Хранение "Рабочего стола" на сервере
 

Основа Windows Server 2003 Enterprise, клиенты поголовно Windows XP SP 1-2-3.
Имеется связка: WS2k3 as DC in AD (Alfa) + Ubuntu Server with Samba (Delta).
Роль Линукс-сервера - хранение файлов и быстрая их отдача. В этом режиме все прекрасно.

Пытаюсь сделать новую функцию - создаю папку \\Delta\users\. Хочу в ней хранить рабочие столы моих пользователей.
Вся проблема в том, что переучить User Vulgaris хранить файлы не на рабочем столе не реально, а разросшиеся столы перегружают сеть лишним траффиком при загрузке перемещаемых профилей. Хочется этого избежать, чтобы столы цеплялись прямо с сервера - нагрузка на сеть по расчетам должна упасть очень сильно (примерно на 300-500 гигабайт в день).

Выполняю:
1) Открываю mmc.
2) Перехожу на Политика (Default Domain Policy).
3) Перенаправление папки
4) Рабочий стол - Свойства через контекст.
5) Прописываю папку: Пользователи домена - \\Delta\users\%USERNAME%\Рабочий стол
(я указал только \\Delta\users - остально редактор подставил сам).
6) Перезагружаю пользователей - в указанной общей папке появляются все нужные папки с заданной структурой. Но папки Рабочих столов пустые, а у пользователей грузятся локальные столы.

Вопрос: Что я не доделал? Или что я сделал не так?

Использовал материалы с сайта Microsoft:
например: http://support.microsoft.com/kb/307882

тебе лучше воспользоваться поиском информации по перемещаемым профилям....

А в чем может быть пересечение с перемещаемыми профилями? К тому же у перемещаемых профилей есть проблема, от которой я и хочу избавиться - они полностью копируются вначале сеанса и в конце, что приводит к сумасшедшему траффику утром и вечером, а также из-за этих тормозов меня постоянно дергают, с диагнозом "комп завис!!!! сделай что-нибудь быстрее!!!!!". Стоит исключить из профиля рабочий стол, как сразу станет на порядок легче.

Не совсем понятно что видет пользователь? Пустой рабочий стол или локальный, если положить какой нибудь файлик на сервере он появляется на рабочем столе у пользователя?

Пользователь видит локальный Рабочий стол. Манипулирование с содержимым в папке \\Delta\users\%USERNAME%\Рабочий стол ни к чему не приводит.

А что говорит результирующая политика на пользователя? Есть ли какие-нибудь ошибки в эвентлоге на локальном компьютере?

Есть - две:

Первое:
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 23.07.2008
Время: 9:03:37
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SALES14
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Heal,DC=local. Этот файл должен находиться в <\\Heal.local\sysvol\Heal.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Вход в систему не произведен: конечная учетная запись указана неверно. ). Обработка групповой политики прекращена.

Второе:
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 23.07.2008
Время: 9:04:21
Пользователь: HEAL\asmolentsev
Компьютер: SALES14
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Heal,DC=local. Этот файл должен находиться в <\\Heal.local\sysvol\Heal.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Вход в систему не произведен: конечная учетная запись указана неверно. ). Обработка групповой политики прекращена.

И как с этим бороться?

Указанный файл есть и лежит по пути:
\\heal.local\sysvol\Heal.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini

Права доступа для "Прошедших проверку" заданы.

Разбираюсь по:
http://technet2.microsoft.com/window....mspx?mfr=true
http://support.microsoft.com/kb/823659/ru
но пока что-то не помогает...

Пробил проблема в Kerberos. Добавил прав "Пользователям домена" и получил:
Тип события: Уведомление
Источник события: SceCli
Категория события: Отсутствует
Код события: 1704
Дата: 25.07.2008
Время: 9:36:16
Пользователь: Н/Д
Компьютер: SALES14
Описание:
Политика безопасности в объектах групповой политики успешно применена.

Ура! Как будто-бы, но следом:

Тип события: Ошибка
Источник события: Folder Redirection
Категория события: Отсутствует
Код события: 101
Дата: 25.07.2008
Время: 9:38:18
Пользователь: HEAL\asmolentsev
Компьютер: SALES14
Описание:
Не удалось выполнить перенаправление папки Рабочий стол. Не удалось создать новые каталоги для перенаправленной папки. Эта папка была настроена на перенаправление в <\\Delta\users\%USERNAME%\Рабочий стол>, конечный развернутый путь <\\Delta\users\asmolentsev\Рабочий стол>. Произошла следующая ошибка:
Этот код защиты не может соответствовать владельцу объекта.

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1085
Дата: 25.07.2008
Время: 9:38:18
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SALES14
Описание:
Клиентское расширение групповой политики Folder Redirection не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.

Думаю дело уже в Линуксе. Но там права даны - на уровне Share.

Какие права стоят на шару и на ntfs?

На шару 777, а на который NTFS-диск?

Совсем забыл, что для профилей линукс стоит. Ну по аналогии права на файловую систему и шару.

Так 777 стоят права и на ФС и на шару.
То есть языком Webmin: Чтение/запись для всех
Проверил - каждый юзер может зайти и создать папку, файл и поредактировать их.

Кто нибудь может ответить на такой вопрос:

Может ли вообще папка быть перенаправлена на не-NTFS раздел? У меня остались мысли, что проблема в ФС.

Может где-то есть полноценное how-to по настройке групповой политики в домене Windows Server 2003?

проблема еще не решена, помогите, плииз

Свершилось чудо! Произошел рывок напряжения и после этого вдруг за несколько минут "Рабочие Столы" сами начали переползать на сервер. В общем работает. А почему не знаю. Чудо.