Удаление старых профилей пользователей Windows с помощью GPO или PowerShell

На рабочих станциях и серверах Windows, особенно на терминальных серверах RDS (Remote Desktop Services), периодически возникает необходимость очистки каталога C:\Users от старых профилей пользователей (уволенные пользователи, пользователи, которые долго не используют сервер и т.д.).

Основная проблема терминальных серверов – постоянный рост размеров каталогов профилей пользователей на диске. Частично эта проблема решается политиками квотирования размера профиля пользователя с помощью FSRM или NTFS квот, перемещаемыми папками и т.д. Но при большом количестве пользователей терминального сервера в папке C:\Users со временем накапливается огромное количество каталогов с ненужными профилями пользователей.

Ручное удаление профиля пользователя в Windows

Многие начинающиеся администраторы пытаются вручную удалить каталог с профилем пользователя из папки C:\Users. Так можно делать, если вы после удаления папки вручную удалите раздел профиля пользователя со ссылкой на каталог в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList. Правильный ручной способ удаления профиля пользователя в Windows – открыть свойства системы, перейти в Advanced System Settings -> User Profiles -> Settings, выбрать в списке пользователя (в столбце Size указан размер профиля пользователя) и нажать кнопку Удалить.

Но это ручной способ, а хочется автоматизации.

Групповая политика автоматического удаления старых профилей

В Windows есть встроенная групповая политика для автоматического удаления старых профилей пользователей старше xx дней. Эта политика находится в разделе Конфигурация компьютера -> Административные шаблоны -> Система -> Профили пользователей (Computer Configuration -> Administrative Templates -> System -> User Profiles) и называется “Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней” (Delete user profiles older than a specified number days on system restart). Вы можете включить этот параметр в локальном редакторе политик (gpedit.msc) или с помощью доменных политик из консоли GPMC.msc.

Включите политику и укажите через сколько дней профиль пользователя считается неактивным и “Служба профилей пользователей Windows” можно автоматически удалить такой профиль при следующей перезагрузке. Обычно тут стоит указать не менее 45-90 дней.

Основные проблемы такого способа автоматической очистки профилей – ожидание перезагрузки сервера и неизбирательность (вы не можете запретить удаление определенных профилей, например, локальных учетных записей, администраторов и т.д.). Также эта политика может не работать, если некоторое стороннее ПО (чаще всего это антивирус) обращается к файлу NTUSER.DAT в профилях пользователей и обновляет дату последнего использования.

Очистка сервера от старых профилей пользователей с помощью PowerShell

Вместо использования рассмотренной выше политики автоматической очистки профилей, вы можете использовать простой PowerShell скрипт для поиска и удаления профилей неактивных или заблокированных пользователей.

Сначала попробуем подсчитать размер профиля каждого пользователя в папке C:\Users c помощью простого скрипта из статьи “Вывести размер папок с помощью PowerShell”:

gci -force ‘C:\Users’-ErrorAction SilentlyContinue | ? < $_ -is [io.directoryinfo] >| % <
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % < $len += $_.length >
$_.fullname, ‘ <0:n2>GB’ -f ($len / 1Gb)
$sum = $sum + $len
>
“Общий размер профилей”,’ <0:n2>GB’ -f ($sum / 1Gb)

Итого суммарный размер всех профилей пользователей в каталоге C:\Users около 22 Гб.

Теперь выведем список пользователей, профиль которых не использовался более 60 дней. Для поиска можно использовать значение поля профиля LastUseTime.

У меня на терминальном сервере оказалось 143 профиля неактивных пользователей (общим размером около 10 Гб).

Чтобы удалить все эти профили достаточно добавить перенаправить список на команду Remove-WmiObject (перед использование скрипта удаления желательно несколько раз перепроверить его вывод с помощью параметра –WhatIf ):

Чтобы не удалять профили некоторых пользователей, например, специальные аккаунты System и Network Service, учетную запись локального администратора, пользователей с активными сессиями, список аккаунтов-исключений), нужно модифицировать скрипт следующим образом:

#Список аккаунтов, чьи профили нельзя удалять
$ExcludedUsers =»Public»,»zenoss»,»svc»,”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where <(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))>
foreach ($LocalProfile in $LocalProfiles)
<
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace(«C:\Users\»,»»)))
<
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, «профиль удален” -ForegroundColor Magenta
>
>

Вы можете настроить запуск этого скрипта через shutdown скрипт групповой политики или по расписанию заданием планировщика. (перед настройкой автоматического удаления профилей внимательно протестируйте скрипт в своей среде!).

Можно модифицировать скрипт, чтобы автоматически удалять пользователи всех пользователей, которые добавлены в определенную группу AD (например, группа DisabledUsers):

Как правильно удалить профиль пользователя на терминале Windows Server 2016

Оглавление

Введение

Как выясняется, многие удаляют данные старых профилей с терминального сервера путём удаления папки пользователя %username% из каталога Users, что в корни неправильно. Во-первых, таким образом остаются хвосты в реестре. Во-вторых, если потребуется удалённому пользователю зайти, то Windows будет ему создавать каждый раз временный профиль и затрёт все его файлы по завершению сеанса. В-третьих, забывают или не знают что необходимо подшаманить реестр после таких действий. Как же правильно? Читаем дальше.

Удаление профиля пользователя windows через cвойства системы

Открываем Свойства системы через горячие клавиши Win + Pause или через программу «Выполнить» Win + R путём запуска файла панели управления (или ):

И переходим во вкладку Дополнительно, а там открываем параметры Профилей пользователей и нажимаем Параметры. .

Тут мы видим имена профилей, размер и дату изменения в крайнем правом столбце. Теперь выбираем необходимый профиль и нажимаем на кнопку Удалить . Теперь выбранный профиль пользователя удалён из системы. Точно таким же образом выполняется удаление профиля пользователя Windows 7.

Удаление профиля пользователя в Windows 10

В Windows 10 можно удалить пользователя способом выше, а можно использовать другой способ. Через интерфейс Параметры Windows

Пуск ➡ Параметры ➡ Учётные записи ➡ Другие люди ➡ Удалить

Удаление старых профилей через групповую политику GPO

Способ конечно интересный, но есть одно НО 😎. Если собьётся системное время, то данный способ потрёт всё что может, в том числе и активных пользователей 😂. Так что не рекомендую его, если вы на 200% не уверены что у вас подобных сбоев никогда не случится.

Открываем на сервере Active Directory оснастку Управление групповой политикой через Win + R gpmc.msc. Выбираем действующее правило политики или создаём новое, открываем его на редактирование через правую кнопку мыши.

Конфигурация компьютера ➡ Политики ➡ Административные шаблоны ➡ Система ➡ Профили пользователей Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.

Включаем и в параметрах устанавливаем кол-во дней. По завершении обновляем политики.

Упс, а я уже удалил каталог вручную 😱

Если вы уже успели удалить каталог пользователя прежде чем задумались как это сделать правильно, то тут нет ничего страшного. Нам теперь необходимо просто почистить реестр. Открываем реестр Win + R regedit. Далее переходим по ветке:

Находим нужного пользователя, правой кнопкой по ветке реестра этого пользователя и выбираем удалить. А узнаем какой из этих сидов принадлежит удалённому пользователю по строковому параметру ProfileImagePath, где в значении будет указано его имя.

Удаление профиля пользователя windows server 2016

После того, как установлена роль Доменные службы Active Directory , пришло врем создать пользователя в домене в Windows Server 2016. Начиная с версии Windows Server 2008 появилась возможность восстанавливать из корзины обьекты Active Directory, в том числе пользователей домена. Если в Windows Server 2008 было возможно восстанавливать объекты из корзины из Power Shell, то начиная с версии Windows Server 2012 появилась возможнсоть работать с графическим интерфейсом.

1. Нажимаем Пуск, далее выбираем Диспетчер серверов.

2. В «Диспетчер серверов» выбираем «Средства», затем «Пользователи и компьютеры Active Directory».

3. В окне «Active Directory» выбираем домен, правой клавишей мыши — «Создать», далее «Подразделение».

4. Создаём новое подразделение в домене. Для защиты контейнера отслучайного удаления не снимаем чекбокс. Нажимаем «ОК».

5. В новом подразделении заведём пользователя домена. Для этого правой клавишей мыши на подразделение — «Создать» — «Пользователь».

6. При создании пользователя в графе «Полное Имя» пользователь отображается в виде Имя-Отчество-Фамилие. Для удобства изменим отображение на более привычный вид Фамилие-Имя-Отчество.

7. Для этого в «Диспетчер серверов» выбираем «Средства», далее «Редактирование ADSI».

8. В новом окне нажимаем «Действие» — «Подключение к. «.

9. В поле «Известный контекст именования:» выбираем «Конфигурация», нажимаем «ОК».

10. Открываем «Конфигурация [домен]» — «CN=DisplaySpecifiers» — «CN=419». Далее «CN=user-Display» — «createDialog».

11. В редакторе строковых атрибутов устанавливаем значение: % % . Не забываем пробел в устанавливаемом значении и нажимаем «ОК».

12. Теперь при заполнении полей создания пользователя графа «Полное имя» будет отображаться в виде Фамилия\е-Имя-Отчество. Заполняем все графы в окне «Новый объект — Пользователь» и нажимаем «Далее».

13. В следующем окне вводим пароль и подтверждение пароля для пользователя и нажимаем «Далее».

14. Проверяем параметры создания нового пользователя, затем «Готово».

15. Удалить пользователя в домене очень просто. Выбираем пользователя, правой клавишей мыши на обьекте, далее «Удалить».

16. Появится предупреждение «Вы действительно ходите удалить Пользователь . «. При выборе «Да» пользователь будет удален из Active Directory.

17. Для восстановления объектов Active Directory, в том числе пользователей», необходимо включить корзину. По умолчанию корзина выключена. В «Диспетчере серверов» выбираем «Средства», далее «Центр администрирования Active Directory».

18. В новом окне выбираем наш домен, затем в правой части выбираем «Включить корзину. «.

19. Появится подтверждение включения корзины в Active Directory. Нажимаем «ОК».

20. Для актуализации состояния корзины в домене необходимо обновить центр администрирования Active Directory. Нажимаем «ОК».

21. Обновляем состояния центра администрирования.

22. Для проверки работоспособности корзины удаляем пользователя в домене.

23. Отвечаем «Да» на появление запроса на подтверждение удаления пользователя.

24. Переходим в Центр администрирования Active Directory. Выбираем наш домен. Справа появится удаленный объект. Нажимаем правой клавишей мыши на удаленного пользователя, далее «Восстановить». Удаленный пользователь будет восстановлен в Active Directory.

Посмотреть, что и как делать, можно здесь: