我在使用 Windows Server 2003 R2 SP2 和 Windows XP SP3 为强制用户配置文件授予域本地组权限时遇到问题。
我创建了一个名为 Sales 的全局组,并将 John 和 Mary 放在该组中。然后,我创建了一个名为 Sales Local 的 Domain Local 组,并将 Sales 组放入其中。我希望 John 和 Mary 使用相同的强制配置文件。
我以管理员身份登录并将配置文件复制到相应的文件夹 \server01\profiles\sales 并分配域本地组销售本地权限以使用配置文件。
我输入了新配置文件位置的适当路径,然后单击更改允许使用并选择销售本地域本地组(注意:我必须单击对象类型并选中组才能执行此操作)。
在服务器端,我将 ntuser.dat 重命名为 ntuser.man,然后尝试以 John 身份登录。
问题是约翰没有看到所有的个人资料。例如,他会看到我放在桌面上的文本文件,但他看不到我添加到桌面的“我的文档”文件夹图标。此外,如果您转到桌面-> 属性,您只会看到黑屏而不是主题选择,如果您尝试将“我的文档”文件夹添加到桌面,则会收到无法设置视觉样式的错误消息。
如果我将 Sales 设为 Global group 则不存在这些问题,但我认为使用 AG-DL-P,基于 Global 组授予资源权限不是“最佳实践”。另外,为什么我必须采取检查“组”的额外步骤来授予组对个人资料的权限?我看到一篇“howto”文章提到让“BUILTIN\Users”访问强制配置文件。这听起来不太安全。
我错过了什么?这是我的配置错误吗?一个已知的限制?
以下是我所做的简要说明:
旋转 W2K3 R2 标准。具有 Active Directory 域的 x86 SP2 版 VM。
在服务器 VM 上创建了一个“配置文件”共享文件夹。与“所有人/完全控制”共享权限,并将 NTFS 设置为“管理员 - 完全控制”、“系统 - 完全控制”和“经过身份验证的用户 - 读取和执行 - 仅限此文件夹”。
创建该“配置文件”文件夹的“销售”子文件夹。
创建了一个名为“Sales (Local)”的域本地组和一个名为“Sales (Global)”的全局组。
创建了两个用户帐户 - “John”和“Mary”。保留其默认的“域用户”组成员身份,并将其作为成员添加到“销售(全球)”组。
以“john”身份登录到 Windows XP Professional Service Pack 3 VM 并创建了新的本地配置文件。将桌面颜色设置为红色(以快速直观地指示该配置文件的加载)并注销。
以域管理员帐户登录 WinXP 机器,并使用“我的电脑”属性中的“用户配置文件”功能将新创建的“john”用户配置文件复制到服务器计算机上的“配置文件”共享中,授予“销售(本地)”“允许使用”权限。
回到服务器计算机上,我修改了“配置文件”文件夹的“销售”子文件夹的安全性,以从父文件夹继承权限,并添加了“销售(本地)-读取和执行”。我将该权限重新应用于所有子文件夹。
我将“\Profiles\Sales”文件夹中的“NTUSER.DAT”文件重命名为“NTUSER.MAN”。
我修改了“John”和“Mary”用户帐户的属性以在“\SERVER\Profiles\Sales”中指定漫游用户配置文件。
我以“Mary”(以前从未登录过)身份登录到 Windows XP 机器,并验证我收到了红色桌面背景。我修改了桌面背景颜色,注销,再次登录,并验证红色桌面颜色仍然存在(意味着强制用户配置文件正在应用)。
我以“John”的身份登录并执行与“Mary”相同的验证步骤。
通过在所有权限中指定“销售(本地)”,一切都按我的预期工作。我不知道你所做的可能有什么不同。你看到我做了什么不同的事情?