VMWare RDS Roaming User Profile 設定

本文說明如何在 VMware RDS設定使用漫遊使用者設定檔 (Roaming User Profile)，同時也說明了幾個在實作過程中遇到的問題和解決方法。

LAB環境說明

• Windows 2008 R2 安裝 Remote Desktop Service
• 搭配 VMware Horizon View 6.2

設定shared folder權限

若要使用漫遊使用者設定檔(Roaming User Profile)之前，必須先建立一個共用資料夾。接著從 電腦管理→共用資料夾→選擇共用的資料夾→編輯屬性

切換至「共用權限」分頁，先移除所有的使用者和群組，接著新增Authenticated Users，並設定為 Full Control

 切換至「安全性」分頁→選擇「進階」→移除繼承的權限，接著將權限設定為：

名稱	套用到	權限
SYSTEM	這個資料夾、子資料夾及檔案	Full Control
Creator Owner	只有子資料夾及檔案	Full Control
Authenticated User	只有這個資料夾	列出資料夾/讀取資料 建立資料夾/附加檔案
Domain\administrators或是FileServer的本機管理者	這個資料夾、子資料夾及檔案	Full Control

匯入VMware View Persona & 設定GPO

設定完shared folder權限後，切換至AD，將 vmware_rdsh.admx和vmware_rdsh_server.admx放至 C:\Windows\PolicyDefinitions 底下

接著，在「群組原則管理→電腦設定→系統管理範本→Windows元件」裡會多了Horizon View RDSH Services的項目，選擇Profiles底下的Set Path for Remote Desktop Services Roaming User Profile

設定 Roaming User Profile的路徑 (路徑後面不需要帶%USERNAME%參數)

另外，還有幾個額外的GPO設定 (依照不同的情境，自行決定是否要設定)。以下幾個設定在「群組原則管理→電腦設定→系統管理範本→系統→使用者設定檔」

• Add the Administrators security group to roaming user profiles 設定為 enabled

若沒有設定此選項，此  user profile folder只有該使用者有權限可以管理；設定為enable的話，fileserver的管理者才有權限可以管理這個資料夾。

• Delete cached copies of roaming profiles 設定為 enabled

Roaming user profile的機制為使用者登入後會在本機及  FileServer上建立  user profile folder，當使用者登出後，同時將資料回寫至本機和Roaming user profile路徑。若沒有設定此選項，使用者登出後不會把本機的  user profile刪除，將此設定為  enable的話，使用者登出後，就會將  user profile刪除。

• Do not check for user ownership of Roaming Profile Folders 設定為 enabled

此設定是為了避免當  shared folder已經有使用者的  Roaming user profile folder，但因為資料夾權限不足導致無法存取，而使用  TEMP user profile登入的情形發生。

※ 註：因為有變更電腦設定，為了確保 Policy有套用到，可以在 AD執行 gpupdate /force指令，並將 RDS Server重開機

檢查 Roaming User Profile是否成功

使用 Horizon View Client登入並開啟 RDS應用程式(此範例是開啟 IE)。開啟應用程式後，可以到 FileServer檢查是否有成功建立 user profile folder

若FileServer上沒有建立user profile folder，你可以從 RDS IE瀏覽 C:\Users檢查目前使用的設定檔。假如看到是使用TEMP user profile，如下圖

若遇到此種狀況，請確認以下幾點：

1. 檢查  shared folder權限是否設定正確
2. 檢查此帳號是否有權限可以在  shared folder建立資料夾
3. 檢查機碼。如果有手動刪除過 user profile，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\ 底下可能會殘留此使用者帳號的機碼值 (S-1-5-21-xxx….xxx.bak)，如下圖。將.bak的檔案刪除後，登出再登入，應該就能夠順利地建立user profile資料夾了