Перемещаемые пользовательские профили создаются очень просто. Для их создания вам даже не нужно разбираться с Active Directory или групповыми политиками, но знание этих технологий значительно упростить вам жизнь при управлении такими профилями. Если говорить о создании перемещаемых профилей в двух словах, то вам нужно настроить сетевое размещение, где будут располагаться данные профили, а затем отконфигурировать каждую учетную запись пользователя для сопоставления с созданным ранее сетевым размещением. Все эти действия описаны далее:
Обязательный пользовательский профиль создается по аналогии, только после настройки рабочего стола (достаточно чтобы пользователь, скажем, начальник отдела или вы выполнили все настройки для текущего профиля), файл данного профиля следует переименовать с NTUSER.DAT в NTUSER.MAN. Также каждый обязательный пользовательский профиль следует хранить в специально выделенной папке верхнего уровня. То есть, вам нужно создать следующую иерархию папок: корневая папка верхнего уровня, скажем, Profiles , в которой будет расположена папка mandatory_user_profiles , внутри которой уже будут расположены папки с обязательными профилями пользователей. Для этой папки вам нужно предоставить разрешения только на уровне «Чтения» , что не позволит вносить пользователям изменения в свой обязательный пользовательский профиль, который расположен на сервере. После этого, на вкладке «Профиль» пользователя, в соответствующем текстовом поле, задайте имя с суффиксом.man (.man.v2 для пользователей, которые выполняют вход под операционными системами Windows Vista и выше) в конце для папки пользователя, которая станет обязательным пользовательским профилем.
Управление перемещаемыми пользовательскими профилями средствами групповой политики
Как вам известно, в доменах Active Directory для снижения стоимости управления компьютерными системами принято целесообразно использовать групповые политики. Перемещаемые пользовательские профили не исключение. Групповые политики позволяют управлять большинством задач, которые могут стать перед вами при развертывании перемещаемых пользовательских профилей. Для этого корпорация Microsoft предоставляет 23 параметра групповой политики, расположенных в узлах ПолитикиАдминистративные шаблоныСистемаПрофили пользователей разделов конфигурации компьютера и конфигурации пользователя. Рассмотрим эти параметры:
Рис. 4. Параметры политики управления профилями пользователей
Добавляет группу безопасности «Администраторы» к перемещаемым профилям пользователя.
Данный параметр групповой политики используется для добавления группы безопасности «Администраторы» в общий ресурс с перемещаемым профилей пользователя, а также для назначения полного доступа. После того как вы настроите перемещаемый пользовательский профиль, он будет создан при следующем входе пользователя в систему в указанном вами расположении. Если параметр отключен или не задан, то только пользователь получит полный доступ к своему профилю, а у группы администраторов не будет доступа к файлам, а если данный параметр включен, то группа администраторов также будет иметь все права доступа к папке профиля пользователя. Если вы включите данный параметр после создания профиля, то не будет влиять на созданный ранее профиль. Стоит отметить, что данный параметр вы должны настраивать не профильном сервере, а на компьютере пользователя, так как разрешения общего файлового доступа назначается к перемещаемому профилю во время его создания.
Удалять при перезагрузке системы профили пользователей по истечении указанного числа дней.
Текущий параметр позволяет администратору при перезагрузке системы автоматически удалять профили пользователей, которые не были использованы в течение указанных в этой политике дней, при этом днем считается 24 часа с момента получения доступа к данному профилю. В том случае, если параметр активирован, то при перезагрузке системы неиспользованные в указанном количестве дней профили автоматически удаляются службой пользовательских профилей. Если же параметр не настроен или отключен, то автоматического удаления не произойдет. Для пользователей, находящихся в частых и длительных командировках применение данного профиля следует планировать в частном порядке.
Не проверять собственность пользователя перемещаемых папок профиля.
Этот параметр отключает безопасную настройку по умолчанию для пользовательской папки перемещаемых пользовательских профилей, определяет действия с существующей папкой при обновлении компьютеров, поддерживает и повышает уровень безопасности пользовательского профиля. Начиная с операционной системы Windows XP SP1, папка перемещаемого профиля недоступна для копирования в том случае, если она уже существует и разрешения на нее не верны. При включенном параметре, операционная система Windows не проверяет на существующую папку. При отключенном или не заданном параметре в существующей папке перемещаемого пользовательского профиля, копирование файлов отсутствует, а в журнале событий выводится сообщение об ошибке. В случае отсутствия кэшированного профиля, используется временный профиль пользователя.
Удалять кэшированные копии перемещаемых профилей.
Используя данный параметр, вы можете определить возможность сохранения копий пользовательского перемещаемого профиля на жестком диске при выходе из системы. Совместно со связанными с ним параметрами данной папки, этот параметр определяет стратегию управления пользовательскими профилями, которые расположены на удаленных серверах и определяют действия системы при длительном времени загрузки профиля. Как было сказано ранее, при выходе пользователя из системы производится сохранение перемещаемого профиля пользователя на локальный жесткий диск на исключение ситуации недоступного профильного сервера. При включенном параметре, все локальные копии удаляются, при этом оставляя перемещаемый профиль только на профильном или файловом сервере. В случае медленного подключения этот параметр должен быть отключен, так как он требует наличие локальной копии перемещаемого профиля.
Не выполнять принудительной выгрузки реестра пользователя при его выходе из системы.
Данный параметр групповой политики используется в случае проблем совместимости приложений. Операционная система производит выгрузку системного реестра пользователя при выходе из системы, невзирая на открытые дескрипторы к пользовательским разделам реестра. Так как применение данного параметра может препятствовать получению обновлений перемещаемых профилей, данный параметр рекомендуется использовать только в крайних случаях. В том случае, если этот параметр включен, принудительная выгрузка реестра при выходе из системы не производится, но системный реестре будет перезагружаться после закрытия дескрипторов к пользовательским разделам системного реестра. Отключенный или не настроенный параметр будет выгружать реестр всегда, даже при открытых дескрипторах.
Не определять медленные сетевые подключения.
Как вам уже известно, медленное подключение характеризуется измерением скорости подключения пользовательского компьютера к удаленному серверу, содержащему перемещаемый профиль пользователя. При определении системой медленного подключения, параметры папки перемещаемого профиля определяют характер реакции системы на медленное подключение. При включенном параметре система не определяет медленное подключение и ни одно из сетевых подключений не будет таковым считаться, соответственно, всегда заграждаются перемещаемые профили. Система игнорирует параметры, задающие реакцию на медленные подключения. При отключенном или не настроенном параметре, система измеряет скорость подключения к удаленному серверу, хранящему пользовательский профиль. При медленном подключении система задействует другие параметры, установленные в папке перемещаемого профиля для дальнейших действий, загружая локальную копию пользовательского профиля по умолчанию.
Выдавать запрос пользователю при обнаружении медленного сетевого подключения.
Текущий параметр групповой политики поможет вам в том случае, если ваши пользователи требуют загрузки перемещаемого профиля даже при наличии медленного сетевого подключения к профильному серверу. В операционных системах Windows XP и более ранних, при обнаружении медленного подключения отображается диалоговое окно для выбора параметра загрузки удаленной копии перемещаемого профиля. В операционных системах Windows Vista и более поздних, при входе в систему отображается только флажок, определяющий необходимость загрузки пользовательского профиля. При активированном параметре данной политики, пользователи сами определяют необходимость загрузки перемещаемого профиля при медленном подключении к серверу. При отключенном или не заданном параметре, используется локальная копия профиля пользователя. При включенном параметре «Дождаться загрузки перемещаемого пользовательского профиля» , удаленная копия профиля будет загружена автоматически или же система будет полностью игнорировать предварительный выбор пользователя. Для настройки времени, выделенного на ответ в операционных системах ниже Windows Vista, используется параметр «Таймаут диалоговых окон» . При включенном параметре «Не определять медленное подключение» , данный параметр игнорируется. При включенном параметре «Удалять кэшируемые копии перемещаемых профилей» , локальная копия профиля отсутствует, соответственно локальная копия профиля не загружается при медленном подключении.
Оставить установочные данные установщика Windows и групповой политики.
Использование данного параметра позволяет определить, оставляет ли операционная система установочные данные установщика Windows и групповой политики при удалении перемещаемого профиля пользователя. По умолчанию удаляются все относящиеся к нему сведения, в том числе и связанные с установщиком, поэтому при следующем входе в систему возникает необходимость установки всех приложений публикуемых с помощью политики, что, соответственно, увеличивает время входа в систему. При включении данного параметра, установочные данные установщика Windows и групповой политики не удаляются с компьютера, что повышает производительность при следующем входе в систему пользователей с удаленным профилем. При отключенной или не настроенной политике, перемещаемый профиль пользователя удаляется целиком, включая данные установщика Windows и групповой политики. При включённой политике локальный администратор должен удалить данные установщика Windows и групповой политики из реестра и файловой системы пользователя.
Разрешить использование только локальных профилей.
При помощи данного параметра групповой политики, вы можете запретить пользователям с перемещаемым профилем получать его на отдельно взятом компьютере. По умолчанию, при первом входе пользователя в систему, его перемещаемый профиль загружается на локальный компьютер. При последующем входе, перемещаемый профиль объединяется с локальным профилем пользователя. При завершении работы и выходе из системы, локальная копия профиля с произведенными в процессе сеанса изменениями, объединяется с серверной копией профиля. Используя данный параметр, можно запретить пользователям получать свой перемещаемый профиль на отдельно взятом компьютере. При включенном параметре, при первом входе в систему, пользователь получает новый локальный профиль, в котором и будут сохранены все изменения системы. Этот же локальный профиль будет использоваться при всех последующих входах в систему, не синхронизируя с сервером. Если данный параметр отключен или не задан, то по умолчанию используется перемещаемый профиль пользователя.
Установить путь к перемещаемым профилям для всех пользователей, входящих в систему на данном компьютере.
Данный параметр определяет необходимость использования указанного сетевого пути для всех пользователей, отдельно взятого компьютера. Для использования данного параметра вводится путь к общему сетевому ресурсу в следующем формате: \имя_компьютераимя_общего_ресура. Для предоставления индивидуальной папки профиля для каждого пользователя на отдельно взятом компьютере, добавьте пути %Username%, иначе все пользователи будут использовать одну и ту же папку профиля, при этом необходимо убедиться в наличие соответствующих настроек безопасности. При включенном параметре все пользователи используют указанный путь к перемещаемым профилям. При отключенном или не настроенном параметре, пользователи используют локальный или стандартный перемещаемый пользовательский профиль.
Таймаут диалоговых окон.
Используя текущий параметр групповой политики, вы можете определить, как долго операционная система должна ожидать ответа пользователя, прежде чем выполнить действие, которое установлено по умолчанию. Последнее используется в том случае, если пользователь не ответил на сообщение о возникновении событий обнаружения медленного подключения, недоступности профильного сервера или повествующего о том, что локальный пользовательский профиль новее, чем серверный профиль. Целесообразно использовать данный параметр для предопределения системного значения, которое равно 30 секундам. Вы можете указать значение в интервале от 0 до 600 секунд.
Не регистрировать в системе пользователей с временными профилями.
Текущий параметр групповой политики позволяет вам автоматически отключать пользователей от системы при невозможности загрузки их профилей. Данная политика также распространяется в том случае, когда профиль содержит ошибки препятствующие загрузке, при этом, не позволяя операционной системе регистрировать пользователя с временным профилем. При включении данного параметра, операционная система не будет регистрировать пользователя с временным профилем пользователя. Если же параметр отключен или не задан, при невозможности загрузки пользовательских профилей, операционная система будет регистрировать в системе временные профили.
Максимальное число повторов выгрузки и обновления профиля пользователя.
При помощи этого параметра групповой политики вы можете определить количество повторных попыток обновления файла NTUSER.DAT при выходе пользователя или ошибки обновления. Когда пользователь выходит из системы, операционная система выгружает пользовательскую часть реестра и обновляет ее. Система прекращает эти попытки тогда, когда указанное количество попыток оказывается исчерпывающим. По умолчанию система повторяет попытки 60 раз. Если включить данный параметр, то вы можете изменить количество повторных попыток выполнения загрузки и обновления пользовательских параметров реестра. В том случае, если вы установите значение равное нулю, то операционная система будет выполнять выгрузку и обновление параметров реестра только один раз. Если на компьютере расположено много профилей, то желательно увеличить количество повторных попыток.
Запретить передачу на сервер изменений в перемещаемом профиле.
Используя данный параметр, вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. Как уже говорилось ранее, при выполнении пользователем входа в систему, его перемещаемый профиль копируется на локальный компьютер, причем перемещаемый профиль объединяется с локальным в том случае, если ранее уже выполнялся вход. Если включить данный параметр, то при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.
Дождаться загрузки перемещаемого профиля.
Данный параметр групповой политики указывает на то, что операционная система должна дождаться загрузки удаленной копии перемещаемого профиля пользователя, даже в том случае, когда вы подключены через медленное подключение. Включив данный параметр, вы позволить всегда загружать перемещаемый пользовательский профиль с сервера. Стоит обратить внимание на то, что если вы включили параметр , то данный параметр групповой политики игнорируется. Также, при включенном параметре «Удалять кэшированные копии перемещаемых профилей» , в случае медленного подключения, у вас нет локальной копии перемещаемого профиля, которую можно было бы загрузить. Если же данный параметр групповой политики отключен или не настроен, то при обнаружении медленного подключения система загружает локальную копию перемещаемого профиля пользователя
Таймаут медленных сетевых подключений для профилей пользователей.
Текущий параметр позволяет вам указать, какое подключение для загрузки перемещаемых профилей пользователей будет считаться медленным. Операционная система считает подключение медленным в том случае, если сервер, на котором располагается перемещаемый профиль пользователя, отвечает медленнее, чем указано в данном параметре. Для компьютеров, подключенных к IP-сетям, операционная система вычисляет скорость, с которой удаленный сервер должен возвращать данные в ответ на ping-сообщение. Для задания порогового значения для этой проверки в текстовом поле «Скорость подключения» введите десятичное число от 0 до 4294967200, представляющее минимальную приемлемую скорость передачи в килобитах в секунду. Значение, установленное по умолчанию равняется 500 кбит/с. Помимо этого, если для компьютеров не в IP-сетях файловая система сервера не отвечает в течение максимальной приемлемой задержки в миллисекундах, которая указывается в текстовом поле «Время» , сервер также считается медленным. В данное текстовое поле вы можете ввести значение от 0 до 20000. В том случае, если включен параметр групповой политики «Не определять медленные подключения» , то данный параметр игнорируется.
Фоновая передача файла реестра перемещаемого профиля пользователя при входе пользователя в систему.
Данный параметр появился только в операционных системах Windows 7 и Windows Server 2008 R2. При помощи этого параметра вы можете задать расписание фоновой передачи файла реестра перемещаемого профиля пользователя. Передача осуществляется только в том случае, если пользователь вошел в систему. Стоит обратить внимание на то, что данный параметр не препятствует передаче файла реестра перемещаемого профиля пользователя при выходе пользователя из системы. Основное отличие данного параметра от всех остальных заключается в том, что для использования этого параметра сначала необходимо выбрать используемый метод планирования расписания. Существует два метода расписания:
- Запуск с заданным интервалом . Выбрав данный план расписания, файл реестра профиля пользователя будет передаваться с указанным интервалом после входа пользователя в систему. В текстовом поле «Интервал» вы можете указать интервал от 1 до 720 часов. Например, если вы укажите интервал 4 часа, то файл реестра будет передаваться в фоновом режиме каждые четыре часа даже если пользователь не выходит из системы. При следующем входе пользователя в систему таймер начнет работать заново;
- Запуск в указанное время . При выборе данного плана куст реестра будет передаваться лишь один раз ежедневно в одно и то же время.
Рис. 5. Диалоговое окно настроек фоновой передачи перемещаемого профиля
Установить максимальное время ожидания для сети, если пользователь имеет перемещаемый профиль или удаленный основной каталог.
По умолчанию, при перемещении профиля или удаления основной папки с профилем во время недоступности сетевого подключения, после выполнения пользователем входа в систему, операционная система Windows ожидает возобновления работы сети в течение 30 секунд. Используя этот параметр, вы можете задать время ожидания возобновления работы сети. В том случае, если по истечении максимального времени ожидания сеть останется недоступной, то вход пользователя в систему будет продолжен без сети. Как только сеть станет доступной до истечения максимального времени ожидания, то вход пользователя непременно продолжится.
Подключить домашнюю папку к корню общего ресурса.
Текущий параметр определяет параметры переменных сред %HOMESHARE% и %HOMEPATH%, которые определяет домашнюю папку пользовательского профиля, а также содержит полный путь к домашней папке. В этом случае пользователи могут получать доступ к домашней папке и любым ее подпапкам через букву диска домашней папки, но в то же время не могут просматривать или получать доступ к ее родительским папкам. При отключении данного параметра, домашние папки сопоставляются с папкой пользователя, а не с общим ресурсом более высокого уровня. Данный параметр вы не можете использовать на операционных системах, которые были созданы после операционной системы Windows XP.
Синхронизировать основные папки только в момент входа или выхода системы.
При помощи данного параметра групповой политики вы можете указать сетевые папки, которые будут синхронизироваться, используя политики автономных файлов при входе и выходе из системы. Этот параметр целесообразно использовать для разрешения проблем с приложениями, работающими некорректно с автономными файлами, когда пользователь находится в интерактивном режиме. Если данный параметр включен, то сетевые пути, которые указаны в параметре будут синхронизироваться при помощи политики автономных файлов. Если отключить или не задан, то пути, которые указаны в текущем параметре, будут вести себя аналогично другим кэшированным данным, обрабатываемым политикой автономных файлов, и останутся в интерактивном режиме при нахождении пользователя в системе, если сетевые пути доступны.
Исключить папки из перемещаемого профиля.
Этот параметр групповой политики позволяет вам исключить папки, которые должны включаться в перемещаемый профиль пользователя, что позволяет не сохранять определенные папки на профильном сервере. Как вам известно, в перемещаемых профилях обязательно исключаются папки «AppdataLocal», «AppdataLocalLow», а также папки, содержащие временные файлы и историю браузера Internet Explorer. Если включить данный параметр, то вы можете исключить любые папки, которые расположены в пользовательском профиле. При отключении данного параметра перемещаться будут, соответственно, только папки по умолчанию.
Ограничить размер профиля.
Данный параметр позволяет вам задать максимальный размер пользовательского профиля и определяет действие операционной системы в том случае, когда профиль достигает максимального значения. При помощи этого параметра вы можете установить максимальный размер профиля, определить, включается ли в размер профиля файлы реестра, указать, будут ли конечные пользователи получать уведомления при превышении максимального размера профиля, указывать специальное сообщение, уведомляющее пользователя о превышении размера профиля, а также определить как часто это сообщение должно отображаться. Если вы отключите или не зададите параметры для данного параметра, то операционная система не будет ограничивать размер пользовательского профиля.
Эта документация перемещена в архив и не поддерживается.
Развертывание перемещаемых профилей пользователя
Применимо к: Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Vista
В этом разделе описывается развертывание перемещаемых профилей пользователей на клиентских компьютерах под управлением Windows Server.
Список последних изменений раздела см. в подразделе этого раздела.
Требования к оборудованию
Для использования перемещаемых профилей пользователей требуется компьютер с процессором на базе архитектуры x64 или x86. Данная функция не поддерживается в Windows® RT.
Требования к программному обеспечению
Для использования перемещаемых профилей пользователей действуют следующие программные требования.
Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
Если общая папка кластеризована, отключите непрерывную доступность в общей папке, чтобы избежать проблем с производительностью.
Если вы выполняете развертывание перемещаемые профили пользователей с перенаправлением папок в среде с существующими локальными профилями пользователей, сначала настройте перенаправление папок, а затем - перемещаемые профили пользователей, чтобы минимизировать размер перемещаемых профилей. После успешного перенаправления существующих пользовательских папок вы можете развернуть перемещаемые профили пользователей.
Для администрирования перемещаемых профилей пользователей вам потребуется войти в систему в качестве члена группы безопасности "Администраторы домена", "Администраторы предприятия" или "Владельцы-создатели групповой политики".
Компьютеры клиентов должны управляться Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003. Windows XP и Windows Server 2003 поддерживают перемещаемые профили пользователей лишь в случае настройки учетных записей пользователей с помощью доменных служб Active Directory. Эти службы не поддерживают активацию перемещаемых профилей пользователей для каждого компьютера с помощью групповой политики.
Компьютеры клиентов должны быть присоединены к доменным службам Active Directory (AD DS), которыми вы управляете.
На компьютере должны быть установлены компоненты "Управление групповой политикой" и "Центр администрирования Active Directory".
Файловый сервер должен поддерживать перемещаемые профили пользователей.
Рекомендации по использованию перемещаемых профилей пользователей в нескольких версиях Windows
Если вы собираетесь использовать перемещаемые профили пользователей в нескольких версиях Windows, рекомендуется выполнить следующие действия.
Настройте каждую версию Windows для хранения отдельных версий профилей. Это позволит избежать нежелательных и неожиданных проблем, таких как повреждение профилей.
Используйте перенаправление папок, чтобы хранить пользовательские файлы, такие как документы и изображения, вне профилей пользователей. Это сделает файлы доступными для пользователей всех версий ОС, а также позволит уменьшить размер профилей и ускорить вход.
Выделите достаточно дискового пространства для перемещаемых профилей пользователей. Если вы работаете с двумя версиями ОС, количество профилей (а также занимаемое ими место) удвоится, поскольку отдельные профили хранятся в разных версиях системы.
Не используйте перемещаемые профили пользователей на компьютерах под управлением Windows Vista/Windows Server 2008 и Windows 7/Windows Server 2008 R2. Перемещение между этими версиями ОС не поддерживается из-за несовместимости версий профилей.
Оповестите пользователей, что изменения, сделанные в одной ОС, не будут распространяться на другую версию системы.
При перемещении вашей среды в более новую версию Windows пользователи получат новые пустые профили. Перенос учетных записей пользователей из одной операционной системы в другую не поддерживается.
Если вы собираетесь выполнять развертывание перемещаемых профилей пользователей на компьютерах под управлением Windows 8.1, Windows 8 и Windows Server 2012 R2 или Windows Server 2012, перед началом процесса рекомендуется внести ряд изменений в вашу среду Windows. Эти изменения обеспечат безотказное обновление ОС в будущем, а также облегчат одновременное использование нескольких версий Windows с перемещаемыми профилями пользователей.
Чтобы внести эти изменения, выполните нижеописанные действия.
Включение отдельных профилей для каждой версии Windows
Если в вашей среде еще не настроены перемещаемые профили пользователей, в первую очередь необходимо создать группу безопасности, включающую всех пользователей и/или все компьютеры, для которых вы хотите применить настройки политики перемещаемых профилей пользователей.
Администраторы развертываний перемещаемых профилей пользователей общего назначения обычно создают группу безопасности для пользователей.
Администраторы служб удаленных рабочих столов или развертываний виртуальных рабочих столов обычно используют группу безопасности для пользователей и общих компьютеров.
Создание группы безопасности для перемещаемых профилей пользователей
В поле Имя группы введите имя группы безопасности, например .
В разделе Область действия группы щелкните Безопасность и выберите Глобальная .
Откройте диспетчер сервера на компьютере с установленным центром администрирования Active Directory.
В меню Средства щелкните Центр администрирования Active Directory . Отобразится центр администрирования Active Directory.
Щелкните правой кнопкой мыши по необходимому домену или подразделению, нажмите Создать и щелкните Группа .
В окне Создание группы в разделе Группа укажите следующие параметры.
В разделе Члены группы нажмите кнопку Добавить . Откроется диалоговое окно "Выбор пользователей, контактов, компьютеров, учетных записей служб или групп".
Если вы хотите включить в группу безопасности учетные записи компьютеров, щелкните Типы объектов , установите флажок рядом с пунктом Компьютеры , после чего нажмите кнопку OK .
Укажите имена пользователей, групп и/или компьютеров, для которых хотите выполнить развертывание перемещаемых профилей пользователей, щелкните OK , после чего еще раз нажмите OK .
Если у вас еще нет отдельной общей папки для перемещаемых профилей пользователей (независимой от любых общих ресурсов для перенаправляемых папок, чтобы предотвратить ненамеренное кэширование папки перемещаемого профиля), выполните нижеописанные действия, чтобы создать общую папку на сервере под управлением Windows Server 2012.
Создание общей папки в Windows Server 2012
Таблица 1. Необходимые разрешения для общей папки, которой принадлежат перемещаемые профили пользователей
| Учетная запись пользователя | Доступ | Область применения |
| Система | Полный доступ | Данная папка, вложенные папки и файлы |
| Администраторы | Полный доступ | Только эта папка |
| Создатель/владелец | Полный доступ | Только вложенные папки и файлы |
| Группа безопасности пользователей, которым требуется обеспечить общий доступ к данным (пользователи перемещаемых профилей и компьютеры) | Содержимое папки/чтение данных 1 Создание папок/добавление данных 1 | Только эта папка |
| Прочие группы и учетные записи | Нет (удаление) |
1 Дополнительные разрешения
Если у вас еще нет объекта групповой политики для параметров перемещаемых профилей пользователей, выполните нижеописанные действия, чтобы создать для этой цели пустой GPO. Этот объект групповой политики позволит вам установить параметры перемещаемых профилей пользователей (такие, как поддержка основного компьютера, обсуждаемая отдельно), а также могут использоваться для задействования перемещаемых профилей пользователей на компьютерах, как, например, при развертывании в средах виртуальных рабочих столов или со службами удаленных рабочих столов.
Создание GPO для перемещаемых профилей пользователей
Откройте диспетчер сервера на компьютере с установленным компонентом управления групповой политикой.
В меню Инструменты щелкните Управление групповой политикой . Появится окно управления групповыми политиками.
Правой кнопкой мыши щелкните по домену или организационному подразделению, в котором хотите настроить перемещаемые профили пользователей, после чего нажмите Создать объект групповой политики в этом домене и связать его .
В диалоговом окне Новый объект групповой политики укажите имя GPO (например, Настройки перемещаемого профиля пользователя ) и щелкните OK .
Щелкните правой кнопкой мыши по новому объекту групповой политики и уберите флажок Связь включена . Это исключит применение GPO до завершения его настройки.
Выберите GPO. На вкладке Область в разделе выберите пункт Прошедшие проверку и щелкните Удалить .
В разделе Фильтрация ограничений безопасности щелкните кнопку Добавить .
В диалоговом окне Выбор пользователей, компьютеров или групп укажите имя группы безопасности, которую вы создали в Шаге 1 (например, Пользователи перемещаемых профилей и компьютеры ), после чего щелкните OK .
Если вы производите развертывание перемещаемых профилей для учетных записей пользователей, выполните нижеописанные действия, чтобы указать перемещаемые профили пользователей для учетных записей в доменных службах Active Directory. Если вы выполняете развертывание перемещаемых профилей пользователей для компьютеров, как, например, при использовании служб удаленных рабочих столов или развертывании виртуальных рабочих столов, обратитесь к инструкциям, описанным в Шаге 5 этого раздела.
Настройка перемещаемых профилей в учетных записях пользователей
В центре администрирования Active Directory перейдите в контейнер Пользователи (или в контейнер подразделений) в соответствующем домене.
Выберите всех пользователей, для которых хотите использовать перемещаемые профили, щелкните по ним правой кнопкой мыши и выберите пункт Свойства .
В разделе Профиль отметьте флажком пункт Путь к профилю: и укажите путь к общей папке, в которой планируете хранить перемещаемый профиль пользователя. В конце пути следует добавить %username% (автоматически заменится на имя пользователя при первом входе). Например:
\\fs1.corp.contoso.com\User Profiles$\%username%
Чтобы указать обязательный перемещаемый профиль пользователя, введите путь к файлу NTuser.man, который вы создали ранее, например \\fs1.corp.contoso.com\User Profiles$\default . Дополнительные сведения см. в разделе .
Нажмите кнопку ОК .
| Примечание |
|---|
По умолчанию при использовании перемещаемых профилей пользователей разрешается развертывание всех приложений на основе среды выполнения Windows® (Магазин Windows). Однако при использовании специальных профилей приложения не развертываются по умолчанию. Специальный статус имеют профили, изменения в которых сбрасываются после выхода пользователя:
Чтобы убрать ограничения на развертывание приложений для специальных профилей, включите параметр политики Allow deployment operations in special profiles (расположен по следующему пути: Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Развертывание пакетов приложений). Однако при таком сценарии развернутые приложения будут хранить на компьютере определенные данные, которые могут накапливаться, например, если с одним ПК работают сотни пользователей. Чтобы очистить пакеты приложений для пользователей, у которых больше нет профиля на компьютере, найдите или создайте средство, которое использует API CleanupPackageForUserAsync . Подробную информацию о приложениях Магазина Windows см. в разделе . |
Если вы выполняете развертывание перемещаемых профилей пользователей для компьютеров, как, например, при использовании служб удаленных рабочих столов или развертывании виртуальных рабочих столов, выполните нижеописанные действия. Если вы производите развертывание перемещаемых профилей для учетных записей пользователей, следуйте инструкциям, приведенным в Шаге 4 этого раздела.
Вы можете использовать групповую политику, чтобы применить перемещаемые профили пользователей на компьютерах под управлением Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008.
Настройка перемещаемых профилей пользователей на компьютерах
Если вы настраиваете перемещаемые профили пользователей на компьютерах с помощью групповой политики, или изменили другие параметры перемещаемых профилей пользователей с помощью групповой политики, выполните нижеописанные действия, чтобы включить GPO и применить его к затронутым пользователям.
Включение GPO перемещаемого профиля пользователя
Откройте "Управление групповой политикой".
Щелкните правой кнопкой мыши по созданному вами GPO и нажмите Связь включена . Рядом с соответствующим пунктом меню появится флажок.
Для проверки перемещаемых профилей пользователей войдите в учетную запись компьютера, на котором имеется настроенная для работы с перемещаемыми профилями пользователей учетная запись, или войдите в систему на компьютере, настроенном для работы с перемещаемыми профилями пользователей. После этого убедитесь, что профиль перенаправляется.
Проверка перемещаемых профилей пользователей
- Назначение основных компьютеров для пользователей
- Расположения сопоставлений пользователей и основных компьютеров:
- Включение поддержки основного компьютера для переназначения папок (при необходимости)
- На основе компьютеров или на основе пользователей?
- когда пользователь входит в сеть с разных компьютеров, его данные остаются доступными, как если бы он работал только за одним компьютером;
- файлы и параметры пользователя можно перенаправить на другой компьютер, поэтому если потребуется переустановка операционной системы, данные будут сохранены.
В диалоговом окне Add New Quota Entry ("Добавление новой квоты"), показанном на Экране 4, установить нужные ограничения или отключить квоты совсем.
- При отработке регистрации в сети Windows в первую очередь проверяет учетную запись AD на предмет существования пути перемещаемого профиля.
- Далее выполняется ping к указанной общей папке на сервере для проверки скорости соединения. Если обнаружено медленное соединение, операционная система использует альтернативный способ загрузки профиля. Порог медленного соединения определяется групповой политикой и по умолчанию равен 500 Кбит/с.
- Когда Windows выясняет, что используется быстрое соединение, Windows проверяет разрешения NTFS папки перемещаемого профиля, дабы убедиться, что владельцем является регистрирующийся в сети пользователь или член группы локальных администраторов. Эта проверка была добавлена в XP SP1 и Windows 2000 SP4, чтобы убедиться, что некий злоумышленник не создал подменный перемещаемый профиль, который может быть загружен пользователем случайно.
- В случае когда проверка шага 3 выполнена успешно, Windows проверяет общую папку на наличие профилей, а сервер - на наличие файлов ntuser.dat или ntuser.man (для обязательного профиля). Если таких файлов нет, как в том случае, если пользователь регистрируется впервые, Windows переходит к следующему шагу.
- Система определяет наличие кэшированной копии профиля пользователя в папке C:documents and settings. При этом Windows обращается не к файловой системе, а проверяет записи в реестре. Все легитимные профили пользователей, кэшируемые на рабочей станции, регистрируются в разделе системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList. В разделе ProfileList для каждого пользователя, имеющего локальную кэшированную копию профиля, создается подраздел с уникальным идентификатором SID, определяющим данного пользователя. В этом подразделе хранится название папки с профилем, путь перемещаемого профиля, а также информация о статусе профиля и о времени последних сделанных изменений.
- Если Windows не находит ни перемещаемого, ни локального профиля, то в соответствующем разделе системного реестра создается новый подраздел и формируется локальный профиль в папке Documents and Settings.
- Далее Windows назначает пользователю новый профиль по умолчанию. Профиль по умолчанию можно определить одним из двух способов. Можно разместить профиль пользователя по умолчанию в общей папке Netlogon на контроллере домена AD, etlogondefault user. При создании нового профиля пользователя Windows обращается в первую очередь именно в эту общую папку. Если в этой папке профиль отсутствует, Windows использует локальный профиль по умолчанию, размещенный на рабочей станции в папке \%system root%documents and settingsdefault user. Если вы хотите задать профиль по умолчанию, он должен быть полным, то есть содержать файл ntuser.dat и включать в себя все папки, которые Windows рассчитывает найти в профиле пользователя. С точки зрения простоты управления профиль по умолчанию рекомендуется разместить в общей папке Netlogon, хотя, конечно, можно сформировать профиль по умолчанию и в образе стандартной сетевой рабочей станции.
- Определив правильный путь для профиля пользователя по умолчанию, Windows копирует содержимое этой папки в локальную папку пользователя в Documents and Settings. При этом Windows устанавливает настройки безопасности файловой системы таким образом, что к папке \%systemroot%documents and settings\%username% полный доступ имеют только данный пользователь и члены локальной группы «Администраторы». Поскольку файл ntuser.dat представляет собой ветвь реестра, с которой связаны соответствующие разрешения системы безопасности, то, когда система выполняет копирование данного файла из профиля пользователя по умолчанию, разрешения на разделы реестра в данной ветви устанавливаются такие же, как для файлов профиля пользователя. Таким образом, правами доступа к настройкам в этом профиле обладают только сам пользователь и локальные администраторы. Данный факт важно принимать во внимание, так как по этой причине оказывается бесполезным копировать файл ntuser.dat и передавать от одного пользователя к другому. Даже если поменять разрешения на файлы, разрешения в реестре все равно будут указывать на исходного пользователя, которому принадлежал файл. Из такой ситуации существует два выхода: в приложении System панели управления Windows выбрать закладку Advanced, в группе User Profiles пользователей нажать кнопку Settings и в диалоговом окне, изображенном на экране 3, воспользоваться кнопкой Copy to или же задействовать утилиту moveuser.exe, входящую в состав Microsoft Windows 2000 Resource Kit.
Войдите в систему на основном компьютере (если вы включили поддержку основного компьютера) при помощи учетной записи пользователя, для которого вы активировали перемещаемые профили пользователей. Если вы включили перемещаемые профили пользователей на определенных компьютерах, войдите в систему на одном из них.
В следующей таблице указан список расположений перемещаемых профилей пользователей в разных версиях Windows.
| Версия операционной системы | Расположение перемещаемого профиля пользователя |
|---|---|
| Windows XP и Windows Server 2003 | \\<имя_сервера> \<общая_папка> \<имя_пользователя> |
| Windows Vista и Windows Server 2008 | \\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2 |
| Windows 7 и Windows Server 2008 R2 | \\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2 |
| Windows 8 и Windows Server 2012 | \\<имя_сервера>
\<общая_папка>
\<имя_пользователя>
.V3 (после применения обновления и раздела реестра) \\<имя_сервера> \<общая_папка> \<имя_пользователя> |
| Windows 8.1 и Windows Server 2012 R2 | HYPERLINK \\<имя_сервера>\<общая_папка>\<имя_пользователя>.V4 (после применения обновления и раздела реестра) \\<имя_сервера> \<общая_папка> \<имя_пользователя> .V2 (до применения обновления и раздела реестра) |
В следующей таблице представлены наиболее важные изменения этого раздела.
| Дата | Описание | Причина |
|---|---|---|
| 7 июля 2015 г. | Добавлены требования и последовательность действий для отключения постоянной доступности при использовании кластеризованного файлового сервера. | Кластеризованные общие папки производительнее для небольших операций записи (которые типичны для перемещаемых профилей пользователей), если постоянная доступность отключена. |
| 19 марта 2014 г. | Капитализация суффиксов версий профилей (.V2, .V3, .V4) в | Хотя ОС Windows не чувствительна к регистру, если вы используете NFS с файловым ресурсом, важно соблюсти капитализацию для суффикса профиля (использовать верхний регистр). |
| 9 октября 2013 г. | Изменено для Windows Server 2012 R2 и Windows 8.1, прояснены некоторые вопросы и добавлены разделы и . | Изменения в более новых версиях; отзыв пользователя |
Есть в Active Directory такие возможности, как перемещаемые профили и перенаправление папок. Технология перемещаемых профилей позволяет изменить местоположение профиля, а перенаправление папок позволяет изменить местоположение отдельных папок внутри профиля пользователя, который работает за компьютером. Например, папки «Документы», «Изображения», «Музыка» или целиком весь профиль можно перенаправить с локального компьютера на сервер или другой компьютер. Где применяются данные возможности, и какие преимущества от этого можно получить, Вы узнаете в этой статье.
Обычно параметры и файлы пользователя хранятся в его профиле на локальном компьютере. Если пользователь работает на нескольких компьютерах, то встаёт вопрос о переносе данных с одного компьютера на другой. Для решения данной проблемы в Active Directory имеются две технологии – перемещаемый профиль и перенаправление папок. Каждая технология имеет свои особенности и преимущества, их также можно использовать совместно в зависимости от поставленной задачи. Рассмотрим на практике, как реализуются данные возможности.
Для этого у нас имеется сервер под управлением операционной системы Windows Server 2008 R2, на котором настроена служба Active Directory с доменом, а также два клиентских компьютера под управлением операционных систем Windows XP и Windows 7, которые включены в домен Active Directory. Включение клиентских компьютеров в домен позволит администрировать их и применять различные настройки с помощью групповых политик. В частности, нас интересует применение технологий перемещаемых профилей и перенаправление папок.
С помощью консоли «Active Directory – пользователи и компьютеры» создадим новых пользователей. Сначала создадим подразделение «FolderRedirection», а затем двух пользователей. Например, Дмитрий Соколов (имя входа пользователя – dima) и Иван Петров (имя входа пользователя – ivan).
Отредактируем свойства пользователя «Иван Петров». Для этого нужно щёлкнуть правой кнопкой на пользователе и выбрать в меню пункт «Свойства». Затем перейдите на вкладку «Профиль». В пункте «путь к профилю» укажите папку, в которой будет храниться профиль пользователя.
В данном случае папка хранится на сервере. Обратите внимание на то, в каком формате указывается путь к папке. Также стоит отметить, что папка должна быть доступна по сети с правами на запись. Если папка не будет доступна, то зайдя под этим пользователем в систему, вы получите следующее сообщение:
После первого захода в систему, в FoldersUsers будет создана папка ivan.V2 (в случае захода на компьютер с ОС Windows 7) или папка ivan (в случае захода на компьютер с ОС Windows XP). Как видно, созданные папки для профилей пользователей этих двух операционных систем отличаются.
Теперь профиль пользователя хранится на сервере. При следующих входах в систему профиль будет обновляться с сервера, а сделанные изменения будут синхронизироваться обратно на сервер.
Перенаправление папок отличается от перемещаемого профиля тем, что Вы сами можете выбрать те папки, которые нужно перенаправить в другое место. Рассмотрим, как это сделать.
В меню «Пуск» выберем «Администрирование» и вызовем консоль «Управление групповой политикой». Создадим новую групповую политику «Перенаправление папок для пользователей» и добавим пользователя «Дмитрий Соколов», для которого будет применяться данная политика (в реальной ситуации будет добавляться не один пользователь, а даже группа).
После создания новой групповой политики, изменим некоторые её параметры. Для этого нужно щёлкнуть правой кнопкой на название групповой политики и в меню выбрать «Изменить». Появится «Редактор управления групповыми политиками», в котором нужно выбрать «Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папки».
Нам предоставляется выбор тех папок, которые мы хотим перенаправить. Например, перенаправим папку «Документы». Для этого нужно щёлкнуть правой кнопкой на пункт «Документы» и выбрать «Свойства».
Выберем «Перенаправлять папки всех пользователей в одно расположение». В списке расположения целевой папки выберем «Создать папку для каждого пользователя на корневом пути» и затем укажем корневой путь. После этого в указанной папке для каждого пользователя будет создаваться отдельная папка (например, для пользователя «Дмитрий Соколов» будет создана папка dima ) для хранения перенаправленных папок.
Преимущества, которые можно получить от применения технологий перемещаемых профилей и перенапраления папок:
Данные технологии можно применить, например, в организациях, где запрещён вынос любой информации за её пределы, а пользователям требуется иметь доступ к своим данным, работая за разными компьютерами. В этом случае можно организовать централизованное хранилище данных и перенаправлять профили или отдельные папки пользователей туда.
Другой случай можно рассмотреть на примере студентов в университете . Чаще всего студенты работают на разных компьютерах и сохраняют данные, как правило на флешке. Для каждого студента можно создать отдельный профиль, в котором будут храниться все его данные. Если же совместно с этой технологией использовать ещё и Dropbox (потребуется выход в интернет через прокси-сервер в университете), то можно вообще забыть о любом переносе данных и работать как на своём домашнем компьютере.
Перемещаемые профили
Перемещаемые пользовательские профили создаются очень просто. Для их создания вам даже не нужно разбираться с Active Directory или групповыми политиками, но знание этих технологий значительно упростить вам жизнь при управлении такими профилями. Если говорить о создании перемещаемых профилей в двух словах, то вам нужно настроить сетевое размещение, где будут располагаться данные профили, а затем отконфигурировать каждую учетную запись пользователя для сопоставления с созданным ранее сетевым размещением. Все эти действия описаны далее:
На файловом или специально выделенном профильном сервере создайте папку, которая будет использоваться для хранения перемещаемых пользовательских профилей. Данная папка будет считаться папкой верхнего уровня для всех индивидуальных профилей пользователей;
Откройте оснастку «Active Directory – пользователи и компьютеры» , выберите пользователя, для которого нужно настроить перемещаемый профиль, нажмите на нем правой кнопкой мыши и выберите команду«Свойства» ;
В отобразившемся диалоговом окне перейдите на вкладку «Профиль» и в соответствующем текстовом поле введите путь к общей папке, где содержится профиль текущего пользователя. Вы можете использовать переменную среды %UserName% в качестве заполнителя имени входа в систему, которое используется в пути профиля. После того как пользователь в первый раз войдет в домен, на сервере автоматически будет создана папка профиля в формате имени пользователя или, если пользователь выполнил вход из операционной системы Windows Vista или более поздней версии операционной системы, то будет создана папка имя_пользователя.v2 с соответствующими разрешениями.
Перенаправление папок
Настраивается в групповой политике
Конфигурация пользователя – Конфигурация Windows – Перенаправление папки (“Рабочий стол” и “Мои документы”) – Свойства – на вкладке “Конечная папка”
Политика: Перенаправлять папки всех пользователей в одно место (простая).- Размещение конечной папки: Создать папку для каждого пользователя на корневом пути. - Корневой путь: \\dc02\_FolderRDR$\Docs(dc02 – имя файл сервера).
Внизу окна свойств отображается подсказка о том, как будет выглядеть конечный путь.
После изменения групповой политики не забываем выполнить gpupdate –force в командной строке.
Чтобы проверить работоспособность, поместите какой-нибудь файл в папку, для которой настроено перенаправление. Это файл также должен появиться в общей сетевой папке, которую можно просмотреть на сервере. При входе пользователя на другом компьютере этот файл также должен будет появиться в той же самой папке.
Процедура установки дисковых квот
В папке My Computer или в Windows Explorer нужно щелкнуть правой кнопкой по диску, с которым предстоит работать, затем выбрать Properties.
В диалоговом окне Properties следует щелкнуть на вкладке Quota, которая видна, только если пользователь зарегистрировался с правами администратора и жесткий диск имеет формат NTFS.
Установить флажок Enable quota management ("Включить управление квотами").
Выбрать желаемые параметры конфигурации.
Функция дискового квотирования в Windows 2000 позволяет настраивать квоты индивидуально или отключать функцию для тех пользователей, для которых настройки по умолчанию являются слишком жесткими (т. е. для тех, кто создает много больших файлов). Чтобы изменить настройки квот для уже использующего данный диск сотрудника, нужно открыть папку My Computer или Windows Explorer, щелкнуть правой кнопкой по жесткому диску, конфигурацию которого требуется изменить, и выбрать Properties. Затем следует перейти на вкладку Quota, щелкнуть Quota Entries («Записи квот»), чтобы открыть окно Quota Entries for Local Disk («Записи квот для локального диска»). Здесь перечислены имена всех пользователей, которые сохраняют на этом диске свои файлы, как показано на Экране 2. Необходимо щелкнуть правой кнопкой по имени пользователя или по группе пользователей и выбрать Properties. В диалоговом окне Quota Settings («Параметры квот»), показанном на Экране 3, нужно изменить лимит дискового пространства, порог выдачи сообщений или отключить квоты для данного пользователя. Если выбрать нескольких пользователей, в заголовке окна вместо имени пользователя будет стоять Multiple Users.
По мере того как к диску получают доступ новые пользователи, заданные квоты применяются автоматически. Другой путь - настроить параметры индивидуально, перед тем как открыть пользователю доступ (в противном случае следует изменить их настройки, используя процедуру, описанную в предыдущем разделе). Для того чтобы настроить квоты для пользователей, еще не получивших доступ к этому диску (а также для тех, в отношении которых не нужно применять настройки по умолчанию), необходимо выполнить следующие действия.
В окне Quota Entries for Local Disk выбрать Quota ("Квота"), New Quota Entry ("Создать запись квоты"), чтобы открыть диалоговое окно Select Users ("Выбор: пользователи").
В окне Look in ("Искать в"), в верхней части диалогового окна выбрать область, откуда извлекается список пользователей:
выбрать домен, чтобы увидеть список всех пользователей домена (это выбор по умолчанию);
выбрать локальный компьютер, чтобы увидеть список всех пользователей на компьютере;
выбрать Entire Directory ("Вся папка"), чтобы увидеть список всех пользователей в Active Directory (AD), включая все домены и леса.
Выбрать пользователя (или нескольких пользователей), щелкнуть Add ("Добавить"), затем нажать OK.
Если спросить у администраторов систем Windows, что создает наибольшие сложности в их работе, многие вспомнят о проблемах, связанных с профилями пользователей. Если же говорить о перемещаемых (roaming) профилях, то затруднения возникают у 80-90% администраторов. Несмотря на все усилия, предпринимаемые Microsoft при выпуске каждой версии Windows, пользовательские профили все еще остаются слабым местом системы. Давайте посмотрим, как, по замыслу разработчиков, должны функционировать пользовательские профили, а также что происходит при создании профиля и при его записи на сервер. Тогда станет ясно, какие проблемы могут возникнуть при выполнении этих действий и каким образом их можно избежать.
Что такое профиль пользователя
Пользовательский профиль представляет собой множество файлов и папок, в которых Windows хранит персональные настройки пользователя. Так, составными частями профиля являются настройки Microsoft Outlook и все ярлыки, размещенные пользователем на рабочем столе. Вообще в профиле хранятся все пользовательские настройки Windows и приложений, с которыми работает пользователь.
В Windows предусмотрено три вида профилей пользователя - локальные (local), перемещаемые (roaming) и обязательные (mandatory). Каждый регистрирующийся на рабочей станции Windows пользователь имеет собственный локальный профиль, который по умолчанию хранится в папке \%systemroot%documents and settings\%username% (например, C:documents and settingsjoesmith) для систем Windows Server 2003, Windows XP и Windows 2000 или в папке \%systemroot%profiles\%username% - для компьютеров Windows NT 4.0.
Перемещаемый профиль пользователя, как следует из его названия, применяется на любой рабочей станции, с которой данный пользователь регистрируется в сети. Для этого Windows копирует локальный профиль пользователя в специальный общий каталог на сервере каждый раз при завершении пользователем сеанса работы в сети. Если у пользователя нет перемещаемого профиля, то при регистрации в сети с различных рабочих станций он может иметь разные настройки рабочего стола. Поэтому если в сети пользователи часто регистрируются с разных рабочих станций и при этом должны иметь на них одни и те же настройки, следует настроить перемещаемые профили. Чтобы сделать локальный профиль пользователя перемещаемым, в Windows 2000 и более поздних версиях достаточно изменить объект пользователя в Active Directory и указать путь разделяемого каталога на сервере для хранения перемещаемых профилей в нотации UNC (например, s3gpo1profilesdarren, см. экран 1). После указания пути в объекте пользователя система сохраняет профиль на сервере при следующем завершении сеанса.
Обязательный профиль пользователя представляет собой разновидность перемещаемого профиля. Обязательный профиль гарантирует, что каждый пользователь в данной среде имеет одинаковый профиль. Имеются две разновидности обязательного профиля - обычный и принудительный (super mandatory profile). Обычный обязательный профиль не позволяет пользователям менять настройки приложений, но при этом допускает создание новых ярлыков на рабочем столе и сохранение документов в папке «Мои документы». Принудительный обязательный профиль не позволяет вносить какие бы то ни было изменения в настройки. Обязательные профили обычно применяются в тех случаях, когда необходим строгий контроль над действиями пользователей.
Независимо от вида пользовательского профиля, следует помнить, что пользователь всегда работает с локальной копией профиля, размещаемой в папке \%systemroot%documents and settings\%username% (или %systemroot%profiles\%username% в Windows NT 4.0). Даже если пользователь имеет перемещаемый профиль, при регистрации в системе рабочая станция создает локальную копию профиля, и все последующие изменения, которые выполняет пользователь во время сеанса, сохраняются в локальной папке. Запись изменений в перемещаемый профиль пользователя на сервере происходит при завершении сеанса, но по умолчанию на рабочей станции локальная копия профиля пользователя сохраняется. Таким образом, если перемещаемый профиль не изменился и пользователь повторно регистрируется на той же рабочей станции, работа происходит с сохраненной локальной копией профиля без повторной загрузки с сервера. Механизм этого процесса будет рассмотрен ниже.
Теперь давайте посмотрим, как происходит обработка пользовательского профиля системой. Как уже было сказано выше, в профиле хранятся различные пользовательские настройки, а также ярлыки. Имя каталога, в котором хранятся профили, говорит само за себя - documents and settings. В разделе документов могут храниться различные файлы - ярлыки, документы Word, временные файлы Internet, конфигурационные файлы приложений и т. п. Если взглянуть на профиль обычного пользователя через Windows Explorer, мы увидим структуру, подобную изображенной на экране 2 .
Как показано на экране 2, пользовательские данные в профиле пользователя хранятся всего в нескольких папках. Так, в папке «Мои документы» хранятся документы пользователя, созданные в Microsoft Word и других приложениях. В папке «Рабочий стол» содержатся элементы, отображаемые на рабочем столе пользователя. В папке Application Data содержатся конфигурационные файлы приложений. Например, Microsoft Outlook сохраняет в этом каталоге заданные пользователем настройки. Некоторые папки от пользователя скрыты. Так, ряд папок, показанных на экране 2, такие как Application Data и Local Settings, не предназначены для непосредственного просмотра пользователем и скрыты (их значки отмечены более блеклым цветом).
Раздел настроек профиля пользователя хранится в файле ntuser.dat в папке пользователя, как показано на том же экране 2. Его содержимое можно просмотреть с помощью редактора реестра в ветви HKEY_CURRENT_USER. Содержимое этой ветви загружается в реестр при регистрации пользователя в системе. Все изменения настроек, сделанные пользователем во время сеанса работы, такие как смена обоев на рабочем столе или изменение настроек Outlook, записываются Windows именно в эту ветвь реестра и сохраняются в файле ntuser.dat. Здесь уместно отметить, что при необходимости просмотра настроек другого пользователя, не начавшего сеанс работы Windows, можно загрузить соответствующий файл в редактор реестра в качестве временной ветви с помощью команды Файл/Загрузить ветвь в редакторе реестра (regedit.exe в Windows XP и 2003, regedt32.exe в Windows 2000).
Обратите внимание, что обязательные профили используют отличную от описанной ранее систему именования элементов. Как правило, обычный обязательный профиль - это тот профиль, в котором файл ntuser.dat переименован в ntuser.man. Принудительный обязательный профиль представляет собой перемещаемый профиль, в котором полное имя файла конфигурации имеет расширение.man. Так, перемещаемый профиль, размещенный в папке serverprofilesstdprofile.man, указывает на принудительный обязательный профиль.
Создание профиля
Что же происходит при создании профиля? На первый взгляд все очень просто: если пользователь регистрируется в сети со своей рабочей станции Windows впервые и не имеет профиля, кэшированного на данной рабочей станции или перемещаемого на сервере, Windows создает для этого пользователя профиль по умолчанию. На самом деле все несколько сложнее. Рассмотрим последовательно процесс создания профиля пользователя - это поможет понять причины возможных проблем. Отметим, что существуют некоторые различия обработки профилей пользователей в разных версиях Windows; в этой статье обработка профилей операционной системой рассматривается на примере Windows XP. Рассмотрим ситуацию, когда пользователь домена AD, для которого имеется перемещаемый профиль, впервые выполняет регистрацию в сети на данной рабочей станции.
Созданный профиль пользователя не будет скопирован на сервер до тех пор, пока пользователь не выйдет из системы. При завершении сеанса Windows сначала проверяет, какие элементы профиля не являются перемещаемыми. По умолчанию перемещаемыми не являются настройки, хранящиеся в папках History, Local Settings, Temp, и Temporary Internet Files, так что содержимое этих папок на сервер не копируется. В эту группу попадают кэш Internet Explorer, временные файлы и автономные хранилища Outlook (файлы.ost). Список папок, не сохраняемых для перемещаемого профиля, можно указать в политике Administrative Template объекта групповых политик. Эта политика размещается в папке User ConfigurationAdministrative TemplatesSystemUser ProfilesExclude Directories перемещаемого профиля пользователя.
По сравнению с NT 4.0, в Windows 2000 значительно усовершенствован алгоритм сохранения изменений в перемещаемый профиль пользователя при завершении сеанса. В NT 4.0 при завершении сеанса система выполняла копирование всех файлов профиля пользователя на сервер вне зависимости от того, изменялись они или нет. Начиная с Windows 2000 система сравнивает дату и время создания файлов в локальном и перемещаемом профилях пользователя и при завершении сеанса выполняет копирование только тех файлов, которые требуют обновления. Это позволяет значительно ускорить процедуру завершения сеанса и снизить сетевой трафик по сравнению с NT 4.0. Аналогичным образом оптимизирован процесс копирования файлов перемещаемого профиля пользователя при регистрации пользователя в сети с рабочей станции, на которой уже имеется его кэшированный профиль.
Управление обработкой профилей пользователей
Некоторые настройки работы профилей пользователей в сети можно изменить. Как уже отмечалось, групповые политики позволяют указать, какие из папок профиля являются перемещаемыми, а какие - нет. Можно изменить политики, определяющие реакцию системы в случае использования медленного соединения для копирования перемещаемого профиля из общей папки профилей. Windows по-другому осуществляет обработку перемещаемых профилей и групповых политик в случае использования медленного соединения. Так, для медленного соединения Windows не выполняет копирование перемещаемого профиля из общей папки на сервере, вместо этого используется кэшированная локальная копия профиля. При необходимости можно изменить это заданное по умолчанию поведение Windows. Например, при включении политики Prompt User When Slow Link Is Detected (запрашивать пользователя при обнаружении медленного соединения) пользователь при регистрации через медленное соединение будет получать запрос, дождаться копирования перемещаемого профиля пользователя или продолжить работу с кэшированной копией профиля. Можно также изменить политику Logs User Off When Roaming Profile Fails таким образом, чтобы запретить пользователю регистрацию в сети при невозможности загрузки перемещаемого профиля.
Групповые политики позволяют изменять другие аспекты обработки системой профилей пользователей. Например, если необходимо удалять кэшированную локальную копию перемещаемого профиля пользователя при завершении сеанса работы, можно включить политику Delete Cached Copies of Roaming Profiles («Удалять из кэша копии перемещаемого профиля») в разделе, описанном ранее. Это удобно сделать в среде с использованием терминальных серверов Windows, когда на одной и той же рабочей станции может работать множество пользователей и накопление в кэше большого количества профилей пользователей будет приводить к неоправданному расходованию дискового пространства.
Можно установить квоту на размер профиля пользователя. Следует помнить о том, что профиль пользователя может содержать и другие файлы, помимо пользовательских настроек, причем некоторые из этих файлов могут оказаться довольно большими. Если размер этих файлов окажется велик, они будут занимать очень много места в общей папке на сервере, а регистрация пользователя в сети и завершение работы будут требовать слишком много времени. В некоторых случаях с помощью квотирования имеет смысл ограничить возможности пользователей по части включения в профиль слишком больших файлов. Квота профиля устанавливается в GPO в разделе User ConfigurationAdministrative TemplatesSystemUser ProfilesLimit Profile Size. При этом квотирование следует применять осторожно, так как в некоторых случаях увеличение размеров профиля является оправданным, а ограничение размера может помешать сотрудникам выполнять свои прямые служебные обязанности.
Руководство по борьбе с неполадками
Мне приходилось сталкиваться с различными типами проблем, связанных с профилями пользователей, и, как показывает практика, применение перемещаемых профилей усугубляет положение. Но есть некоторые правила и утилиты, использование которых может помочь в решении проблем, возникающих в сети.
Прежде всего необходимо уяснить, что происходит с профилем пользователя в необычных условиях. Например, что если для пользователя задан перемещаемый профиль, на рабочей станции его локальная копия отсутствует, а Windows не может получить доступ к перемещаемому профилю на сервере? В Windows 2000 и XP система создает локальный временный профиль на основе профиля пользователя по умолчанию в папке \%systemroot%documents and settings emp, так что пользователь может продолжить работу. По завершении сеанса система просто удаляет временный профиль, так что все сделанные пользователем изменения настроек будут потеряны.
Рассмотрим другую распространенную ситуацию. Что если на рабочей станции регистрируются два пользователя под одним и тем же именем - произойдет ли в этом случае замена одного профиля другим? Нет, не произойдет, хотя причина этого неочевидна. Нужно помнить о том, что каждая кэшируемая локальная копия профиля регистрируется в реестре с идентификатором SID пользователя, что позволяет предотвратить перезапись локальной копии профиля. Но где же система сохраняет дублирующий профиль? На самом деле Windows добавляет к имени пользователя название домена или рабочей группы. Допустим, на рабочей станции workstationA уже зарегистрирован локальный пользователь jsmith с соответствующим локальным профилем в папке \%systemroot%documents and settingsjsmith. Тогда при регистрации пользователя jsmith из домена AD mycompany.com (NetBIOS - имя домена mycompany) Windows создаст профиль в папке \%systemroot%documents and settingsjsmithmycompany. Это не очень удобно, зато позволяет избежать путаницы.
Почти во всех сетях я сталкивался с одной и той же проблемой, достойное решение которой пока не найдено. Иногда при завершении сеанса пользователя система не производит полную выгрузку профиля на сервер. Какой-то из выполняющихся на рабочей станции процессов держит ветвь реестра ntuser.dat, что не позволяет полностью выгрузить профиль. Это может привести к негативным последствиям для рабочей станции, поскольку сделанные пользователем изменения в ntuser.dat не копируются в перемещаемый профиль пользователя или Windows не может удалить локальную копию профиля, если у вас выбран такой вариант. Некоторые администраторы используют утилиту delprof.exe из Resource Kit для удаления кэшированных локальных копий профиля. В тех случаях, когда файл ntuser.dat заблокирован, эта утилита не может удалить локальный профиль. Единственным простым решением в данной ситуации является перезагрузка рабочей станции, при которой происходит снятие всех блокировок с реестра. Правда, в некоторых ситуациях такое решение нежелательно. В Windows XP Microsoft предоставляет возможность увеличить число попыток сохранения профиля пользователей на сервере. Это делается с помощью политики Computer ConfigurationAdministrative TemplatesSystemUser ProfilesMaximum retries, определяющей допустимое число попыток сохранения и обновления профиля пользователя, - в некоторых сетях изменение данной политики позволяет частично решить проблему.
Если не получается разобраться, что происходит с профилями пользователей в сети, я бы посоветовал включить подробный журнал userenv. Файл userenv.log находится на любой рабочей станции Windows 2000, XP и Windows 2003 в папке \%systemroot%debugusermode. Процедура включения подробного журнала для профилей пользователей и групповых политик описана в статье Microsoft «How to Enable User Environment Debug Logging in Retail Builds of Windows» (http://support.microsoft.com/?kbid=221833 ). Детализированный журнал действий, выполняемых при загрузке и выгрузке профиля, может помочь при устранении проблем, возникающих с профилями пользователей.
По сравнению с Windows NT 4.0, обработка профилей пользователей претерпела значительные изменения. Понимание механизма использования профилей может помочь в предотвращении и решении соответствующего класса проблем. Обычно в случае затруднений с профилями пользователей администратор просто удаляет профиль, и пользователь вынужден начинать настраивать все заново, а в результате тратится время и пользователя, и в конечном счете администратора. Применение описанных в этой статье приемов и инструментов, особенно ведение и анализ протоколов userenv, поможет локализовать проблемы и избежать необходимости применения радикальных средств.
Даррен Мар-Элиа - редактор журнала Windows & NET Magazine. С ним можно связаться по адресу: [email protected]
