La prima volta che un utente effettua il login in Windows (Client o Server) viene creato un profilo utente. Questo profilo è chiamato Local User Profile e viene creato sull’hard disk locale dove si è autenticato l’utente. Anche se il computer viene condiviso tra più utenti ognuno di loro riceverà il proprio desktop personalizzato e avrà i propri documenti. Le configurazioni effettuate nel profilo utente saranno quindi uniche per ogni utente e le modifiche effettuate al profilo interesseranno solo l’utente che le ha apportate.

 

Esistono però diversi tipi di profili utente, che analizzeremo nel corso di questo articolo:

 

  • Local User Profiles: Un profilo utente locale viene creato la prima volta che un utente effettua il logon ad un computer. Il profilo è salvato sull’hard disk locale del computer e tutte le modifiche che vengono fatte al profilo locale saranno disponibili solo su quel computer.
  • Roaming User Profiles: Un profilo roaming (mobile) è un profilo utente che invece di essere conservato sull’hard disk locale viene salvato in una cartella condivisa in rete. Ogni volta che un utente si logga al PC viene scaricata una copia del profilo sull’hard disk del computer dove l’utente ha effettuato il logon. Le modifiche effettuate al profilo roaming vengono sincronizzate quando l’utente effettua il logoff. Grazie ai profili roaming l’utente troverà le proprie impostazioni e i propri documenti su qualsiasi computer dove effettuerà il logon.
  • Mandatory User Profiles: Un profilo mandatory (obbligatorio) è un profilo che gli amministratori possono bloccare e gli utenti perderanno tutte le modifiche effettuate ai desktop settings quando effettueranno il logoff.
  • Temporary User Profiles: Un profilo temporaneo viene creato ogni volta che una condizione di errore impedisce al profilo di utente di essere caricato. I profili temporanei vengono cancellati alla fine di ogni sessione e le modifiche effettuate dall'utente ai desktop settings e ai file vengono perse quando l'utente effettua il logoff.

 

Cosa c’è nel profilo utente?

Nel profilo utente, che di solito viene creato nel percorso C:\Users\NomeUtente, ci sono diverse cartelle dove è possibile conservare i dati dell’utente e le configurazioni che l’utente farà alle applicazioni. In più ci sarà anche il file NTUSER.DAT (che di default è un file nascosto e quindi ne dovete abilitare la visualizzazione) che al momento del logon dell’utente verrà mappato al ramo del registro di Windows HKEY_CURRENT_USER e che conterrà le configurazioni e le preferenze dell’utente.

 

 

 

 

Figura 1: Contenuto del profilo utente

 

 

 

 

Figura 2: Ramo del registro di Windows HKEY_CURRENT_USER popolato dal file NTUSER.DAT

 

Per visualizzare i profili memorizzati sul computer potete utilizzare l’app Impostazioni  à Sistema à Informazioni e cliccare sulla voce Impostazioni di sistema avanzate.  In alternativa potete lanciare il comando c:\windows\system32\systempropertiesadvanced.exe (da Esegui digitate systempropertiesadvanced)

Nella finestra Proprietà del sistema cliccate su Impostazioni nella sezione Profilo utente per verificare i profili disponibili sulla macchina, come mostrato nella figura sotto:

 

 

 

 

Figura 3: Gestione dei profili in Windows 10

 

In alternativa è anche possibile andare in Pannello di Controllo --> Account utente e cliccare su Configura proprietà profilo utente esperto

 

 

 

 

Figura 4: Visualizzazione profili in Windows 10

 

 

Profili utente Roaming

 

I profili utente roaming sono stati introdotti in Windows NT 3.1 e sono disponibili agli utenti che si loggano, indipendentemente da quale PC stiano effettuando l’accesso. I profili roaming vengono conservati in una cartella di rete e permettono di semplificare la sostituzione di un PC in quanto non sarà necessario salvare i dati dell’utente, che sono conservati sul server. Quando l’utente effettua il logon su un nuovo PC per la prima volta, una copia del profilo conservato sul server viene copiata nel nuovo computer.

La configurazione di un profilo roaming è molto semplice. Dopo aver creato la cartella condivisa sul server e aver assegnato i permessi corretti basterà utilizzare la console Active Directory Users and Computers e configurare il percorso del profilo.

Ho creato sul server la cartella C:\Profili e l’ho condivisa assegnano i permessi di scrittura a tutti i domain users. Potete anche effettuare una condivisione avanzata e cambiare il nome della condivisione aggiungendo il simbolo dollaro alla fine del nome (Profili$) per poterla nascondere.

 

 

 

 

Figura 5: Creazione della cartella condivisa e assegnazione dei permessi di accesso

 

Dalla console di Active Directory Users and Computers ho modificato il profilo dell’utente, facendolo puntare al percorso \\lon-dc1\Profili\%username%. La variabile %username% viene poi risolta con il nome utente. L’utilizzo della variabile è molto comodo perché è possibile configurare il profilo utente roaming per più utenti contemporaneamente e per ognuno di loro verrà creata una sottocartella nel percorso di rete scelto, a cui verranno assegnati i permessi di accesso per ogni singolo utente. In questo modo al primo logon dell’utente il profilo verrà creato nella cartella condivisa e diventerà un profilo roaming. Una copia locale del profilo verrà creata anche sul PC su cui si è effettuato l’accesso, nella cartella C:\Utenti\NOME UTENTE.

 

 

 

 

Figura 6: Modifica del profilo dell'utente

 

 

 

 

Figura 7: Modifica di più profili contemporaneamente grazie all'utilizzo della variabile

 

Nella cartella condivisa, quando l’utente effettuerà il primo logon, verrà creata la cartella con il suo nome e con la versione del profilo di Windows. Nel mio caso il nome della cartella è nic.V6 perché sto utilizzando Windows 10 Pro, versione 21H1. Come si può vedere dalla figura sotto, nonostante io sia autenticato come amministratore di dominio, non ho permessi necessari per poter fare alcun tipo di operazione sulla cartella del profilo utente roaming, nemmeno vedere le configurazioni di sicurezza. La cartella sarà accessibile solo dal proprietario del profilo (l’utente di dominio) e da SYSTEM.

 

 

 

 

 

Figura 8: Cartella del profilo creata sul server

 

NOTA: I profili creati su sistemi operativi diversi sono incompatibili tra di loro. Se l’utente di connette da un pc con Windows 7 e poi da un PC con Windows 10  verranno creato due profili diversi, come il nome della versione del profilo alla fine. Nella figura sotto sono mostrate tutte le versioni dei profili, a seconda del sistema operativo utilizzato dall’utente e su cui ha effettuato il logon.

 

 

 

 

Figura 9: Estensioni del profilo per ogni versione di Windows

 

 

 

 

Figura 10: Creazione di due profili diversi perché l'utente ha effettuato il logon sia da Windows 7 che da Windows 10

 

Riaprendo la finestra dei Profili Utente sulla macchina client potrete verificare che il profilo presente è di tipo mobile (roaming)

 

 

 

 

Figura 11: Il profilo dell'utente è di tipo Roaming

 

 

Cosa succede se il server su cui sono ospitati i profili roaming non è disponibile?

 

Nel caso il server su cui sono ospitati i profili non sia disponibile e l‘utente abbia effettuato almeno una volta il logon al computer si potrà notare che il logon è rallentato perché il client cerca di ricontattare il server più volte e dopo il timeout di un minuto utilizzerà il profilo in cache per permettere all’utente di lavorare. L’utente riceverà anche un avviso. Nelle figure sotto si può vedere ciò che viene mostrato all’utente:

 

 

 

 

Figura 12: Il logon dell'utente è rallentato perché il server che ospita i profili non è disponibile

 

 

 

 

 

Figura 13: L'utente effettua il logon e utilizza un profilo cache

 

Cosa succede se il profilo dell’utente già esiste e poi viene trasformato in profilo roaming?

 

Nel caso in cui il profilo dell’utente sia stato già creato e poi venga configurato per essere un profilo roaming, modificando la configurazione da Active Directory Users and Computers, tutto quello che già è nel profilo verrà copiato sul server e sarà quindi poi disponibile per tutti i PC dove l’utente si autenticherà. Non verrà perso nulla di quello che l’utente ha già configurato (sfondo del Desktop o configurazioni delle applicazioni conservate nel profilo) o dei file salvati nelle cartelle del profilo (Desktop, Documenti, ecc.).

 

Reindirizzamento cartelle

 

Nel caso in cui i profili siano molto grandi e contengano molti dati è possibile che il logon ed il logoff siano parecchio rallentati. Per agevolare queste due operazioni da parte dell’utente (logon e logoff) e per poter ottenere un’esperienza di lavoro migliore è possibile fare in modo che alcune cartelle rimangano sul server sfruttando la funzionalità di reindirizzamento (folder redirection). Per configurare il reindirizzamento delle cartelle è sufficiente utilizzare i criteri di gruppo (group policy).

Esattamente come per i profili create una nuova cartella sul server e assegnate i permessi di scrittura per gli utenti di dominio, come mostrato in figura:

 

 

 

 

Figura 14: Creazione della cartella sul server che ospiterà le cartelle principali degli utenti e relativa condivisione

 

Utilizzate una Group Policy (GPO) per configurare il reindirizzamento delle cartelle. Modificate la User Configuration --> Policies --> Windows Settings --> Folder Redirection e per ognuna delle cartelle che volete reindirizzare scegliete il percorso. Nel mio caso ho scelto il percorso \\lon-dc1\CartelleUtenti e nel percorso scelto verrà creata una sottocartella per ogni utente. Procedete per reindirizzare tutte le cartelle permesse dalla GPO (AppData, Documents, Pictures, ecc.).

 

 

 

 

Figura 15: Configurazione della GPO per il reindirizzamento della cartella Desktop

 

Procedete quindi ad aggiornare le group policy sui client utilizzando il comando gpupdate /force (o attendete che avvenga il refresh in background, che di default è di 90 min+30). Se forzate l’aggiornamento riceverete un avviso che vi chiederà di effettuare il logoff dal client per utilizzare la Folder Redirection.

 

 

 

 

Figura 16: Aggiornamento delle policy sul client

 

Dopo il logoff ed il successivo logon la cartella Desktop verrà reindirizzata al server, come mostrato in figura:

 

 

 

 

Figura 17: La cartella Desktop è stata correttamente reindirizzata sul server e viene popolata con gli attuali dati utente presenti nel profilo

 

In esplora risorse l’icona delle cartelle che avete deciso di reindirizzare presenterà un simbolo in basso che vi farà capire che sono sincronizzate con il server.

 

 

 

 

Figura 18: Le cartelle reindirizzate sono riconoscibili dall'icona

 

Cosa succede se utilizzo la Folder Redirection ed il server non è disponibile?

 

Nel caso il server in cui sono ospitati i profili e le cartelle reindirizzate non sia disponibile e l‘utente abbia effettuato almeno una volta il logon al computer, si potrà notare che il logon è rallentato perché il client cerca di ricontattare il server più volte e dopo il timeout di un minuto utilizzerà il profilo in cache per permettere all’utente di loggarsi e di lavorare. L’utente riceverà anche un avviso che sta utilizzando un profilo cache, come mostrato nella figura sotto:

 

 

 

 

Figura 19: Se il server non è disponibile l'utente può comunque lavorare nonostante il profilo roaming e il redirect delle cartelle

 

Profili utente obbligatori (Mandatory Roaming Profiles)

 

Come già detto prima, i profili obbligatori sono dei particolari profili roaming che permettono di evitare che un utente salvi le modifiche (configurazioni del desktop e delle applicazioni, documenti creati nel profilo, ecc.) dopo aver effettuato il logoff. I profili utente obbligatori sono utili quando la standardizzazione è importante, ad esempio per un chiosco multimediale o in un contesto didattico (laboratori scolastici). Solo gli amministratori di sistema possono apportare modifiche ai profili utente obbligatori.

 

Il profilo viene creato da un amministratore e  preconfigurato per specificare le impostazioni per gli utenti, come ad esempio icone visualizzate sul desktop, sfondi del desktop, preferenze utente nel Pannello di controllo, selezioni della stampante e altro ancora. Le modifiche alla configurazione apportate durante la sessione di un utente non verranno salvate alla sua disconnessione.

 

I profili utente diventano profili obbligatori quando l'amministratore rinomina il file NTUSER.DAT (l'hive del Registro di sistema) del profilo di ogni utente nel file system del server profili da NTUSER.DAT a NTUSER.MAN . L'estensione .MAN fa in modo che il profilo utente sia di sola lettura.

 

Per accedere alla cartella del profilo utente è necessario prenderne il controllo diventando OWNER della cartella. Successivamente si potrà rinominare il file NTUSER.DAT in NTUSER.MAN e successivamente riassegnare i permessi esclusivi all’utente.

 

 

 

 

Figura 20: L'amministratore diventa il proprietario della cartella

 

Dopo essere diventati proprietari della cartella potrete notare quali sono i permessi assegnati alla cartella (SYSTEM e il proprietario del profilo).

 

 

 

 

Figura 21: Permessi predefiniti assegnati alla cartella del profilo roaming

 

Aggiungete anche il vostro utente per poter avere accesso alla cartella. L’utente deve avere privilegi amministrativi sul server dei profili.

 

 

 

 

Figura 22: Modifica dei permessi di accesso alla cartella del profilo roaming

 

Procedete quindi a rinominare il file NTUSER.DAT in NTUSER.MAN.

 

NOTA: Assicuratevi che l’utente abbia effettuato il logoff, altrimenti il file NTUSER.DART risulterà in uso.

 

 

 

 

Figura 23: Creazione del profilo obbligatorio rinominando il file NTUSER.MAN

 

A questo punto il profilo è impostato come obbligatorio e tutte le configurazioni o modifiche che l’utente eseguirà nel corso della sessione di lavoro andranno perse all’atto della disconnessione.

 

NOTA: Durante il logoff vengono persi anche TUTTI i file creati nel profilo, per esempio nella cartella Desktop oppure Documenti.

 

Per completare la procedura eliminate i permessi di accesso amministrativo alla cartella del profilo e ridate la proprietà della cartella al legittimo proprietario.

 

 

 

 

Figura 24: Riassegnazione della proprietà della cartella all'utente

 

Nel caso vi dimentichiate di riassegnare la proprietà del profilo all’utente, l’utente non sarà in grado di accedere alla cartella sul server e utilizzerà il profilo cache precedentemente memorizzato, ricevendo un errore come quello mostrato nella figura sotto:

 

 

 

 

Figura 25: Il profilo non è accessibile perché l'utente non ha la proprietà della cartella

 

 

 

 

Figura 26: Il profilo dell'utente è adesso di tipo Mandatory

 

 

Profili utente super mandatory

 

Il Super Mandatory User Profile è un tipo di profilo simile al mandatory user profile ma con la differenza che un utente non può effettuare il logon se la cartella di rete che ospita il mandatory profile non è disponibile.

Per creare un super mandatory profile è sufficiente che il nome della cartella dell’utente sul server abbia l’estensione .MAN.

Create quindi la cartella condivisa e assegnate i permessi corretti, come abbiamo fatto anche in precedenza.

 

 

 

 

Figura 27: Creazione della cartella per i profili

 

Configurate il profilo dell’utente per puntare alla cartella dei profili sul server.

 

 

 

 

Figura 28: Configurazione del profilo utente per utilizzare i profili roaming

 

Dopo la prima connessione dell’utente provvedete ad accedere alla cartella dell’utente (dopo averne guadagnato i permessi) e a rinominare il file NTUSER.DAT in NTUSER.MAN per trasformare il profilo roaming in un profilo mandatory.

 

 

 

 

Figura 29: Trasformazione del profilo roaming in mandatory

 

A questo punto riconfigurate i permessi di accesso alla cartella restituendo l’ownership al legittimo proprietario. Per trasformare un profilo roaming mandatory in super-mandatory è sufficiente rinominare la cartella da UTENTE.V6 a UTENTE.MAN.V6, come mostrato in figura:

 

 

 

 

Figura 30: Trasformazione del profilo roaming mandatory in super-mandatory

 

Se il client non è connesso al server non permetterà all’utente di loggarsi. L’utente riceverà l’errore mostrato in figura:

 

 

 

 

Figura 31: In mancanza di connessione al server non viene permesso all'utente di loggarsi

 

NOTA: è possibile anche convertire un profilo mandatory già essistente in un profilo super-mandatory

 

Un’alternativa ai super-mandatory roaming profiles può essere realizzata creando un normal mandatory profile e configurando la policy Do Not log users on with temporary profiles che si trova in Computer Configuration --> Policies --> Administrative Templates --> System --> User Profiles

 

 

 

 

Figura 32: Policy per impedire di accedere col profilo temporaneo se si è disconnessi dal server

 

Gestione dei profili tramite GPO

Moltissime configurazioni dei profili possono essere fatte tramite Group Policy. Nella figura sotto sono mostrate le configurazioni disponibili in Computer Configuration --> Policies --> Administrative Templates --> System --> User Profiles

 

 

 

 

Figura 33: Group policy per la gestione dei profili utente

 

Qui di seguito invece le impostazioni lato utente, configurabili da User Configuration --> Policies --> Administrative Templates --> System --> User Profiles

 

 

 

 

Figura 34: Group policy per la gestione dei profili utente

 

Conclusioni

 

Spero con questo articolo di aver chiarito le idee sui diversi profili che è possibile creare in Windows e di aver elencato si ai pregi che i difetti. Ho cercato anche di dare alcune indicazioni “from the field” che ho raccolto in questi anni.

Buon lavoro!

Nic