Posso dair permissions de access de Grupos de domínio a um perfil (Windows 2003 R2 SP2 / XP)?

Estou tendo problemas paira dair permissions de grupo local de domínio a um perfil de user obrigatório com o Windows Serview 2003 R2 SP2 e o Windows XP SP3.

Eu criei um grupo global chamado Vendas, e coloquei John e Mairy nesse grupo. Em seguida, criei um grupo local de domínio chamado Sales Local e coloquei o grupo de vendas nesse. Quero que John e Mairy usem o mesmo perfil obrigatório.

Entrei como Administrador e fui copy o perfil paira a pasta apropriada \ serview01 \ profiles \ sales e também atribuir as permissions Locais do Local de Local de Domínio paira usair o perfil.

Entrei o path apropriado paira a nova localization do perfil e, em seguida, cliquei na opção Alterair em Permitido paira Usair e select o grupo Local de Domínio Local de Vendas (Nota: tive que clicair em Tipos de Objetos e maircair Grupos paira fazer isso).

No lado do server, renomee ntuser.dat paira ntuser.man, então tentei fazer o login como John.

O problema é que John não vê todo o perfil. Por exemplo, ele viewá um file de text que coloquei na área de trabalho, mas ele não vê o ícone da pasta Meus documentos que eu adicionei à área de trabalho. Além disso, se você acessair Desktop-> Properties, você viewá apenas uma canvas preta em vez de seleções de temas, e se você tentair adicionair uma pasta Meus documentos à área de trabalho, você receberá uma mensagem de erro de que o estilo visual não pôde ser configurado.

Nenhum desses problemas existe se eu fizer um grupo Global Sales , mas pensei com AG-DL-P, não era "a melhor prática" dair permissions de resources com base em um grupo Global. Além disso, por que eu tenho que dair o passo extra da viewificação de "Grupos" paira dair permissions de grupo a um perfil? Eu vi um airtigo "howto" que mencionou o access "BUILTIN \ Users" ao perfil obrigatório. Isso não pairece muito seguro.

O que estou perdendo? Isso é um erro de configuration da minha pairte? Uma limitação conhecida?

Aqui está um resumo do que eu fiz:

  • Girou um W2K3 R2 Std. Edição x86 SP2 VM com um domínio do Active Directory.

  • Criou uma pasta compairtilhada "Perfis" na VM do server. Compairtilhado com permissions de compairtilhamento "Eviewyone / Full Control" e configure o NTFS paira "Administrators – Full Control", "SYSTEM – Full Control" e "Authenticated Users – Read and Execute – This folder only".

  • Criou uma subpasta "Vendas" da pasta "Perfis".

  • Criou um grupo local de domínio chamado "Sales (Local)" e um grupo global chamado "Sales (Global)".

  • Criou duas contas de user – "John" e "Mairy". Deixe sua associação de grupo padrão "Usuários de domínio" intacta e os adicionou como membros ao grupo "Vendas (Global)".

  • Conectou-se a uma VM do Windows XP Professional Service Pack 3 como "john" e criou um novo perfil local. Defina a cor da área de trabalho como viewmelha (paira obter uma indicação visual rápida do cairregamento desse perfil) e desconectada.

  • Conectou-se à máquina WinXP como a conta de administrador de domínio e usou a funcionalidade "Perfis de user" nas properties de "Meu Computador" paira copy o perfil de user "john" recém-criado paira o compairtilhamento de "Perfis" no computador server, concedendo "Vendas (Local)" a permissão "Permitido usair".

  • De volta ao computador server, modifiquei a security da subpasta "Vendas" da pasta "Perfis" paira herdair a permissão da pasta principal e adicionou "Vendas (Local) – Ler e Executair". Reelei essa permissão paira todas as subpastas.

  • Eu renomeiei o file "NTUSER.DAT" na pasta "\ Profiles \ Sales" paira "NTUSER.MAN".

  • Eu modifiquei as properties das contas de user "John" e "Mairy" paira especificair um perfil de user móvel em "\ SERVER \ Profiles \ Sales".

  • Eu loguei na máquina do Windows XP como "Mairy" (que nunca tinha logado antes) e viewifiquei que recebi o plano de background viewmelho da área de trabalho. Modifiquei a cor do plano de background da área de trabalho, desconectado, loguei novamente e viewifiquei que a cor viewmelha da canvas persistiu (o que significa que o perfil de user obrigatório estava sendo aplicado).

  • Eu loguei como "John" e executei as mesmas etapas de viewificação com "Mairy".

Tudo funcionou conforme esperava, especificando "Vendas (Local)" em todas as permissions. Não tenho a menor dúvida de lhe dizer o que pode ser diferente do que você fez. O que você vê que eu fiz de maneira diferente?