Управление данными пользователей и параметры настройки профиля
🕛 21.01.2009, 20:39
Одна из проблем, с которыми сталкиваются сетевые администраторы, состоит в управлении пользовательскими данными и пользовательскими профилями. Данные, с которыми работают пользователи, часто являются критическими с точки зрения бизнеса, они должны соответствующим образом защищаться и управляться. В большинстве случаев они должны храниться централизовано с поддержкой регулярного резервного копирования. Имеется много способов обращения с этими данными. Обычно данные всех пользователей хранятся на сетевом ресурсе. Однако многие пользователи хранят некоторые данные, которые нужны в случае отсутствия сети, на своих компьютерах, особенно на портативныхДругой аспект управления рабочими столами компьютеров состоит в управлении пользовательскими профилями, которые часто больше беспокоят конечных пользователей, чем администраторов. Некоторые пользователи проводят значительное время, конфигурируя свои приложения и рабочие столы для удовлетворения собственных предпочтений. Для этих пользователей конфигурация рабочего стола очень важна, и они хотят, чтобы данный рабочий стол появлялся независимо от того, с какого компьютера они войдут в систему.
До появления Active Directory основным методом управления пользовательскими данными и параметрами настройки была реализация пользовательских профилей. Некоторые компании реализовывали роу-минговые профили пользователя, которые сохранялись на сетевом ре
сурсе и были доступны пользователям с любой рабочей станции в организации. Некоторые компании налагают ограничения на профили своих пользователей, реализуя принудительные профили. Используя принудительные профили, администратор может создать стандартный профиль для пользователя или группы пользователей, а затем сконфигурировать профиль так, чтобы пользователи не могли его изменять.
Роуминговые и принудительные пользовательские профили могут быть реализованы, используя Active Directory, а некоторые из параметров настройки, предназначенные для управления ими, могут быть сконфигурированы через групповые политики. В дополнение к пользовательским профилям Active Directory обеспечивает также переназначение папки для управления пользовательскими данными и параметрами настройки, что создает существенные выгоды для пользовательских профилей.
Управление пользовательскими профилями
Пользовательский профиль содержит всю конфигурационную информацию для рабочего стола пользователя. Эта информация включает содержание поддерева HKEY_CURRENT_USER в системном реестре (хранящееся как файл Ntuser.dat), который включает параметры настройки конфигурации для приложений и рабочего стола. Кроме того, профиль содержит папки My Documents (Мои документы), Start Menu (Меню Пуск), Desktop (Рабочий стол) и Application Data (Данные приложений). На рисунке 13-2 показано содержимое пользовательского профиля на компьютере с системой Windows Server 2003.
Рис. 13-2. Пользовательский профиль содержит все пользовательские параметры настройки рабочего стола и папки для пользовательских данных
Пользовательский профиль создается на каждом компьютере, когда пользователь первый раз входит в систему. Начальный профиль основан на заданном по умолчанию пользовательском профиле, который хранится в папке %systemdrive%\Documents And Settings. Когда пользователь выходит из системы, профиль пользователя, включая любые сделанные им изменения к заданному по умолчанию, сохраняется в папке с именем, под которым пользователь входил в систему, в папке Documents And Settings (Документы и параметры настройки). Когда пользователь снова войдет на тот же самый компьютер, его профиль будет найден, и пользователю будет представлен тот же самый рабочий стол, который был перед выходом из системы. Некоторые компании реализовали роу-минговые профили пользователя. Роуминговые пользовательские профили хранятся на сетевом ресурсе, чтобы быть доступными пользователю, когда он перемещается между компьютерами. Когда пользователь, для которого сконфигурирован роуминговый профиль, впервые входит на компьютер, этот профиль загружается с сетевого ресурса и применяется к компьютеру. Когда пользователь выходит из системы, сделанные им изменения к пользовательскому профилю копируются назад на сетевой ресурс. Копия профиля также кэшируется на местной рабочей станции. Если пользователь уже входил на рабочую станцию прежде, то временная метка профиля, хранящегося на местной рабочей станции, сравнится с временной меткой профиля, хранящегося на сетевом ресурсе. В системах Windows 2000 и Windows XP Professional временная метка на индивидуальных файлах используется для определения того, какой из файлов профиля является более новым. Если профиль, хранящийся на сервере, новее, чем местный профиль, то весь профиль будет скопирован с сервера на местную рабочую станцию. Включить роуминговый профиль пользователя можно, конфигурируя путь профиля на вкладке Profile (Профиль) окна Properties (Свойства) учетной записи пользователя в инструменте Active Directory Users And Computers (Пользователи и компьютеры Active Directory).
Некоторые компании реализуют принудительные профили. В большинстве случаев принудительные профили используются в комбинации с роуминговыми профилями для создания стандартной настольной конфигурации для группы пользователей. Например, вы имеется группа пользователей, исполняющих одни и те же функции и нуждающихся в очень ограниченной конфигурации рабочего стола. Если вы являетесь членом групп Account Operators (Операторы учетных записей), Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия), вы можете создать один стандартный рабочий стол для этой группы пользователей и использовать принудительные профили, чтобы помешать изменению конфигурации. Чтобы включить опцию принудительных профилей, сначала создайте желательную стандартную конфигурацию рабочего стола. Затем сохраните все содержимое пользовательского профиля на сетевом ресурсе и переименуйте файл
Ntuser.dat в Ntuser.man. Далее сконфигурируйте всех необходимых пользователей, чтобы этот профиль был их роуминговым профилем. Когда пользователи войдут в сеть, им будет представлен стандартный профиль, и поскольку этот профиль является принудительным, они не смогут сохранить никакие изменения, сделанные к нему.
Роуминговые пользовательские профили существуют и в Windows Server 2003. Если в вашей компании реализованы роуминговые или принудительные пользовательские профили, можно продолжать их использование. Для управления пользовательскими профилями используются групповые политики. Большинство пользовательских параметров настройки профиля расположено в папке Computer Configuration\ Administrative Templates\ System\User Profiles. Дополнительные параметры настройки расположены в подпапке того же названия в разделе параметров User Configuration. В таблице 13-2 объясняются опции конфигурации.
Табл. 13-2. Конфигурирование пользовательских профилей с помощью редактора объектов групповой политики
Опция конфигурации
Пояснение
Do Not Check For User Ownership Of Roaming Profile Folders (He проверять право собственности пользователя на папки роу-минговых профилей)
Используется для конфигурирования действий в случае, если папка роуминговых профилей пользователя уже существует и рабочие станции модернизированы до Microsoft Windows 2000 Service Pack 4 или Microsoft Windows XP Professional Service Pack. Эти новые сервисные пакеты увеличивают заданную по умолчанию защиту пользовательских профилей. Включение этой опции означает, что поддерживается более ранняя защита.
Delete Cached Copies Of Roaming Profiles (Удалить кэширован-ные копии роуминго-вых профилей)
Используется для удаления в местном масштабе кэшированной копии роумингового профиля пользователя, когда пользователь выйдет из системы. Не включайте эту опцию, если вы используете функцию обнаружения медленных связей в системах Windows 2000 или Windows XP Professional, потому что этой функции требуется локально кэшированная копия пользовательского профиля.
Do Not Detect Slow Network Connections (He обнаруживать медленные сетевые подключения)
Используется для предотвращения использования функции обнаружения медленных связей при конфигурировании способов управления роуминговыми профилями пользователя. Если опция включена, то роуминговые профили пользователей будут загружаться всегда, независимо от скорости передачи в сети.
Slow Network Connection Timeout For User Profiles (Лимит времени в медленном сетевом подключении для пользовательских профилей)
Используется для определения медленного сетевого подключения. Если опция включена, то заданное по умолчанию определение медленного сетевого подключения - менее 500 Кб/с, или (для компьютеров, не использующих IP-адрес) если серверу на ответ требуется более 120 мс.
Wait For Remote User Profile (Ждать удаленный пользовательский
профиль)
Используется для того, чтобы всегда загружать роуминговый профиль пользователя с сервера. Если опция включена, рабочая станция загрузит пользовательский профиль, даже если будет обнаружено медленное сетевое подключение.
Prompt User When Slow Link Is Detected (Предупредить пользователя, если обнаружены медленные связи)
Используется для предупреждения об обнаруженном медленном сетевом подключении, чтобы дать пользователю возможность выбора между загрузкой местного профиля или профиля, расположенного на сервере. Если опция не включена, местный профиль будет загружен без уведомления пользователя.
Timeout For Dialog Boxes (Лимит времени для диалоговых окон)
Используется для конфигурирования времени ожидания система после того, как пользователь будет предупрежден об обнаружении медленного сетевого подключения. Если лимит времени истекает, то применяется заданное по умолчанию значение или действие, связанное с диалоговым окном.
Log Users Off When Roaming Profile Fails (Предотвратить вход пользователей, если роуминговый профиль не доступен)
Используется для запрета входа пользователей в систему, если роуминговый профиль недоступен. Если опция не включена, будет загружен профиль, котируемый в местном масштабе, если он доступен. (Иначе загружается местный заданный по умолчанию пользовательский профиль.)
Maximum Retries To Unload And Update User Profile (Максимальное количество повторных попыток для выгрузки и обнов-
Используется для конфигурирования количества попыток системы обновить файл Ntuser.dat, когда пользователь выходит из системы и обновление терпит неудачу. По умолчанию система будет пробовать обновить файл один раз в секунду в течение 60 с.
Add The Administrators Security Group To Roaming User Profiles (Добавьте группу безопасности администраторов к роуминговым профилям пользователей)
Используется для конфигурирования административного доступа к пользовательским профилям. По умолчанию в системах Windows 2000 и Windows XP Professional учетной записи пользователя дается полное управление профилем, а администраторы не имеют никакого доступа
Prevent Roaming Profile Changes From Propagating To The Server (Предотвратить перемещение изменений роумингового профиля на сервер)
Используется для конфигурирования действий при выходе пользователя из системы. Если эта опция включена, то роуминговый профиль на сервере не модифицируется, когда пользователь выходит из системы.
Only Allow Local User Profiles (Разрешить только местные пользовательские профили)
Используется для конфигурирования того, будут ли роуминговые профили пользователя скопированы с сервера. Если опция включена, роуминговый профиль пользователя не будет применяться
Connect Home Directory To Root Of The Share (Подключить домашний каталог к корню ресурса) (в разделе User Configuration)
Используется для конфигурирования отображения домашнего диска так, как он был сконфигурирован в Windows NT. Если опция включена, то домашним диском' для всех пользователей будет сетевой ресурс, на котором расположены домашние папки пользователей. Если опция отключена (задано по умолчанию), домашние диски б^удут отображать специфичные для пользователя папки, а не ресурс более высокого уровня.
Limit Profile Size (Ограничить размер профиля) (в разделе User Configuration)
Используется для ограничения размера роумингового профиля пользователя, а также для конфигурирования того, какое предупреждение получит пользователь, если размер его профиля будет превышен.
Exclude Directories In Roaming Profile (Исключить каталоги из роуминговых профилей) (в разделе User Configuration)
Используется для предотвращения включения определенных пользовательских каталогов в роуминговый профиль пользователя.
Как показано в таблице 13-2, Active Directory Windows Server 2003 имеет мощные возможности для управления роуминговыми профилями пользователя. Они используются для проектирования специфичных конфигураций пользователей в вашей компании. Например, для большинства пользователей вашей компании, которые входят в домен через быстрые сетевые подключения, можно изменить некоторые параметры настройки роуминговых профилей, таких как ограничение размера профиля, но принять остальные значения заданными по умолчанию. Для тех пользователей, которым требуются специальные конфигурации рабочего стола, могут понадобиться особенные параметры настройки, например, запрет на загрузку роуминговых профилей пользователя или обязательная загрузка профиля. Для тех пользователей, которые входят в сеть через медленные сетевые подключения, нужно сконфигурировать параметры медленных сетевых подключений. Создавая структуру организационных единиц (OU), которая соответствует требованиям пользовательских профилей, можно реализовать особые конфигурации роуминговых профилей пользователя.
Роуминговые пользовательские профили полезны для компаний, в которых пользователи не пользуются все время одним и тем же компьютером. Когда функция роуминговых профилей включена, рабочая среда пользователя остается одной и той же, независимо от того, в каком месте пользователь входит в систему. Однако роуминговые профили пользователя имеют некоторые ограничения. Самая большая проблема состоит в том, что пользовательский профиль может стать очень большим. Например, пользователь хранит большинство своих документов в папке My Documents (Мои документы) или на рабочем столе. Временные интернет-файлы могут вырастать до размеров, составляющих десятки мегабайт. Все эти файлы сохраняются в пользовательском профиле. Проблема заключается в том, что весь профиль должен быть скопирован на локальную рабочую станцию всякий раз, когда пользователь входит в систему, и компьютер обнаруживает, что профиль, находящийся на сервере, новее, чем профиль, находящийся на локальной рабочей станции. Если пользователь делает изменения профиля, то при выходе профиль копируется назад на сервер. Этот процесс создает существенный объем сетевого трафика.
Переназначение папки
Active Directory Windows Server 2003 обеспечивает переназначение папки как способ получения выгоды от использования роуминговых профилей при уменьшении пропускной способности сети. Если включена функция переназначения папки, то папки, которые обычно являются частью местного пользовательского профиля, перемещаются из местного профиля и сохраняются на сетевом ресурсе. Например, одна из типичных папок, которая конфигурируется для переназначения папки, - это папка My Documents. Во многих компаниях эта папка является логической папкой, использующейся для переадресования, так как она представляет собой заданное по умолчанию место для хранения пользовательских файлов. Когда эта папка конфигурируется для переназначения, вы сохраняете ее на сетевом ресурсе, где централизованно поддерживается ее резервное копирование и одновременно обслуживается среда конечного пользователя. Переназначение папки полностью прозрачно для конечного пользователя, единственный способ узнать, что папка была переадресована, - посмотреть свойства папки My Documents.
Другая причина переназначения папки состоит в том, что вы можете использовать эту опцию для развертывания стандартной среды рабочего стола вместо использования принудительных пользовательских профилей. Например, можно переадресовать папки Start Menu или Desktop на сетевой ресурс, затем сконфигурировать группу пользователей, использующих одну и ту же папку. Давая всем пользователям разрешения Read (Чтение) к этим папкам, но не давая разрешения Write (Писать), вы можете сконфигурировать стандартный рабочий стол для группы пользователей.
Можно переназначить четыре различные папки в Active Directory Windows Server 2003: Application Data, Desktop, My Documents и Start Menu Переназначение папки конфигурируется в редакторе объектов групповых политик выбором User Configuration (Конфигурация пользователя), далее - Windows Settings (Параметры настройки Windows), затем - Folder Redirection (Перенаправление папаки). Папки перечислены таким образом, что можно сконфигурировать каждую папку отдельно.
Чтобы сконфигурировать папку My Documents для переназначения, найдите объект My Documents в папке Folder Redirection (Переназначение папки), щелкните на нем правой кнопкой мыши, а затем выберите Properties (Свойства). Первая вкладка листа Properties объекта - это вкладка Target (Цель) (см. рис. 13-3).
На этой вкладке имеется три конфигурационные опции. По умолчанию опция Setting (Параметры установки) установлена как Not Configured (He конфигурирована), т.е. папка не переадресована на сетевой ресурс. Две другие опции, предназначенные для конфигурирования, следующие.
* Basic - Redirect Everyone's Folder To The Same Location (Основная -переадресовать все папки в одно и то же место). Используется в том случае, если вы хотите создать одно место, куда будут переадресованы все папки. Например, папки всех пользователей, на которых действует эта политика, будут расположены на сетевом ресурсе \ \servernam е \sharenam е. * Advanced - Specify Locations For Various User Groups (Расширенная -указать местоположение для различных групп пользователей). Используется для конфигурирования альтернативных местоположений для переадресованной папки в зависимости от того, какой группе Active Directory принадлежит пользователь. Если опция выбрана, можно назначать альтернативное целевое место расположения папки для каждой группы.
Рис. 13-3. Конфигурирование целевого места расположения папки при ее переназначении
Совет. Нельзя использовать опцию Advanced для назначения альтернативных мест расположения папки для индивидуальных учетных записей пользователя. Помните, что эта групповая политика применяется только к учетным записям пользователя, которые находятся в контейнере, в котором вы конфигурируете групповую политику. Если вы конфигурируете опцию Advanced, чтобы переадресовать групповую папку в определенное место, установка применится только к тем учетным записям пользователей данной группы, которые расположены в данном контейнере. Если группа содержит пользователей из других контейнеров, переназначение папки к ним применяться не будет.
Как только выбраны параметры настройки для переадресования папок, можно сконфигурировать целевое место расположения папки. Имеется несколько опций, предназначенных для выбора места хранения папки.
* Redirect To The User's Home Directory (Переадресовать в основной каталог пользователя). Используется для переадресации папки My Documents в основной (домашний) каталог пользователя, который определен в свойствах учетной записи пользователя. Используйте эту опцию, только если вы уже создали основной каталог. Если основной каталог не создан, конфигурирование этой опции его не создаст. Опция доступна только для папки My Documents. * Create a Folder For Each User Under The Root Path (Создать папку для каждого пользователя в корневом каталоге). Используется для указания корневого каталога, в котором будут храниться папки. Когда вы выбираете эту опцию, папка будет создана в корневом каталоге каждого пользователя. Имя папки будет основано на переменной входа в систему %username %. * Redirect To The Following Location (Переадресовать по следующему адресу). Используется для указания корневого каталога и места расположения папки для каждого пользователя. Вы можете использовать UNC-путь или путь к локальному диску. Используйте переменную %username % для создания индивидуальных папок. Эта опция используется также для переадресации нескольких пользователей к одной и той же папке. Например, если нужно сконфигурировать стандартное Start Menu для группы пользователей, можно указать для всех один и тот же файл. * Redirect To The Local Userprofile Location (Переадресовать в место расположения локального профиля пользователя). Эта установке является заданной по умолчанию конфигурацией, если никакие политики не включены. После установки опции папки не будут переадресовываться на сетевой ресурс.
Вы можете также сконфигурировать другие параметры настройки для переадресованных папок. Чтобы сделать это, щелкните на вкладке Settings в окне Properties объекта (см. рис. 13-4).
Рис. 13-4. Конфигурирование параметров настройки переназначения папки
Вкладка Settings (Параметры настройки) имеет несколько опций конфигурации.
* Grant The User Exclusive Rights To foldername (Предоставить пользователю исключительные права на имя папки). Предоставляет пользователю и системной учетной записи полный контроль над папкой. Учетная запись Administrator (Администратор) не будет иметь никакого доступа к этой папке. Если вы очистите флажок, то разрешения на доступ к папке будут сконфигурированы на основе унаследованных разрешений. * Move The Contents Of foldername To The New Location (Переместить содержимое папки имя папки в новое место). Перемещает текущее содержимое переадресованной папки в целевое место расположения. Если опция не выбрана, содержимое текущей папки не будет скопировано в целевое место расположения. * Policy Removal (Удаление политики). Используется для выбора действий в случае удаления политики. Если вы примете заданную по умолчанию опцию Leave The Folder In The New Location When Policy Is Removed (Оставить папку в новом месте, когда политика удалена), то содержимое переадресованной папки не будет перемещено в локальный пользовательский профиль, если политика удалена. Выбор опции Redirect The Folder Back To The Local Userprof ile Location When Policy Is Removed (Переадресовать папку назад к месту расположения локального профиля пользователя, когда политика удалена) переместит содержимое папки, когда политика будет удалена. * My Pictures Preferences (Предпочтения, касающиеся папаки My Pictures). Эта установка используется для конфигурирования того, будет ли папка My Pictures включена в переназначение папки My Documents.
Когда вы используете переназначение, чтобы переадресовать папку My Documents, содержимое папки не копируется на сервер и обратно, как это делается в случае с роуминговыми пользовательскими профилями. Содержимое папки расположено на сервере, как и любые другие данные сетевого ресурса. Следовательно, часть содержимого папки пересекает сеть только тогда, когда пользователь открывает файл в папке. Это справедливо и для папки Desktop (Рабочий стол). Если на рабочем столе имеется большой файл, то этот файл хранится на сетевом ресурсе и копируется на компьютер клиента, когда пользователь открывает файл. Тот факт, что данные пересекают сеть только по требованию, может значительно улучшать выполнение входа в систему, особенно если у вас имеется большое количество пользователей, одновременно загружающих свои роуминговые профили.
Одно из преимуществ использования пользовательских профилей для сохранения папок типа папки My Documents состоит в том, что после начального входа в систему на рабочей станции копия пользовательского профиля всегда сохраняется в местном масштабе, т.е. если сервер профиля недоступен или рабочая станция отключена от сети, то профиль, укомплектованный папкой My Documents, будет доступен на рабочей станции. Когда рабочая станция повторно связывается с сетью, изменения, сделанные к пользовательскому профилю, копируются на сервер.
Вы можете достичь этого, комбинируя переназначение папки с автономными файлами. Автономные файлы доступны на рабочих станциях с системами Windows 2000, или более поздними, и могут использоваться для поддержки синхронизированной копии общей папки между локальной рабочей станцией и сетевым ресурсом. По умолчанию переадресованные папки сконфигурированы для автономного использования с клиентами, имеющими систему Windows XP Professional. Если имеются клиенты с системой Windows 2000, можно щелкнуть правой кнопкой мыши на папке My Documents, расположенной на рабочем столе, и выбрать Make Available Offline (Сделать доступным в автономном режиме). Включение автономных файлов означает, что переадресованная папка будет скопирована клиентам, делая папку доступной даже в том случае, если сетевое место, в которое была переадресована папка, недоступно.