在 Windows 10 中使用强制（只读）用户配置文件

强制用户配置文件是一种特殊的预配置类型的漫游用户配置文件，只能由管理员更改。已分配强制配置文件的用户可以在登录会话期间照常在 Windows 中工作，但在用户注销后不会将任何更改保存到配置文件中。下次登录时，强制配置文件将按原样加载。

具有强制配置文件的目录可以位于网络共享文件夹上，并一次分配给多个域用户：例如，终端服务器 (RDS) 用户、信息亭或不需要个人配置文件的用户（学童、学生、访客）。管理员可以为强制配置文件配置文件夹重定向，用户可以将个人文件保留在文件服务器上（当然，建议使用NTFS或FSRM启用磁盘配额，以防止用户在重定向的文件夹中存储不重要的文件）。

Windows 中强制用户配置文件的类型

Windows 中有两种类型的强制用户配置文件：

• 普通的强制用户配置文件 - 管理员将文件 NTuser.dat（包含用户注册表配置单元 HKEY_CURRENT_USER）重命名为 NTuser.man。使用 Ntuser.man 时，系统假定此配置文件是只读的，并且不会保存对其进行的任何更改。如果强制配置文件存储在远程服务器上并且服务器不可用，用户可以使用强制配置文件的缓存版本登录；

• 超级强制用户配置文件 - 使用此类配置文件时，包含用户配置文件的目录将被重命名，并且扩展名 .man 将添加到文件夹名称的末尾。如果存储其配置文件的服务器不可用，则具有此配置文件类型的用户将无法登录。

某些方案也允许本地用户使用强制配置文件，例如在公共计算机（信息亭、会议室等）上，而不是使用 UWF 过滤器。任何用户都可以在同一环境中工作，并且用户注销时不会保存任何更改。

现在我们将展示如何在 Windows 10 中创建普通的强制配置文件并将其分配给用户。在此示例中，我们将考虑如何在本地计算机上创建强制用户配置文件（该配置文件将存储在本地驱动器上），但是，我们将解释如何将强制用户配置文件分配给域帐户。

如何在 Windows 10 中创建强制用户配置文件

1. 以管理员帐户登录计算机并启动本地用户和组控制台（lusrmgr.msc）；

2. 创建一个新帐户，例如ConfRoom；

   

3. 现在您需要将默认配置文件复制到具有特定扩展名的单独目录。由于我们使用的是Windows 10 1703，因此该文件夹必须具有V6后缀。例如，文件夹名称为 C:\ConfRoom.V6；

4. 打开系统属性（SystemPropertiesAdvanced.exe）；

5. 在用户个人资料部分，点击设置；

6. 选择默认配置文件并点击复制到；

7. 选择 C:\ConfRoom.V6 作为将配置文件复制到的文件夹（或者您可以通过指定 UNC 路径，将配置文件模板复制到文件服务器上的网络共享文件夹，例如 \lon-fs01\profiles\ConfRoom.V6）。

8. 在权限中选择NT AUTHORITY\Authenticated Users。

   

提示。在 Windows 10 1709 或更高版本中，当您尝试复制配置文件模板时，有一个单独的“强制配置文件”选项。使用此选项时，选定的用户组将自动获得该文件夹的只读 NTFS 权限。

如何为用户分配强制配置文件

现在您可以将强制配置文件分配给您想要的用户。

如果您使用本地强制配置文件，请转至用户属性的配置文件选项卡，并在配置文件路径字段中指定 C:\ConfRoom.v6 目录的路径。

如果在 AD 域中配置漫游强制用户配置文件，则需要在 ADUC 控制台的帐户属性中指定包含该配置文件的目录的 UNC 路径。

然后使用新用户帐户登录系统并进行所有必要的设置（选择外观、放置快捷方式、必要的文件、配置软件等）。

提示。您不能使用 XML 文件来配置漫游配置文件的开始布局和任务栏。

完成用户会话并使用管理员帐户登录。然后将用户配置文件文件夹中的 NTUSER.dat 重命名为 NTUSER.man 。

现在尝试以具有强制配置文件的用户身份登录系统，并确保注销后配置文件中不会保存任何更改。

如果使用强制用户配置文件登录后出现错误：

The User Profile Service service failed the sign-in. User profile cannot be loaded.

并且系统日志中出现以下事件：

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

确保将以下权限分配给配置文件目录（对所有子对象具有继承权限）：

• 所有应用程序包 - 完全控制（没有它，开始菜单无法正常工作）；

• 经过身份验证的用户 - 读取和执行；

• 系统——完全控制；

• 管理员 - 完全控制。

必须通过使用 regedit.exe 中的文件 -> 加载配置单元加载 ntuser.dat 配置文件，将相同的权限分配给用户注册表配置单元。

使用漫游配置文件时，为了在所有设备上正确显示“开始”菜单，您需要在注册表的 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ 部分中设置名称为 SpecialRoamingOverrideAllowed 且值为 1 的 REG_DWORD 项。

如果需要更改强制配置文件，请将 ntuser.man 重命名为 ntuser.dat 并在用户帐户下配置环境。然后再次重命名该文件。

在 RDS 服务器上使用强制配置文件时，您可以使用以下组策略，您可以在其中指定配置文件目录的路径并启用使用强制配置文件。相应的 GPO 部分为：计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 配置文件。

1. 在 RD 会话主机服务器上使用强制配置文件=已启用；

2. 设置远程桌面服务漫游用户配置文件的路径=启用 + 指定 UNC 路径。

请注意，如果您决定将文件夹重定向与强制配置文件一起使用，则不建议重定向 AppData（漫游）文件夹。