В домені за допомогою політик GPO налаштували переміщувані профілі, але не активували політику «Add the Administrators security group to roaming user profiles». Коли профілів було створено вже чимало, і треба було щось в них почистити, виявилося, що адміністратори не можуть цього зробити - немає прав.
Як же виправити ситуацію?
Спочатку, звичайно ж, треба активувати вищезгадану політику, щоб все нові профілі створювалися з потрібними правами.
Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles.
Тепер виправляємо права на вже створених папках профілів.
Йдемо на файловий сервер, де зберігаються папки з профілями
Створюємо завдання Scheduled Task
Тригер будь-хто, тому що ми все одно виконуємо завдання один раз, запускаючи її вручну
Дія задаємо - виконати програму icacls з параметрами «E: \ ProfilePath \ *» / grant «Administrators: (F)» / T
в російській версії Windows
icacls "E: \ ProfilePath \ *" / grant "Адміністратори: (F)" / T
теж саме робимо і для папки "Мої документи"
Як користувача від імені якого буде виконуватися завдання вказуємо SYSTEM
Запускаємо завдання на виконання і чекаємо її закінчення
Тепер адміністратори отримали доступ до профілів користувачів і можуть виконати потрібні роботи.