Windows Server 網域使用者 domain user 無法建立設定檔 profile
起因是要讓實習生們刪除在 Windows Server 上已經不使用網域使用者 domain user 的 roaming profile,這是實習的功課之一,作為管理員實際操作 server 上的一些東西。有些 profile 必須奪取擁有者權限才能刪除, 就在不斷嘗試調整權限與繼承的過程中完成了功課。但過沒幾天就發生新用戶登入時出現無法建立 roaming profile,只有本機 profile,在其他電腦上登入會從新建立本機 profile。
這問題很快就解決了,因為實習生在建立新使用者沒輸入 roaming profile 的儲存路徑。
在輸入 roaming profile 的儲存路徑後,登入時卻出現無法建立 roaming profile,只能建立暫存 profile 的錯誤訊息,檢查後發現伺服器 server 上用來存放漫遊用戶設定檔 roaming profile 的資料夾無法建立新用戶資料夾。
而主管表示架構是好幾年前就設定好的,一直以來都沒問題,這問題也是在進行刪除作業後才發生的,至少這問題不影響已經存在的使用者,只對新使用者有影響。而這問題是實習生造成的,估計是動到了以前建立的權限架構,因為也算是實習的目的之一,那就讓他們去解決。
Profile 權限架構
分析與檢查的過程有點繁瑣,但其問題的原因卻非常簡單,domain user 能在目標路徑創建資料夾的權限被刪除了,新增 domain user 的權限就可以了,而且權限是只套用到這個資料夾,進階權限只能建立資料夾,這樣就完全避免使用者能在此 profile 資料夾裡做其他動作。
而父資料夾的權限裡有給予 creator owner 在子資料夾與檔案的所有權限,這表示使用者在建立自己的 profile 資料夾後,可完全存取自己的 profile,無法查看自己profile 以外的所有東西, 這問題就解決了。
profile 權限架構大致上是這樣
至於已經被更改的權限架構還會造成什麼問題,就讓時間來說這個故事。
不好意思,最近在學習設定AD,我用的是windows serve 2016,目前發生一樣的問題,新電腦無法登入就有網域USER帳戶,新帳戶也無法正常登入設定檔,都會使用佔存設定檔登入,但是舊有帳戶及電腦就沒有這個問題,我一直找不到你上面圖片設定頁面的路徑,可以告知一下在哪裡開啟這個設定嗎? 感恩!
你好,以下幾點提供參考
1.請先確認電腦已加入domain,開啟cmd 輸入 nslookup 看DNS server與ip 是否正確
2.domain user 登入時嘗試使用完整路徑 domain\username, 因為有時候電腦會預設登入本機帳號,造成找不到而無法登入
3.domain user 的 roaming profile 路徑的設定在 AD 的使用者帳號裡,目前手邊沒有 server 系統可以截圖,請參閱微軟的說明
https://learn.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles
4.使用 roaming profile 的相關權限設定也請參閱上連結的微軟說明
5.如果第一次登入就沒成功,使用佔存設定檔登入,可能需要刪除本機上所有此使用者名稱的 local profile 與其相關的檔案,之後登入才會正常。
這邊請參考我的令一篇文章
https://nonameslife.com/it-etc/windows/windows-server-%e7%b6%b2%e5%9f%9f%e4%bd%bf%e7%94%a8%e8%80%85-domain-user-%e7%84%a1%e6%b3%95%e5%95%9f%e5%8b%95-outlook/
以上希望對你有幫助