16 февраля 2012

На случай ядерной войны, или как жить с доменом

На случай, если вашу учётную запись неожиданно заблокируют в домене, можно позаботиться о том, чтобы хотя бы локальными ресурсами компьютера можно было воспользоваться беспрепятственно. Также это поможет в случае недоступности домена, поломки самого домена и т.п.

В принципе, достаточно, чтобы на компьютере была хотя бы одна локальная учётная запись. Желательно с правами администратора этого компьютера. Можно просто убедиться в том, что стандартная учётка "администратор" не заблокирована, и разблокировать её при необходимости. Но лучше создать нового пользователя специально для этих целей. Например, на моей системе это выглядит как на рисунке ниже. Стоит отметить, что пока компьютер подключен к домену, система требует, чтобы создаваемые и изменяемые пароли локальных пользователей соответствовали парольной политике домена, что, в целом, естественно.

Описанное решение позволяет в экстренных случаях работать с локальными ресурсами компьютера - запускать установленные программы и изменять локальные файлы. Очевидно, если заблокирована доменная учётка, то получить доступ к ресурсам домена, для которых она требуется (например, сетевые диски или веб-сервисы), данный финт ушами не поможет никак.

До вышеизложенного большинство коллег, я думаю, могут додуматься самостоятельно, и ради этого пост можно было бы не писать. Но ведь мы же хотим не просто иметь возможность запускать программы и редактировать файлы на своём компьютере, но ещё и работать в привычном нам окружении - со своим набором ярлычков на рабочем столе, запомненными в браузере паролями, закладками,  и т.п. Если ограничиться тем, что написано выше, то при логине под локальной учёткой, мы привычного окружения не увидим, т.к. попадём в другой профиль пользователя, который нужно настраивать заново. Поэтому главный финт ушами заключается в том, чтобы обеим учётным записям сопоставить один и тот же профиль пользователя, уже существующий, и тщательно с любовью настроенный. Поэтому продолжаем.
  1. Нам нужно хотя бы один раз залогиниться под вновь созданной локальной учётной записью (для определённости я буду называть её sampleNonDomainUser).  В Windows XP, подключенной к домену,  для этого нужно выбрать вместо домена "локальный компьютер" - всё просто и понятно, а вот в Windows 7 эту выбиралку спрятали, и необходимо в диалоге логина в систему указать имя пользователя вместе и именем компьютера (например, myComputer\sampleNonDomainUser), иначе система будет искать её среди доменных пользователей, не найдёт и будет ругаться.
  2. Зайти под учётной записью, отличной от sampleNonDomainUser и изменить путь к профилю. Запускаем редактор реестра regedit.exe, открываем ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList и ищем среди списка учётных записей SID, соответствующий sampleNonDomainUser. Проще всего открывать их подряд, и смотреть, где расположен профиль sampleNonDomainUser - параметр ProfileImagePath = C:\Users\sampleNonDomainUser. Находим, и устанавливаем ProfileImagePath = C:\Users\domainUser. Здесь же можно узнать SID доменного пользователя. Он нам понадобится чуть ниже.
  3. Разрешить локальному пользователю sampleNonDomainUser полный доступ к папке с доменным профилем -C:\Users\domainUser (свойства файла -> безопасность - полный доступ к вложенным папкам и файлам). Того, что администраторы имеют к ней доступ, недостаточно, т.к. UAC по умолчанию "забывает", что пользователь - администратор.
  4. По той же причине необходимо дать полные права пользователю sampleNonDomainUser на ветки реестра HKEY_USERS\[SID доменного пользователя] и  HKEY_USERS\[SID доменного пользователя]_Classes.  Пользователи Windows XP, а также те, у кого UAC отключен, могут пропустить пункты 3 и 4.
  5. Перезагружаем компьютер (на всякий случай, чтобы файлы профиля C:\Users\DomainUser не оказались залочены - иногда они остаются залочены даже тогда, когда пользователья DomainUser разлогинился, в таком случае Windows создаст чистый временный профиль в отдельной папке). Заходим под учётной записью sampleNonDomainUser, voilà! Перед нами любимый рабочий стол и всё прочее.
Подавляющее большинство программ будут корректно подтягивать сохранённые настройки, за очень небольшим исключением. Как правило, это разная экзотика, например, Dropbox, Windows Live ID Sing-in Assistant и т.п. программки, завязанные на встроенные механизмы  Windows Identity.

Комментариев нет: