Не удалось применить политику и перенаправить папку

Столкнулся с неприятной ошибкой во время использования перенаправления папок пользователей через групповые политики (Folder Redirection). Выражалась она в том, что при логине пользователь минут 20 входит в систему, хотя обычно этот процесс занимает 3-4 минуты. Ошибка проявлялась не на всех компьютерах и учетных записях, поэтому пришлось прилично повозиться, чтобы понять, в чем причина.

Дело было на сервере Windows Server 2008 R2 Standart, пользователи — Windows 7 Prof. При входе в систему, в журнале ошибок проблемного пользователя была следующая запись:

Не удалось применить политику и перенаправить папку "Documents" в "\diskstationusers-docsmanager12Desktop".

Параметры пенераправления=0x1211.

Произошла ошибка: "Не удается создать папку "\diskstationusers-docsmanager12Desktop"".

Сведения об ошибке: "Этот идентификатор безопасности не может быть назначен владельцем этого объекта.

Ошибка перенаправления папок

Ошибка достаточно популярная, гуглится в рунете хорошо. Но чаще всего ошибка связана с правами доступа на каталог. В моем же случае с правами не было никаких проблем. Я все проверил много раз. Владелец папки — пользователь, ему же предоставлены полные права на папку, а так же учетке SYSTEM. То есть, все что надо для корректной работы перенаправления папок есть, но ошибка возникает. Когда логин произойдет, по указанному адресу без проблем можно попасть в папки пользователя и создавать там все, что угодно.

Мне повезло, что я случайно наткнулся на англоязычную версию этой ошибки и по ней быстро смог найти решение проблемы. Вот как эта же ошибка выглядит на английском языке:

Failed to apply policy and redirect folder "Desktop" to "\diskstationusers-docsmanager12Desktop".

Redirection options=0x1211.

The following error occurred: "Can not create folder "\diskstationusers-docsmanager12Desktop".

Error details: "This security ID may not be assigned as the owner of this object."

После этого нашел статью на сайте микрософт с описанием ошибки — https://support.microsoft.com/en-us/kb/2493506. Суть ее вот в чем. В настройках перенаправления папки есть пункт меню Grant the user exclusive rights to Desktop. Он по умолчанию включен.

Параметры redirect folders

Соседний параметр Also apply redirection policy to Windows 2000, Windows 200 Server, Windows XP, and Windows Server 2003 operating systems по умолчанию выключен. На компьютерах под управление Windows Vista и Windows 7 такая комбинация настроек приводит к указанной проблеме. В статье рекомендуют либо убрать обе галки, либо обе включить для решения сложившейся проблемы.

Я до конца не понял, почему у меня длительное время все работало нормально, а потом выборочно у некоторых пользователей стали возникать такие ошибки. Возможно они были всегда, но чем дольше использовали систему, тем больше увеличивалось время логина пользователей и в какой-то момент терпение закончилось, начались жалобы, а я стал разбираться с проблемой.

Еще хочу упомянуть про один важный момент при использовании Redirect Foldres. При включении настройки Grant the user exclusive rights to Desktop, права доступа к каталогу будут содержать две записи с правами Full Control для учетной записи SYSTEM, и учетной записи пользователя, которому принадлежит папка. Если вы захотите каким-то образом изменить эти права, например, добавить пользователя администратора или еще какую-нибудь учетную запись, то будете получать ошибку перенаправления и тоже очень долгое ожидание логина пользователя. Текст ошибки я не сохранил, там что-то похожее на то, что описано у меня, только в последней строке будет другая запись. Имейте это ввиду.

Неплохо было бы написать статью на тему перенаправления папок. Я настроил конфигурацию в одном месте, где рабочие места у пользователей типовые. Это позволило пользователей отвязать от железа. По своей учетной записи они могут сесть работать за любой компьютер, где получают свое привычное рабочее окружение со всеми настройками программ и документами. Пришлось немного повозиться, чтобы научить программы, которые не умеют нормально работать с перемещаемым профилем, но это дело техники и настройки конкретной программы. Но статью на эту тему написать не очень просто, так как хлопотно готовить тестовую среду для этого. Может когда-нибудь созрею.

Помогла статья? Подписывайся на telegram канал автора


Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.









2016-11-11T14:55:41
Ошибки