Windows server 2019 удалить профиль пользователя

Администраторы время от времени должны удалять старые профили пользователей (уволенные пользователи, неактивные пользователи, и т.д.) в каталоге C:Users на рабочих станциях и серверах Windows. Чаще всего с задачей очисткой профилей пользователей Windows сталкиваются на терминальных серверах RDS (Remote Desktop Services).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, использованием профилей типа FSLogix или User Profile Disk, перемещаемыми папками и т.д. Но при большом количестве RDS пользователей в папке C:Users со временем накапливается огромное количество каталогов с неиспользуемыми профилями пользователей.

Как вручную удалить профиль пользователя в Windows?

В Windows вы можете вручную удалить профиль пользователя через панель управления.

1. Откройте Advanced System Settings (команда
   SystemPropertiesAdvanced
   ) -> User Profiles -> Settings;
2. В этом окне перечислен список всех профилей пользователей (локальных и доменных), которые хранятся на этом компьютере. Размер каждого профиля пользователя на диске указан в столбце Size.
3. Выберите пользователя, чей профиль нужно удалить и нажмите кнопку Delete.

В Windows 11/10 и Windows Server 2022/2019 вы можете удалить профили пользователей с диска через приложение Settings. Перейдите в раздел Accounts -> Access work and school (или выполните команду быстрого доступа
ms-settings:otherusers
). Выберите пользователя и нажмите Remove чтобы удалить его данные с компьютера.

При корректном удалении профиля пользователя с диска будет удален каталог профиля в C:Users и запись о пользователе в реестре.

Многие начинающиеся администраторы пытаются вручную удалить каталог с профилем пользователя из папки C:Users. В этом случае нужно обязательно вручную удалить информацию о профиле из реестра Windows:

1. Откройте редактор реестра
   regedit.exe
   ;
2. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
3. Для каждого пользователя, выполнившего локальный вход в систему (этот метод входа должен быть разрешен пользователю настройками параметра Allow log on locally в GPO), создается отдельная ветка с SID пользователя в качестве имени;
4. Вы можете найти раздел реестра, соответствующий пользователю по SID, или можете вручную просмотреть содержимое всех вложенных разделв, пока не найдете раздел, в котором значение ProfileImagePath указывает на каталог с профилем пользователя на диске (например,
   C:Userskbuldogov
   );
5. Удалите данный раздел реестра, чтобы завершить корректное удаление профиля.

Также вы можете удалить профиль конкретного пользователя с помощью PowerShell:

Get-CimInstance -Class Win32_UserProfile | Where-Object { $_.LocalPath.split(‘’)[-1] -eq 'kbuldogov' } | Remove-CimInstance

Эта команда удалит как каталог на диске, так и ссылку на профиль пользователя kbuldogov в реестре HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.

Эта команда будет работать как в Windows PowerShell, так и в новых версиях PowerShell Core 6.x,7.x

Можно удалить профиль пользователя на удаленном компьютере с помощью PowerShell Remoting и командлета Invoke-Command:

$compname="wks21s32"
$user = "kbuldogov"
Invoke-Command -ComputerName $compname -ScriptBlock {
param($user)
Get-CimInstance -Class Win32_UserProfile | Where-Object { $_.LocalPath.split(‘’)[-1] -eq $user } | Remove-CimInstance
} -ArgumentList $user

Групповая политика для автоматической очистки старых профилей

В Windows есть специальный параметр групповой политики для автоматического удаления старых профилей пользователей старше xx дней. Вы можете включить этот параметр с помощью локального редактора GPO (
gpedit.msc
) или с помощью консоли управления доменными GPO (
gpmc.msc
). В этом примере на назначим политику автоматической очистки профилей на хосты в ферме RDS, которые вынесены в отдельный контейнер (Organizational Unit) Active Directory.

Прежде чем применять политику удаления старых профилей ко всем хостам, настоятельно рекомендуем проверить ее на тестовом сервере. Выведите один из серверов RDSH в режим обслуживания и протестируйте политику на нем.

1. Найдите OU с компьютерами/серверами, на который вы хотите применить политику очистки старых профилей пользователей. Щелкните по OU и выберите Create a GPO in this domain and Link it here;
2. Укажите имя политики и отредактируйте GPO;
3. Перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Профили пользователей (Computer Configuration -> Administrative Templates -> System -> User Profiles);
4. Откройте параметр “Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней” (Delete user profiles older than a specified number days on system restart);
5. Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней;
6. После применения новых настроек групповых политк, служба User Profile Services на ваших серверах Windows будет автоматически удалять старые профили пользователей. Удаление выполняется при перезагрузке сервера.

В версиях до Windows 11/10 и Windows Server 2022/2019 эта политика работала некорректно. Дело в том, что неактивноть профиля пользователя ранее определялась по дате именения файла NTUSER.dat. При установке обновлений Windows, служба Trusted Installer может менять дату изменения файла NTUSER.dat в профиле каждого пользователя. В результате служба Win32_UserProfile считает, что профиль использовался недавно.

В современных версиях Windows эта политика проверяет активность профиля пользователей по параметрам LocalProfileUnloadTimeLow и LocalProfileUnloadTimeHigh в ветке
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList<User Sid>
.

$profilelist = Get-ChildItem "HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionProfileList"
foreach ($p in $profilelist) {
    try {
        $objUser = (New-Object System.Security.Principal.SecurityIdentifier($p.PSChildName)).Translate([System.Security.Principal.NTAccount]).value
    } catch {
        $objUser = "[UNKNOWN]"
  }
    Remove-Variable -Force LTH,LTL,UTH,UTL -ErrorAction SilentlyContinue
    $LTH = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileLoadTimeHigh -ErrorAction SilentlyContinue).LocalProfileLoadTimeHigh
    $LTL = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileLoadTimeLow -ErrorAction SilentlyContinue).LocalProfileLoadTimeLow
    $UTH = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileUnloadTimeHigh -ErrorAction SilentlyContinue).LocalProfileUnloadTimeHigh
    $UTL = '{0:X8}' -f (Get-ItemProperty -Path $p.PSPath -Name LocalProfileUnloadTimeLow -ErrorAction SilentlyContinue).LocalProfileUnloadTimeLow
    $LoadTime = if ($LTH -and $LTL) {
        [datetime]::FromFileTime("0x$LTH$LTL")
    } else {
        $null
    }
    $UnloadTime = if ($UTH -and $UTL) {
        [datetime]::FromFileTime("0x$UTH$UTL")
    } else {
        $null
    }
    [pscustomobject][ordered]@{
        User = $objUser
        SID = $p.PSChildName
        Loadtime = $LoadTime
        UnloadTime = $UnloadTime
    }
} 

PowerShell скрипт для удаления старых профилей пользователей в Windows

Вы можете удалять профили неактивных или заблокированных пользователей с помощью скрипта PowerShell.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

gci -force ‘C:Users’-ErrorAction SilentlyContinue | Where { !($_.Attributes -match " ReparsePoint") }| ? { $_ -is [io.directoryinfo] } | % {
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % { $len += $_.length }
$_.fullname, ‘{0:N2} GB’ -f ($len / 1Gb)
$sum = $sum + $len
}
“Общий размер профилей”,'{0:N2} GB’ -f ($sum / 1Gb)


Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение атрибута профиля LastUseTime.

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}| Measure-Object

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Следующий PowerShell скрипт выведет список подробную информацию о профилях пользователей, которые не обновлялись более 60 дней. Скрипт сконвертирует SID пользователя в имя, посчитает размер профиля каждого пользователя и выведет все в таблице:

$allprofilesinfo = @()
$OldProfiles=Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}
Foreach ($OldProfile in $OldProfiles)
   {$objSID = New-Object System.Security.Principal.SecurityIdentifier ($OldProfile.SID)
    $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
        $userinfo = New-Object PSObject -Property @{
            userName = $objUser.Value
            ProfilePath = $OldProfile.localpath
            LastUsedDate = $OldProfile.ConvertToDateTime($OldProfile.LastUseTime)
            FolderSize =  "{0:N2} GB" -f ((gci –force $OldProfile.localpath –Recurse -ErrorAction SilentlyContinue| measure Length -s).sum / 1Gb) 
        }
    $allprofilesinfo += $userinfo
   }
$allprofilesinfo 

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-30))} | Remove-WmiObject –WhatIf

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

#Список аккаунтов, чьи профили нельзя удалять
$ExcludedUsers ="Public","zenoss","svc",”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}
foreach ($LocalProfile in $LocalProfiles)
{
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace("C:Users","")))
{
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, "профиль удален” -ForegroundColor Magenta
}
}

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD. Например, вы хотите автоматически удалять профили уволившихся пользователей. Просто добавьте такие учетные записи в группу DisabledUsers и выполните на сервере скрипт:

$users = Get-ADGroupMember -Identity DisabledUsers | Foreach {$_.Sid.Value}
$profiles = Get-WmiObject Win32_UserProfile
$profiles | Where {$users -eq $_.Sid} | Foreach {$_.Delete()}

Удаление старых профилей пользователей Windows с помощью GPO или PowerShell

На рабочих станциях и серверах Windows, особенно на терминальных серверах RDS (Remote Desktop Services), периодически возникает необходимость очистки каталога C:Users от старых профилей пользователей (уволенные пользователи, пользователи, которые долго не используют сервер и т.д.).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, перемещаемыми папками и т.д. Но при большом количестве пользователей терминального сервера в папке C:Users со временем накапливается огромное количество каталогов с ненужными профилями пользователей.

Ручное удаление профиля пользователя в Windows

Но это ручной способ, а хочется автоматизации.

Групповая политика автоматического удаления старых профилей

Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней.

Основные проблемы такого способа автоматической очистки профилей – ожидание перезагрузки сервера и неизбирательность (вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.). Также эта политика может не работать, если некоторое стороннее ПО (чаще всего это антивирус) обращается к файлу NTUSER.DAT в профилях пользователей и обновляет дату последнего использования.

Очистка сервера от старых профилей пользователей с помощью PowerShell

Вместо использования рассмотренной выше политики автоматической очистки профилей, вы можете использовать простой PowerShell скрипт для поиска и удаления профилей неактивных или заблокированных пользователей.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение поля профиля LastUseTime.

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD (например, группа DisabledUsers):

Источник

Удалить профиль пользователя windows server 2019

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Кликаю правой кнопкой по Компьютер/свойства/дополнительно/профили пользователей/параметры

Могу удалить каждый профиль по одному

Как удалить одним махом всех (около 1000), оставив только дефолтный профиль?

Ответы

Все ответы

Удалить профили из папки Users, вычистить ненужные профили из реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.

и никаких «артифактов » не останется?

Так можно и в свойствах компьютера сделать.

кстати, можно политикой прибивать профиль после логофа.

Удалить профили из папки Users, вычистить ненужные профили из реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.

и никаких «артифактов » не останется?

Так можно и в свойствах компьютера сделать.

кстати, можно политикой прибивать профиль после логофа.

кстати, можно политикой прибивать профиль после логофа.

1) У пользователей, которые зашли первыми на сервер, не хватает раскладки клавиатуры (ua) (можно решить запуском скрипта, но проще удалить профиль)

2) В большой фирме есть текучка, некоторые пользователи уже уволились а их профили висят

3) профили иногда «бьются»

И если пользователь сервера терминалов, как у нас, запускает автоматом одну прогу (проводник не доступен), то чистка всех пользователей есть выходом в некоторых ситуациях, вот как в моей.

Источник

Как правильно удалить профиль пользователя на терминале Windows Server 2016

Оглавление

Введение

Как выясняется, многие удаляют данные старых профилей с терминального сервера путём удаления папки пользователя %username% из каталога Users, что в корни неправильно. Во-первых, таким образом остаются хвосты в реестре. Во-вторых, если потребуется удалённому пользователю зайти, то Windows будет ему создавать каждый раз временный профиль и затрёт все его файлы по завершению сеанса. В-третьих, забывают или не знают что необходимо подшаманить реестр после таких действий. Как же правильно? Читаем дальше.

Удаление профиля пользователя windows через cвойства системы

Открываем Свойства системы через горячие клавиши Win + Pause или через программу «Выполнить» Win + R путём запуска файла панели управления (или ):

Удаление профиля пользователя в Windows 10

В Windows 10 можно удалить пользователя способом выше, а можно использовать другой способ. Через интерфейс Параметры Windows

Пуск ➡ Параметры ➡ Учётные записи ➡ Другие люди ➡ Удалить

Удаление старых профилей через групповую политику GPO

Способ конечно интересный, но есть одно НО 😎. Если собьётся системное время, то данный способ потрёт всё что может, в том числе и активных пользователей 😂. Так что не рекомендую его, если вы на 200% не уверены что у вас подобных сбоев никогда не случится.

Открываем на сервере Active Directory оснастку Управление групповой политикой через Win + R gpmc.msc. Выбираем действующее правило политики или создаём новое, открываем его на редактирование через правую кнопку мыши.

Конфигурация компьютера ➡ Политики ➡ Административные шаблоны ➡ Система ➡ Профили пользователей Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Включаем и в параметрах устанавливаем кол-во дней. По завершении обновляем политики.

Упс, а я уже удалил каталог вручную 😱

Если вы уже успели удалить каталог пользователя прежде чем задумались как это сделать правильно, то тут нет ничего страшного. Нам теперь необходимо просто почистить реестр. Открываем реестр Win + R regedit. Далее переходим по ветке:

Находим нужного пользователя, правой кнопкой по ветке реестра этого пользователя и выбираем удалить. А узнаем какой из этих сидов принадлежит удалённому пользователю по строковому параметру ProfileImagePath, где в значении будет указано его имя.

Источник

Удалить профиль пользователя windows server 2019

Добрый день! Уважаемые читатели и гости одного из популярных блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились ремонтировать кнопку пуск в Windows Server 2016 на одном из RDSH хостов. Сегодня я бы хотел еще поговорить на тему обслуживания терминальной фермы, а именно хочу вас научить производить автоматическую очистку ваших хостов от старых перемещаемых профилей, которые со временем могут накапливаться и занимать ощутимое количество дискового пространства. Думаю это будет полезно для тех, кто только знакомится с технологией RDS.

Постановка задачи

Задача ставиться таким образом, у вас есть ферма Remote Desktop Services High Availability на базе Windows Server 2019, которую используют 500 пользователей. У сотрудников перемещаемые профили (могут быть и локальные все зависит от задачи), это подразумевает, что сегодня они подключаются к одному серверу, а завтра к другому, тем самым оставляя дополнительный неиспользуемый объем на RDSH хостах. Именно эти уже не используемые профили я и хочу удалять по заданным критериям, например удалять все профили старше 3-5 дней.

Методы для автоматического удаления профилей пользователей

Я могу выделить три метода позволяющие нам удалить профиль пользователя по заданным критериям:

Удаление устаревших профилей через GPO

Первый метод, довольно таки топорный, хоть и централизованный. Суть метода заключается в том, что вы настраиваете определенную настройку в групповых политиках, которая при перезагрузке сервера будет смотреть как долго не обращались к профилю, и если эта дата больше заданной в настройках GPO, то профиль будет удаляться с сервера. Эта политика полезная, если у вас особо не большая RDS ферма и у вас хотя бы раз в месяц происходит обслуживание серверов, например для установки обновлений или обновления Vmware Tools. Если вы хотите настроить политику, то нужный вам раздел находится по пути:

Далее производим обновление групповых политик и проверяем на тестовом сервере, либо можете перевести любой из RDSH хостов в режим стока и проверить на нем.

Удаление устаревших профилей через Delprof2: User Profile Deletion Tool

Второй метод, который подошел мне, это использование бесплатной утилиты Delprof2: User Profile Deletion Tool. Delprof2 удаляет неактивные профили пользователей. Если вы хотите освободить место на диске, просто запустите его без параметров, и он удалит все профили, кроме вашего собственного, и некоторые специальные профили, необходимые для операционной системы. Delprof2 имеет дополнительные параметры фильтрации: вы можете удалить только локально кэшированные копии перемещаемых профилей или удалить только те профили, которые не использовались в течение указанного количества дней. Delprof2 делает все как в локальной системе, так и удаленно.

Профили пользователей часто имеют разрешения, установленные для них таким образом, что даже администраторы не имеют доступа без предварительной обработки ACL. Delprof2 обходит это требование, используя права резервного копирования и восстановления для анализа и удаления даже самых надежно защищенных профилей.

Загрузить последнюю версию утилиты вы можете либо у меня с mail облака или же с официального сайта:

Далее вам необходимо разархивировать zip архив. На выходе у вас появится папка с двумя файлами:

Откройте командную строку и перейдите в ней в папку с утилитой DelProf2.exe, далее выполните команду:

В результате этих не хитрых действий у вас появится справка по утилите, со всеми доступными ключами.

Примеры использования Delprof2: User Profile Deletion Tool

Чем хороша данная утилита, так это тем, что может вызываться и работать как удаленно, так и локально. В моей основной задаче мне необходимо именно удаленное удаление профилей.

тут мы вывели список профилей на сервере svt2019s01, к сожалению с русскими логинами утилита может показывать кракозябры. Тут так же видно, какие из профилей используются в данный момент, они имеют статус (reason: in use).

Как видим из списка был убран профиль sem.

Выведем список профилей и удостоверимся, что все было удалено.

Так как в моем примере нет перемещаемых профилей, то команда вернула пустой результат, но уведомила, что все профили локальные.

Если нужно сделать список серверов, то можно в файле написать так:

Delprof2 /c:svt2019s02/d:5 /u > svt2019s01log_%DATE%.txt

Delprof2 /c:svt2019s03 /d:5 /u > svt2019s01log_%DATE%.txt

Как видите сами команды очень простые. Чтобы автоматизировать такой аудит профилей с последующим удалением, я вам рекомендую создать простой bat файл с нужной командой

и запускать его из планировщика Windows по расписанию. Лично я произвожу запуск каждый день в 23-00, выглядит это вот так.

Удаление профилей через PowerShell

Существует уже ряд готовых скриптов PowerShell, которые могут вам помочь в удалении старых профилей пользователей. Первый скрипт от Microsoft, я так же брал его за основу своего.

Для запуска скрипта откройте оболочку PowerShell. Далее загрузите скрипт по ссылке выше или ниже скачайте мой архив с двумя скриптами, распакуйте zip-архив. Давайте для начала выведем справку, выполните команду:

Если у вас выскакивает ошибка «так как выполнение скриптов запрещено для данной системы (Execution of scripts was prohibited)«, то перейдите по ссылке (Set-ExecutionPolic) и разрешите данное действие.

Как видите тут есть ключи:

Давайте для начала посмотрим профили которые старше 5 дней, для этого выполните:

Все это замечательно если у вас один сервер, так же недостатком данного скрипта будет подтверждение удаления. Для более массовых работ есть второй скрипт, скачать его можно по ссылке ниже:

У данного скрипта такие же ключи:

Откройте его с помощью PowerShell ISE. Тут есть два важных момента:

Давайте подготовим файл с хостами, главное чтобы они резолвились через ваш DNS сервер.

Далее вам нужно раскомментировать строку с Get-Content и указать путь до вашего текстового файла со списком серверов.

Запустим скрипт через команду:

так же добавим ключ для удаления:

В результате удалим профили всех, у кого они старше 5 дней.

Вызов Pelprof через PowerShell

При запуске приведенного ниже сценария все, что вам нужно сделать, это ввести имя хоста рабочих станций и имя папки профиля, то есть имя пользователя учетной записи.

Не забываем поместить утилиту pelprof2 в нужное вам место, и поменять это в скрипте.

Источник

Как создать и удалить пользователя, группу и объект в домене

Создание пользователя в домене.

1. Нажимаем «Пуск«, далее выбираем «Диспетчер серверов«.

2. В новом окне нажимаем «Средства«, в открывшемся списке выбираем «Пользователи и компьютеры Active Directory«.

4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). «Полное имя» заполнится автоматически. Затем нажимаем «Далее«.

5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на «Требовать смены пароля при следующем входе в систему«. Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем «Далее«.

6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем «Готово«. Будет создан новый пользователь.

Создание группы в домене

2. Задаем «Имя группы«, «Область действия группы» и «Тип группы«, далее нажимаем «ОК«. Будет создана группа.

3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку «Член групп«, нажимаем кнопку «Добавить«.

4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку «Проверить имена«, далее «ОК«.

5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку «Члены группы«. Нажимаем «Добавить«.

6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу «Проверить имена«, далее «ОК«.

Добавление подразделения в домене

2. Задаём имя подразделения, далее «ОК«.

3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).

Удаление пользователя

3. Появится предупреждение о том, что «Вы действительно хотите удалить Пользователь с именем. «. Нажимаем «Да» и выбранный пользователь будет удален из домена.

Удаление группы

2. Появится предупреждение о том, что «Вы действительно хотите удалить Группу безопасности. «. Нажимаем «Да«. Выбранная группа будет удалена из домена.

Удаление подразделения

2. Для снятия защиты в меню «Вид» выбираем «Дополнительные компоненты«.

4. Выбираем вкладку «Объект«. Убираем чекбокс «Защитить объект от случайного удаления«, далее «ОК«.

6. Появится предупреждение о том, что «Вы действительно хотите удалить Подразделение с именем. «. Нажимаем «Да«. Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено.

7. Если объект содержит другие объекты, то появится предупреждение «Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?«. Нажимаем «Да» и выбранный объект будет удален с вложенными объектами.

Посмотреть видео о том, как создать или удалить пользователя, группу, объект в домене можно здесь:

Источник

После того, как установлена роль Active Directory в домене windows server 2019, появляется возможность управления доменом. Далее необходимо создать пользователей, которые будут входить под учетными записями, группы и подразделения. 

Как создать и удалить пользователя, группу и объект в домене

• Создание пользователя в домене
• Создание группы в домене
• Создание объекта в домене
• Удаление пользователя в домене
• Удаление группы в домене
• Удаление подразделения в домене

Для создания и удаления пользователя, группы и подразделения воспользуемся средством централизованного управления сервером — Диспетчер серверов. Далее выбираем «Пользователи и компьютеры Active Directory».

Создание пользователя в домене.

1. Нажимаем «Пуск«, далее выбираем «Диспетчер серверов«.

2. В новом окне нажимаем «Средства«, в открывшемся списке выбираем «Пользователи и компьютеры Active Directory«.

3. Далее нажимаем правой клавишей на «User«, далее «Создать» — «Пользователь«.

4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). «Полное имя» заполнится автоматически. Затем нажимаем «Далее«. 

5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на «Требовать смены пароля при следующем входе в систему«. Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем «Далее«.

6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем «Готово«. Будет создан новый пользователь.

Создание группы в домене

1. Для создания группы в домене, нажимаем правой клавишей мыши на «Users«, далее «Создать» — «Группа«.

2. Задаем «Имя группы«, «Область действия группы» и «Тип группы«, далее нажимаем «ОК«. Будет создана группа.

3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку «Член групп«, нажимаем кнопку «Добавить«.

4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку «Проверить имена«, далее «ОК«.

5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку «Члены группы«. Нажимаем «Добавить«.

6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу «Проверить имена«, далее «ОК«.

Добавление подразделения в домене

1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню «Создать» — «Подразделение«.

2. Задаём имя подразделения, далее «ОК«.

3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).

Удаление пользователя

1. Обычно сначала пользователя отключают и по истечении определенного промежутка времени удаляют. Для этого выбираем пользователя, правой клавишей мыши — «Отключить учетную запись«.

2. Для удаления выбирают необходимого пользователя, далее правой клавишей мыши — «Удалить«. 

3. Появится предупреждение о том, что «Вы действительно хотите удалить Пользователь с именем…«. Нажимаем «Да» и выбранный пользователь будет удален из домена.

Удаление группы

1. Для удаления группы в домене выбираем нужную группу, нажимаем правой клавишей — «Удалить«.

2. Появится предупреждение о том, что «Вы действительно хотите удалить Группу безопасности….«. Нажимаем «Да«. Выбранная группа будет удалена из домена.

Удаление подразделения

1. Перед тем, как удалять подразделение, необходимо снять защиту, которая не дает удалить объект от случайного удаления. Если попробовать просто удалить подразделение, то появится предупреждение — «Недостаточные привилегии для удаления Departmnet1, или объект защищен от случайного удаления«.

2. Для снятия защиты в меню «Вид» выбираем «Дополнительные компоненты«.

3. Далее выбираем подразделение (объект), которое хотим удалить. Правой клавишей мыши — «Свойства«.

4. Выбираем вкладку «Объект«. Убираем чекбокс «Защитить объект от случайного удаления«, далее «ОК«.

5. Далее нажимаем правой клавишей мыши на выбранное подразделение — «Удалить«.

6. Появится предупреждение о том, что «Вы действительно хотите удалить Подразделение с именем….?«. Нажимаем «Да«. Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено. 

7. Если объект содержит другие объекты, то появится предупреждение «Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?«. Нажимаем «Да» и выбранный объект будет удален с вложенными объектами.

8. Далее в окне «Active Directory — пользователи и компьютеры» в меню «Вид» возвращаем галочку напротив «Дополнительные компоненты«.

Посмотреть видео о том, как создать или удалить пользователя, группу, объект в домене можно здесь:

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей

{/source}

Обновлено 13.11.2020

Добрый день! Уважаемые читатели и гости одного из популярных блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами  научились ремонтировать кнопку пуск в Windows Server 2016 на одном из RDSH хостов. Сегодня я бы хотел еще поговорить на тему обслуживания терминальной фермы, а именно хочу вас научить производить автоматическую очистку ваших хостов от старых перемещаемых профилей, которые со временем могут накапливаться и занимать ощутимое количество дискового пространства. Думаю это будет полезно для тех, кто только знакомится с технологией RDS.

Постановка задачи

Задача ставиться таким образом, у вас есть ферма Remote Desktop Services High Availability на базе Windows Server 2019, которую используют 500 пользователей. У сотрудников перемещаемые профили (могут быть и локальные все зависит от задачи), это подразумевает, что сегодня они подключаются к одному серверу, а завтра к другому, тем самым оставляя дополнительный неиспользуемый объем на RDSH хостах. Именно эти уже не используемые профили я и хочу удалять по заданным критериям, например удалять все профили старше 3-5 дней.

Методы для автоматического удаления профилей пользователей

Я могу выделить три метода позволяющие нам удалить профиль пользователя по заданным критериям:

• С помощью групповой политики
• С помощью утилиты Delprof2: User Profile Deletion Tool
• Через PowerShell

Удаление устаревших профилей через GPO

Первый метод, довольно таки топорный, хоть и централизованный. Суть метода заключается в том, что вы настраиваете определенную настройку в групповых политиках, которая при перезагрузке сервера будет смотреть как долго не обращались к профилю, и если эта дата больше заданной в настройках GPO, то профиль будет удаляться с сервера. Эта политика полезная, если у вас особо не большая RDS ферма и у вас хотя бы раз в месяц происходит обслуживание серверов, например для установки обновлений или обновления Vmware Tools. Если вы хотите настроить политику, то нужный вам раздел находится по пути:

Далее производим обновление групповых политик и проверяем на тестовом сервере, либо можете перевести любой из RDSH хостов в режим стока и проверить на нем.

Удаление устаревших профилей через Delprof2: User Profile Deletion Tool

Второй метод, который подошел мне, это использование бесплатной утилиты Delprof2: User Profile Deletion Tool. Delprof2 удаляет неактивные профили пользователей. Если вы хотите освободить место на диске, просто запустите его без параметров, и он удалит все профили, кроме вашего собственного, и некоторые специальные профили, необходимые для операционной системы. Delprof2 имеет дополнительные параметры фильтрации: вы можете удалить только локально кэшированные копии перемещаемых профилей или удалить только те профили, которые не использовались в течение указанного количества дней. Delprof2 делает все как в локальной системе, так и удаленно.

Профили пользователей часто имеют разрешения, установленные для них таким образом, что даже администраторы не имеют доступа без предварительной обработки ACL. Delprof2 обходит это требование, используя права резервного копирования и восстановления для анализа и удаления даже самых надежно защищенных профилей.

Некоторые программы хранят файлы по пути, длина которого превышает 260 символов. Большинство инструментов не могут работать с такими путями, длина которых превышает значение MAX_PATH (260). Проводник Windows — яркий тому пример. Delprof2, с другой стороны, использует специальные API, чтобы иметь возможность удалять файлы в самых удаленных областях вашего жесткого диска.

Скачать Delprof2: User Profile Deletion Tool

Загрузить последнюю версию утилиты вы можете либо у меня с mail облака или же с официального сайта:

Далее вам необходимо разархивировать zip архив. На выходе у вас появится папка с двумя файлами:

• Changelog — файл с описанием, что изменилось
• DelProf2 — сам файл утилиты

Откройте командную строку и перейдите в ней в папку с утилитой DelProf2.exe, далее выполните команду:

В результате этих не хитрых действий у вас появится справка по утилите, со всеми доступными ключами.

• /l — Перечисление профилей доступных для удаления, но удалено ничего не будет, это такой режим, что было бы (what-if mode)

• /u — Данный ключ не будет требовать подтверждения при удалении и без просмотра
• /q — Тихое удаление без вывода и подтверждения
• /p — Запрашивать подтверждение перед удалением каждого профиля
• /r — Удалить локальные кэши только перемещаемых профилей, но не локальных профилей
• /c — Удалить на удаленном компьютере
• /d — Удалить только профили, которые не использовались в течение x дней
• /ntuserini — При определении возраста профиля для /d используйте файл NTUSER.INI вместо NTUSER.DAT для расчета возраста
• /ed — Исключить каталоги профилей, имя которых соответствует определенному шаблону с помощью подстановочных знаков * и ?. Может использоваться более одного раза и может сочетаться с /id
• /id — Включить только каталоги профилей, имя которых соответствует некому шаблону, можно использовать подстановочные знаки * и ?. Может использоваться более одного раза и может сочетаться с /ed
• /i — Игнорировать ошибки, продолжить удаление

Примеры использования Delprof2: User Profile Deletion Tool

Чем хороша данная утилита, так это тем, что может вызываться и работать как удаленно, так и локально. В моей основной задаче мне необходимо именно удаленное удаление профилей.

• Для начала я хочу посмотреть список профилей на удаленном сервере, сделать это можно через команду:

тут мы вывели список профилей на сервере svt2019s01, к сожалению с русскими логинами утилита может показывать кракозябры. Тут так же видно, какие из профилей используются в данный момент, они имеют статус (reason: in use).

• Посмотреть профили на удаленном сервере старше определенного количества дней, в моем примере это 5 дней.

Как видим из списка был убран профиль sem.

• Произведем удаление профилей старше 5 дней на удаленном сервере, добавим в команду ключ /u, не требующий подтверждения и убираем ключ /l.

Выведем список профилей и удостоверимся, что все было удалено.

• Если нужно удалить на сервере только перемещаемые профили, а локальные не трогать, то мы должны добавить ключ /r

Так как в моем примере нет перемещаемых профилей, то команда вернула пустой результат, но уведомила, что все профили локальные.

• • Чтобы логировать все действия по удалению, то вы можете добавить вот такую конструкцию в DelProf2.

Если нужно сделать список серверов, то можно в файле написать так:

Как видите сами команды очень простые. Чтобы автоматизировать такой аудит профилей с последующим удалением, я вам рекомендую создать простой bat файл с нужной командой

и запускать его из планировщика Windows по расписанию. Лично я произвожу запуск каждый день в 23-00, выглядит это вот так.

Удаление профилей через PowerShell

Существует уже ряд готовых скриптов PowerShell, которые могут вам помочь в удалении старых профилей пользователей. Первый скрипт от Microsoft, я так же брал его за основу своего.

Для запуска скрипта откройте оболочку PowerShell. Далее загрузите скрипт по ссылке выше или ниже скачайте мой архив с двумя скриптами, распакуйте zip-архив. Давайте для начала выведем справку, выполните команду:

Если у вас выскакивает ошибка «так как выполнение скриптов запрещено для данной системы (Execution of scripts was prohibited)«, то перейдите по ссылке (Set-ExecutionPolic) и разрешите данное действие.

Как видите тут есть ключи:

• —ListUnusedDay — показывает за какой срок нужно показывать неиспользуемые профили
• —ListAll — показать все профили
• —DelereUnuseDay — Удалить профили неиспользуемые определенное количество дней

Давайте для начала посмотрим профили которые старше 5 дней, для этого выполните:

Теперь посмотрим вообще все профили хранящиеся на данном сервере, через ключ -ListAll

Теперь удалим профили старше 5 дней, через ключ -DeleteUnusedDay, у вас выскочит подтверждение.

Все это замечательно если у вас один сервер, так же недостатком данного скрипта будет подтверждение удаления. Для более массовых работ есть второй скрипт, скачать его можно по ссылке ниже:

У данного скрипта такие же ключи:

• —ListUnusedDay — показывает за какой срок нужно показывать неиспользуемые профили;
• —ListAll — показать все профили;
• —DelereUnuseDay — Удалить профили неиспользуемые определенное количество дней;

Откройте его с помощью PowerShell ISE. Тут есть два важных момента:

1. Теперь при удалении у вас не будет спрашиваться подтверждение
2. У вас есть возможность подсовывать список хостов, в виде перечисления или же через файл

Давайте подготовим файл с хостами, главное чтобы они резолвились через ваш DNS сервер.

Далее вам нужно раскомментировать строку с Get-Content и указать путь до вашего текстового файла со списком серверов.

Запустим скрипт через команду:

Ключ -ListAll выводит все профили пользователей попадающие под критерии удаления. Количество дней устаревания вы можете задать через параметр «$Computername -ListUnusedDay 10«. Если на хосте из списка не будет профилей попадающих под ваши критерии, то вы получите желтое уведомление «Предупреждение: The item not found«. Как видите я поигрался с количеством дней, поэтому и разные списки профилей.

так же добавим ключ для удаления:

В результате удалим профили всех, у кого они старше 5 дней.

Вызов Pelprof через PowerShell

При запуске приведенного ниже сценария все, что вам нужно сделать, это ввести имя хоста рабочих станций и имя папки профиля, то есть имя пользователя учетной записи.

Не забываем поместить утилиту pelprof2 в нужное вам место, и поменять это в скрипте.

Дополнительные ссылки

• https://gallery.technet.microsoft.com/scriptcenter/How-to-delete-user-d86ffd3c/
• https://gist.github.com/mavericksevmont/8c3877cb7484fc80b309fb39f719926f

На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Удаление профиля доменного пользователя в Windows

Feb 22, 2016 · 2 min read

Иногда при работе в терминальном сервере, или на любом ПК, введенным в домен, приходится принудительно удалять профиль пользователя.

В Windows XP/2003 Server было достаточно удалить подкаталог в Documents and Settings, однако в Windows 7/Server 2008 при удалении подкаталога в папке Users система выдаст сообщение:

Your user profile was not loaded correctly! You have been logged on with a temporary profile.

Changes you make to this profile will be lost when you log off. Please see the event log for details or contact your administrator.

Профиль пользователя был загружен неправильно! Вход выполнен с использованием временного профиля.

Изменения, внесенные в этот профиль, будут потеряны при выходе. Смотрите подробности в журнале событий или обратитесь к администратору.

Чтобы открыть компонент “система” в панели управления от администратора нужно выполнить:

Дополнительно> Профили пользователей> Параметры

В группе “ Профили, хранящиеся на этом компьютере” выбрать нужный и нажать кнопку “ удалить”.

Но таким образом можно удал и ть только локальный профиль. Для того чтобы удалить профиль пользователя домена выполнившего вход на другой ПК домена нужно сначала удалить ветку реестра и сопоставленную этому профилю папку в C:Users

Записи о профилях пользователей хранятся в ветке реестра:

Для каждого профиля, который хранится локально, в этой ветке создается подраздел с SID учетной записи пользователя. Для того, чтобы сопоставить каждому профилю его SID можно воспользоваться утилитой Sysinternals PsGetSid. Сам путь профилю хранится внутри этой ветки в параметре ProfileImagePath.

Источник

Блог системного администратора Windows/Linux/FreeBSD

Как правильно удалить доменную учетную запись на клиентском компьютере в Windows

Бывает так, что приспичит админу удалить глючный профиль глючного пользователя с компьютера под управлением Windows. Некоторые топовые админы просто удаляют папку с пользователем в C:Users, а когда заходят заново под этим юзером получают шляпу в виде префикса доменного имени в названии каталога юзера. Так делать не надо.
Как правильно удалить доменную учетную запись пользователя в Windows?
Для этого нужно:
1. Залогиниться под админской учетной записью на компьютер, запустить редактор реестра (win+r regedit), зайти в ветку реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList и удалить раздел с нужной учетной записью вида S-1-5-21-1512030429-1706424272-4144566235-1671 (ориентироваться по параметру ProfileImagePath).
2. Перейти в C:Users и удалить/переименовать нужную учетную запись.
3. Перезагрузить компьютер.

Похожие записи:

Как правильно удалить доменную учетную запись на клиентском компьютере в Windows : 3 комментария

Норм, коротко и понятно!

Столкнулся с следущей проблемой: Не удаётся удалить все выделенные параметры

Скорее всего делаешь без прав администратора. Попробуй с загрузочного диска (или флешки) запустить regedit и внести изменения.

Источник

Удалить доменного пользователя с компьютера

Вопрос

Ребят подскажите, не могу сам сообразить. Есть:

1) Сеть
2) Сервер Windows Server 2016
3) Клиентские компьютеры Windows 10 Pro
4) Учётные записи AD.

Всё работает хорошо, как надо. Но на одном компьютере, с одной доменной учёткой произошла фигня, нету предварительной версии Скайпа. Всё есть, а Скайпа нету. Вооо дела. На этом компе на других учётках предварительный Скайп есть, а тут нету. Ну думаю мало ли что, лезу в магазин и пытаюсь Скайп поставить. Не тут то было, Скайп не ставиться, выскакивает ошибка. Я уже и так и сяк этот магазин тигал, и кэши сбрасывал и другие народные средства, не в какую. Предварительная версия Скайпа именно на этой учётке не ставиться хоть ты тресни.

Ну ладно. всякое бывает. Дай думаю я эту учётку завалю на компьютере. Лезу значит в Гугл, ответа нет. Выскакивает всякая ерунда по поводу удаления учётки с самого AD, а вот что бы с компа, Гугл не знает такого. Ну хорошо, лезу в Яндекс и тут мне находится такой совет:

[CODE]
1. Залогиниться под админской учетной записью на компьютер, запустить редактор реестра (win+r regedit), зайти в ветку реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList и удалить раздел с нужной учетной записью вида S-1-5-21-1512030429-1706424272-4144566235-1671 (ориентироваться по параметру ProfileImagePath).
2. Перейти в C:Users и удалить/переименовать нужную учетную запись.
3. Перезагрузить компьютер.[/CODE]

И теперь сколько бы я раз не удалял учётку по вышеописанному совету, заходя в учётку нет не одного Metro приложения. Подскажите как полностью удалить доменную учётку с клиентского компьютера?

Источник

Удалить доменного пользователя с компьютера

Вопрос

Ребят подскажите, не могу сам сообразить. Есть:

1) Сеть
2) Сервер Windows Server 2016
3) Клиентские компьютеры Windows 10 Pro
4) Учётные записи AD.

Всё работает хорошо, как надо. Но на одном компьютере, с одной доменной учёткой произошла фигня, нету предварительной версии Скайпа. Всё есть, а Скайпа нету. Вооо дела. На этом компе на других учётках предварительный Скайп есть, а тут нету. Ну думаю мало ли что, лезу в магазин и пытаюсь Скайп поставить. Не тут то было, Скайп не ставиться, выскакивает ошибка. Я уже и так и сяк этот магазин тигал, и кэши сбрасывал и другие народные средства, не в какую. Предварительная версия Скайпа именно на этой учётке не ставиться хоть ты тресни.

Ну ладно. всякое бывает. Дай думаю я эту учётку завалю на компьютере. Лезу значит в Гугл, ответа нет. Выскакивает всякая ерунда по поводу удаления учётки с самого AD, а вот что бы с компа, Гугл не знает такого. Ну хорошо, лезу в Яндекс и тут мне находится такой совет:

[CODE]
1. Залогиниться под админской учетной записью на компьютер, запустить редактор реестра (win+r regedit), зайти в ветку реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList и удалить раздел с нужной учетной записью вида S-1-5-21-1512030429-1706424272-4144566235-1671 (ориентироваться по параметру ProfileImagePath).
2. Перейти в C:Users и удалить/переименовать нужную учетную запись.
3. Перезагрузить компьютер.[/CODE]

И теперь сколько бы я раз не удалял учётку по вышеописанному совету, заходя в учётку нет не одного Metro приложения. Подскажите как полностью удалить доменную учётку с клиентского компьютера?

Источник

Удаление старых профилей пользователей Windows с помощью GPO или PowerShell

На рабочих станциях и серверах Windows, особенно на терминальных серверах RDS (Remote Desktop Services), периодически возникает необходимость очистки каталога C:Users от старых профилей пользователей (уволенные пользователи, пользователи, которые долго не используют сервер и т.д.).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, перемещаемыми папками и т.д. Но при большом количестве пользователей терминального сервера в папке C:Users со временем накапливается огромное количество каталогов с ненужными профилями пользователей.

Ручное удаление профиля пользователя в Windows

Но это ручной способ, а хочется автоматизации.

Групповая политика автоматического удаления старых профилей

Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней.

Основные проблемы такого способа автоматической очистки профилей – ожидание перезагрузки сервера и неизбирательность (вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.). Также эта политика может не работать, если некоторое стороннее ПО (чаще всего это антивирус) обращается к файлу NTUSER.DAT в профилях пользователей и обновляет дату последнего использования.

Очистка сервера от старых профилей пользователей с помощью PowerShell

Вместо использования рассмотренной выше политики автоматической очистки профилей, вы можете использовать простой PowerShell скрипт для поиска и удаления профилей неактивных или заблокированных пользователей.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение поля профиля LastUseTime.

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD (например, группа DisabledUsers):

Источник

Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а так же управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.

Для того чтобы не было ошибок доступа, нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group), либо УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.

Как создать учетную запись пользователя

Давайте создадим учетную запись пользователя AD несколькими способами.

Создание учетной записи пользователя с помощью ADUC

Запустите Active Directory Users and Computers (dsa.msc).

Перейдите в нужную вам OU (organizational unit) или контейнер. На панели задач нажмите на значок New User, или щелкните правой кнопкой мыши пустое место в главном окне и выберите New -> User из меню, или щелкните правой кнопкой по выбранному вами OU или контейнеру и выберите New -> User.

Появится окно New Object — User, укажите параметры для вашего пользователя:

• Full Name, введите полное имя в поле Full Name или введите отдельно фамилию и имя в поля First Name и Last Name.
• User logon name — Имя логина пользователя, данный параметр создаст атрибут userPrincipalName и атрибут sAMAccountName, которые пользователь будет вводить при входе в систему.

Нажмите Next и укажите Пароль, затем наберите его во втором поле и отметьте нужные настройки, обычно для нового пользователя нужно отметить «User must change password at next logon«(Пользователь должен сменить пароль при следующем входе).

Нажмите Next и Finish. Поздравляем, учетная запись пользователя успешно создана!

Создание УЗ пользователя с помощью cmd.exe

Используйте следующую команду с необходимыми параметрами для создания объекта пользователя в контейнере «Users«, имя пользователя в примере будет GSoul:

dsadd.exe user "CN=GSoul,CN=Users,DC=office,DC=local" -upn GSoul@office.local -fn "Gordon" -ln "Soul" -display "Gordon Soul" -pwd "P@&&W0rd"

Создание учетной записи пользователя с помощью Windows PowerShell

Запустите следующий код PowerShell с правами администратора:

Import-Module ActiveDirectory
New-ADUser -Name FRobinson -Path "CN=Users,DC=office,DC=local" -GivenName "Frank" -Surname "Robinson" -sAMAccountName FRobinson

Как удалить учетную запись пользователя

Для того чтобы удалить пользователя из Active Directory, используйте один из следующих методов. Обратите внимание, что это не приведет к полному удалению УЗ, если у вас настроена корзина AD Recycle Bin.

Удаление учетной записи пользователя с помощью Active Directory Users and Computers

Чтобы удалить пользователя из домена, откройте Active Directory Users and Computers (dsa.msc).

Нажмите на меню View, включите Advanced Features. Перейдите в OU или контейнер, где находится объект пользователя, который вы собираетесь удалить. В меню Action выберите Find.

В поле Name введите имя пользователя, которого вы хотите удалить, и нажмите кнопку «Find now«. В списке результатов поиска выберите нужного пользователя.

Щелкните правой кнопкой мыши на пользователя и выберите из списка пункт «Delete«, а затем «Yes«.

Удаление учетной записи пользователя с помощью командной строки

Следующая команда удаляет пользователя «GSoul» из контейнера “Users” из домена office.local:

dsrm.exe "CN=Gregory Soul,CN=Users,DC=office,DC=local"

Удаление учетной записи пользователя с помощью Windows PowerShell

Используйте следующий PowerShell код для удаления пользователя из AD, синтаксис для примера использован такой же, как и в примере выше:

Import-Module ActiveDirectory
Remove-ADUser -Identity "CN=GSoul,CN=Users,DC=office,DC=local"

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

ООО «ИТГЛОБАЛКОМ ЛАБС»

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

ООО «ИТГЛОБАЛКОМ ЛАБС»

Удаление старых профилей пользователей Windows с помощью GPO или PowerShell

На рабочих станциях и серверах Windows, особенно на терминальных серверах RDS (Remote Desktop Services), периодически возникает необходимость очистки каталога C:Users от старых профилей пользователей (уволенные пользователи, пользователи, которые долго не используют сервер и т.д.).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, перемещаемыми папками и т.д. Но при большом количестве пользователей терминального сервера в папке C:Users со временем накапливается огромное количество каталогов с ненужными профилями пользователей.

Ручное удаление профиля пользователя в Windows

Многие начинающиеся администраторы пытаются вручную удалить каталог с профилем пользователя из папки C:Users. Так можно делать, если вы после удаления папки вручную удалите раздел профиля пользователя со ссылкой на каталог в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionProfileList. Правильный ручной способ удаления профиля пользователя в Windows – открыть свойства системы, перейти в Advanced System Settings -> User Profiles -> Settings, выбрать в списке пользователя (в столбце Size указан размер профиля пользователя) и нажать кнопку Удалить.

Но это ручной способ, а хочется автоматизации.

Групповая политика автоматического удаления старых профилей

В Windows есть встроенная групповая политика для автоматического удаления старых профилей пользователей старше xx дней. Эта политика находится в разделе Конфигурация компьютера -> Административные шаблоны -> Система -> Профили пользователей (Computer Configuration -> Administrative Templates -> System -> User Profiles) и называется “Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней” (Delete user profiles older than a specified number days on system restart). Вы можете включить этот параметр в локальном редакторе политик (gpedit.msc) или с помощью доменных политик из консоли GPMC.msc.

Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней.

Основные проблемы такого способа автоматической очистки профилей – ожидание перезагрузки сервера и неизбирательность (вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.). Также эта политика может не работать, если некоторое стороннее ПО (чаще всего это антивирус) обращается к файлу NTUSER.DAT в профилях пользователей и обновляет дату последнего использования.

Очистка сервера от старых профилей пользователей с помощью PowerShell

Вместо использования рассмотренной выше политики автоматической очистки профилей, вы можете использовать простой PowerShell скрипт для поиска и удаления профилей неактивных или заблокированных пользователей.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

gci -force ‘C:Users’-ErrorAction SilentlyContinue | ? < $_ -is [io.directoryinfo] >| % <
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % < $len += $_.length >
$_.fullname, ‘ <0:n2>GB’ -f ($len / 1Gb)
$sum = $sum + $len
>
“Общий размер профилей”,’ <0:n2>GB’ -f ($sum / 1Gb)

Итого суммарный размер всех профилей пользователей в каталоге C:Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение поля профиля LastUseTime.

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

#Список аккаунтов, чьи профили нельзя удалять
$ExcludedUsers =»Public»,»zenoss»,»svc»,”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where <(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))>
foreach ($LocalProfile in $LocalProfiles)
<
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace(«C:Users»,»»)))
<
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, «профиль удален” -ForegroundColor Magenta
>
>

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD (например, группа DisabledUsers):

Как правильно удалить профиль пользователя на терминале Windows Server 2016

Оглавление

Введение

Как выясняется, многие удаляют данные старых профилей с терминального сервера путём удаления папки пользователя %username% из каталога Users, что в корни неправильно. Во-первых, таким образом остаются хвосты в реестре. Во-вторых, если потребуется удалённому пользователю зайти, то Windows будет ему создавать каждый раз временный профиль и затрёт все его файлы по завершению сеанса. В-третьих, забывают или не знают что необходимо подшаманить реестр после таких действий. Как же правильно? Читаем дальше.

Удаление профиля пользователя windows через cвойства системы

Открываем Свойства системы через горячие клавиши Win + Pause или через программу «Выполнить» Win + R путём запуска файла панели управления (или ):

И переходим во вкладку Дополнительно, а там открываем параметры Профилей пользователей и нажимаем Параметры. .

Тут мы видим имена профилей, размер и дату изменения в крайнем правом столбце. Теперь выбираем необходимый профиль и нажимаем на кнопку Удалить . Теперь выбранный профиль пользователя удалён из системы. Точно таким же образом выполняется удаление профиля пользователя Windows 7.

Удаление профиля пользователя в Windows 10

В Windows 10 можно удалить пользователя способом выше, а можно использовать другой способ. Через интерфейс Параметры Windows

Пуск ➡ Параметры ➡ Учётные записи ➡ Другие люди ➡ Удалить

Удаление старых профилей через групповую политику GPO

Способ конечно интересный, но есть одно НО 😎. Если собьётся системное время, то данный способ потрёт всё что может, в том числе и активных пользователей 😂. Так что не рекомендую его, если вы на 200% не уверены что у вас подобных сбоев никогда не случится.

Открываем на сервере Active Directory оснастку Управление групповой политикой через Win + R gpmc.msc. Выбираем действующее правило политики или создаём новое, открываем его на редактирование через правую кнопку мыши.

Конфигурация компьютера ➡ Политики ➡ Административные шаблоны ➡ Система ➡ Профили пользователей Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Включаем и в параметрах устанавливаем кол-во дней. По завершении обновляем политики.

Упс, а я уже удалил каталог вручную 😱

Если вы уже успели удалить каталог пользователя прежде чем задумались как это сделать правильно, то тут нет ничего страшного. Нам теперь необходимо просто почистить реестр. Открываем реестр Win + R regedit. Далее переходим по ветке:

Находим нужного пользователя, правой кнопкой по ветке реестра этого пользователя и выбираем удалить. А узнаем какой из этих сидов принадлежит удалённому пользователю по строковому параметру ProfileImagePath, где в значении будет указано его имя.

Удаление профиля пользователя windows server 2016

После того, как установлена роль Доменные службы Active Directory , пришло врем создать пользователя в домене в Windows Server 2016. Начиная с версии Windows Server 2008 появилась возможность восстанавливать из корзины обьекты Active Directory, в том числе пользователей домена. Если в Windows Server 2008 было возможно восстанавливать объекты из корзины из Power Shell, то начиная с версии Windows Server 2012 появилась возможнсоть работать с графическим интерфейсом.

1. Нажимаем Пуск, далее выбираем Диспетчер серверов.

2. В «Диспетчер серверов» выбираем «Средства», затем «Пользователи и компьютеры Active Directory».

3. В окне «Active Directory» выбираем домен, правой клавишей мыши — «Создать», далее «Подразделение».

4. Создаём новое подразделение в домене. Для защиты контейнера отслучайного удаления не снимаем чекбокс. Нажимаем «ОК».

5. В новом подразделении заведём пользователя домена. Для этого правой клавишей мыши на подразделение — «Создать» — «Пользователь».

6. При создании пользователя в графе «Полное Имя» пользователь отображается в виде Имя-Отчество-Фамилие. Для удобства изменим отображение на более привычный вид Фамилие-Имя-Отчество.

7. Для этого в «Диспетчер серверов» выбираем «Средства», далее «Редактирование ADSI».

8. В новом окне нажимаем «Действие» — «Подключение к. «.

9. В поле «Известный контекст именования:» выбираем «Конфигурация», нажимаем «ОК».

10. Открываем «Конфигурация [домен]» — «CN=DisplaySpecifiers» — «CN=419». Далее «CN=user-Display» — «createDialog».

11. В редакторе строковых атрибутов устанавливаем значение: % % . Не забываем пробел в устанавливаемом значении и нажимаем «ОК».

12. Теперь при заполнении полей создания пользователя графа «Полное имя» будет отображаться в виде Фамилияе-Имя-Отчество. Заполняем все графы в окне «Новый объект — Пользователь» и нажимаем «Далее».

13. В следующем окне вводим пароль и подтверждение пароля для пользователя и нажимаем «Далее».

14. Проверяем параметры создания нового пользователя, затем «Готово».

15. Удалить пользователя в домене очень просто. Выбираем пользователя, правой клавишей мыши на обьекте, далее «Удалить».

16. Появится предупреждение «Вы действительно ходите удалить Пользователь . «. При выборе «Да» пользователь будет удален из Active Directory.

17. Для восстановления объектов Active Directory, в том числе пользователей», необходимо включить корзину. По умолчанию корзина выключена. В «Диспетчере серверов» выбираем «Средства», далее «Центр администрирования Active Directory».

18. В новом окне выбираем наш домен, затем в правой части выбираем «Включить корзину. «.

19. Появится подтверждение включения корзины в Active Directory. Нажимаем «ОК».

20. Для актуализации состояния корзины в домене необходимо обновить центр администрирования Active Directory. Нажимаем «ОК».

21. Обновляем состояния центра администрирования.

22. Для проверки работоспособности корзины удаляем пользователя в домене.

23. Отвечаем «Да» на появление запроса на подтверждение удаления пользователя.

24. Переходим в Центр администрирования Active Directory. Выбираем наш домен. Справа появится удаленный объект. Нажимаем правой клавишей мыши на удаленного пользователя, далее «Восстановить». Удаленный пользователь будет восстановлен в Active Directory.

Посмотреть, что и как делать, можно здесь: