В домене с помощью политик GPO настроили перемещаемые профили, но не активировали политику «Add the Administrators security group to roaming user profiles». Когда профилей было создано уже немало, и потребовалось кое-что в них почистить, оказалось, что администраторы не могут этого сделать – нет прав.
Как же исправить ситуацию?
Сначала, конечно же, надо активировать вышеупомянутую политику, чтобы все новые профили создавались с нужными правами.
Computer Configuration → Policies → Administrative Templates→ System → User Profiles → Add the administrators security group to roaming user profiles.
Теперь исправляем права на уже созданных папках профилей.
По умолчанию на папку профиля пользователя полные права имеет учетная запись самого пользователя и учетная запись системы. Таким образом, если выполнить скрипт с правами системы, то можно одним махом выставить нужные права. Сделать это можно, создав задачу Scheduled Task:
Идем на файловый сервер, где хранятся папки с профилями
Создаем задачу Scheduled Task
Триггер любой, т.к. мы все равно выполняем задачу один раз, запуская ее вручную
Действие задаем – выполнить программу icacls с параметрами «E:\ProfilePath\*» /grant «Administrators:(F)» /T
в русской версии Windows
icacls "E:\ProfilePath\*" /grant "Администраторы:(F)" /T
тоже самое проделываем и для папки "Мои документы"
В качестве пользователя от имени которого будет выполняться задача указываем SYSTEM
Запускаем задачу на выполнение и ждем ее окончания
Теперь администраторы получили доступ к профилям пользователей и могут выполнить нужные работы.
Источник: http://isazonov.wordpress.com/