Столкнулся с неприятной ошибкой во время использования перенаправления папок пользователей через групповые политики (Folder Redirection). Выражалась она в том, что при логине пользователь минут 20 входит в систему, хотя обычно этот процесс занимает 3-4 минуты. Ошибка проявлялась не на всех компьютерах и учетных записях, поэтому пришлось прилично повозиться, чтобы понять, в чем причина.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Дело было на сервере Windows Server 2008 R2 Standart, пользователи - Windows 7 Prof. При входе в систему, в журнале ошибок проблемного пользователя была следующая запись:
Не удалось применить политику и перенаправить папку "Documents" в "\\diskstation\users-docs\manager12\Desktop". Параметры пенераправления=0x1211. Произошла ошибка: "Не удается создать папку "\\diskstation\users-docs\manager12\Desktop"". Сведения об ошибке: "Этот идентификатор безопасности не может быть назначен владельцем этого объекта.
Ошибка достаточно популярная, гуглится в рунете хорошо. Но чаще всего ошибка связана с правами доступа на каталог. В моем же случае с правами не было никаких проблем. Я все проверил много раз. Владелец папки - пользователь, ему же предоставлены полные права на папку, а так же учетке SYSTEM. То есть, все что надо для корректной работы перенаправления папок есть, но ошибка возникает. Когда логин произойдет, по указанному адресу без проблем можно попасть в папки пользователя и создавать там все, что угодно.
Мне повезло, что я случайно наткнулся на англоязычную версию этой ошибки и по ней быстро смог найти решение проблемы. Вот как эта же ошибка выглядит на английском языке:
Failed to apply policy and redirect folder "Desktop" to "\\diskstation\users-docs\manager12\Desktop". Redirection options=0x1211. The following error occurred: "Can not create folder "\\diskstation\users-docs\manager12\Desktop". Error details: "This security ID may not be assigned as the owner of this object."
После этого нашел статью на сайте микрософт с описанием ошибки - https://support.microsoft.com/en-us/kb/2493506. Суть ее вот в чем. В настройках перенаправления папки есть пункт меню Grant the user exclusive rights to Desktop. Он по умолчанию включен.
Соседний параметр Also apply redirection policy to Windows 2000, Windows 200 Server, Windows XP, and Windows Server 2003 operating systems по умолчанию выключен. На компьютерах под управление Windows Vista и Windows 7 такая комбинация настроек приводит к указанной проблеме. В статье рекомендуют либо убрать обе галки, либо обе включить для решения сложившейся проблемы.
Я до конца не понял, почему у меня длительное время все работало нормально, а потом выборочно у некоторых пользователей стали возникать такие ошибки. Возможно они были всегда, но чем дольше использовали систему, тем больше увеличивалось время логина пользователей и в какой-то момент терпение закончилось, начались жалобы, а я стал разбираться с проблемой.
Еще хочу упомянуть про один важный момент при использовании Redirect Foldres. При включении настройки Grant the user exclusive rights to Desktop, права доступа к каталогу будут содержать две записи с правами Full Control для учетной записи SYSTEM, и учетной записи пользователя, которому принадлежит папка. Если вы захотите каким-то образом изменить эти права, например, добавить пользователя администратора или еще какую-нибудь учетную запись, то будете получать ошибку перенаправления и тоже очень долгое ожидание логина пользователя. Текст ошибки я не сохранил, там что-то похожее на то, что описано у меня, только в последней строке будет другая запись. Имейте это ввиду.
Неплохо было бы написать статью на тему перенаправления папок. Я настроил конфигурацию в одном месте, где рабочие места у пользователей типовые. Это позволило пользователей отвязать от железа. По своей учетной записи они могут сесть работать за любой компьютер, где получают свое привычное рабочее окружение со всеми настройками программ и документами. Пришлось немного повозиться, чтобы научить программы, которые не умеют нормально работать с перемещаемым профилем, но это дело техники и настройки конкретной программы. Но статью на эту тему написать не очень просто, так как хлопотно готовить тестовую среду для этого. Может когда-нибудь созрею.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.
Столкнулся с похожей проблемой на связке Windows 2012R2 - Windows 10 - папка рабочего стола не перенаправляется, хотя все остальные папки пользователя перенаправились без проблем. Пока вернул для пользователей расположение по умолчанию, буду разбираться. Спасибо за подсказку, что это может влиять на время входа пользователя в систему. Похоже, Microsoft опять накосячила на ровном месте - как всегда. Мне больше нравится подход в Linux - перенаправление папок куда угодно при помощи симлинков, иногда пользуюсь таким в Windows
Маэстро! расскажи как настроить перенаправление папок только на одном компе?
На компе или учетной записи? Это принципиально. Если только на учетной записи, то в свойствах доменной учетки есть закладка, где можно указать сетевую папку для перемещаемого профиля и он таковым станет.
профили локальные, но с перенаправленными папкакми. По дефолту эти папки перенаправляются на всех компах в домене.
Ох уж эти перемещаемые профили, особенно в связке с аутлук и с вечными проблемами c пропажей .pst файлов. лучше сдохнуть сразу, есди у вас парк таких машин)). Иногда бывало такое явление, внезапно появляется локальный профиль вместо серверного под новыми именем. И машина начинает грузитсья с него. Назад вернуть без правки реестра уже никак))
Аутлука у меня нет, но в целом перемещаемые профили нормально работают. Хотя проблемы иногда были с длинной загрузкой системы. Загружаться с локальным профилем я запретил где-то в групповых политиках. Конечно, администь их сложно, но очень много удобств при типовых конфигурациях рабочих мест.