Windows 10 e creazione profilo mandatory per utente locale
I profili utente mandatory sono un tipo speciale di profilo utente roaming preconfigurato che gli amministratori possono utilizzare gestire desktop degli utenti. Gli utenti su cui è stato impostato l’utilizzo di un profilo mandatory possono infatti modificare il proprio desktop, ma tali modifiche non vengono salvate quando l’utente si disconnette e al successivo accesso, viene scaricato il profilo utente mandatory creato dall’amministratore. Le modifiche ai profili mandatory possono essere apportate solo dagli amministratori.
Esistono due tipi di profili mandatory:
- Profilo utente Normal mandatory: quando l’amministratore rinomina il file NTuser.dat (ovvero l’hive del Registro di sistema) in NTuser.man. L’estensione .man fa sì che il profilo utente diventi un profilo di sola lettura. Se il profilo è memorizzato su un server e tale server non è disponibile gli utenti con profili Normal mandatory possono accedere con la copia cache locale del profilo obbligatorio.
- Profilo utente Super mandatory: quando il nome della cartella del percorso del profilo termina in .man. I profili utente Super mandatory sono simili ai profili Normal mandatory, con l’eccezione che se il profilo è memorizzato su un server gli utenti che hanno profili Super mandatory non possono accedere quando il server che memorizza il profilo non è disponibile.
In certi scenari potrebbe essere desiderabile utilizzare un profilo mandatory per un utente locale, ad esempio su computer utilizzati in sale audiovisivi, per poter far utilizzare utilizzare il computer da persone diverse lo stesso account utente locale in modo da consentire i privilegi minimi necessari e far si che alla disconnessione ogni eventuale modifica apportata al profilo utente sia eliminata.
Di seguito i passi per implementare un profilo utente Normal mandatory per un account utente locale, tale profilo sarà memorizzato sul sistema locale dal momento che lo scenario di esempio deve gestire specifiche impostazioni che differiscono per ciascun computer, ad esempio il computer della sala audiovisivi e il computer per gli ospiti che gli consenta di navigare su siti di utilità varia (agenzie di viaggi, orari mezzi di trasporto, prenotazioni alberghi).
Passo 1: Creare l’account utente
Autenticarsi al sistema tramite un account con privilegi di amministratore locale e creare un account utente locale tramite Utenti e gruppi locali (lusrmgr.msc). Nel seguente esempio faremo riferimento ad un utente denominato “Proiettore“.
Passo 2: Creare un profilo mandatory copiando il profilo utente di default
Autenticarsi al sistema tramite un account con privilegi di amministratore locale e copiare il profilo utente di default tramite le Impostazioni avanzate di sistema (SystemPropertiesAdvanced.exe) e autorizzare all’accesso il gruppo Autenticated Users. Come indicato nel seguente Create mandatory user profiles occorre copiare il profilo in una directory che abbia una estensione opportuna in base al sistema operativo utilizzato, nel seguente esempio si ipotizzerà di utilizzare un Windows 10 versione 1067 o successiva e quindi occorrerà l’estensione v6. Nel seguente esempio faremo riferimento alla directory locale “C:\ProfiloProiettore.v6” dove sarà memorizzato il profilo mandatory.
Passo 3: Impostare il path del profilo mandatory sull’utente
Autenticarsi al sistema tramite un account con privilegi di amministratore locale e impostare sull’account utente il path del profilo mandatory senza specificare l’estensione della directory (nel nostro esempio v6) tramite Utenti e gruppi locali (lusrmgr.msc). Nel seguente esempio verrà impostato sull’utente denominato “Proiettore” il path del profilo corrispondente alla directory locale “C:\ProfiloProiettore” dove sarà memorizzato il profilo mandatory.
Passo 4: Eseguire sul profilo le configurazioni necessarie
Se è necessario eseguire configurazioni sul profilo è possibile autenticarsi con l’utente a è stato impostato il profilo, nel seguente l’utente denominato “Proiettore“, ed eseguire le impostazioni necessarie.
Passo 5: Rendere il profilo mandatory
Autenticarsi al sistema tramite un account con privilegi di amministratore locale e rinominare il file ntuser.dat in ntuser.man presente nel profilo mandatory, nel nostro esempio in “C:\ProfiloProiettore.v6“.
Passo 6: Connettersi con l’utente a cui è stato associato il profilo mandatory e verificare che le modifiche al profilo vengano eliminate alla disconnessione
Dopo aver verificato il funzionamento corretto del profilo mandatory è anche possibile verificare che all’utente risulti effettivamente assegnato un profilo mandatory tramite le Impostazioni avanzate di sistema (SystemPropertiesAdvanced.exe).
Passo 7: Velocizzare l’avvio della sessione
Come indicato nel seguente Create mandatory user profiles quando viene configurato profilo mandatory Windows 10 avvia la sessione utente come se fosse il primo accesso ogni volta, per migliorare le prestazioni di accesso degli utenti con profili utente mandatory è possibile applicare le seguenti impostazioni di Criteri di gruppo Computer locali o di dominio:
- Computer Configuration > Administrative Templates > System > Logon > Show first sign-in animation = Disabled
- Computer Configuration > Administrative Templates > Windows Components > Search > Allow Cortana = Disabled
- Computer Configuration > Administrative Templates > Windows Components > Cloud Content > Turn off Microsoft consumer experience = Enabled
Passo 8: Modificare successivamente il profilo mandatory
Per modificare successivamente il profilo mandatory è possibile utilizzare la seguente procedura:
- Autenticarsi al sistema tramite un account con privilegi di amministratore locale e rinominare il file ntuser.man in ntuser.dat presente nel profilo mandatory, nel nostro esempio in “C:\ProfiloProiettore.v6“.
- Autenticarsi con l’utente a è stato impostato il profilo, nel seguente l’utente denominato “Proiettore” ed eseguire le modifiche necessarie.
- Autenticarsi al sistema tramite un account con privilegi di amministratore locale e rinominare il file ntuser.man in ntuser.dat presente nel profilo mandatory.
Conclusioni
Ho testato la procedura sia Windows 10 LTSB 2016 Enterprise che in Windows 10 1709 Enterprise con successo, va precisato che in Windows 10 1703 nella dialog di copia del profilo è stata aggiunga un checkbox denominato “Mandatory Profile” che non ho selezionato da momento che necessitavo di apportare modifiche prima di rendere mandatory il profilo.
Ciao, ho seguito il passo 8 per modificare il mio Profilo Mandatory, in pratica riesco a fare tutto tranne a rinominare il file ntuser.dat in .man.
Cioè lo faccio e appena riavvio/disconnetto torna in .dat.
Cosa sto sbagliando?
Grazie
Ciao
Ciao
prova ad arrestare prima il sistema poi avvia e connettiti con un account con privilegi di amministratore locale ed esegui la ridenominazione del file in .man
Ciao,
ho provato a cambiare l’estensione da .dat a .man sia da admin locale, sia dal profilo obbligatorio, ma non vuole tenere il .man!
Ma questo però ti è successo solo quando avevi necessità di modificare successimente il profilo vero?
ma quando usi l’admin locale sei sicuro di modificare l’estensione sull’utente che hai predisposto per l’uso del profilo mnandatory?
Mi spiego sull’utente user01 hai profilo man ma tu entri con l’utente admin e poi vai sulladirectory del profilo di user01 cambi l’estensione
In alternativa il file potrebbe essere in uso per qualche motivo
Ho trovato l’errore. Ho dovuto andare da cmd in gpedit.msc, configurazione computer, modelli amministrativi, sistema, profilo utente, impostaa percorso profilo mobile per tutti gli utenti che accedono al pc e disattivare mentre facevo le modifiche. Una volta finito, attivare di nuovo la voce impostando il percorso del profilo.
Bene e grazie del feedback che potrà certamente essere utile ad altri.
Salve
Non so se questa è la guida giusta; io vorrei creare un profilo utente che da qualunque pc del dominio venga aperto possa salvare file sul desktop o apportare modifiche alle configurazioni dei programmi ( tali modifiche se le ritroverà da qualunque pc windows 10 acceda)
Come posso fare?
Credo che ciò che intedndi tu siano i, profili utente mobili… vedi questo link
https://docs.microsoft.com/it-it/windows-server/storage/folder-redirection/folder-redirection-rup-overview
salve. vorrei sapere se questa procedura è tutt’ora valida nel 2021 (su windows 10 home 21H1) o se sono io a sbagliare qualche passaggio.
anche rinominando il file ntuser in .man, e nonostante le impostazioni avanzate di sistema mi confermino che il profilo sia di tipo obbligatorio, tutte le modifiche fatte su quel profilo restano permanenti al riavvio, come se fosse un normale profilo. cordiali saluti
La procedura è sempre valida sia per Windows 10 che per Windows 11 come indicato nel seguente
https://docs.microsoft.com/it-it/windows/client-management/mandatory-user-profile
vorrei aggiungere al commento precedente quanto segue: se creo un nuovo utente locale, senza password, viene ignorato il fatto che il profilo sia mandatory o meno. se invece creo un utente locale con password, il mandatory viene rispettato. quindi è necessario che l’utente locale debba per forza avere una password per usare il profilo mandatory?
A livello di documentazione non c’è un vincolo specifico, ma l’assenza di password è una bad practices ed potrebbe impattarere, ad esempio non possibile accedere in desktop remoto ad un computer tramite un utente senza password
innanzitutto ringrazio per le risposte ai quesiti precedenti.
col profilo locale ci sono riuscito, grazie alla tua guida, a rendere il profilo mandatory.
in un laboratorio scolastico, con macchine tutte identiche, windows 10 home, avevo pensato di creare un unico profilo studente condiviso dalla postazione docente (da cartella condivisa in rete con permessi everyone), da mettere in roaming e mandatory, ma sto avendo problemi con le macchine studente , che invece di usare il profilo di roaming, usano un profilo temporaneo locale.
probabilmente è indispensabile avere windows server ed active directory? oppure è una questione di permessi ntfs o di rete?
cordiali saluti