Как скриптом создавать профиль пользователя в Windows 2012R2?

Question

[Banzy]

Который день мучаемся над проблемой. Необходимо автоматически создавать профиль пользователя(каталог\ветку реестра и т.д.) в автоматическом режиме. Все упирается в то, что по причине безопасности не можем указать пароль для пользователя в открытом виде в скрипте, для выполнения автовхода.
Условия: Windows Server 2012R2, машина на момент создания пользователя уже в домене, возможно использовать любые нативные языки автоматизации для среды Windows.

Comments

[Сергей Ковалёв]

А можно узнать зачем его создавать?
Ну зайдет пользователь в систему, ну при входе отработают групповые политики или скрипты вносящие нужные настройки в реестр.
Преднастройку профиля можно скопировав готовый профиль в Default User.

[Banzy]

Сергей Ковалёв: Мы поддерживаем заказчиков и поступил такой запрос. Все сводилось к тому, что бы автаматически раскатывать ОС, делать дальнеейшии настройки и т.д. А софт который будет работать на этой системе, будет запускать от имени пользователя. В нем часть настроек захардкодена и нужны дериктории в AppData для работы ПО.
Как следствие, что бы руками не логиниться и не создавать папку руками, было принято решение автоматизировать все)

[Banzy]

Сергей Ковалёв: В итоге остановились на том, что запуск той же консоли создает в полне приемлемый каталог пользователя с которым можно работать.

Answer 1

[res2001]

Создавать профиль руками гиблое дело.
Делайте как советует Сергей Ковалёв.
Если по каким-то таинственным причинам такой вариант не устраивает, можете
попробовать заставить винду создать профиль с помощью запуска любой программы от имени этого пользователя, хоть cmd /c echo.Test. Для запуска винда создаст профиль, правда в усеченном виде, но возможно вам будет этого достаточно. Запускайте через runas, пароль вводите руками.

Comments

[Banzy]

Судя по всему больше чем через runus добиться без входа не получится. Так же ей можно передать не открытый пароль, а в зашиврованном виде(уже хоть чтото для безопасников)

[res2001]

Banzy: Как вы передаете пароль в runas в зашифрованном виде?
Мне не удавалось закинуть в runas пароль никаким образом, только вручную вводить.

[Banzy]

res2001: Пароль можно передать после указания пользователя как в открытом виде так и в виде "encrypted password"

Answer 2

[Тимур Усманов]

Профиль пользователя создается только при входе пользователя на компьютер (папка в Users, ветка реестра в ProfileList).

На ум приходит только ручное создание папки и ветки реестра (писал бы на повершелле хотя и используется cmd), что-то типа такого:

$user = "test\test.user01" #Получаем нужного юзера в переменную, вариантов сделать это масса
New-Item "C:\Users\$user" -type directory
Add-NTFSAccess -Path "C\Users\$user" -Account $user -AccessRights FullControl

Скрипт длиннее конечно будет, по хорошему права надо удалять все и добавлять для SYSTEM, Computer\Administrators и вашего пользователя.

ну и дальше через reg add добавлять нужные ключи реестра.

Я бы не доверялся такому типу создания профиля и сначала 100 раз проверил всё в виртуальной машине с тестовым пользователем.

Answer 3

[Dark Hole]

Не очень понял задачу, наверно, можно так
create.bat -

@echo off;
net user %1 %2 /add

И вызываем его где надо с именем и паролем

Comments

[Banzy]

Этот скрипт будет создавать Локального пользователя и ему требуется пароль в открытом виде.
А необходимо создать профиль доменного пользователя в C:\Users\ без ввода пароля )