Введение
В любой компании, основополагающей частью организации считаются сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями. Для того чтобы каждый пользователь мог персонализировать фон рабочего стола, экранную заставку и прочие элементы, применяются профили пользователей. По сути, профили пользователей отличаются от учетных записей пользователей тем, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. Профили представляют ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Например, администратор может установить параметры пользователя по умолчанию, который бы соответствовал его задачам, не сохранял изменения, сделанные в рабочем окружении, а также загружал все параметры на локальный компьютер при каждом входе в систему. К пользовательским преимуществам можно отнести тот факт, что один компьютер может служить нескольким пользователям, то есть конкретный пользователь, который выполняет вход получает полностью настроенную рабочую среду, которая была сохранена именно для него, причем настройка рабочей среды одним пользователем не оказывает воздействия на параметры рабочей среды другого. Стоит обратить внимание на то, что у каждой учетной записи пользователя может быть не менее одного профиля.Большинство системных администраторов при развертывании и управлении клиентскими местами своих пользователей пренебрегают такой мелочью, как централизованным контролем над пользовательскими рабочими столами. С одной стороны их можно понять, так как пользователи будут смотреть на подобные действия, как на попытку полного контроля их единственным свободным пространством, которое у них есть на рабочем месте, что приведет к появлению конфликтных ситуаций. Но если посмотреть на этот факт с другой стороны, то попытки предоставления пользователю возможности изменения каких-либо настроек может привести к некорректной конфигурации, что может некоторым образом усложнить жизнь вам, как системному администратору. Вполне очевидно, что большинство нюансов, связанных с балансировкой контролем пользователя за своим профилем и централизованным управлением рабочими столами пользователя зависит от корпоративных правил вашей организации и все эти настройки могут быть жестко прописаны средствами групповых политик. Но даже если все было указано в корпоративных правилах, пользователи все равно будут постоянно с вами ругаться, так как они рано или поздно захотят поставить себе на рабочий стол какой-то красивый пейзаж или фотографию любимого троюродного племянника из-за чего вам будут регулярно приходить заявления подписанные начальниками отделов с просьбой облегчить жизнь сотруднику и позволять ему персонализировать свой рабочий стол. Использование групповых политик, безусловно, облегчит вам жизнь, поэтому к основной задачи, связанной с этим вопросом следует отнести процесс убеждения пользователей в том, что управление их рабочими столами обеспечат больший комфорт для последующей работы.
В операционных системах Windows существуют четыре типа профилей, изменять параметры которых могут как системные администраторы, так и конечные пользователи:
Временный профиль пользователя: профиль, который предоставляется пользователю лишь в том случае, когда операционной системе, из-за какой-либо системной ошибки не удалось загрузить во время входа и, соответственно, при выходе пользователя из системы такой профиль будет удален;
Локальный профиль пользователя: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;
Перемещаемый профиль пользователя: профиль, который специально создается системным администратором для конечного пользователя, и храниться на сервере. Данные профили удобны тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход на любом компьютере в организации;
Обязательный профиль пользователя: перемещаемый профиль, который содержит определенные параметры для конкретных пользователей или групп пользователей, в котором изменения вносятся исключительно администраторами.
Чего же хотят от вас в первую очередь конечные пользователи? Для них важнейшим моментом при входе в систему из любого компьютера, расположенного в сети организации является тот момент, чтобы их рабочий стол имел те настройки, что и на своем персональном компьютере, причем для них еще очень важно иметь доступ к своим данным независимо от своего расположения. По этой причине, правильное управление пользовательскими профилями для конечного пользователя значительно важнее, нежели для администратора. Всю эту функциональность вы можете реализовать при помощи перемещаемых пользовательских профилей. В этой статье вы узнаете о том, каким данные содержат пользовательские профили, разницу между локальными и перемещаемыми профилями, а также об управлении перемещаемыми профилями, средствами групповых политик.
Содержимое пользовательских профилей
Жизненный цикл пользовательского профиля начинается с копирования папки профиля пользователя по умолчанию, а именно папки Default User, которая хранится на любом компьютере, работающем под управлением операционной системы Windows. Информация в пользовательском профиле соответствует улью HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне папки профиля пользователя, а именно в файлеNtuser.dat. в этом файле хранятся параметры конфигурации операционной системы, параметры приложений, а также рабочего стола текущего пользователя. Также профиль пользователя содержит скрытые папки, которые содержат такую информацию, как настройки рабочего стола и меню пуск, конфигурацию приложений и многое другое, а также папки, которые изначально доступны пользователю и предназначены для хранения документов, музыкальных и видео файлов, загружаемые из интернета файлы и многое другое.
Многие из вас знают, какие папки расположены в пользовательских профилях в операционной системе Windows XP и что все они находятся в папке Documents and Settings. Но в операционных системах, начиная с Windows Vista и Windows Server 2008 такой папки не существует, что немного вводит в заблуждение людей, которые работают с данными операционными системами впервые. Теперь все пользовательские профили расположены в папке Users, причем появилось множество папок, доступных пользователям, которых не было ранее. Например, все помнят, что в той же операционной системе Windows XP, в пользовательских профилях были такие папки, как «Мои документы», «Моя музыка», «Мои картинки» и т.д., что вызывало множество забавных конфликтных ситуацию между пользователями и администраторами. Теперь все эти папки имеют другое название, что позволит избежать некоторых конфликтов с конечными пользователями. Все эти папки предоставлены в следующей таблице:
| Стандартные папки пользователей | ||
| Windows Vista/7/Server 2008/2008 R2 | WindowsXP/Server 2003 | Краткое описание |
| Contacts (Контакты) | Отсутствует | Папка, для хранения контактов пользователей по умолчанию |
| Desktop (Рабочий стол) | Desktop | Папка, которая содержит элементы рабочего стола |
| Documents (Рабочий стол) | My Documents | Папка, предназначенная для хранения всех созданных пользователем документов по умолчанию |
| Downloads (Загрузки) | Отсутствует | Папка, предназначенная для хранения всех файлов, загруженных пользователем из Интернета по умолчанию |
| Favorites (Избранное) | Отсутствует | Папка, содержащая избранное браузера Internet Explorer |
| Links (Ссылки) | Отсутствует | Папка, в которой хранятся избранные ссылки браузера Internet Explorer |
| Music (Моя музыка) | My Music | Папка, предназначенная для хранения музыкальных файлов пользователя по умолчанию |
| Pictures (Изображения) | My Pictures | Папка, предназначенная для хранения файлов изображений пользователя по умолчанию |
| Saved Games (Сохраненные игры) | Отсутствует | Папка, в которой расположены сохранения для игр пользователя по умолчанию |
| Searches (Поиски) | Отсутствует | Папка, предназначенная для хранения поисковых запросов пользователя |
| Videos (Мои видеозаписи) | My Videos | Папка, предназначенная для хранения файлов фидео пользователя по умолчанию |
| Virtual Machines (Виртуальные машины)* | Отсутствует | Папка, предназначенная для хранения виртуальных машин пользователя по умолчанию (данная папка отсутствует в операционной системе Windows Vista) |
| Точки соединения | ||
| AppData | Отсутствует | Данная папка является скрытой и в ней по умолчанию содержаться данные приложений пользователей. Эта папка содержит вложенные папки Local и Roaming, содержимое которых описано ниже, а также папка LocalLow, которая хранит параметры приложений для защищенных процессов и не перемещаются при развертывании перемещаемых профилей |
| AppData\Roaming | Application Data | В этой точке соединения хранятся программные данные, которые определяются разработчиками приложений |
| AppData\Roaming\Microsoft\Windows\Cookies | Cookies | Содержит сведения о пользователе и параметры его настройки |
| AppData\Local | Local Settings | В этих точках соединения вы можете найти файлы данных приложений, файлы журналов, а также временные файлы, которые входят в перемещаемый профиль |
| AppData\Local\Microsoft\Windows\History | ||
| AppData\Local\Temp | ||
| AppData\Local\Microsoft\Windows\Temporary Internet Files | ||
| AppData\Roaming\Microsoft\Windows\Network Shortcuts | NetHood | Эта точка соединения содержит ярлыки для элементов сетевого окружения |
| AppData\Roaming\Microsoft\Windows\Printer Shortcuts | PrintHood | Эта точка соединения содержит ярлыки для элементов папки принтеров |
| AppData\Roaming\Microsoft\Windows\Recent | Recent | Эта точка соединения содержит ярлыки для последних используемых документов и папок |
| AppData\Roaming\Microsoft\Windows\Send To | SendTo | Эта точка соединения содержит ярлыки служебных программ по работе с документами |
| AppData\Roaming\Microsoft\Windows\Start Menu | Start Menu | Эта точка соединения содержит ярлыки для программ из меню «Пуск» |
| AppData\Roaming\Microsoft\Windows\Templates | Templates | Данная точка соединения включает шаблоны пользователя |
| \Documents | My Documents | Содержит документы и подпапки пользователя |
Как вы заметили из предыдущей таблицы, помимо стандартных пользовательских папок, в профилях пользователей еще есть точки соединения – папки, которые используются для разрешения доступа к общим папкам. Точки соединения, на первый взгляд, выглядят аналогично папкам, но на самом деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в другое место на диске. При использовании приложений из предыдущих версий Windows, точки соединения позволяют приложениям записывать информацию в папки, которые используют новые имена в профилях пользователей в операционных системах Windows Vista и выше (версии 2).
Основные отличия между локальными и перемещаемыми профилями
Ранее я вкратце описал определение локальных и перемещаемых профилей. В этом разделе я подробнее опишу значение, применение и некоторые отличия этих двух типов пользовательских профилей.
Локальные пользовательские профили
Как уже упоминалось ранее, локальный пользовательский профиль создается на каждом компьютере при входе пользователя в систему. Этот профиль основан на скрытом пользовательском профиле Default, расположенном в папке %SystemDrive%\User, который копируется в папку профиля нового пользователя. При этом, некоторые параметры настроек рабочего стола пользователя определяются не только его профилем, а также и общими группами программ из папки All Users. При выходе пользователя из системы, все настройки, выполненные пользователем, сохраняются в его папке профиля, а профиль в папке Default User остается без изменений. Профили пользователей связаны с идентификаторами безопасности SID. Поэтому, когда пользователь вновь входит на локальный компьютер, то этот профиль извлекается и предоставляет пользователю тот же рабочий стол, который был сохранен при его выходе. В том случае, если у пользователя на локальном компьютере помимо учетной записи в домене есть собственная учетная запись, то локальные профили этих учетных записей отличаются. Если компьютер присоединен к домену, то прежде всего проверяется сетевая версия пользовательского профиля по умолчанию, которая локализована в общем ресурсе NETLOGON на контроллере домена.
К основному преимуществу локальных пользовательских профилей можно отнести то, что любой пользователь, который входит на локальный компьютер, поддерживает уникальные личные параметры. Такие профили целесообразно держать на домашних компьютерах или в малых офисах, где все пользователи входят в рабочие группы. Но в том случае, когда пользователи внутри организации перемещаются среди множества компьютеров, поддержка большого количество профилей на каждом компьютере не считается удачным решением. Для решения такой задачи есть смысл воспользоваться таким решением, как перемещаемыми пользовательскими профилями.
Перемещаемые пользовательские профили
Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.
Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.
При планировании перемещаемых профилей вам также стоит проанализировать ситуацию с применением временных пользовательских профилей наряду с обязательными профилями. Если ваш профильный сервер становится недоступным, то пользователи, которые входят в группу с обязательными профилями не смогут выполнить вход в систему. Специально для этих случаев вам нужно создать принудительными профили, которые запрещают пользователям входить на компьютеры в случае недоступности перемещаемых профилей, что позволяет обеспечить дополнительный, улучшенный уровень безопасности.
Создание перемещаемых профилей
Перемещаемые пользовательские профили создаются очень просто. Для их создания вам даже не нужно разбираться с Active Directory или групповыми политиками, но знание этих технологий значительно упростить вам жизнь при управлении такими профилями. Если говорить о создании перемещаемых профилей в двух словах, то вам нужно настроить сетевое размещение, где будут располагаться данные профили, а затем отконфигурировать каждую учетную запись пользователя для сопоставления с созданным ранее сетевым размещением. Все эти действия описаны далее:
- На файловом или специально выделенном профильном сервере создайте папку, которая будет использоваться для хранения перемещаемых пользовательских профилей. Данная папка будет считаться папкой верхнего уровня для всех индивидуальных профилей пользователей;
- Перейдите в свойства в свойства текущей папки. В отобразившемся диалоговом окне «Свойства: %имя_папки%» перейдите на вкладку «Доступ» и предоставьте для группы «Прошедшие проверку» полный доступ. Это действие следует выполнить для того, чтобы пользователи, прошедшие проверку могли получать доступ к текущему ресурсу, а также создавать свои профили. Помимо этого, назначьте дополнительные разрешение NTFS для группы «Пользователи». Папка, которая используется для хранения настраиваемого профиля, должна называться DefaultUser.v2, для которой назначьте полный доступ группе «Все»;
- Откройте оснастку «Active Directory – пользователи и компьютеры», выберите пользователя, для которого нужно настроить перемещаемый профиль, нажмите на нем правой кнопкой мыши и выберите команду«Свойства»;
- В отобразившемся диалоговом окне перейдите на вкладку «Профиль» и в соответствующем текстовом поле введите путь к общей папке, где содержится профиль текущего пользователя. Вы можете использовать переменную среды %UserName% в качестве заполнителя имени входа в систему, которое используется в пути профиля. После того как пользователь в первый раз войдет в домен, на сервере автоматически будет создана папка профиля в формате имени пользователя или, если пользователь выполнил вход из операционной системы Windows Vista или более поздней версии операционной системы, то будет создана папка имя_пользователя.v2 с соответствующими разрешениями.
Рис. 1. Предоставление разрешений для папки Profiles
Рис. 2. Открытие диалогового окна свойств пользователя
Рис. 3. Настройка пути перемещаемого профиля пользователя
Обязательный пользовательский профиль создается по аналогии, только после настройки рабочего стола (достаточно чтобы пользователь, скажем, начальник отдела или вы выполнили все настройки для текущего профиля), файл данного профиля следует переименовать с NTUSER.DAT в NTUSER.MAN. Также каждый обязательный пользовательский профиль следует хранить в специально выделенной папке верхнего уровня. То есть, вам нужно создать следующую иерархию папок: корневая папка верхнего уровня, скажем, Profiles, в которой будет расположена папка mandatory_user_profiles, внутри которой уже будут расположены папки с обязательными профилями пользователей. Для этой папки вам нужно предоставить разрешения только на уровне «Чтения», что не позволит вносить пользователям изменения в свой обязательный пользовательский профиль, который расположен на сервере. После этого, на вкладке «Профиль» пользователя, в соответствующем текстовом поле, задайте имя с суффиксом .man (.man.v2 для пользователей, которые выполняют вход под операционными системами Windows Vista и выше) в конце для папки пользователя, которая станет обязательным пользовательским профилем.
Управление перемещаемыми пользовательскими профилями средствами групповой политики
Как вам известно, в доменах Active Directory для снижения стоимости управления компьютерными системами принято целесообразно использовать групповые политики. Перемещаемые пользовательские профили не исключение. Групповые политики позволяют управлять большинством задач, которые могут стать перед вами при развертывании перемещаемых пользовательских профилей. Для этого корпорация Microsoft предоставляет 23 параметра групповой политики, расположенных в узлах Политики\Административные шаблоны\Система\Профили пользователей разделов конфигурации компьютера и конфигурации пользователя. Рассмотрим эти параметры:
Рис. 4. Параметры политики управления профилями пользователей
Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя.
Данный параметр групповой политики используется для добавления группы безопасности «Администраторы» в общий ресурс с перемещаемым профилей пользователя, а также для назначения полного доступа. После того как вы настроите перемещаемый пользовательский профиль, он будет создан при следующем входе пользователя в систему в указанном вами расположении. Если параметр отключен или не задан, то только пользователь получит полный доступ к своему профилю, а у группы администраторов не будет доступа к файлам, а если данный параметр включен, то группа администраторов также будет иметь все права доступа к папке профиля пользователя. Если вы включите данный параметр после создания профиля, то не будет влиять на созданный ранее профиль. Стоит отметить, что данный параметр вы должны настраивать не профильном сервере, а на компьютере пользователя, так как разрешения общего файлового доступа назначается к перемещаемому профилю во время его создания.
Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.
Текущий параметр позволяет администратору при перезагрузке системы автоматически удалять профили пользователей, которые не были использованы в течение указанных в этой политике дней, при этом днем считается 24 часа с момента получения доступа к данному профилю. В том случае, если параметр активирован, то при перезагрузке системы неиспользованные в указанном количестве дней профили автоматически удаляются службой пользовательских профилей. Если же параметр не настроен или отключен, то автоматического удаления не произойдет. Для пользователей, находящихся в частых и длительных командировках применение данного профиля следует планировать в частном порядке.
Не проверять собственность пользователя перемещаемых папок профиля.
Этот параметр отключает безопасную настройку по умолчанию для пользовательской папки перемещаемых пользовательских профилей, определяет действия с существующей папкой при обновлении компьютеров, поддерживает и повышает уровень безопасности пользовательского профиля. Начиная с операционной системы Windows XP SP1, папка перемещаемого профиля недоступна для копирования в том случае, если она уже существует и разрешения на нее не верны. При включенном параметре, операционная система Windows не проверяет на существующую папку. При отключенном или не заданном параметре в существующей папке перемещаемого пользовательского профиля, копирование файлов отсутствует, а в журнале событий выводится сообщение об ошибке. В случае отсутствия кэшированного профиля, используется временный профиль пользователя.
Удалять кэшированные копии перемещаемых профилей.
Используя данный параметр, вы можете определить возможность сохранения копий пользовательского перемещаемого профиля на жестком диске при выходе из системы. Совместно со связанными с ним параметрами данной папки, этот параметр определяет стратегию управления пользовательскими профилями, которые расположены на удаленных серверах и определяют действия системы при длительном времени загрузки профиля. Как было сказано ранее, при выходе пользователя из системы производится сохранение перемещаемого профиля пользователя на локальный жесткий диск на исключение ситуации недоступного профильного сервера. При включенном параметре, все локальные копии удаляются, при этом оставляя перемещаемый профиль только на профильном или файловом сервере. В случае медленного подключения этот параметр должен быть отключен, так как он требует наличие локальной копии перемещаемого профиля.
Не выполнять принудительной выгрузки реестра пользователя при его выходе из системы.
Данный параметр групповой политики используется в случае проблем совместимости приложений. Операционная система производит выгрузку системного реестра пользователя при выходе из системы, невзирая на открытые дескрипторы к пользовательским разделам реестра. Так как применение данного параметра может препятствовать получению обновлений перемещаемых профилей, данный параметр рекомендуется использовать только в крайних случаях. В том случае, если этот параметр включен, принудительная выгрузка реестра при выходе из системы не производится, но системный реестре будет перезагружаться после закрытия дескрипторов к пользовательским разделам системного реестра. Отключенный или не настроенный параметр будет выгружать реестр всегда, даже при открытых дескрипторах.
Не определять медленные сетевые подключения.
Как вам уже известно, медленное подключение характеризуется измерением скорости подключения пользовательского компьютера к удаленному серверу, содержащему перемещаемый профиль пользователя. При определении системой медленного подключения, параметры папки перемещаемого профиля определяют характер реакции системы на медленное подключение. При включенном параметре система не определяет медленное подключение и ни одно из сетевых подключений не будет таковым считаться, соответственно, всегда заграждаются перемещаемые профили. Система игнорирует параметры, задающие реакцию на медленные подключения. При отключенном или не настроенном параметре, система измеряет скорость подключения к удаленному серверу, хранящему пользовательский профиль. При медленном подключении система задействует другие параметры, установленные в папке перемещаемого профиля для дальнейших действий, загружая локальную копию пользовательского профиля по умолчанию.
Выдавать запрос пользователю при обнаружении медленного сетевого подключения.
Текущий параметр групповой политики поможет вам в том случае, если ваши пользователи требуют загрузки перемещаемого профиля даже при наличии медленного сетевого подключения к профильному серверу. В операционных системах Windows XP и более ранних, при обнаружении медленного подключения отображается диалоговое окно для выбора параметра загрузки удаленной копии перемещаемого профиля. В операционных системах Windows Vista и более поздних, при входе в систему отображается только флажок, определяющий необходимость загрузки пользовательского профиля. При активированном параметре данной политики, пользователи сами определяют необходимость загрузки перемещаемого профиля при медленном подключении к серверу. При отключенном или не заданном параметре, используется локальная копия профиля пользователя. При включенном параметре «Дождаться загрузки перемещаемого пользовательского профиля», удаленная копия профиля будет загружена автоматически или же система будет полностью игнорировать предварительный выбор пользователя. Для настройки времени, выделенного на ответ в операционных системах ниже Windows Vista, используется параметр «Таймаут диалоговых окон». При включенном параметре «Не определять медленное подключение», данный параметр игнорируется. При включенном параметре «Удалять кэшируемые копии перемещаемых профилей», локальная копия профиля отсутствует, соответственно локальная копия профиля не загружается при медленном подключении.
Оставить установочные данные установщика Windows и групповой политики.
Использование данного параметра позволяет определить, оставляет ли операционная система установочные данные установщика Windows и групповой политики при удалении перемещаемого профиля пользователя. По умолчанию удаляются все относящиеся к нему сведения, в том числе и связанные с установщиком, поэтому при следующем входе в систему возникает необходимость установки всех приложений публикуемых с помощью политики, что, соответственно, увеличивает время входа в систему. При включении данного параметра, установочные данные установщика Windows и групповой политики не удаляются с компьютера, что повышает производительность при следующем входе в систему пользователей с удаленным профилем. При отключенной или не настроенной политике, перемещаемый профиль пользователя удаляется целиком, включая данные установщика Windows и групповой политики. При включённой политике локальный администратор должен удалить данные установщика Windows и групповой политики из реестра и файловой системы пользователя.
Разрешить использование только локальных профилей.
При помощи данного параметра групповой политики, вы можете запретить пользователям с перемещаемым профилем получать его на отдельно взятом компьютере. По умолчанию, при первом входе пользователя в систему, его перемещаемый профиль загружается на локальный компьютер. При последующем входе, перемещаемый профиль объединяется с локальным профилем пользователя. При завершении работы и выходе из системы, локальная копия профиля с произведенными в процессе сеанса изменениями, объединяется с серверной копией профиля. Используя данный параметр, можно запретить пользователям получать свой перемещаемый профиль на отдельно взятом компьютере. При включенном параметре, при первом входе в систему, пользователь получает новый локальный профиль, в котором и будут сохранены все изменения системы. Этот же локальный профиль будет использоваться при всех последующих входах в систему, не синхронизируя с сервером. Если данный параметр отключен или не задан, то по умолчанию используется перемещаемый профиль пользователя.
Установить путь к перемещаемым профилям для всех пользователей, входящих в систему на данном компьютере.
Данный параметр определяет необходимость использования указанного сетевого пути для всех пользователей, отдельно взятого компьютера. Для использования данного параметра вводится путь к общему сетевому ресурсу в следующем формате: \\имя_компьютера\имя_общего_ресура. Для предоставления индивидуальной папки профиля для каждого пользователя на отдельно взятом компьютере, добавьте пути %Username%, иначе все пользователи будут использовать одну и ту же папку профиля, при этом необходимо убедиться в наличие соответствующих настроек безопасности. При включенном параметре все пользователи используют указанный путь к перемещаемым профилям. При отключенном или не настроенном параметре, пользователи используют локальный или стандартный перемещаемый пользовательский профиль.
Таймаут диалоговых окон.
Используя текущий параметр групповой политики, вы можете определить, как долго операционная система должна ожидать ответа пользователя, прежде чем выполнить действие, которое установлено по умолчанию. Последнее используется в том случае, если пользователь не ответил на сообщение о возникновении событий обнаружения медленного подключения, недоступности профильного сервера или повествующего о том, что локальный пользовательский профиль новее, чем серверный профиль. Целесообразно использовать данный параметр для предопределения системного значения, которое равно 30 секундам. Вы можете указать значение в интервале от 0 до 600 секунд.
Не регистрировать в системе пользователей с временными профилями.
Текущий параметр групповой политики позволяет вам автоматически отключать пользователей от системы при невозможности загрузки их профилей. Данная политика также распространяется в том случае, когда профиль содержит ошибки препятствующие загрузке, при этом, не позволяя операционной системе регистрировать пользователя с временным профилем. При включении данного параметра, операционная система не будет регистрировать пользователя с временным профилем пользователя. Если же параметр отключен или не задан, при невозможности загрузки пользовательских профилей, операционная система будет регистрировать в системе временные профили.
Максимальное число повторов выгрузки и обновления профиля пользователя.
При помощи этого параметра групповой политики вы можете определить количество повторных попыток обновления файла NTUSER.DAT при выходе пользователя или ошибки обновления. Когда пользователь выходит из системы, операционная система выгружает пользовательскую часть реестра и обновляет ее. Система прекращает эти попытки тогда, когда указанное количество попыток оказывается исчерпывающим. По умолчанию система повторяет попытки 60 раз. Если включить данный параметр, то вы можете изменить количество повторных попыток выполнения загрузки и обновления пользовательских параметров реестра. В том случае, если вы установите значение равное нулю, то операционная система будет выполнять выгрузку и обновление параметров реестра только один раз. Если на компьютере расположено много профилей, то желательно увеличить количество повторных попыток.
Запретить передачу на сервер изменений в перемещаемом профиле.
Используя данный параметр, вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. Как уже говорилось ранее, при выполнении пользователем входа в систему, его перемещаемый профиль копируется на локальный компьютер, причем перемещаемый профиль объединяется с локальным в том случае, если ранее уже выполнялся вход. Если включить данный параметр, то при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.
Дождаться загрузки перемещаемого профиля.
Данный параметр групповой политики указывает на то, что операционная система должна дождаться загрузки удаленной копии перемещаемого профиля пользователя, даже в том случае, когда вы подключены через медленное подключение. Включив данный параметр, вы позволить всегда загружать перемещаемый пользовательский профиль с сервера. Стоит обратить внимание на то, что если вы включили параметр «Не определять медленные подключения», то данный параметр групповой политики игнорируется. Также, при включенном параметре «Удалять кэшированные копии перемещаемых профилей», в случае медленного подключения, у вас нет локальной копии перемещаемого профиля, которую можно было бы загрузить. Если же данный параметр групповой политики отключен или не настроен, то при обнаружении медленного подключения система загружает локальную копию перемещаемого профиля пользователя
Таймаут медленных сетевых подключений для профилей пользователей.
Текущий параметр позволяет вам указать, какое подключение для загрузки перемещаемых профилей пользователей будет считаться медленным. Операционная система считает подключение медленным в том случае, если сервер, на котором располагается перемещаемый профиль пользователя, отвечает медленнее, чем указано в данном параметре. Для компьютеров, подключенных к IP-сетям, операционная система вычисляет скорость, с которой удаленный сервер должен возвращать данные в ответ на ping-сообщение. Для задания порогового значения для этой проверки в текстовом поле «Скорость подключения» введите десятичное число от 0 до 4294967200, представляющее минимальную приемлемую скорость передачи в килобитах в секунду. Значение, установленное по умолчанию равняется 500 кбит/с. Помимо этого, если для компьютеров не в IP-сетях файловая система сервера не отвечает в течение максимальной приемлемой задержки в миллисекундах, которая указывается в текстовом поле «Время», сервер также считается медленным. В данное текстовое поле вы можете ввести значение от 0 до 20000. В том случае, если включен параметр групповой политики «Не определять медленные подключения», то данный параметр игнорируется.
Фоновая передача файла реестра перемещаемого профиля пользователя при входе пользователя в систему.
Данный параметр появился только в операционных системах Windows 7 и Windows Server 2008 R2. При помощи этого параметра вы можете задать расписание фоновой передачи файла реестра перемещаемого профиля пользователя. Передача осуществляется только в том случае, если пользователь вошел в систему. Стоит обратить внимание на то, что данный параметр не препятствует передаче файла реестра перемещаемого профиля пользователя при выходе пользователя из системы. Основное отличие данного параметра от всех остальных заключается в том, что для использования этого параметра сначала необходимо выбрать используемый метод планирования расписания. Существует два метода расписания:
- Запуск с заданным интервалом. Выбрав данный план расписания, файл реестра профиля пользователя будет передаваться с указанным интервалом после входа пользователя в систему. В текстовом поле«Интервал» вы можете указать интервал от 1 до 720 часов. Например, если вы укажите интервал 4 часа, то файл реестра будет передаваться в фоновом режиме каждые четыре часа даже если пользователь не выходит из системы. При следующем входе пользователя в систему таймер начнет работать заново;
- Запуск в указанное время. При выборе данного плана куст реестра будет передаваться лишь один раз ежедневно в одно и то же время.
Рис. 5. Диалоговое окно настроек фоновой передачи перемещаемого профиля
Установить максимальное время ожидания для сети, если пользователь имеет перемещаемый профиль или удаленный основной каталог.
По умолчанию, при перемещении профиля или удаления основной папки с профилем во время недоступности сетевого подключения, после выполнения пользователем входа в систему, операционная система Windows ожидает возобновления работы сети в течение 30 секунд. Используя этот параметр, вы можете задать время ожидания возобновления работы сети. В том случае, если по истечении максимального времени ожидания сеть останется недоступной, то вход пользователя в систему будет продолжен без сети. Как только сеть станет доступной до истечения максимального времени ожидания, то вход пользователя непременно продолжится.
Подключить домашнюю папку к корню общего ресурса.
Текущий параметр определяет параметры переменных сред %HOMESHARE% и %HOMEPATH%, которые определяет домашнюю папку пользовательского профиля, а также содержит полный путь к домашней папке. В этом случае пользователи могут получать доступ к домашней папке и любым ее подпапкам через букву диска домашней папки, но в то же время не могут просматривать или получать доступ к ее родительским папкам. При отключении данного параметра, домашние папки сопоставляются с папкой пользователя, а не с общим ресурсом более высокого уровня. Данный параметр вы не можете использовать на операционных системах, которые были созданы после операционной системы Windows XP.
Синхронизировать основные папки только в момент входа или выхода системы.
При помощи данного параметра групповой политики вы можете указать сетевые папки, которые будут синхронизироваться, используя политики автономных файлов при входе и выходе из системы. Этот параметр целесообразно использовать для разрешения проблем с приложениями, работающими некорректно с автономными файлами, когда пользователь находится в интерактивном режиме. Если данный параметр включен, то сетевые пути, которые указаны в параметре будут синхронизироваться при помощи политики автономных файлов. Если отключить или не задан, то пути, которые указаны в текущем параметре, будут вести себя аналогично другим кэшированным данным, обрабатываемым политикой автономных файлов, и останутся в интерактивном режиме при нахождении пользователя в системе, если сетевые пути доступны.
Исключить папки из перемещаемого профиля.
Этот параметр групповой политики позволяет вам исключить папки, которые должны включаться в перемещаемый профиль пользователя, что позволяет не сохранять определенные папки на профильном сервере. Как вам известно, в перемещаемых профилях обязательно исключаются папки «Appdata\Local», «Appdata\LocalLow», а также папки, содержащие временные файлы и историю браузера Internet Explorer. Если включить данный параметр, то вы можете исключить любые папки, которые расположены в пользовательском профиле. При отключении данного параметра перемещаться будут, соответственно, только папки по умолчанию.
Ограничить размер профиля.
Данный параметр позволяет вам задать максимальный размер пользовательского профиля и определяет действие операционной системы в том случае, когда профиль достигает максимального значения. При помощи этого параметра вы можете установить максимальный размер профиля, определить, включается ли в размер профиля файлы реестра, указать, будут ли конечные пользователи получать уведомления при превышении максимального размера профиля, указывать специальное сообщение, уведомляющее пользователя о превышении размера профиля, а также определить как часто это сообщение должно отображаться. Если вы отключите или не зададите параметры для данного параметра, то операционная система не будет ограничивать размер пользовательского профиля.
Заключение
В данной статье вы узнали о назначении и типах профилей пользователей, которые ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Узнали о том, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. В статье предоставлена таблица, из которой вы можете узнать обо всех папках, которые входят в состав профилей. Было рассказано о том, как создаются перемещаемые профили пользователей, а также были рассмотрены групповые политики, позволяющие управлять перемещаемыми и локальными профилями пользователей.
(Источник: http://www.oszone.net/14008/userprofiles2)
Введение
В любой компании, основополагающей частью организации считаются сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями. Для того чтобы каждый пользователь мог персонализировать фон рабочего стола, экранную заставку и прочие элементы, применяются профили пользователей. По сути, профили пользователей отличаются от учетных записей пользователей тем, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. Профили представляют ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Например, администратор может установить параметры пользователя по умолчанию, который бы соответствовал его задачам, не сохранял изменения, сделанные в рабочем окружении, а также загружал все параметры на локальный компьютер при каждом входе в систему. К пользовательским преимуществам можно отнести тот факт, что один компьютер может служить нескольким пользователям, то есть конкретный пользователь, который выполняет вход получает полностью настроенную рабочую среду, которая была сохранена именно для него, причем настройка рабочей среды одним пользователем не оказывает воздействия на параметры рабочей среды другого. Стоит обратить внимание на то, что у каждой учетной записи пользователя может быть не менее одного профиля.Большинство системных администраторов при развертывании и управлении клиентскими местами своих пользователей пренебрегают такой мелочью, как централизованным контролем над пользовательскими рабочими столами. С одной стороны их можно понять, так как пользователи будут смотреть на подобные действия, как на попытку полного контроля их единственным свободным пространством, которое у них есть на рабочем месте, что приведет к появлению конфликтных ситуаций. Но если посмотреть на этот факт с другой стороны, то попытки предоставления пользователю возможности изменения каких-либо настроек может привести к некорректной конфигурации, что может некоторым образом усложнить жизнь вам, как системному администратору. Вполне очевидно, что большинство нюансов, связанных с балансировкой контролем пользователя за своим профилем и централизованным управлением рабочими столами пользователя зависит от корпоративных правил вашей организации и все эти настройки могут быть жестко прописаны средствами групповых политик. Но даже если все было указано в корпоративных правилах, пользователи все равно будут постоянно с вами ругаться, так как они рано или поздно захотят поставить себе на рабочий стол какой-то красивый пейзаж или фотографию любимого троюродного племянника из-за чего вам будут регулярно приходить заявления подписанные начальниками отделов с просьбой облегчить жизнь сотруднику и позволять ему персонализировать свой рабочий стол. Использование групповых политик, безусловно, облегчит вам жизнь, поэтому к основной задачи, связанной с этим вопросом следует отнести процесс убеждения пользователей в том, что управление их рабочими столами обеспечат больший комфорт для последующей работы.
В операционных системах Windows существуют четыре типа профилей, изменять параметры которых могут как системные администраторы, так и конечные пользователи:
Временный профиль пользователя: профиль, который предоставляется пользователю лишь в том случае, когда операционной системе, из-за какой-либо системной ошибки не удалось загрузить во время входа и, соответственно, при выходе пользователя из системы такой профиль будет удален;
Локальный профиль пользователя: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;
Перемещаемый профиль пользователя: профиль, который специально создается системным администратором для конечного пользователя, и храниться на сервере. Данные профили удобны тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход на любом компьютере в организации;
Обязательный профиль пользователя: перемещаемый профиль, который содержит определенные параметры для конкретных пользователей или групп пользователей, в котором изменения вносятся исключительно администраторами.
Чего же хотят от вас в первую очередь конечные пользователи? Для них важнейшим моментом при входе в систему из любого компьютера, расположенного в сети организации является тот момент, чтобы их рабочий стол имел те настройки, что и на своем персональном компьютере, причем для них еще очень важно иметь доступ к своим данным независимо от своего расположения. По этой причине, правильное управление пользовательскими профилями для конечного пользователя значительно важнее, нежели для администратора. Всю эту функциональность вы можете реализовать при помощи перемещаемых пользовательских профилей. В этой статье вы узнаете о том, каким данные содержат пользовательские профили, разницу между локальными и перемещаемыми профилями, а также об управлении перемещаемыми профилями, средствами групповых политик.
Содержимое пользовательских профилей
Жизненный цикл пользовательского профиля начинается с копирования папки профиля пользователя по умолчанию, а именно папки Default User, которая хранится на любом компьютере, работающем под управлением операционной системы Windows. Информация в пользовательском профиле соответствует улью HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне папки профиля пользователя, а именно в файлеNtuser.dat. в этом файле хранятся параметры конфигурации операционной системы, параметры приложений, а также рабочего стола текущего пользователя. Также профиль пользователя содержит скрытые папки, которые содержат такую информацию, как настройки рабочего стола и меню пуск, конфигурацию приложений и многое другое, а также папки, которые изначально доступны пользователю и предназначены для хранения документов, музыкальных и видео файлов, загружаемые из интернета файлы и многое другое.
Многие из вас знают, какие папки расположены в пользовательских профилях в операционной системе Windows XP и что все они находятся в папке Documents and Settings. Но в операционных системах, начиная с Windows Vista и Windows Server 2008 такой папки не существует, что немного вводит в заблуждение людей, которые работают с данными операционными системами впервые. Теперь все пользовательские профили расположены в папке Users, причем появилось множество папок, доступных пользователям, которых не было ранее. Например, все помнят, что в той же операционной системе Windows XP, в пользовательских профилях были такие папки, как «Мои документы», «Моя музыка», «Мои картинки» и т.д., что вызывало множество забавных конфликтных ситуацию между пользователями и администраторами. Теперь все эти папки имеют другое название, что позволит избежать некоторых конфликтов с конечными пользователями. Все эти папки предоставлены в следующей таблице:
| Стандартные папки пользователей | ||
| Windows Vista/7/Server 2008/2008 R2 | WindowsXP/Server 2003 | Краткое описание |
| Contacts (Контакты) | Отсутствует | Папка, для хранения контактов пользователей по умолчанию |
| Desktop (Рабочий стол) | Desktop | Папка, которая содержит элементы рабочего стола |
| Documents (Рабочий стол) | My Documents | Папка, предназначенная для хранения всех созданных пользователем документов по умолчанию |
| Downloads (Загрузки) | Отсутствует | Папка, предназначенная для хранения всех файлов, загруженных пользователем из Интернета по умолчанию |
| Favorites (Избранное) | Отсутствует | Папка, содержащая избранное браузера Internet Explorer |
| Links (Ссылки) | Отсутствует | Папка, в которой хранятся избранные ссылки браузера Internet Explorer |
| Music (Моя музыка) | My Music | Папка, предназначенная для хранения музыкальных файлов пользователя по умолчанию |
| Pictures (Изображения) | My Pictures | Папка, предназначенная для хранения файлов изображений пользователя по умолчанию |
| Saved Games (Сохраненные игры) | Отсутствует | Папка, в которой расположены сохранения для игр пользователя по умолчанию |
| Searches (Поиски) | Отсутствует | Папка, предназначенная для хранения поисковых запросов пользователя |
| Videos (Мои видеозаписи) | My Videos | Папка, предназначенная для хранения файлов фидео пользователя по умолчанию |
| Virtual Machines (Виртуальные машины)* | Отсутствует | Папка, предназначенная для хранения виртуальных машин пользователя по умолчанию (данная папка отсутствует в операционной системе Windows Vista) |
| Точки соединения | ||
| AppData | Отсутствует | Данная папка является скрытой и в ней по умолчанию содержаться данные приложений пользователей. Эта папка содержит вложенные папки Local и Roaming, содержимое которых описано ниже, а также папка LocalLow, которая хранит параметры приложений для защищенных процессов и не перемещаются при развертывании перемещаемых профилей |
| AppData\Roaming | Application Data | В этой точке соединения хранятся программные данные, которые определяются разработчиками приложений |
| AppData\Roaming\Microsoft\Windows\Cookies | Cookies | Содержит сведения о пользователе и параметры его настройки |
| AppData\Local | Local Settings | В этих точках соединения вы можете найти файлы данных приложений, файлы журналов, а также временные файлы, которые входят в перемещаемый профиль |
| AppData\Local\Microsoft\Windows\History | ||
| AppData\Local\Temp | ||
| AppData\Local\Microsoft\Windows\Temporary Internet Files | ||
| AppData\Roaming\Microsoft\Windows\Network Shortcuts | NetHood | Эта точка соединения содержит ярлыки для элементов сетевого окружения |
| AppData\Roaming\Microsoft\Windows\Printer Shortcuts | PrintHood | Эта точка соединения содержит ярлыки для элементов папки принтеров |
| AppData\Roaming\Microsoft\Windows\Recent | Recent | Эта точка соединения содержит ярлыки для последних используемых документов и папок |
| AppData\Roaming\Microsoft\Windows\Send To | SendTo | Эта точка соединения содержит ярлыки служебных программ по работе с документами |
| AppData\Roaming\Microsoft\Windows\Start Menu | Start Menu | Эта точка соединения содержит ярлыки для программ из меню «Пуск» |
| AppData\Roaming\Microsoft\Windows\Templates | Templates | Данная точка соединения включает шаблоны пользователя |
| \Documents | My Documents | Содержит документы и подпапки пользователя |
Как вы заметили из предыдущей таблицы, помимо стандартных пользовательских папок, в профилях пользователей еще есть точки соединения – папки, которые используются для разрешения доступа к общим папкам. Точки соединения, на первый взгляд, выглядят аналогично папкам, но на самом деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в другое место на диске. При использовании приложений из предыдущих версий Windows, точки соединения позволяют приложениям записывать информацию в папки, которые используют новые имена в профилях пользователей в операционных системах Windows Vista и выше (версии 2).
Основные отличия между локальными и перемещаемыми профилями
Ранее я вкратце описал определение локальных и перемещаемых профилей. В этом разделе я подробнее опишу значение, применение и некоторые отличия этих двух типов пользовательских профилей.
Локальные пользовательские профили
Как уже упоминалось ранее, локальный пользовательский профиль создается на каждом компьютере при входе пользователя в систему. Этот профиль основан на скрытом пользовательском профиле Default, расположенном в папке %SystemDrive%\User, который копируется в папку профиля нового пользователя. При этом, некоторые параметры настроек рабочего стола пользователя определяются не только его профилем, а также и общими группами программ из папки All Users. При выходе пользователя из системы, все настройки, выполненные пользователем, сохраняются в его папке профиля, а профиль в папке Default User остается без изменений. Профили пользователей связаны с идентификаторами безопасности SID. Поэтому, когда пользователь вновь входит на локальный компьютер, то этот профиль извлекается и предоставляет пользователю тот же рабочий стол, который был сохранен при его выходе. В том случае, если у пользователя на локальном компьютере помимо учетной записи в домене есть собственная учетная запись, то локальные профили этих учетных записей отличаются. Если компьютер присоединен к домену, то прежде всего проверяется сетевая версия пользовательского профиля по умолчанию, которая локализована в общем ресурсе NETLOGON на контроллере домена.
К основному преимуществу локальных пользовательских профилей можно отнести то, что любой пользователь, который входит на локальный компьютер, поддерживает уникальные личные параметры. Такие профили целесообразно держать на домашних компьютерах или в малых офисах, где все пользователи входят в рабочие группы. Но в том случае, когда пользователи внутри организации перемещаются среди множества компьютеров, поддержка большого количество профилей на каждом компьютере не считается удачным решением. Для решения такой задачи есть смысл воспользоваться таким решением, как перемещаемыми пользовательскими профилями.
Перемещаемые пользовательские профили
Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.
Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.
При планировании перемещаемых профилей вам также стоит проанализировать ситуацию с применением временных пользовательских профилей наряду с обязательными профилями. Если ваш профильный сервер становится недоступным, то пользователи, которые входят в группу с обязательными профилями не смогут выполнить вход в систему. Специально для этих случаев вам нужно создать принудительными профили, которые запрещают пользователям входить на компьютеры в случае недоступности перемещаемых профилей, что позволяет обеспечить дополнительный, улучшенный уровень безопасности.
Создание перемещаемых профилей
Перемещаемые пользовательские профили создаются очень просто. Для их создания вам даже не нужно разбираться с Active Directory или групповыми политиками, но знание этих технологий значительно упростить вам жизнь при управлении такими профилями. Если говорить о создании перемещаемых профилей в двух словах, то вам нужно настроить сетевое размещение, где будут располагаться данные профили, а затем отконфигурировать каждую учетную запись пользователя для сопоставления с созданным ранее сетевым размещением. Все эти действия описаны далее:
- На файловом или специально выделенном профильном сервере создайте папку, которая будет использоваться для хранения перемещаемых пользовательских профилей. Данная папка будет считаться папкой верхнего уровня для всех индивидуальных профилей пользователей;
- Перейдите в свойства в свойства текущей папки. В отобразившемся диалоговом окне «Свойства: %имя_папки%» перейдите на вкладку «Доступ» и предоставьте для группы «Прошедшие проверку» полный доступ. Это действие следует выполнить для того, чтобы пользователи, прошедшие проверку могли получать доступ к текущему ресурсу, а также создавать свои профили. Помимо этого, назначьте дополнительные разрешение NTFS для группы «Пользователи». Папка, которая используется для хранения настраиваемого профиля, должна называться DefaultUser.v2, для которой назначьте полный доступ группе «Все»;
- Откройте оснастку «Active Directory – пользователи и компьютеры», выберите пользователя, для которого нужно настроить перемещаемый профиль, нажмите на нем правой кнопкой мыши и выберите команду«Свойства»;
- В отобразившемся диалоговом окне перейдите на вкладку «Профиль» и в соответствующем текстовом поле введите путь к общей папке, где содержится профиль текущего пользователя. Вы можете использовать переменную среды %UserName% в качестве заполнителя имени входа в систему, которое используется в пути профиля. После того как пользователь в первый раз войдет в домен, на сервере автоматически будет создана папка профиля в формате имени пользователя или, если пользователь выполнил вход из операционной системы Windows Vista или более поздней версии операционной системы, то будет создана папка имя_пользователя.v2 с соответствующими разрешениями.
Рис. 1. Предоставление разрешений для папки Profiles
Рис. 2. Открытие диалогового окна свойств пользователя
Рис. 3. Настройка пути перемещаемого профиля пользователя
Обязательный пользовательский профиль создается по аналогии, только после настройки рабочего стола (достаточно чтобы пользователь, скажем, начальник отдела или вы выполнили все настройки для текущего профиля), файл данного профиля следует переименовать с NTUSER.DAT в NTUSER.MAN. Также каждый обязательный пользовательский профиль следует хранить в специально выделенной папке верхнего уровня. То есть, вам нужно создать следующую иерархию папок: корневая папка верхнего уровня, скажем, Profiles, в которой будет расположена папка mandatory_user_profiles, внутри которой уже будут расположены папки с обязательными профилями пользователей. Для этой папки вам нужно предоставить разрешения только на уровне «Чтения», что не позволит вносить пользователям изменения в свой обязательный пользовательский профиль, который расположен на сервере. После этого, на вкладке «Профиль» пользователя, в соответствующем текстовом поле, задайте имя с суффиксом .man (.man.v2 для пользователей, которые выполняют вход под операционными системами Windows Vista и выше) в конце для папки пользователя, которая станет обязательным пользовательским профилем.
Управление перемещаемыми пользовательскими профилями средствами групповой политики
Как вам известно, в доменах Active Directory для снижения стоимости управления компьютерными системами принято целесообразно использовать групповые политики. Перемещаемые пользовательские профили не исключение. Групповые политики позволяют управлять большинством задач, которые могут стать перед вами при развертывании перемещаемых пользовательских профилей. Для этого корпорация Microsoft предоставляет 23 параметра групповой политики, расположенных в узлах Политики\Административные шаблоны\Система\Профили пользователей разделов конфигурации компьютера и конфигурации пользователя. Рассмотрим эти параметры:
Рис. 4. Параметры политики управления профилями пользователей
Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя.
Данный параметр групповой политики используется для добавления группы безопасности «Администраторы» в общий ресурс с перемещаемым профилей пользователя, а также для назначения полного доступа. После того как вы настроите перемещаемый пользовательский профиль, он будет создан при следующем входе пользователя в систему в указанном вами расположении. Если параметр отключен или не задан, то только пользователь получит полный доступ к своему профилю, а у группы администраторов не будет доступа к файлам, а если данный параметр включен, то группа администраторов также будет иметь все права доступа к папке профиля пользователя. Если вы включите данный параметр после создания профиля, то не будет влиять на созданный ранее профиль. Стоит отметить, что данный параметр вы должны настраивать не профильном сервере, а на компьютере пользователя, так как разрешения общего файлового доступа назначается к перемещаемому профилю во время его создания.
Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.
Текущий параметр позволяет администратору при перезагрузке системы автоматически удалять профили пользователей, которые не были использованы в течение указанных в этой политике дней, при этом днем считается 24 часа с момента получения доступа к данному профилю. В том случае, если параметр активирован, то при перезагрузке системы неиспользованные в указанном количестве дней профили автоматически удаляются службой пользовательских профилей. Если же параметр не настроен или отключен, то автоматического удаления не произойдет. Для пользователей, находящихся в частых и длительных командировках применение данного профиля следует планировать в частном порядке.
Не проверять собственность пользователя перемещаемых папок профиля.
Этот параметр отключает безопасную настройку по умолчанию для пользовательской папки перемещаемых пользовательских профилей, определяет действия с существующей папкой при обновлении компьютеров, поддерживает и повышает уровень безопасности пользовательского профиля. Начиная с операционной системы Windows XP SP1, папка перемещаемого профиля недоступна для копирования в том случае, если она уже существует и разрешения на нее не верны. При включенном параметре, операционная система Windows не проверяет на существующую папку. При отключенном или не заданном параметре в существующей папке перемещаемого пользовательского профиля, копирование файлов отсутствует, а в журнале событий выводится сообщение об ошибке. В случае отсутствия кэшированного профиля, используется временный профиль пользователя.
Удалять кэшированные копии перемещаемых профилей.
Используя данный параметр, вы можете определить возможность сохранения копий пользовательского перемещаемого профиля на жестком диске при выходе из системы. Совместно со связанными с ним параметрами данной папки, этот параметр определяет стратегию управления пользовательскими профилями, которые расположены на удаленных серверах и определяют действия системы при длительном времени загрузки профиля. Как было сказано ранее, при выходе пользователя из системы производится сохранение перемещаемого профиля пользователя на локальный жесткий диск на исключение ситуации недоступного профильного сервера. При включенном параметре, все локальные копии удаляются, при этом оставляя перемещаемый профиль только на профильном или файловом сервере. В случае медленного подключения этот параметр должен быть отключен, так как он требует наличие локальной копии перемещаемого профиля.
Не выполнять принудительной выгрузки реестра пользователя при его выходе из системы.
Данный параметр групповой политики используется в случае проблем совместимости приложений. Операционная система производит выгрузку системного реестра пользователя при выходе из системы, невзирая на открытые дескрипторы к пользовательским разделам реестра. Так как применение данного параметра может препятствовать получению обновлений перемещаемых профилей, данный параметр рекомендуется использовать только в крайних случаях. В том случае, если этот параметр включен, принудительная выгрузка реестра при выходе из системы не производится, но системный реестре будет перезагружаться после закрытия дескрипторов к пользовательским разделам системного реестра. Отключенный или не настроенный параметр будет выгружать реестр всегда, даже при открытых дескрипторах.
Не определять медленные сетевые подключения.
Как вам уже известно, медленное подключение характеризуется измерением скорости подключения пользовательского компьютера к удаленному серверу, содержащему перемещаемый профиль пользователя. При определении системой медленного подключения, параметры папки перемещаемого профиля определяют характер реакции системы на медленное подключение. При включенном параметре система не определяет медленное подключение и ни одно из сетевых подключений не будет таковым считаться, соответственно, всегда заграждаются перемещаемые профили. Система игнорирует параметры, задающие реакцию на медленные подключения. При отключенном или не настроенном параметре, система измеряет скорость подключения к удаленному серверу, хранящему пользовательский профиль. При медленном подключении система задействует другие параметры, установленные в папке перемещаемого профиля для дальнейших действий, загружая локальную копию пользовательского профиля по умолчанию.
Выдавать запрос пользователю при обнаружении медленного сетевого подключения.
Текущий параметр групповой политики поможет вам в том случае, если ваши пользователи требуют загрузки перемещаемого профиля даже при наличии медленного сетевого подключения к профильному серверу. В операционных системах Windows XP и более ранних, при обнаружении медленного подключения отображается диалоговое окно для выбора параметра загрузки удаленной копии перемещаемого профиля. В операционных системах Windows Vista и более поздних, при входе в систему отображается только флажок, определяющий необходимость загрузки пользовательского профиля. При активированном параметре данной политики, пользователи сами определяют необходимость загрузки перемещаемого профиля при медленном подключении к серверу. При отключенном или не заданном параметре, используется локальная копия профиля пользователя. При включенном параметре «Дождаться загрузки перемещаемого пользовательского профиля», удаленная копия профиля будет загружена автоматически или же система будет полностью игнорировать предварительный выбор пользователя. Для настройки времени, выделенного на ответ в операционных системах ниже Windows Vista, используется параметр «Таймаут диалоговых окон». При включенном параметре «Не определять медленное подключение», данный параметр игнорируется. При включенном параметре «Удалять кэшируемые копии перемещаемых профилей», локальная копия профиля отсутствует, соответственно локальная копия профиля не загружается при медленном подключении.
Оставить установочные данные установщика Windows и групповой политики.
Использование данного параметра позволяет определить, оставляет ли операционная система установочные данные установщика Windows и групповой политики при удалении перемещаемого профиля пользователя. По умолчанию удаляются все относящиеся к нему сведения, в том числе и связанные с установщиком, поэтому при следующем входе в систему возникает необходимость установки всех приложений публикуемых с помощью политики, что, соответственно, увеличивает время входа в систему. При включении данного параметра, установочные данные установщика Windows и групповой политики не удаляются с компьютера, что повышает производительность при следующем входе в систему пользователей с удаленным профилем. При отключенной или не настроенной политике, перемещаемый профиль пользователя удаляется целиком, включая данные установщика Windows и групповой политики. При включённой политике локальный администратор должен удалить данные установщика Windows и групповой политики из реестра и файловой системы пользователя.
Разрешить использование только локальных профилей.
При помощи данного параметра групповой политики, вы можете запретить пользователям с перемещаемым профилем получать его на отдельно взятом компьютере. По умолчанию, при первом входе пользователя в систему, его перемещаемый профиль загружается на локальный компьютер. При последующем входе, перемещаемый профиль объединяется с локальным профилем пользователя. При завершении работы и выходе из системы, локальная копия профиля с произведенными в процессе сеанса изменениями, объединяется с серверной копией профиля. Используя данный параметр, можно запретить пользователям получать свой перемещаемый профиль на отдельно взятом компьютере. При включенном параметре, при первом входе в систему, пользователь получает новый локальный профиль, в котором и будут сохранены все изменения системы. Этот же локальный профиль будет использоваться при всех последующих входах в систему, не синхронизируя с сервером. Если данный параметр отключен или не задан, то по умолчанию используется перемещаемый профиль пользователя.
Установить путь к перемещаемым профилям для всех пользователей, входящих в систему на данном компьютере.
Данный параметр определяет необходимость использования указанного сетевого пути для всех пользователей, отдельно взятого компьютера. Для использования данного параметра вводится путь к общему сетевому ресурсу в следующем формате: \\имя_компьютера\имя_общего_ресура. Для предоставления индивидуальной папки профиля для каждого пользователя на отдельно взятом компьютере, добавьте пути %Username%, иначе все пользователи будут использовать одну и ту же папку профиля, при этом необходимо убедиться в наличие соответствующих настроек безопасности. При включенном параметре все пользователи используют указанный путь к перемещаемым профилям. При отключенном или не настроенном параметре, пользователи используют локальный или стандартный перемещаемый пользовательский профиль.
Таймаут диалоговых окон.
Используя текущий параметр групповой политики, вы можете определить, как долго операционная система должна ожидать ответа пользователя, прежде чем выполнить действие, которое установлено по умолчанию. Последнее используется в том случае, если пользователь не ответил на сообщение о возникновении событий обнаружения медленного подключения, недоступности профильного сервера или повествующего о том, что локальный пользовательский профиль новее, чем серверный профиль. Целесообразно использовать данный параметр для предопределения системного значения, которое равно 30 секундам. Вы можете указать значение в интервале от 0 до 600 секунд.
Не регистрировать в системе пользователей с временными профилями.
Текущий параметр групповой политики позволяет вам автоматически отключать пользователей от системы при невозможности загрузки их профилей. Данная политика также распространяется в том случае, когда профиль содержит ошибки препятствующие загрузке, при этом, не позволяя операционной системе регистрировать пользователя с временным профилем. При включении данного параметра, операционная система не будет регистрировать пользователя с временным профилем пользователя. Если же параметр отключен или не задан, при невозможности загрузки пользовательских профилей, операционная система будет регистрировать в системе временные профили.
Максимальное число повторов выгрузки и обновления профиля пользователя.
При помощи этого параметра групповой политики вы можете определить количество повторных попыток обновления файла NTUSER.DAT при выходе пользователя или ошибки обновления. Когда пользователь выходит из системы, операционная система выгружает пользовательскую часть реестра и обновляет ее. Система прекращает эти попытки тогда, когда указанное количество попыток оказывается исчерпывающим. По умолчанию система повторяет попытки 60 раз. Если включить данный параметр, то вы можете изменить количество повторных попыток выполнения загрузки и обновления пользовательских параметров реестра. В том случае, если вы установите значение равное нулю, то операционная система будет выполнять выгрузку и обновление параметров реестра только один раз. Если на компьютере расположено много профилей, то желательно увеличить количество повторных попыток.
Запретить передачу на сервер изменений в перемещаемом профиле.
Используя данный параметр, вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. Как уже говорилось ранее, при выполнении пользователем входа в систему, его перемещаемый профиль копируется на локальный компьютер, причем перемещаемый профиль объединяется с локальным в том случае, если ранее уже выполнялся вход. Если включить данный параметр, то при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.
Дождаться загрузки перемещаемого профиля.
Данный параметр групповой политики указывает на то, что операционная система должна дождаться загрузки удаленной копии перемещаемого профиля пользователя, даже в том случае, когда вы подключены через медленное подключение. Включив данный параметр, вы позволить всегда загружать перемещаемый пользовательский профиль с сервера. Стоит обратить внимание на то, что если вы включили параметр «Не определять медленные подключения», то данный параметр групповой политики игнорируется. Также, при включенном параметре «Удалять кэшированные копии перемещаемых профилей», в случае медленного подключения, у вас нет локальной копии перемещаемого профиля, которую можно было бы загрузить. Если же данный параметр групповой политики отключен или не настроен, то при обнаружении медленного подключения система загружает локальную копию перемещаемого профиля пользователя
Таймаут медленных сетевых подключений для профилей пользователей.
Текущий параметр позволяет вам указать, какое подключение для загрузки перемещаемых профилей пользователей будет считаться медленным. Операционная система считает подключение медленным в том случае, если сервер, на котором располагается перемещаемый профиль пользователя, отвечает медленнее, чем указано в данном параметре. Для компьютеров, подключенных к IP-сетям, операционная система вычисляет скорость, с которой удаленный сервер должен возвращать данные в ответ на ping-сообщение. Для задания порогового значения для этой проверки в текстовом поле «Скорость подключения» введите десятичное число от 0 до 4294967200, представляющее минимальную приемлемую скорость передачи в килобитах в секунду. Значение, установленное по умолчанию равняется 500 кбит/с. Помимо этого, если для компьютеров не в IP-сетях файловая система сервера не отвечает в течение максимальной приемлемой задержки в миллисекундах, которая указывается в текстовом поле «Время», сервер также считается медленным. В данное текстовое поле вы можете ввести значение от 0 до 20000. В том случае, если включен параметр групповой политики «Не определять медленные подключения», то данный параметр игнорируется.
Фоновая передача файла реестра перемещаемого профиля пользователя при входе пользователя в систему.
Данный параметр появился только в операционных системах Windows 7 и Windows Server 2008 R2. При помощи этого параметра вы можете задать расписание фоновой передачи файла реестра перемещаемого профиля пользователя. Передача осуществляется только в том случае, если пользователь вошел в систему. Стоит обратить внимание на то, что данный параметр не препятствует передаче файла реестра перемещаемого профиля пользователя при выходе пользователя из системы. Основное отличие данного параметра от всех остальных заключается в том, что для использования этого параметра сначала необходимо выбрать используемый метод планирования расписания. Существует два метода расписания:
- Запуск с заданным интервалом. Выбрав данный план расписания, файл реестра профиля пользователя будет передаваться с указанным интервалом после входа пользователя в систему. В текстовом поле«Интервал» вы можете указать интервал от 1 до 720 часов. Например, если вы укажите интервал 4 часа, то файл реестра будет передаваться в фоновом режиме каждые четыре часа даже если пользователь не выходит из системы. При следующем входе пользователя в систему таймер начнет работать заново;
- Запуск в указанное время. При выборе данного плана куст реестра будет передаваться лишь один раз ежедневно в одно и то же время.
Рис. 5. Диалоговое окно настроек фоновой передачи перемещаемого профиля
Установить максимальное время ожидания для сети, если пользователь имеет перемещаемый профиль или удаленный основной каталог.
По умолчанию, при перемещении профиля или удаления основной папки с профилем во время недоступности сетевого подключения, после выполнения пользователем входа в систему, операционная система Windows ожидает возобновления работы сети в течение 30 секунд. Используя этот параметр, вы можете задать время ожидания возобновления работы сети. В том случае, если по истечении максимального времени ожидания сеть останется недоступной, то вход пользователя в систему будет продолжен без сети. Как только сеть станет доступной до истечения максимального времени ожидания, то вход пользователя непременно продолжится.
Подключить домашнюю папку к корню общего ресурса.
Текущий параметр определяет параметры переменных сред %HOMESHARE% и %HOMEPATH%, которые определяет домашнюю папку пользовательского профиля, а также содержит полный путь к домашней папке. В этом случае пользователи могут получать доступ к домашней папке и любым ее подпапкам через букву диска домашней папки, но в то же время не могут просматривать или получать доступ к ее родительским папкам. При отключении данного параметра, домашние папки сопоставляются с папкой пользователя, а не с общим ресурсом более высокого уровня. Данный параметр вы не можете использовать на операционных системах, которые были созданы после операционной системы Windows XP.
Синхронизировать основные папки только в момент входа или выхода системы.
При помощи данного параметра групповой политики вы можете указать сетевые папки, которые будут синхронизироваться, используя политики автономных файлов при входе и выходе из системы. Этот параметр целесообразно использовать для разрешения проблем с приложениями, работающими некорректно с автономными файлами, когда пользователь находится в интерактивном режиме. Если данный параметр включен, то сетевые пути, которые указаны в параметре будут синхронизироваться при помощи политики автономных файлов. Если отключить или не задан, то пути, которые указаны в текущем параметре, будут вести себя аналогично другим кэшированным данным, обрабатываемым политикой автономных файлов, и останутся в интерактивном режиме при нахождении пользователя в системе, если сетевые пути доступны.
Исключить папки из перемещаемого профиля.
Этот параметр групповой политики позволяет вам исключить папки, которые должны включаться в перемещаемый профиль пользователя, что позволяет не сохранять определенные папки на профильном сервере. Как вам известно, в перемещаемых профилях обязательно исключаются папки «Appdata\Local», «Appdata\LocalLow», а также папки, содержащие временные файлы и историю браузера Internet Explorer. Если включить данный параметр, то вы можете исключить любые папки, которые расположены в пользовательском профиле. При отключении данного параметра перемещаться будут, соответственно, только папки по умолчанию.
Ограничить размер профиля.
Данный параметр позволяет вам задать максимальный размер пользовательского профиля и определяет действие операционной системы в том случае, когда профиль достигает максимального значения. При помощи этого параметра вы можете установить максимальный размер профиля, определить, включается ли в размер профиля файлы реестра, указать, будут ли конечные пользователи получать уведомления при превышении максимального размера профиля, указывать специальное сообщение, уведомляющее пользователя о превышении размера профиля, а также определить как часто это сообщение должно отображаться. Если вы отключите или не зададите параметры для данного параметра, то операционная система не будет ограничивать размер пользовательского профиля.
Заключение
В данной статье вы узнали о назначении и типах профилей пользователей, которые ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Узнали о том, что профили пользователей позволяют применять персональные параметры при каждом пользователя входе в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. В статье предоставлена таблица, из которой вы можете узнать обо всех папках, которые входят в состав профилей. Было рассказано о том, как создаются перемещаемые профили пользователей, а также были рассмотрены групповые политики, позволяющие управлять перемещаемыми и локальными профилями пользователей.
(Источник: http://www.oszone.net/14008/userprofiles2)
0 коммент.:
Отправить комментарий