Creare profili utente obbligatori

Un profilo utente obbligatorio è un profilo utente mobile preconfigurato da un amministratore per specificare le impostazioni per gli utenti. Le impostazioni comunemente definite in un profilo obbligatorio includono (ma non sono limitate a) icone visualizzate sul desktop, sfondi desktop, preferenze utente nel Pannello di controllo, selezioni della stampante e altro ancora. Le modifiche alla configurazione apportate durante la sessione di un utente che vengono normalmente salvate in un profilo utente mobile non vengono salvate quando viene assegnato un profilo utente obbligatorio.

I profili utente obbligatori sono utili quando la standardizzazione è importante, ad esempio per un chiosco multimediale o in un contesto didattico. Solo gli amministratori di sistema possono apportare modifiche ai profili utente obbligatori.

Quando il server che archivia il profilo obbligatorio non è disponibile, ad esempio quando l'utente non è connesso alla rete aziendale, gli utenti con profili obbligatori possono accedere con la copia memorizzata nella cache locale del profilo obbligatorio, se presente. In caso contrario, l'utente ha eseguito l'accesso con un profilo temporaneo.

I profili utente diventano profili obbligatori quando l'amministratore rinomina il NTuser.dat file (hive del Registro di sistema) del profilo di ogni utente nel file system del server di profili da NTuser.dat a NTuser.man. L'estensione .man fa sì che il profilo utente sia un profilo di sola lettura.

Estensione del profilo per ogni versione di Windows

Il nome della cartella in cui si archivia il profilo obbligatorio deve usare l'estensione corretta per il sistema operativo a cui si applica. La tabella seguente elenca l'estensione corretta per ogni versione del sistema operativo.

Versione del sistema operativo client Versione del sistema operativo server Estensione profilo
Windows XP Windows Server 2003
Windows Server 2003 R2
nessuno
Windows Vista
Windows 7
Windows Server 2008
Windows Server 2008 R2
v2
Windows 8 Windows Server 2012 v3
Windows 8.1 Windows Server 2012 R2 v4
Windows 10, versioni 1507 e 1511 N/D v5
Windows 10, versioni 1607 e successive Windows Server 2016 e Windows Server 2019 v6

Per altre informazioni, vedere Distribuire profili utente mobili, appendice B e controllo delle versioni dei profili utente mobili in Windows 10 e Windows Server Technical Preview.

Profilo utente obbligatorio

Prima di tutto, si crea un profilo utente predefinito con le personalizzazioni desiderate, si esegue Sysprep con CopyProfile impostato su True nel file di risposte, si copia il profilo utente predefinito personalizzato in una condivisione di rete e quindi si rinomina il profilo per renderlo obbligatorio.

Come creare un profilo utente predefinito

  1. Accedere a un computer che esegue Windows come membro del gruppo Administrator locale. Non usare un account di dominio.

    Nota

    Usare un lab o un computer aggiuntivo che esegue un'installazione pulita di Windows per creare un profilo utente predefinito. Non usare un computer necessario per l'azienda, ovvero un computer di produzione. Questo processo rimuove tutti gli account di dominio dal computer, incluse le cartelle dei profili utente.

  2. Configurare le impostazioni del computer da includere nel profilo utente. Ad esempio, è possibile configurare le impostazioni per lo sfondo del desktop, disinstallare le app predefinite, installare app line-of-business e così via.

    Nota

    A differenza delle versioni precedenti di Windows, non è possibile applicare un layout start e della barra delle applicazioni usando un profilo obbligatorio. Per metodi alternativi per la personalizzazione del menu Start e della barra delle applicazioni, vedere Argomenti correlati.

  3. Creare un file di risposte (Unattend.xml) che imposta il parametro CopyProfile su True. Il parametro CopyProfile consente a Sysprep di copiare la cartella del profilo dell'utente attualmente connesso nel profilo utente predefinito. Puoi usare Windows System Image Manager, che fa parte di Windows Assessment and Deployment Kit (ADK) per creare il file di Unattend.xml.

  4. Disinstallare qualsiasi applicazione non necessaria o desiderata dal PC. Per esempi su come disinstallare l'applicazione Windows, vedere Remove-AppxProvisionedPackage. Per un elenco delle applicazioni disinstallabili, vedere Informazioni sulle diverse app incluse in Windows.

    Nota

    È consigliabile disinstallare app indesiderate o non richieste perché velocizzano i tempi di accesso degli utenti.

  5. Al prompt dei comandi digitare il comando seguente e premere INVIO.

    sysprep /oobe /reboot /generalize /unattend:unattend.xml
    

    (Sysprep.exe si trova in: C:\Windows\System32\sysprep. Per impostazione predefinita, Sysprep cerca unattend.xml nella stessa cartella.

    Suggerimento

    Se viene visualizzato un messaggio di errore che indica che Sysprep non è stato in grado di convalidare l'installazione di Windows, aprire %WINDIR%\System32\Sysprep\Panther\setupact.log e cercare una voce simile alla seguente:

    Errore del pacchetto di Microsoft Bing Translator.

    Usare il cmdlet Remove-AppxProvisionedPackage e Remove-AppxPackage -AllUsers in Windows PowerShell per disinstallare l'app elencata nel log.

  6. Il processo sysprep riavvia il PC e inizia dalla schermata dell'esperienza di prima esecuzione. Completare l'installazione e quindi accedere al computer usando un account con privilegi di amministratore locale.

  7. Fare clic con il pulsante destro del mouse sul pulsante Start, scegliere Pannello di controllo (visualizza in base a icone grandi o piccole)>>Impostazioni di sistema avanzate di sistema e selezionare Impostazioni nella sezione Profili utente.

  8. In Profili utente selezionare Profilo predefinito e quindi selezionare Copia in.

    Esempio di interfaccia utente dei profili utente.

  9. In Copia in selezionare Modifica in Consenti l'uso.

    Esempio di copia nell'interfaccia utente.

  10. In Seleziona utente o gruppo, nel campo Immettere il nome dell'oggetto da selezionare digitare everyone, selezionare Controlla nomi e quindi selezionare OK.

  11. Nel campo Copia profilo in immettere il percorso e il nome della cartella in cui si vuole archiviare il profilo obbligatorio. Il nome della cartella deve usare l'estensione corretta per la versione del sistema operativo. Ad esempio, il nome della cartella deve terminare con .v6 per identificarlo come cartella del profilo utente per Windows 10, versione 1607 o successiva.

    • Se il dispositivo è aggiunto al dominio e si è connessi con un account che dispone delle autorizzazioni per scrivere in una cartella condivisa in rete, è possibile immettere il percorso della cartella condivisa.

      Esempio di copia profilo in.

    • Se il dispositivo non è aggiunto al dominio, è possibile salvare il profilo in locale e quindi copiarlo nel percorso della cartella condivisa.

  12. Selezionare OK per copiare il profilo utente predefinito.

Come rendere obbligatorio il profilo utente

  1. In Esplora file aprire la cartella in cui è stata archiviata la copia del profilo.

    Nota

    Se la cartella non è visualizzata, fare clic su Visualizza>opzioni>Modifica cartella e opzioni di ricerca. Nella scheda Visualizza selezionare Mostra file e cartelle nascosti, deselezionare Nascondi file del sistema operativo protetto, fare clic su per confermare che si desidera visualizzare i file del sistema operativo e quindi fare clic su OK per salvare le modifiche.

  2. Rinominare Ntuser.dat in Ntuser.man.

Verificare il proprietario corretto per le cartelle del profilo obbligatorie

  1. Aprire le proprietà della cartella "profile.v6".
  2. Selezionare la scheda Sicurezza e quindi avanzate.
  3. Verificare il proprietario della cartella. Deve essere il gruppo predefinito Administrators . Per modificare il proprietario, è necessario essere un membro del gruppo Administrators nel file server o avere il privilegio "Imposta proprietario" nel server.
  4. Quando si imposta il proprietario, selezionare Sostituisci proprietario nei sottocontenitori e negli oggetti prima di selezionare OK.

Applicare un profilo utente obbligatorio agli utenti

In un dominio si modificano le proprietà dell'account utente in modo che puntino al profilo obbligatorio in una cartella condivisa che risiede nel server.

Come applicare un profilo utente obbligatorio agli utenti

  1. Aprire Utenti e computer di Active Directory (dsa.msc).
  2. Passare all'account utente a cui si vuole assegnare il profilo obbligatorio.
  3. Fare clic con il pulsante destro del mouse sul nome utente e aprire Proprietà.
  4. Nel campo Percorso profilo della scheda Profilo immettere il percorso della cartella condivisa senza l'estensione. Ad esempio, se il nome della cartella è \\server\share\profile.v6, immettere \\server\share\profile.
  5. Selezionare OK.

La replica di questa modifica in tutti i controller di dominio può richiedere del tempo.

Applicare criteri per migliorare l'ora di accesso

Quando un utente è configurato con un profilo obbligatorio, Windows viene avviato come se fosse il primo accesso ogni volta che l'utente accede. Per migliorare le prestazioni di accesso per gli utenti con profili utente obbligatori, applicare le impostazioni di Criteri di gruppo illustrate nella tabella seguente.

Impostazione di Criteri di gruppo Windows 10 Windows Server 2016
Configurazione > computer Modelli > amministrativi Accesso di sistema >>Mostra animazione di primo accesso = Disabilitato
Configurazione > computer Modelli > amministrativi Componenti > di Windows Ricerca >Consenti Cortana = Disabilitato
Configurazione > computer Modelli > amministrativi Componenti > di Windows Contenuto > cloud Disattiva esperienza consumer Microsoft = Abilitato

Nota

Queste impostazioni di Criteri di gruppo possono essere applicate in Windows Professional Edition.