mandatory profiles

winserver/005-profiles.md

@@ -6,7 +6,7 @@ I profili di roaming consentono agli utenti di mantenere le proprie impostazioni
 
 ### Configurazione
 
-Per implementare i profili di roaming, è necessario creare una directory dedicata sul DC:
+Per implementare i profili di roaming, creare una directory dedicata sul DC:
 
 - Creare la cartella `C:\Roaming` sul server
 - Accedere a `Server Manager > File and Storage Services > Shares`
@@ -36,3 +36,35 @@ In questo modo, il profilo verrà caricato automaticamente via rete al momento d
 > Affiché i profili di roaming funzionino correttamente, è necessario che tutti i sistemi operativi delle postazioni di lavoro siano dello stesso tipo.
 
 ![roaming-profile](asset/img/roaming-profile.png)
+
+## Profili mandatory
+
+I profili mandatory sono configurazioni utente che non consentono modifiche al profilo stesso. Questa impostazione è progettata per garantire che gli utenti non possano alterare il proprio ambiente di lavoro, evitando problematiche legate all'uso improprio del computer, come la cancellazione errata di documenti.
+
+### Implementazione
+
+- Creare la cartella `C:\Mandatory` sul DC
+- Condividere la cartella concedendo il permesso `Full Control` al gruppo `Everyone`
+- Le directory degli utenti saranno accessibili tramite il percorso UNC ([Universal Naming Convention - Wikipedia](https://it.wikipedia.org/wiki/Universal_Naming_Convention)) `\\dc01\Mandatory`
+- Creare un OU denominata *Mandatory*.
+- Creare un utente dedicato all'interno di questa OU
+- Selezionare l'utente e, in `Properties`, impostare il `Profile Path` `\\dc01\Mandatory\%username%`
+
+#### Impostazione dei Permessi
+
+- Selezionare `Properties` della directory `\\dc01\Mandatory\user.V6`
+- In `Security > Advanced`, diventare i proprietari della directory, selezionando l'opzione `Replace owner on subcontainers and objects`
+
+![mandatory-profile](asset/img/mandatory-profile.png)
+
+- Nella sezione `Permissions`, spuntare `Replace all child object permissions from this object`
+
+![permission-mandatory](asset/img/permission-mandatory.png)
+
+#### Modifica del File NTUSER.DAT
+
+- Ora è possibile accedere alla directory e visualizzarne il contenuto
+- Individuare il file `NTUSER.DAT`. Rinominare il file in `NTUSER.man`. Questa operazione trasforma il profilo in un profilo mandatory
+- Infine, riassegnare la ownership della cartella del profilo all’utente corrispondent, verificando che i permessi siano configurati correttamente
+
+Dopo queste operazioni, l’utente potrà creare, modificare o eliminare file durante la sessione di lavoro. Al riavvio del sistema, tutte le modifiche apportate verranno annullate e il profilo tornerà allo stato originale.