Андрей Смирнов
Время чтения: ~9 мин.
Просмотров: 78

Windows 10 Изменение профиля по умолчанию (Default) варианты и ошибки.

С целью повышения безопасности работы за компьютером пользователям рекомендуется создать учётную запись с ограниченными правами. Таким образом вредоносное программное обеспечение и неопытные юзеры будут ограничены в возможностях изменять системные файлы. Управление учетными записями в Windows 10 позволяет изменять уровни доступа юзеров. Рассмотрим, как это осуществляется.

Инструкции актуальны только для локальных профилей с привилегиями администратора. Имея обычный доступ или аккаунт Гость, изменять права пользователей нельзя.Содержание

Метод №1

2. Переключите режим отображения её иконок в «Мелкие значки».

3. Перейдите в раздел, как показано на скриншоте ниже.

Uchetnye-zapisi-polzovatelej-v-paneli-upravleniya.png

4. Откройте меню управления иной учётной записью.

Upravlenie-drugoj-uchetnoj-zapisyu.png

5. Выберите профиль, для которого нужно изменить уровень доступа (сделать администратором или же ограничить права).

Perehod-v-druguyu-uchetnuyu-zapis.png

6. Перейдите в окно изменения типа профиля.

Izmeneniya-tipa-uchetnoj-zapisi.png

7. Перенесите переключатель в нужное положение, чтобы внести изменения в системный реестр.

Izmenenie-tipa-uchetnoj-zapisi-na-administratora.png

Метод №2

Второй способ – через Параметры системы.

1. Зажмите кнопки Win + I и перейдите в раздел для настройки пользователей.

4. Укажите уровень доступа в выпадающем списке и жмите «OK».

Vybor-administratora-ili-polzovatelya.png

Метод №3

Командная строка позволяет выполнить абсолютно всё, что пользователю доступно через графический интерфейс.

1. Запустите инструмент от имени Администратора при помощи контекстного меню Пуска.

Otkrytie-komandnoj-stroki-v-puske-komandoj-cmd.png

2. Для активации невидимого пользователя с расширенными привилегиями выполните команду «net user administrator /active:yes». При появлении ошибки повторите её, написав слово «administrator» на русском языке.

Метод №4

Задействуем возможности редактора групповой политики (в Home редакции Windows 10 инструмент недоступен). 1. Зажмите Win + R и выполните команду «secpol.msc».

Vypolnit-komandu-secpol.msc_.png

2. Перейдите в «Параметры безопасности» в подразделе локальных политик.

3. Откройте свойства параметра «Состояние учётной записи…».

4. Перенесите переключатель в положение «Включён» и закройте окно с сохранением изменений.

Redaktirovanie-lokalnoj-politiki.png

Как и в предыдущем способе, появится новый аккаунт с расширенными привилегиями.

Метод №5

Воспользуемся инструментом «Локальные пользователи и группы».

1. В окне «Выполнить» осуществите команду «lusrmgr.msc».

Vypolnit-komandu-lusrmgr.msc_.png

2. Перейдите в каталог «Пользователи».

3. Выберите «Администратор» и откройте его свойства.

Otklyuchenie-polzovatelya.png

4. Отметьте флажком «Отключить…» и кликните «OK».

Метод №6

Последний вариант решения проблемы – утилита netplwiz.

1. Жмите Win + R и выполните в окне команду «netplwiz.exe».

2. Выберите аккаунт и откройте его свойства.

Perejti-v-svojstvo-akkaunta.png

3. Во вкладке «Членство в группах» укажите уровень доступа для аккаунта.

Vybor-privilegij.png

Вот так просто в Windows 10 управлять уровнем доступа юзеров без посторонних утилит.

Задайте вопрос Быстрый доступ

Windows 10 IT Pro > Windows 10
  • Общие обсуждения

  • Всех приветствую. Меня как и в любой операционной системе волнует важная вещь, как и многих IT Специалистов — изменение профиля по умолчанию. Кучу форумов облазил, в основном народ только ругается на Windows 10.

    Я накопал два варианта: предлагаемый официально и от народных умельцев. Оба перепробовал но и там и там есть недочеты.  Я работаю с версией 10240.

    По официальному варианту, при помощи sysprep и <copyprofile>true</copyprofile>. Все получается на первый взгляд но вылазят косяки:

    1. Не копируется панель быстрого запуска (ярлыки требуемые в папке пользователя висят где нужно, но они не отображаются)

    2. Перестает работать поиск.

    3. Что больше всего напрягает, т.к. проблема рандомная: Плитки в меню Пуск не соблюдают первоначальной расстановки и размера. Рандомная потому что из 10 машин 5 развернется нормально, а на других пяти они сбрасывают свои настройки все становятся большими и разбрасываются как попало.

    На русскоязычных ресурсах такая проблема почему то даже не всплывала, а на иноземных проблемка обсуждается активно но безрезультатно. Народ там предлагает следующий способ:

    1. Переносим содержимое папки AppData и файл NTUSER.dat из настроенного в Default

    2. Редактируем содержимое веток реестра.

    Второй способ производится за 1 минуту, намного удобнее, не нужно сиспрепать систему. Абсолютно все настройки сохраняются. Но и тут есть маленький косяк. При первом логине панель пуск тоже не работает, нужно перелогиниться и дальше как в сказке. Но тоже не вариант. Кому интересно могу расписать подробнее.

    Подскажите может есть какой действенный вариант, или как можно исправить ошибки этих?

    Заранне спасибо

    • Изменено20 мая 2016 г. 5:59
    • Изменен тип1 июня 2016 г. 10:28Тема переведена в разряд обсуждений по причиние отсутствия активности

    18 мая 2016 г. 4:55 Ответить | Цитировать

Все ответы

  • А можно ли сделать новый профиль по-умолчанию и удалить старый?18 мая 2016 г. 13:56 Ответить | Цитировать
  • Вообще можно это почти как второй способ. Создаем профиль настроенный, копируем его например как профиль_1. Удаляем/Переиминовываем профиль по умолчанию. Перенумеровываем профиль_1 в дефалут. Редактируем ntuser.dat. 19 мая 2016 г. 2:48 Ответить | Цитировать
  • Что за второй способ? Windows Enabler?

    И на каком в итоге решении вы для себя остановились?

    15 сентября 2017 г. 13:17 Ответить | Цитировать

  • Можете немного подробней о втором способе. Какие ветки реестра нужно редактировать? Спасибо.27 сентября 2017 г. 6:19 Ответить | Цитировать

Обязательный (Mandatory) профиль пользователя — это специальный преднастроенный тип перемещаемого профиля, вносить изменения в который могут только администраторы. Пользователям, которым назначен обязательный профиль могут полноценно работать в Windows в течении сессии, но любые изменения в профиле не сохраняются после выхода пользователя из системы. При следующем входе обязательный профиль загружается заново.

Каталог с обязательным профилем можно разместить в сетевой папке и назначить сразу множеству пользователей домена: например, для пользователей терминальных сервером, в информационных киосках, или для пользователей, которым не нужен личный профиль (школьники, студенты, посетители). Администратор может настроить для mandatory-профилей перенаправляемые папки, в которых пользователи могут хранить личные документы на файловых серверах (конечно, следует включать квотирование на уровне NTFS или FSRM, чтобы пользователь на забил диски мусором).

Содержание:

Виды обязательный профилей пользователей в Windows

Существует два типа обязательный профилей пользователей Windows:

  • Обычный обязательный профиль пользователя (Normal mandatory user profile) – администратор переименовывает файл NTuser.dat (содержит ветку реестра пользователя HKEY_CURRENT_USER) в NTuser.man. При использовании файла NTuser.man система считает, что этот профиль доступен только для чтения и не сохраняет в нем изменения. В том случае, если обязательный профиль хранится на сервере, и сервер стал недоступен – пользователи с таким типом обязательного профиля могут войти в систему с закэшированной ранее версией обязательного профиля.
  • Принудительный обязательный профиль (Super mandatory user profile) — при использовании этого типа профиля, переименовывается сам каталог с профилем пользователя, в конец также добавляется .man. Пользователи с этим типом профиля не смогут войти в систему, если недоступен сервер, на котором хранится профиль.

В некоторых сценариях допустимо использовать обязательные профили и для локальных пользователей, например на общих компьютерах (киоски, залы совещаний и т.д.), чтобы любой пользователь работает всегда в одном и том же окружении, любые модификации в котором не сохраняются при выходе пользователя из системы (вместо использования UWF фильтра).

Далее мы покажем, как использовать создать нормальный обязательный профиль в Windows 10 и назначить его пользователю. В этом примере мы покажем, как создать обязательный профиль на локальной машине (профиль будет хранится локально на компьютере), однако по тексту поясним, как назначить обязательный профиль для доменных аккаунтов.

Создаем обязательный профиль в Windows 10

  1. Войдите в компьютер под учетной запись с правами администратора и запустите консоль управления локальным пользователями и группами (lusrmgr.msc).
  2. Создайте новую учетную запись, например, ConfRoom. sozdat-novogo-polshovatelya.png
  3. Теперь нужно скопировать профиль по-умолчанию в отдельный каталог с определенным расширением. Т.к. у нас используется Windows 10 1607 и выше, у этого каталога должен быть суффикс V6. Например, каталог будет называться: C:ConfRoom.V6.
  4. Откройте окно с настройками системы (SystemPropertiesAdvanced.exe).
  5. В разделе User Profiles нажмите на кнопку Settings.
  6. Выберите профиль Default Profile и нажмите кнопку Copy To.
  7. В качестве каталога, в который нужно скопировать профиль выберите C:ConfRoom.V6 (либо вы можете скопировать шаблон профиля в сетевой каталог, указав UNC путь, например \server1profilesConfRoom.V6.
  8. В разрешениях выберите NT AUTHORITYAuthenticated Users. kopirovat-profil-po-umolchaniyu.png

Совет. В Windows 10 1709 и выше при копировании шаблона профиля появилась отдельная опция «Mandatory Profile». При использовании этой опции на папку выдаются права на чтение выбранной группе пользователей.

Назначаем обязательный профиль пользователям

Теперь вы можете назначить обязательный профиль нужному пользователю.

Если у вас используется локальный обязательный профиль, нужно в свойствах пользователя на вкладку Profile в поле Profile Path указать путь к каталогу C:ConfRoom.v6.

put-k-mandatory-profilyu.png

Если вы настраиваете перемещаемый обязательный профиль пользователя в домене AD, то UNC путь к каталогу с профилем нужно указать в свойствах учетной записи в консоли ADUC.

put-k-profilyu-polzovatelya-v-ad.png

Теперь авторизуйтесь в системе под новым пользователем и выполните необходимые настройки (внешний вид, разместите ярлыки, нужные файлы, настройте ПО и т.д.).

Совет. Вы не можете использовать XML файлы для настройки внешнего вида стартового меню и таскбара для перемещаемых профилей.Совет. Для ускорения входа в систему можно отключить анимированную заставку при первом входе в Windows.

Завершите сеанс пользователя и войдите в систему под администратором и в каталоге с профилем переименуйте файл NTUSER.dat в NTUSER.man.

ntuser-man.png

Теперь попробуйте авторизоваться в системе под пользователем с обязательным профилем и проверьте, что после выхода из системы все изменения в его профиле не сохранится.

Если при попытке входа в систему под обязательным пользователем у вас появилась ошибка:

И в журнале системы появляется событие Event ID:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

Убедитесь, что на каталог с профилем назначены следующие разрешения (с наследованием разрешений вниз):

  • ALL APPLICATION PACKAGES – Full Control (без этого некорректно работает стартовое меню)
  • Authenticated Users – Read и Execute
  • SYSTEM – Full Control
  • Administrators – Full Control

Аналогичные разрешения нужно установить на ветку реестра пользователя, загрузив файл ntuser.dat профиля с помощью меню File -> Load Hive в regedit.exe.

При использовании перемещаемых профилей для корректного отображения стартового меню нужно на всех устройствах задать ключ реестра типа DWORD с именем SpecialRoamingOverrideAllowed и значением 1 в разделе LMSoftwareMicrosoftWindowsCurrentVersionExplorer.

</ul>

Если вам понадобится внести изменения в обязательный профиль, нужно переименовать файл ntuser.man в ntuser.dat и выполнить настройку среды под пользователем, после чего переименовать файл обратно.

При использовании mandatory-профиля на RDS серверах можно воспользоваться следующими политиками, в которых можно указать путь к каталогу профиля и включить использование обязательных профилей. Раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles.

  • Use mandatory profiles on the RD Session Host server = Enabled
  • Set path for Remote Desktop Services Roaming User Profile = Enabled + укажите UNC путь

Также обратите внимание, что, если вы решили использовать перенаправляемые папки совместно с обязательным профилем, не рекомендуется перенаправлять каталог AppData (Roaming).

Используемые источники:

  • https://windows10i.ru/uchetnaya-zapis/upravlenie.html
  • https://social.technet.microsoft.com/forums/ru-ru/3caed5da-e1a5-4641-8505-6b8e4d272bef/windows-10-104810791084107710851077108510801077
  • https://winitpro.ru/index.php/2018/07/09/ispolzovanie-mandatory-profilej-v-windows-10/

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации