# Profili ## Profili di roaming I profili di roaming consentono agli utenti di mantenere le proprie impostazioni, documenti e dati personali durante gli spostamenti tra diverse postazioni di lavoro. A differenza dei profili locali, i profili di roaming sono memorizzati su una risorsa di rete e vengono caricati automaticamente all’accesso dell’utente a qualsiasi postazione. ### Configurazione Per implementare i profili di roaming, creare una directory dedicata sul DC: - Creare la cartella `C:\Roaming` sul server - Accedere a `Server Manager > File and Storage Services > Shares` - Dal menu `Task`, selezionare `New Share` e scegliere `SMB Share - Quick` ![smb-share](asset/img/smb-share.png) - Impostare `C:\Roaming` come percorso personalizzato per i profili di roaming - Assegnare alla condivisione il nome `roaming$` per renderla nascosta agli utenti standard - Abilitare l'opzione `Enable access-based enumeration`, che consente a ciascun utente di accedere solo ai file e alle cartelle di cui è proprietario - È fondamentale **personalizzare i permessi**, iniziando a `disabilitare l'eredità` - Rimuovere il gruppo *Users* e aggiungere il gruppo o l'utente specifico, ad esempio *Commerciale* - Applicare i permessi solo a questa directory e non alle sottocartelle, selezionando `This folder only`. Nelle impostazioni avanzate dei permessi, abilitare solo le opzioni `List folder / Read data` e `Create folders` ![share-permission](asset/img/share-permission.png) ### Associare il profilo di roaming agli utenti - Aprire `dsa.msc` - Selezionare gli utenti o il gruppo di interesse, compatibilmente coi permessi assegnati alla share - Nel campo `Profile path`, impostare il percorso `\\DC01\roaming$\%username%` In questo modo, il profilo verrà caricato automaticamente via rete al momento dell’accesso. ![profile-path](asset/img/profile-path.png) > Affiché i profili di roaming funzionino correttamente, è necessario che tutti i sistemi operativi delle postazioni di lavoro siano dello stesso tipo. ![roaming-profile](asset/img/roaming-profile.png) ## Profili mandatory I profili mandatory sono profili utente che non consentono modifiche al profilo stesso. Questa impostazione è progettata per garantire che gli utenti non possano alterare il proprio ambiente di lavoro, evitando problematiche legate all'uso improprio del computer, come la cancellazione errata di documenti. ### Implementazione - Creare la cartella `C:\Mandatory` sul DC - Condividere la cartella concedendo il permesso `Full Control` al gruppo `Everyone` - Le directory degli utenti saranno accessibili tramite il percorso UNC ([Universal Naming Convention - Wikipedia](https://it.wikipedia.org/wiki/Universal_Naming_Convention)) `\\dc01\Mandatory` - Creare un OU denominata *Mandatory*. - Creare un utente dedicato all'interno di questa OU - Selezionare l'utente e, in `Properties`, impostare il `Profile Path` `\\dc01\Mandatory\%username%` #### Impostazione dei Permessi - Selezionare `Properties` della directory `\\dc01\Mandatory\user.V6` - In `Security > Advanced`, diventare i proprietari della directory, selezionando l'opzione `Replace owner on subcontainers and objects` ![mandatory-profile](asset/img/mandatory-profile.png) - Nella sezione `Permissions`, spuntare `Replace all child object permissions from this object` ![permission-mandatory](asset/img/permission-mandatory.png) #### Modifica del File NTUSER.DAT - Ora è possibile accedere alla directory e visualizzarne il contenuto - Individuare il file `NTUSER.DAT`. Rinominare il file in `NTUSER.man`. Questa operazione trasforma il profilo in un profilo mandatory - Infine, riassegnare la ownership della cartella del profilo all’utente corrispondent, verificando che i permessi siano configurati correttamente Dopo queste operazioni, l’utente potrà creare, modificare o eliminare file durante la sessione di lavoro. Al riavvio del sistema, tutte le modifiche apportate verranno annullate e il profilo tornerà allo stato originale.