我们有一个 Windows Server 2012 R2 远程桌面部署,会话集合由 6 个会话主机组成。我们还使用 Office365 和 DirSync 来启用单点登录,同时运行 ADFS。
我被告知 AD 有一个名为缩略图的属性,可以同步到 Office 365。从各方面来看,这应该意味着用户可以在 Office 365 和活动目录中拥有相同的个人资料图像。
我的问题是,Server 2012 似乎没有在任何地方显示用户的 AD 照片。它仍然是默认的空白图像。登录后我可以更改图像,但只要我注销并重新登录,图像就会再次重置为默认值。
我找不到任何锁定此功能的 GPO,因此首先对图像重置的原因感到困惑,其次,为什么此帐户图像没有填充 AD,因为我正在使用的帐户是域帐户。
是否可以将它们链接起来,允许用户登录服务器,更改其图像,将其填充到 AD,然后同步到 365?
进一步探索
我做了进一步的研究,发现当您设置帐户图片时,注册表项位于:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users。然后为每个用户设置子项,其 SID 为键名。默认情况下,用户只有读取权限。我授予用户写入权限,当我更改帐户图片时,它会在该键中创建条目,Image200、Image240、Image40、Image448 和 Image96。
所有这些文件的数据值均为 C:\Users\Public\AccountPictures\Users_SID\{some_GUID}-imagexxx.jpg,其中 xxx 是条目名称对应的数字。这些图像是受保护的操作系统文件,因此我必须取消选中该选项才能看到它们。我一注销,这个文件夹就被删除了。
我不知道这是否是帐户图像的临时位置?
答案1
缩略图实际上与用户个人资料无关。
它是 Exchange2010 添加的一个属性,用于在 Outlook 中为用户图片提供一个可管理的中央存储库。
由于您很快就确定您不希望 IT 部门负责数百张用户照片(这让我回想起了我第一次从事“系统管理员”工作的不愉快经历!),因此有相当多的工具允许用户上传自己的图像。
这需要在 AD 中进行一些小的权限调整(不会造成安全问题)。
您可能想谷歌一下“AD 照片上传”。