Вам нужно включить следующую политику — Конф. комп — Админ шаблолоны — Система — Профили пользователей — Добавляет группу «Администраторы» к перемещаемым профилям пользователям.
После применение этой политики группа администраторов получит доступ к перемещаемому профилю. Но на ранее созданные профили вам придется вручную раздать права.
В домене с помощью политик GPO настроили перемещаемые профили, но не активировали политику «Add the Administrators security group to roaming user profiles». Когда профилей было создано уже немало, и потребовалось кое-что в них почистить, оказалось, что администраторы не могут этого сделать – нет прав.
Как же исправить ситуацию?
Сначала, конечно же, надо активировать вышеупомянутую политику, чтобы все новые профили создавались с нужными правами.
Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles.
Теперь исправляем права на уже созданных папках профилей.
По умолчанию на папку профиля пользователя полные права имеет учетная запись самого пользователя и учетная запись системы. Таким образом, если выполнить скрипт с правами системы, то можно одним махом выставить нужные права. Сделать это можно, создав задачу Scheduled Task:
Идем на файловый сервер, где хранятся папки с профилями
Создаем задачу Scheduled Task
Триггер любой, т.к. мы все равно выполняем задачу один раз, запуская ее вручную
Действие задаем – выполнить программу icacls с параметрами «E:\ProfilePath\*» /grant «Administrators:(F)» /T
в русской версии Windows
icacls «E:\ProfilePath\*» /grant «Администраторы:(F)» /T
тоже самое проделываем и для папки «Мои документы»
В качестве пользователя от имени которого будет выполняться задача указываем SYSTEM
Запускаем задачу на выполнение и ждем ее окончания
Теперь администраторы получили доступ к профилям пользователей и могут выполнить нужные работы.
Источник: http://isazonov.wordpress.com/