предотвращении и решении соответствующего класса проблем. Обычно в случае затруднений с профилями пользователей администратор просто удаляет профиль, и пользователь вынужден начинать настраивать все заново, а в результате тратится время и пользователя, и в конечном счете администратора. Применение описанных в этой статье приемов и инструментов, особенно ведение и анализ протоколов userenv, поможет локализовать проблемы и избежать необходимости применения радикальных средств.

Даррен Мар-Элиа — редактор журнала Windows & NET Magazine. С ним можно связаться по адресу: [email protected]

Профили пользователей изнутри

Поделитесь материалом с коллегами и друзьями

www.osp.ru


Смотрите также