Как удалить пользователя в windows server 2016

Как правильно удалять данные старых профилей с терминального сервера? Читаем дальше...


Как выясняется, многие удаляют данные старых профилей с терминального сервера путём удаления папки пользователя %username% из каталога Users, что в корни неправильно.
Во-первых, таким образом остаются хвосты в реестре.
Во-вторых, если потребуется удалённому пользователю зайти, то Windows будет ему создавать каждый раз временный профиль и затрёт все его файлы по завершению сеанса.
В-третьих, забывают или не знают что необходимо подшаманить реестр после таких действий. Как же правильно? Читаем дальше…

Удаление профиля пользователя windows через cвойства системы

Открываем Свойства системы через горячие клавиши Win + Pause или через программу «Выполнить» Win + R путём запуска файла панели управления (или ):


И переходим во вкладку Дополнительно, а там открываем параметры Профилей пользователей и нажимаем Параметры….

Тут мы видим имена профилей, размер и дату изменения в крайнем правом столбце. Теперь выбираем необходимый профиль и нажимаем на кнопку Удалить. Теперь выбранный профиль пользователя удалён из системы.
Точно таким же образом выполняется удаление профиля пользователя Windows 7.

Удаление профиля пользователя в Windows 10

В Windows 10 можно удалить пользователя способом выше, а можно использовать другой способ. Через интерфейс Параметры Windows

ПускПараметрыУчётные записиДругие людиУдалить

Удаление старых профилей через групповую политику GPO

Способ конечно интересный, но есть одно НО 😎. Если собьётся системное время, то данный способ потрёт всё что может, в том числе и активных пользователей 😂. Так что не рекомендую его, если вы на 200%
не уверены что у вас подобных сбоев никогда не случится.

Открываем на сервере Active Directory оснастку Управление групповой политикой через Win + R gpmc.msc. Выбираем действующее правило политики или создаём новое, открываем его на редактирование через правую кнопку мыши.

Конфигурация компьютера ➡ Политики ➡ Административные шаблоны ➡ Система ➡ Профили пользователей Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Включаем и в параметрах устанавливаем кол-во дней. По завершении обновляем политики.

Упс, а я уже удалил каталог вручную 😱

Если вы уже успели удалить каталог пользователя прежде чем задумались как это сделать правильно, то тут нет ничего страшного. Нам теперь необходимо просто почистить реестр.
Открываем реестр Win + R regedit. Далее переходим по ветке:


Находим нужного пользователя, правой кнопкой по ветке реестра этого пользователя и выбираем удалить. А узнаем какой из этих сидов принадлежит удалённому пользователю по строковому параметру ProfileImagePath, где
в значении будет указано его имя.

После того, как установлена роль Доменные службы Active Directory, пришло врем создать пользователя в домене в Windows Server 2016. Начиная с версии Windows Server 2008 появилась возможность восстанавливать из корзины обьекты Active Directory, в том числе пользователей домена. Если в Windows Server 2008 было возможно восстанавливать объекты из корзины из Power Shell, то начиная с версии Windows Server 2012 появилась возможнсоть работать с графическим интерфейсом.

Создание учётной записи в Windows server 2016.

1. Нажимаем Пуск, далее выбираем Диспетчер серверов.

create del restore user 2016 1

2. В «Диспетчер серверов» выбираем «Средства», затем «Пользователи и компьютеры Active Directory».

create del restore user 2016 2

3. В окне «Active Directory» выбираем домен, правой клавишей мыши — «Создать», далее «Подразделение».

create del restore user 2016 3

4. Создаём новое подразделение в домене. Для защиты контейнера отслучайного удаления не снимаем чекбокс. Нажимаем «ОК».

create del restore user 2016 4

5. В новом подразделении заведём пользователя домена. Для этого правой клавишей мыши на подразделение — «Создать» — «Пользователь».

create del restore user 2016 5

6. При создании пользователя в графе «Полное Имя» пользователь отображается в виде Имя-Отчество-Фамилие. Для удобства изменим отображение на более привычный вид Фамилие-Имя-Отчество. 

create del restore user 2016 6

7. Для этого в «Диспетчер серверов» выбираем «Средства», далее «Редактирование ADSI».

create del restore user 2016 7

8. В новом окне нажимаем «Действие» — «Подключение к…».

create del restore user 2016 8

9. В поле «Известный контекст именования:» выбираем «Конфигурация», нажимаем «ОК».

create del restore user 2016 9

10. Открываем «Конфигурация [домен]» — «CN=DisplaySpecifiers» — «CN=419». Далее «CN=user-Display» — «createDialog».

create del restore user 2016 10

11. В редакторе строковых атрибутов устанавливаем значение: %<sn> %<givenName>. Не забываем пробел в устанавливаемом значении и нажимаем «ОК».

create del restore user 2016 11

12. Теперь при заполнении полей создания пользователя графа «Полное имя» будет отображаться в виде Фамилияе-Имя-Отчество. Заполняем все графы в окне «Новый объект — Пользователь» и нажимаем «Далее».

create del restore user 2016 12

13. В следующем окне вводим пароль и подтверждение пароля для пользователя и нажимаем «Далее».

create del restore user 2016 13

14. Проверяем параметры создания нового пользователя, затем «Готово».

create del restore user 2016 14

15. Удалить пользователя в домене очень просто. Выбираем пользователя, правой клавишей мыши на обьекте, далее «Удалить». 

create del restore user 2016 15

16. Появится предупреждение «Вы действительно ходите удалить Пользователь …». При выборе «Да» пользователь будет удален из Active Directory.

create del restore user 2016 16

17. Для восстановления объектов Active Directory, в том числе пользователей», необходимо включить корзину. По умолчанию корзина выключена. В «Диспетчере серверов» выбираем «Средства», далее «Центр администрирования Active Directory».

create del restore user 2016 17

18. В новом окне выбираем наш домен, затем в правой части выбираем «Включить корзину…».

create del restore user 2016 18

19. Появится подтверждение включения корзины в Active Directory. Нажимаем «ОК».

create del restore user 2016 19

20. Для актуализации состояния корзины в домене необходимо обновить центр администрирования Active Directory. Нажимаем «ОК».

create del restore user 2016 20

21. Обновляем состояния центра администрирования.

create del restore user 2016 21

22. Для проверки работоспособности корзины удаляем пользователя в домене.

create del restore user 2016 22

23. Отвечаем «Да» на появление запроса на подтверждение удаления пользователя.

create del restore user 2016 23

24. Переходим в Центр администрирования Active Directory. Выбираем наш домен. Справа появится удаленный объект. Нажимаем правой клавишей мыши на удаленного пользователя, далее «Восстановить». Удаленный пользователь будет восстановлен в Active Directory.

create del restore user 2016 24

Посмотреть, что и как делать, можно здесь:

Удаление старых профилей пользователей Windows с помощью GPO или PowerShell

На рабочих станциях и серверах Windows, особенно на терминальных серверах RDS (Remote Desktop Services), периодически возникает необходимость очистки каталога C:Users от старых профилей пользователей (уволенные пользователи, пользователи, которые долго не используют сервер и т.д.).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, перемещаемыми папками и т.д. Но при большом количестве пользователей терминального сервера в папке C:Users со временем накапливается огромное количество каталогов с ненужными профилями пользователей.

Ручное удаление профиля пользователя в Windows

Многие начинающиеся администраторы пытаются вручную удалить каталог с профилем пользователя из папки C:Users. Так можно делать, если вы после удаления папки вручную удалите раздел профиля пользователя со ссылкой на каталог в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionProfileList. Правильный ручной способ удаления профиля пользователя в Windows – открыть свойства системы, перейти в Advanced System Settings -> User Profiles -> Settings, выбрать в списке пользователя (в столбце Size указан размер профиля пользователя) и нажать кнопку Удалить.

Но это ручной способ, а хочется автоматизации.

Групповая политика автоматического удаления старых профилей

В Windows есть встроенная групповая политика для автоматического удаления старых профилей пользователей старше xx дней. Эта политика находится в разделе Конфигурация компьютера -> Административные шаблоны -> Система -> Профили пользователей (Computer Configuration -> Administrative Templates -> System -> User Profiles) и называется “Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней” (Delete user profiles older than a specified number days on system restart). Вы можете включить этот параметр в локальном редакторе политик (gpedit.msc) или с помощью доменных политик из консоли GPMC.msc.

Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней.

Основные проблемы такого способа автоматической очистки профилей – ожидание перезагрузки сервера и неизбирательность (вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.). Также эта политика может не работать, если некоторое стороннее ПО (чаще всего это антивирус) обращается к файлу NTUSER.DAT в профилях пользователей и обновляет дату последнего использования.

Очистка сервера от старых профилей пользователей с помощью PowerShell

Вместо использования рассмотренной выше политики автоматической очистки профилей, вы можете использовать простой PowerShell скрипт для поиска и удаления профилей неактивных или заблокированных пользователей.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

gci -force ‘C:Users’-ErrorAction SilentlyContinue | ? < $_ -is [io.directoryinfo] >| % <
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % < $len += $_.length >
$_.fullname, ‘ <0:n2>GB’ -f ($len / 1Gb)
$sum = $sum + $len
“Общий размер профилей”,’ <0:n2>GB’ -f ($sum / 1Gb)

Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение поля профиля LastUseTime.

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

#Список аккаунтов, чьи профили нельзя удалять
$ExcludedUsers =»Public»,»zenoss»,»svc»,”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where <(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))>
foreach ($LocalProfile in $LocalProfiles)
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace(«C:Users»,»»)))
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, «профиль удален” -ForegroundColor Magenta

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD (например, группа DisabledUsers):

Как правильно удалить профиль пользователя на терминале Windows Server 2016



Как выясняется, многие удаляют данные старых профилей с терминального сервера путём удаления папки пользователя %username% из каталога Users, что в корни неправильно. Во-первых, таким образом остаются хвосты в реестре. Во-вторых, если потребуется удалённому пользователю зайти, то Windows будет ему создавать каждый раз временный профиль и затрёт все его файлы по завершению сеанса. В-третьих, забывают или не знают что необходимо подшаманить реестр после таких действий. Как же правильно? Читаем дальше.

Удаление профиля пользователя windows через cвойства системы

Открываем Свойства системы через горячие клавиши Win + Pause или через программу «Выполнить» Win + R путём запуска файла панели управления (или ):

И переходим во вкладку Дополнительно, а там открываем параметры Профилей пользователей и нажимаем Параметры. .

Тут мы видим имена профилей, размер и дату изменения в крайнем правом столбце. Теперь выбираем необходимый профиль и нажимаем на кнопку Удалить . Теперь выбранный профиль пользователя удалён из системы. Точно таким же образом выполняется удаление профиля пользователя Windows 7.

Удаление профиля пользователя в Windows 10

В Windows 10 можно удалить пользователя способом выше, а можно использовать другой способ. Через интерфейс Параметры Windows

ПускПараметрыУчётные записиДругие люди ➡ Удалить

Удаление старых профилей через групповую политику GPO

Способ конечно интересный, но есть одно НО 😎. Если собьётся системное время, то данный способ потрёт всё что может, в том числе и активных пользователей 😂. Так что не рекомендую его, если вы на 200% не уверены что у вас подобных сбоев никогда не случится.

Открываем на сервере Active Directory оснастку Управление групповой политикой через Win + R gpmc.msc. Выбираем действующее правило политики или создаём новое, открываем его на редактирование через правую кнопку мыши.

Конфигурация компьютера ➡ Политики ➡ Административные шаблоны ➡ Система ➡ Профили пользователей Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Включаем и в параметрах устанавливаем кол-во дней. По завершении обновляем политики.

Упс, а я уже удалил каталог вручную 😱

Если вы уже успели удалить каталог пользователя прежде чем задумались как это сделать правильно, то тут нет ничего страшного. Нам теперь необходимо просто почистить реестр. Открываем реестр Win + R regedit. Далее переходим по ветке:

Находим нужного пользователя, правой кнопкой по ветке реестра этого пользователя и выбираем удалить. А узнаем какой из этих сидов принадлежит удалённому пользователю по строковому параметру ProfileImagePath, где в значении будет указано его имя.

Удаление профиля пользователя windows server 2016

После того, как установлена роль Доменные службы Active Directory , пришло врем создать пользователя в домене в Windows Server 2016. Начиная с версии Windows Server 2008 появилась возможность восстанавливать из корзины обьекты Active Directory, в том числе пользователей домена. Если в Windows Server 2008 было возможно восстанавливать объекты из корзины из Power Shell, то начиная с версии Windows Server 2012 появилась возможнсоть работать с графическим интерфейсом.

1. Нажимаем Пуск, далее выбираем Диспетчер серверов.

2. В «Диспетчер серверов» выбираем «Средства», затем «Пользователи и компьютеры Active Directory».

3. В окне «Active Directory» выбираем домен, правой клавишей мыши — «Создать», далее «Подразделение».

4. Создаём новое подразделение в домене. Для защиты контейнера отслучайного удаления не снимаем чекбокс. Нажимаем «ОК».

5. В новом подразделении заведём пользователя домена. Для этого правой клавишей мыши на подразделение — «Создать» — «Пользователь».

6. При создании пользователя в графе «Полное Имя» пользователь отображается в виде Имя-Отчество-Фамилие. Для удобства изменим отображение на более привычный вид Фамилие-Имя-Отчество.

7. Для этого в «Диспетчер серверов» выбираем «Средства», далее «Редактирование ADSI».

8. В новом окне нажимаем «Действие» — «Подключение к. «.

9. В поле «Известный контекст именования:» выбираем «Конфигурация», нажимаем «ОК».

10. Открываем «Конфигурация [домен]» — «CN=DisplaySpecifiers» — «CN=419». Далее «CN=user-Display» — «createDialog».

11. В редакторе строковых атрибутов устанавливаем значение: % % . Не забываем пробел в устанавливаемом значении и нажимаем «ОК».

12. Теперь при заполнении полей создания пользователя графа «Полное имя» будет отображаться в виде Фамилияе-Имя-Отчество. Заполняем все графы в окне «Новый объект — Пользователь» и нажимаем «Далее».

13. В следующем окне вводим пароль и подтверждение пароля для пользователя и нажимаем «Далее».

14. Проверяем параметры создания нового пользователя, затем «Готово».

15. Удалить пользователя в домене очень просто. Выбираем пользователя, правой клавишей мыши на обьекте, далее «Удалить».

16. Появится предупреждение «Вы действительно ходите удалить Пользователь . «. При выборе «Да» пользователь будет удален из Active Directory.

17. Для восстановления объектов Active Directory, в том числе пользователей», необходимо включить корзину. По умолчанию корзина выключена. В «Диспетчере серверов» выбираем «Средства», далее «Центр администрирования Active Directory».

18. В новом окне выбираем наш домен, затем в правой части выбираем «Включить корзину. «.

19. Появится подтверждение включения корзины в Active Directory. Нажимаем «ОК».

20. Для актуализации состояния корзины в домене необходимо обновить центр администрирования Active Directory. Нажимаем «ОК».

21. Обновляем состояния центра администрирования.

22. Для проверки работоспособности корзины удаляем пользователя в домене.

23. Отвечаем «Да» на появление запроса на подтверждение удаления пользователя.

24. Переходим в Центр администрирования Active Directory. Выбираем наш домен. Справа появится удаленный объект. Нажимаем правой клавишей мыши на удаленного пользователя, далее «Восстановить». Удаленный пользователь будет восстановлен в Active Directory.

Посмотреть, что и как делать, можно здесь:

Ребят подскажите, не могу сам сообразить. Есть:

1) Сеть
2) Сервер Windows Server 2016
3) Клиентские компьютеры Windows 10 Pro
4) Учётные записи AD.

Всё работает хорошо, как надо. Но на одном компьютере, с одной доменной учёткой произошла фигня, нету предварительной версии Скайпа. Всё есть, а Скайпа нету. Вооо дела. На этом компе на других учётках предварительный Скайп есть,
а тут нету. Ну думаю мало ли что, лезу в магазин и пытаюсь Скайп поставить. Не тут то было, Скайп не ставиться, выскакивает ошибка. Я уже и так и сяк этот магазин тигал, и кэши сбрасывал и другие народные средства, не в какую. Предварительная
версия Скайпа именно на этой учётке не ставиться хоть ты тресни.

Ну ладно…. всякое бывает. Дай думаю я эту учётку завалю на компьютере. Лезу значит в Гугл, ответа нет. Выскакивает всякая ерунда по поводу удаления учётки с самого AD, а вот что бы с компа, Гугл не знает такого. Ну хорошо, лезу в Яндекс
и тут мне находится такой совет:

1. Залогиниться под админской учетной записью на компьютер, запустить редактор реестра (win+r regedit), зайти в ветку реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList и удалить раздел с нужной учетной записью вида S-1-5-21-1512030429-1706424272-4144566235-1671
(ориентироваться по параметру ProfileImagePath).
2. Перейти в C:Users и удалить/переименовать нужную учетную запись.
3. Перезагрузить компьютер.[/CODE]

Значит делаю я эту операцию, перезагружаю компьютер. Заходу снова под эту доменную учётку и вуаля… Предварительная версия Скайпа на месте. И работает. Урааа!!!! Заработало. Однако стал приглядываться, а магазина Windows 10 нету…
просто нету. Как такое могло произойти? Другие Metro приложения есть, а Магазина нету! Ну дела. Вот так и Windows. Ага, ну ладно. Давай ка ещё раз удалю учётку. А то мало ли… может при удалении что-то данеудалил. Сказано — сделано. Перезагружаю
компьютер, заходу под доменную учётку и оооо-ужас, вообще нет не одно Metro приложения. Вообще!!!

И теперь сколько бы я раз не удалял учётку по вышеописанному совету, заходя в учётку нет не одного Metro приложения. Подскажите как полностью удалить доменную учётку с клиентского компьютера?

Администраторы время от времени должны удалять старые профили пользователей (уволенные пользователи, неактивные пользователи, и т.д.) в каталоге C:Users на рабочих станциях и серверах Windows. Чаще всего с задачей очисткой профилей пользователей Windows сталкиваются на терминальных серверах RDS (Remote Desktop Services).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, использованием профилей типа FSLogix или User Profile Disk, перемещаемыми папками и т.д. Но при большом количестве RDS пользователей в папке C:Users со временем накапливается огромное количество каталогов с неиспользуемыми профилями пользователей.


  • Как вручную удалить профиль пользователя в Windows?
  • Групповая политика для автоматической очистки старых профилей
  • PowerShell скрипт для удаления старых профилей пользователей в Windows

Как вручную удалить профиль пользователя в Windows?

В Windows вы можете вручную удалить профиль пользователя через панель управления.

  1. Откройте Advanced System Settings (команда
    ) -> User Profiles -> Settings;
  2. В этом окне перечислен список всех профилей пользователей (локальных и доменных), которые хранятся на этом компьютере. Размер каждого профиля пользователя на диске указан в столбце Size.
  3. Выберите пользователя, чей профиль нужно удалить и нажмите кнопку Delete.Удалить с диска профиль пользователя Windows вручную

В Windows 11/10 и Windows Server 2022/2019 вы можете удалить профили пользователей с диска через приложение Settings. Перейдите в раздел Accounts -> Access work and school (или выполните команду быстрого доступа
). Выберите пользователя и нажмите Remove чтобы удалить его данные с компьютера.

ms-settings: удалить с диска профиль пользователя windows 11

При корректном удалении профиля пользователя с диска будет удален каталог профиля в C:Users и запись о пользователе в реестре.

Многие начинающиеся администраторы пытаются вручную удалить каталог с профилем пользователя из папки C:Users. В этом случае нужно обязательно вручную удалить информацию о профиле из реестра Windows:

  1. Откройте редактор реестра
  2. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
  3. Для каждого пользователя, выполнившего локальный вход в систему (этот метод входа должен быть разрешен пользователю настройками параметра Allow log on locally в GPO), создается отдельная ветка с SID пользователя в качестве имени;
  4. Вы можете найти раздел реестра, соответствующий пользователю по SID, или можете вручную просмотреть содержимое всех вложенных разделв, пока не найдете раздел, в котором значение ProfileImagePath указывает на каталог с профилем пользователя на диске (например,
    );путь к профилю пользователя в реестре ProfileImagePath
  5. Удалите данный раздел реестра, чтобы завершить корректное удаление профиля.

Также вы можете удалить профиль конкретного пользователя с помощью PowerShell:

Get-CimInstance -Class Win32_UserProfile | Where-Object { $_.LocalPath.split(‘’)[-1] -eq 'kbuldogov' } | Remove-CimInstance

Эта команда удалит как каталог на диске, так и ссылку на профиль пользователя kbuldogov в реестре HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.

Эта команда будет работать как в Windows PowerShell, так и в новых версиях PowerShell Core 6.x,7.x

Можно удалить профиль пользователя на удаленном компьютере с помощью PowerShell Remoting и командлета Invoke-Command:

$user = "kbuldogov"
Invoke-Command -ComputerName $compname -ScriptBlock {
Get-CimInstance -Class Win32_UserProfile | Where-Object { $_.LocalPath.split(‘’)[-1] -eq $user } | Remove-CimInstance
} -ArgumentList $user

Групповая политика для автоматической очистки старых профилей

В Windows есть специальный параметр групповой политики для автоматического удаления старых профилей пользователей старше xx дней. Вы можете включить этот параметр с помощью локального редактора GPO (
) или с помощью консоли управления доменными GPO (
). В этом примере на назначим политику автоматической очистки профилей на хосты в ферме RDS, которые вынесены в отдельный контейнер (Organizational Unit) Active Directory.

Прежде чем применять политику удаления старых профилей ко всем хостам, настоятельно рекомендуем проверить ее на тестовом сервере. Выведите один из серверов RDSH в режим обслуживания и протестируйте политику на нем.

  1. Найдите OU с компьютерами/серверами, на который вы хотите применить политику очистки старых профилей пользователей. Щелкните по OU и выберите Create a GPO in this domain and Link it here;gpo создать политику для удаления старых и неактивных профилей
  2. Укажите имя политики и отредактируйте GPO;
  3. Перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Профили пользователей (Computer Configuration -> Administrative Templates -> System -> User Profiles);
  4. Откройте параметр “Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней” (Delete user profiles older than a specified number days on system restart);
  5. Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней;gpo удалить профили старше 60 дней при перезагрузке
  6. После применения новых настроек групповых политк, служба User Profile Services на ваших серверах Windows будет автоматически удалять старые профили пользователей. Удаление выполняется при перезагрузке сервера.

При использовании этой политики нужно быть уверенным, что при выключении/перезагрузке сервера нет проблем с системным временем (время не сбивается), иначе могут быть удалены профили активных пользователей.

Другой недостаток — вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.

В версиях до Windows 11/10 и Windows Server 2022/2019 эта политика работала некорректно. Дело в том, что неактивноть профиля пользователя ранее определялась по дате именения файла NTUSER.dat. При установке обновлений Windows, служба Trusted Installer может менять дату изменения файла NTUSER.dat в профиле каждого пользователя. В результате служба Win32_UserProfile считает, что профиль использовался недавно.

В современных версиях Windows эта политика проверяет активность профиля пользователей по параметрам LocalProfileUnloadTimeLow и LocalProfileUnloadTimeHigh в ветке
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList<User Sid>

LocalProfileLoadTimeLow в ветке реестра ProfileList

Вы можете получить значения параметров реестра LocalProfileLoadTimeLow и LocalProfileUnloadTimeHigh в привычном формате времени с помощью скрипта:

$profilelist = Get-ChildItem "HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionProfileList"
foreach ($p in $profilelist) {
    try {
        $objUser = (New-Object System.Security.Principal.SecurityIdentifier($p.PSChildName)).Translate([System.Security.Principal.NTAccount]).value
    } catch {
        $objUser = "[UNKNOWN]"
    Remove-Variable -Force LTH,LTL,UTH,UTL -ErrorAction SilentlyContinue
    $LTH = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileLoadTimeHigh -ErrorAction SilentlyContinue).LocalProfileLoadTimeHigh
    $LTL = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileLoadTimeLow -ErrorAction SilentlyContinue).LocalProfileLoadTimeLow
    $UTH = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileUnloadTimeHigh -ErrorAction SilentlyContinue).LocalProfileUnloadTimeHigh
    $UTL = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileUnloadTimeLow -ErrorAction SilentlyContinue).LocalProfileUnloadTimeLow
    $LoadTime = if ($LTH -and $LTL) {
    } else {
    $UnloadTime = if ($UTH -and $UTL) {
    } else {
        User = $objUser
        SID = $p.PSChildName
        Loadtime = $LoadTime
        UnloadTime = $UnloadTime

получить время последнего входа в профиль в windows

PowerShell скрипт для удаления старых профилей пользователей в Windows

Вы можете удалять профили неактивных или заблокированных пользователей с помощью скрипта PowerShell.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

gci -force ‘C:Users’-ErrorAction SilentlyContinue | Where { !($_.Attributes -match " ReparsePoint") }| ? { $_ -is [io.directoryinfo] } | % {
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % { $len += $_.length }
$_.fullname, ‘{0:N2} GB’ -f ($len / 1Gb)
$sum = $sum + $len
“Общий размер профилей”,'{0:N2} GB’ -f ($sum / 1Gb)

Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

суммарный размер всех профилей пользвоателей

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение атрибута профиля LastUseTime.

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}| Measure-Object

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

получить список неактивных пользователей с профилями

Следующий PowerShell скрипт выведет список подробную информацию о профилях пользователей, которые не обновлялись более 60 дней. Скрипт сконвертирует SID пользователя в имя, посчитает размер профиля каждого пользователя и выведет все в таблице:

$allprofilesinfo = @()
$OldProfiles=Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}
Foreach ($OldProfile in $OldProfiles)
   {$objSID = New-Object System.Security.Principal.SecurityIdentifier ($OldProfile.SID)
    $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
        $userinfo = New-Object PSObject -Property @{
            userName = $objUser.Value
            ProfilePath = $OldProfile.localpath
            LastUsedDate = $OldProfile.ConvertToDateTime($OldProfile.LastUseTime)
            FolderSize =  "{0:N2} GB" -f ((gci –force $OldProfile.localpath –Recurse -ErrorAction SilentlyContinue| measure Length -s).sum / 1Gb) 
    $allprofilesinfo += $userinfo

скрипт для получения размера старых профилей на диске

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-30))} | Remove-WmiObject –WhatIf

Как мы уже упомянули выше, при установке некоторых обновлений Windows, служба Trusted installer может менять дату изменения файла NTUSER.dat в профиле каждого пользователя.

На скриншоте выше видно, что все профили были изменены примерно в одно и тоже время. Проверьте дату последней установки обновлений в Windows:

gwmi win32_quickfixengineering |sort installedon  |select InstalledOn -Last 1

Или с помощью модуля PSWindowsUpdate:

Get-WUHistory | Select-Object -First 20

Скорее всего она совпадет с датой изменения профилей. Поэтому в старых версиях Windows можно получить список неактивных профилей с помощью другого скрипта, который проверяет атрибуту lastwritetime каталога пользователя:

$USERS= (Get-ChildItem -directory -force 'C:Users' | Where { ((Get-Date) — $_.lastwritetime).days -ge 60 } | % {'c:users' + $_.Name})
foreach ($User in $USERS) {
Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.LocalPath -eq $User)} | Remove-WmiObject WhatIf }

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

#Список аккаунтов, чьи профили нельзя удалять
$ExcludedUsers ="Public","zenoss","svc",”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}
foreach ($LocalProfile in $LocalProfiles)
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace("C:Users","")))
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, "профиль удален” -ForegroundColor Magenta

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD. Например, вы хотите автоматически удалять профили уволившихся пользователей. Просто добавьте такие учетные записи в группу DisabledUsers и выполните на сервере скрипт:

$users = Get-ADGroupMember -Identity DisabledUsers | Foreach {$_.Sid.Value}
$profiles = Get-WmiObject Win32_UserProfile
$profiles | Where {$users -eq $_.Sid} | Foreach {$_.Delete()}

