"强制用户配置文件"是一种特殊的预配置漫游用户配置文件，只有管理员才能更改。被分配了强制配置文件的用户可以在Windows登录期间照常在Windows中工作，但是用户注销后不会将任何更改保存到配置文件中。在下一次登录时，强制配置文件将保持不变。

具有强制配置文件的目录可以位于网络共享文件夹上，并立即分配给多个域用户：例如，终端服务器(RDS)用户，信息亭或者不需要个人配置文件的用户(学童，学生，访问者)。管理员可以为强制配置文件配置文件夹重定向，并且用户可以将个人文件保留在文件服务器上(当然，建议使用NTFS或者FSRM启用磁盘配额)，以防止用户将不重要的文件存储在重定向的文件夹中)。

Windows中的强制性用户配置文件的类型

Windows中有两种类型的强制用户配置文件：

• "普通的强制用户配置文件"，管理员将文件NTuser.dat(包含用户注册表配置单元HKEY_CURRENT_USER)重命名为NTuser.man。使用Ntuser.man时，系统假定此配置文件是只读的，并且不保存对它的任何更改。如果强制配置文件存储在远程服务器上，并且服务器不可用，则用户可以使用强制配置文件的缓存版本登录；否则，用户将无法登录。
• 使用这种类型的配置文件时，"超级强制性用户配置文件"将重命名包含用户配置文件的目录，并将扩展名.man添加到文件夹名称的末尾。如果配置文件类型所在的服务器不可用，则具有此配置文件类型的用户将无法登录。

有些方案还允许本地用户使用强制配置文件，例如在公用计算机(信息亭，会议室等)上，而不是使用UWF筛选器。任何用户都可以在相同的环境中工作，并且当用户注销时不会保存任何更改。

现在很好地演示如何在Windows 10中创建普通的强制配置文件并将其分配给用户。在此示例中，请考虑如何在本地计算机上创建强制用户配置文件(该配置文件将存储在本地驱动器上)，但是，请很好地解释如何将强制用户配置文件分配给域帐户。

如何在Windows 10中创建强制性用户配置文件

• 使用管理员帐户登录计算机，然后启动本地用户和组控制台(lusrmgr.msc)；
• 创建一个新帐户，例如，" ConfRoom;"。
• 现在，我们需要将默认配置文件复制到具有特定扩展名的单独目录中。由于我们使用的是Windows 10 1703，因此该文件夹必须具有V6后缀。例如，该文件夹的名称将为C:\ConfRoom.V6;。
• 打开系统属性(" SystemPropertiesAdvanced.exe")；
• 在"用户个人资料"部分中，单击"设置"；
• 选择"默认配置文件"，然后单击"复制到"；
• 选择" C:\ConfRoom.V6"作为要将配置文件复制到的文件夹(或者我们可以通过指定UNC路径将配置文件模板复制到文件服务器上的网络共享文件夹，例如\ lon-fs01\profiles\ConfRoom.V6)。
• 在权限中选择" NT AUTHORITY\Authenticated Users"。

提示。在Windows 10 1709或者更高版本中，当我们尝试复制配置文件模板时，有一个单独的"强制配置文件"选项。使用此选项时，选定的用户组将自动获得对该文件夹的只读NTFS权限。

如何为用户分配强制配置文件

现在，我们可以将强制配置文件分配给所需的用户。

如果我们使用的是本地强制配置文件，请转到用户属性的"配置文件"选项卡，然后在"配置文件路径"字段中指定C:\ConfRoom.v6目录的路径。

如果在AD域中配置漫游强制用户配置文件，则需要在ADUC控制台的帐户属性中使用配置文件指定目录的UNC路径。

然后使用新的用户帐户登录系统并进行所有必要的设置(选择外观，放置快捷方式，必要的文件，配置软件等)。

提示。我们不能使用XML文件配置漫游配置文件的"开始布局"和"任务栏"。

完成用户会话并使用管理员帐户登录。然后在用户配置文件文件夹中将" NTUSER.dat"重命名为" NTUSER.man"。

现在，尝试以具有强制配置文件的用户身份登录系统，并确保注销后没有任何更改保存在配置文件中。

如果使用强制性用户配置文件登录后出现错误：

用户配置文件服务登录失败。无法加载用户配置文件。
The User Profile Service service failed the sign-in. User profile cannot be loaded.

并且以下事件出现在系统日志中：

Windows无法加载您的漫游配置文件，正在尝试使用您的本地配置文件让您登录。注销时，对配置文件的更改不会复制到服务器。Windows无法加载您的配置文件，因为已存在配置文件文件夹的服务器副本，该副本的安全性不正确。当前用户或管理员组必须是文件夹的所有者。
Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

确保将以下权限分配给配置文件目录(具有对所有子对象的权限继承)：

• 所有应用程序包完全控制(如果没有它，"开始"菜单将无法正常工作)；
• 经过身份验证的用户读取并执行；
• 系统完全控制；
• 管理员完全控制。

必须通过使用regedit.exe中的"文件"->"加载配置单元"加载ntuser.dat配置文件，将相同的权限分配给用户注册表配置单元。

使用漫游配置文件时，为了使"开始"菜单正确显示在所有设备上，我们需要在名称为" SpecialRoamingOverrideAllowed"的REG_DWORD项中将其设置为HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer \注册表。

如果需要更改强制配置文件，请将ntuser.man重命名为ntuser.dat并在用户帐户下配置环境。然后再次重命名该文件。

在RDS服务器上使用强制配置文件时，可以使用以下组策略，其中可以指定配置文件目录的路径并启用强制配置文件。相应的GPO部分是："计算机配置->策略->管理模板-> Windows组件->远程桌面服务->远程桌面会话主机->配置文件"。

• "在RD会话主机服务器上使用强制配置文件" =启用；
• "设置远程桌面服务漫游用户配置文件的路径" =启用+指定UNC路径。

请注意，如果我们决定将文件夹重定向与强制配置文件一起使用，则不建议重定向AppData(漫游)文件夹。