Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Перемещаемый профиль пользователя в домене

Перемещаемый профиль и перенаправление папок пользователей.

Схема работы с перемещаемым профилем и перенаправлением папок пользователей на сервер (рабочий стол, мои документы) в домене Windows дает большие преимущества. Она обеспечивает снижение простоев в работе персонала при отказе рабочей станции (файлы и настройки пользователей доступны с любого компьютера в сети) — при выходе из строя ПК, пользователь авторизируется на любом свободном компьютере под своей учетной записью и продолжает работу. Снижение затрат на обслуживаение и поддержание работы пользователей — централизированное резервное компирование, удобство администрирования — нет необходимости сохранения файлов, настройке рабочей станции, достаточно восстановить из образа готовую ОС с приложениями.

Так я настраивал у себя на работе, проверено на доменах уровня 2003 и 2008 и серверах Windows Server 2003 R2 Standard и Windows Server 2008 Standard.

1. Создаем папку _FolderRDR. Расшариваем скрытой с $ (everyone — полный доступ) и задаем права NTFS:
Administrators, System, Creator/Owner — полный доступ, Domain Users — чтение, изменение.
2. В ней создаем папки Docs и Profiles — разрешения наследуются.
3. Теперь политики:
Конфигурация компьютера — Административные шаблоны — Система — Профили пользователей: Add the Administrators security group to roaming user profiles / Добавить группу «Администраторы» к перемещаемому профилю пользователя
(Эта опция не применяется на существующие профили).

Конфигурация пользователя — Конфигурация Windows — Перенаправление папки («Рабочий стол» и «Мои документы») — Свойства — на вкладке «Конечная папка»

— Политика: Перенаправлять папки всех пользователей в одно место (простая) .
— Размещение конечной папки: Создать папку для каждого пользователя на корневом пути .
— Корневой путь: dc02_FolderRDR$Docs (dc02 — имя файл сервера).

Внизу окна свойств отображается подсказка о том, как будет выглядеть конечный путь.

На вкладке «Параметры»:
— Предоставить монопольный доступ — отключено — иначе у администратора не будет доступа.
— Перенести содержимое папки в новое место — включено.
— После удаления политики перенаправить папку обратно в локальный профиль пользователя .

Конфигурация пользователя — Административные шаблоны — Сеть — Автономные файлы:
— Синхронизировать автономные файлы при входе в систему — включено
— Синхронизация всех автономных файлов перед выходом из системы — включено
— Синхронизировать автономные файлы перед приостановкой — включено — быстрая
— Действия при отключения от сервера — включено — работать автономно
— Нестандартные действия при отключении от сервера — включено — работать автономно
— Удалить «Сделать доступными автономно» — включено
— Не делать перенаправляемые папки достуными в автономном режиме автоматически — отключено

4. Профиль пользователя: в Acitive Directory, в свойствах пользователя — Профиль — Путь к профилю — указываем путь:
dc02_FolderRDR$Profiles%username%

обязательно с именем пользователя в переменной (%username%), иначе у всех будет один профиль.

Microsoft рекомендует выключить кэширование папки для перемещаемых пользовательских папок (net share sharefolder /cache:no, или свойства папки-доступ-кеширование), но при этом не работают автономные файлы при отключении от сервера. Я оставил кэширование, не понял смысл рекомендации… (=.

Устранение проблем:

Пути к офлайновым папкам прописываются в профиле, и при смене файл сервера с тестового на рабочий, чтобы решить проблему попытки синхронизации с несуществующими шарами я удалил и заново создать профиль пользователя, предварительно сохранив файлы. Думаю, можно было поправить реестр пользователя вместо этого.

Необходимо, чтобы у пользователя была локальная копия профиля изначально, иначе не будет работать сохранение файлов в отсутствии подключения к файл серверу.

Перемещаемый профиль пользователя в домене

Конфигурирование перемещаемых профилей.

Перед использованием перемещаемого профиля пользователя вы должны выполнить ряд шагов для его создания.

Подготовка сервера.

Перед созданием первого перемещаемого профиля необходимо выполнить ряд шагов на сервере, который будет хранить перемещаемые профили. Эти шаги выполняются однократно перед созданием первого профиля.

    На диске, предназначенном для хранения профилей пользователей, создайте папку для профилей, например User Profiles. Установите на эту папку следующие разрешения:

Администраторы, Операционная система — полный доступ;
Пользователи — чтение.

Предоставьте папку User Profiles в общий доступ под именем Profiles. Для общей папки установите следующие разрешения:

Администраторы, Операционная система — полный доступ;
Пользователи — полный доступ.

Таким образом, в большинстве случаев размер профиля пользователя находится в пределах от 5 до 50 Мб. При определении размера дискового пространства, необходимого для хранения перемещаемых профилей пользователей, рекомендуется резервировать достаточное количество пространства и осуществлять постоянный мониторинг используемого дискового пространства. Если при сохранении перемещаемого профиля на сервере не будет достаточного объема дискового пространства — часть данных профиля может быть утеряна.

Создание перемещаемого профиля пользователя.

Следующие действия должны быть выполнены при создании перемещаемого профиля каждого пользователя:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, который будет использоваться для работы этого пользователя в будущем. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \имя_сервераProfiles%username% средствами операционной системы.
    На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах пользователя укажите в качестве пути к профилю пользователя \имя_сервераProfiles%username%.
  • Зарегистрируйтесь на том же компьютере от имени пользователя, для которого создается перемещаемый профиль. Убедитесь, что тип профиля пользователя изменился на «перемещаемый». Завершите сеанс пользователя.

Копирование профиля пользователя.

Копирование профиля пользователя должно выполняться на том компьютере, где уже существует локальный профиль этого пользователя. Копирование должно выполняться из сеанса пользователя с правами локального администратора компьютера и администратора домена. Не рекомендуется выполнять копирование из сеанса того пользователя, чей профиль должен быть скопирован.

Для копирования профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. В списке профилей выберите профиль нужного пользователя и щелкните кнопку Копировать.

Читать еще:  Yandex управление доменом

В появившемся окне в поле Копировать профиль на укажите полный сетевой путь к папке на сервере, в которую должен быть скопирован профиль пользователя, например \имя_сервераProfilesIvanovII.

При помощи кнопки Изменить вы можете изменить пользователя, который будет иметь возможность использовать перемещаемый профиль. Это позволяет использовать один «шаблонный» профиль для создания перемещаемых профилей нескольких пользователей. Для этого необходимо осуществить операцию копирования профиля несколько раз, каждый раз указывая нужную папку для хранения профиля и пользователя, который будет иметь доступ к профилю. Кроме того, вы можете разрешить использование профиля пользователя не отдельному пользователю, а целой группе. Эта возможность обычно используется при создании назначенных профилей пользователей.

После копирования всех необходимых профилей вы можете закрыть окно свойств системы, щелкнув кнопку ОК или Отмена.

Изменение свойств учетной записи пользователя.

Для изменения свойств учетной записи пользователя запустите консоль управления Active Directory — пользователи и компьютеры. Для этого выберите пункт Администрирование меню Пуск, а в нем щелкните на пункте Active Directory — пользователи и компьютеры. Для просмотра и изменения свойств учетной записи пользователя, найдите интересующий вас объект пользователя в дереве консоли управления Active Directory — пользователи и компьютеры и нажмите на нем правую кнопку мыши. Выберите пункт Свойства контекстного меню. Перейдите на вкладку Профиль.

Введите полный сетевой путь к профилю пользователя в поле Путь к профилю, например, \имя_сервераProfiles IvanovII. Щелкните кнопку ОК для сохранения изменений.

Проверка и изменение типа профиля пользователя.

Прежде чем вам будет доступна возможность проверить или изменить тип профиля пользователя, он должен как минимум один раз зарегистрироваться в домене для использования своего перемещаемого профиля. Изменение типа профиля может быть выполнено из сеанса пользователя с правами локального администратора компьютера, либо самим владельцем профиля.

Для проверки или изменения типа профиля пользователя сверните все открытые окна приложений. Выберите пункт Свойства контекстного меню папки Мой компьютер, расположенной на рабочем столе. В появившемся окне Свойства системы перейдите на вкладку Профили пользователей. Если для входа в систему использовалось имя обычного пользователя, то на вкладке Профили пользователей будет виден только профиль этого пользователя. Если пользователь является членом группы локальных администраторов, то он будет видеть все профили, хранящиеся на локальном компьютере.

Выберите в списке профиль нужного пользователя. Убедитесь, что указан правильный тип профиля. вы можете изменить тип профиля пользователя, щелкнув кнопку Сменить тип. В появившемся окне укажите тип профиля пользователя и щелкните кнопку ОК. Если текущий профиль был перемещаемым, то после смены его типа на локальный при завершении сеанса пользователя данные профиля не будут копироваться на сервер и в дальнейшем будет использоваться локальная копия профиля. Если текущий профиль был локальным, то после смены его типа на перемещаемый при завершении сеанса пользователя данные профиля будут скопированы в папку профиля на сервере.

Вы можете изменить тип профиля с локального на перемещаемый только в том случае, если для этого пользователя настроено использование перемещаемого профиля в свойствах его учетной записи и этот пользователь ранее работал с перемещаемым профилем.

Создание обязательного профиля пользователя.

Следующие действия должны быть выполнены при создании обязательного профиля:

  • Зарегистрируйтесь от имени пользователя на одном из компьютеров, профиль которого будет использоваться в качестве шаблона для обязательного профиля. Выполните необходимые начальные настройки окружения пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на компьютере от имени пользователя с полномочиями администратора домена и администратора локального компьютера.
  • Скопируйте профиль пользователя в папку \имя_сервераProfiles имя_профиля средствами операционной системы. Разрешите использование профиля членам соответствующей группы.
    В папке \имя_сервераProfilesимя_профиля переименуйте файл ntuser.dat в ntuser.man.
  • На контроллере домена или компьютере, оснащенном инструментами администрирования Active Directory, в свойствах каждого пользователя, который должен использовать обязательный профиль, укажите в качестве пути к профилю пользователя \имя_сервераProfilesимя_профиля.
    Зарегистрируйтесь на том же компьютере от имени одного из пользователей, для которых создается обязательный профиль. Убедитесь, что тип профиля пользователя изменился на «обязательный». Создайте какой-либо файл на рабочем столе пользователя. Завершите сеанс пользователя.
  • Зарегистрируйтесь на том же компьютере от имени того же пользователя. Убедитесь, что на рабочем столе пользователя нет файла, созданного на предыдущем шаге. Завершите сеанс пользователя.

При использовании обязательного профиля вы не можете изменить его тип на перемещаемый или локальный. Для того, чтобы это можно было сделать, необходимо в свойствах учетной записи пользователя указать ссылку на перемещаемый профиль или вообще не указывать никакого профиля.

Перемещаемые профили в Windows 7 на сервере Windows 2008 R2

Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!

Требования

  • Сервер Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
  • Клиентская рабочая станция с Windows 7
  • Обе машины должно находится в том же домене AD

Создаем домашний каталог на Windows 2008 R2 server

  • Создаем папку HomeWin7, жмем на нее правой кнопкой – «Свойства» и идем на вкладку Безопасность
  • NTFS права доступа будут следующими

  • Нажимаем кнопку «Advanced», а затем «Change Permissions»
  • Снимаем галочку с пункта «Include inheritable permission form this object’s parent» (наследовать права от родительского объекта), а затем Add
  • Выбираем ACL “Special” ACL и жмем кнопку Edit

  • Изменяем на «Apply to : This folder Only» -> OK
  • Выбираем ACL “Read & execute” -> Edit
Читать еще:  Active directory подключение к домену

  • Изменяем на «Apply to : This folder Only» -> OK
  • Получаем такую картинку

  • Нажимаем OK и переходим на вкладку «Общий доступ» (“Sharing ”), создаем новую общую сетевую папку с именем HomeWin7$

  • Нажимаем на кнопки «Кэширование» и выбираем «no files or programs are available offline»
  • OK и нажимаем кнопку “Permissions”
  • Предоставляем группе everyone права Full Control и OK.
  • Открываем консоль управления сервером и переходим в оснастку «File Services, Share and storage management»
  • Выбираем общую папку HomeWin7$, щелкаем по ней правой кнопкой мыши -> свойства
  • Выбираем «Enable access-based enumeration» и ок (это нужно для того, чтобы пользователи видели только свои папки, когда они заходят на общий ресурс servernameHomeWin7$, подробности тут )

Настройка групповых политик GPO для использования перемещаемых профилей

  • Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
  • Создаем новую политику и переходим в режим правки
  • Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection

  • Нажимаем правой кнопкой мыши по элементу Appdata(roaming) и выбираем «Properties». Настроим этот параметр следующим образом:

  • Переходим на вкладку «Settings» и задаем настройки как на скриншоте:

  • В соответствии со скриншотами настроим и другие параметры политики
  • Параметр Desktop:

Кроме того, можно настроить еще ряд параметров групповой политики

  • User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
  • Создадим также политику для OU пользовательских компьютеров.
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.

ADUC

  • Открываем консоль Active Directory Users and Computers, переходим в свойства пользователя и настроим параметр «Profile path» следующим образом:

  • Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом:

Создание перемещаемых профилей с помощью Active Directory.

Профиль — это совокупность папок и данных, в которых хранятся текущее окружение пользователя (содержимое рабочего стола, параметры настройки приложений и личные данные). Профиль пользователя также содержит все элементы меню Пуск (Старт) для данного пользователя и список разрешённых сетевых дисков. Профили бывают трех типов. (Local) Локальные — создаются при первом входе пользователя в систему, хранится на локальном жестком диске. Перемещаемый (Roaming) — храниться в общей папке на сервере сети и доступен с любого компьютера. Обязательный (Mandatory) — то же, что и перемещаемый, но изменение может производить только системный администратор. Профиль является неотъемлемой частью каждой учётной записи.

Для создания перемещаемого профиля, пройдите по следующему адресу: Пуск/Администрирование/Active Directory — пользователи и компьютеры (рис.28 и рис.29).

Далее создадим подразделение для наших профилей. Для этого жмем правой кнопкой мыши по названию нашего домена, далее вкладка создать/подразделение и пишем название подразделения.

Теперь приступим к созданию самих профилей. Для этого жмем правой кнопкой мыши по созданному нами подразделению и создаем пользователя.

На первом этапе вводим Имя, Инициалы, Фамилия, Имя входа пользователя. Остальные поля заполняются автоматически. Введем имя User1, инициалы и фамилию оставим пустыми, имя входа в систему также напишем user1 и жмем “Далее”.

На следующем этапе нужно ввести пароль, под которым мы будет входить. Введем пароль 123-=qwerty и поставим галочку только напротив “Срок действия пароля не ограничен” и нажмем“Далее”.

На следующем этапе жмем “Готово”. Профиль создан.

Теперь сделаем его перемещаемым. Для этого нужно создать папку с открытым общим доступом на локальном диске. Создаем папку Allmyprofiles .

Жмем Правой кнопкой мыши по созданной папке и нажимаем на Свойства .

Далее переходим на вкладку “Доступ” и жмем на “Общий доступ” .

Здесь нам нужно выбрать, кто именно будет иметь доступ к этой папке и с какими правами. Выберем их списка “Все”, жмем добавить и ставим его “Совладельцем”, который дает нам полные права для “Все”

Жмем “Общий доступ”, затем “Готово” далее ”Закрыть”.

Далее нам нужно прописать путь профиля к этой папке и дать права на сервер. Возвращаемся в Active Directory — пользователи и компьютеры, нажимаем правой кнопкой мыши на созданный ранее профиль и жмем на свойства. Откроется окно настройки профиля .

Переходим к вкладке “Профиль” и вписываем в поле “Путь к профилю”, корневой путь к папке Allmyprofiles .

Корневой путь должен иметь следующий вид: «\WIN-4BHBTSFYA7IAllmyprofiles%username%»,

где «WIN-4BHBTSFYA7I» – имя компьютера

«Allmyprofiles» – папка с открытым доступом

%username% — создаст папку с именем профиля

Перейдем к вкладке “Член групп” и добавим наш профиль в группу Операторы Сервера

Жмем “Применить” потом “ОК”.

На этом создание перемещаемого профиля окончено. Работоспособность проверим позже, когда будем рассматривать настройки и добавление клиентской машины в домен.

Создание группы для профилей с помощью Active Directory.

Теперь мы рассмотрим, как создать группу, как добавить профили в группу, как поставить профиль управлять группой.

Итак, начнем. Для создания группы, перейдите в Пуск/Администрирование/Active Directory — пользователи и компьютеры. Нажмем правой кнопкой по папке Myprofiles, выберем “Создать” и “Группа”.

Нам предлагают ввести имя группы. Введем “GroupProfiles”. Отметки ставим как на рисунке.

Читать еще:  Как проверить доверительные отношения между доменами

Жмем “ОК”. Группа создана.

Теперь добавим профили в созданную группу. Для этого нажмите правой кнопкой мыши на профиль и “Добавить в группу”. Вводим название нашей группы и жмем “ОК”.

Все, профиль теперь находится в группе и чтобы убедится в этом, зайдем в свойства группы и перейдем на вкладку “Члены группы” и видим список профилей находящих в группе

Теперь поставим профиль с правами на управление этой группой(он может добавлять, удалять и т.д.). Для этого в свойствах группы перейдем на вкладку “Управляется”, жмем “Изменить” и добавляем профиль

Перемещаемый профиль пользователя в домене

Есть в Active Directory такие возможности, как перемещаемые профили и перенаправление папок. Технология перемещаемых профилей позволяет изменить местоположение профиля, а перенаправление папок позволяет изменить местоположение отдельных папок внутри профиля пользователя, который работает за компьютером. Например, папки «Документы», «Изображения», «Музыка» или целиком весь профиль можно перенаправить с локального компьютера на сервер или другой компьютер. Где применяются данные возможности, и какие преимущества от этого можно получить, Вы узнаете в этой статье.

Обычно параметры и файлы пользователя хранятся в его профиле на локальном компьютере. Если пользователь работает на нескольких компьютерах, то встаёт вопрос о переносе данных с одного компьютера на другой. Для решения данной проблемы в Active Directory имеются две технологии – перемещаемый профиль и перенаправление папок. Каждая технология имеет свои особенности и преимущества, их также можно использовать совместно в зависимости от поставленной задачи. Рассмотрим на практике, как реализуются данные возможности.

Для этого у нас имеется сервер под управлением операционной системы Windows Server 2008 R2, на котором настроена служба Active Directory с доменом, а также два клиентских компьютера под управлением операционных систем Windows XP и Windows 7, которые включены в домен Active Directory. Включение клиентских компьютеров в домен позволит администрировать их и применять различные настройки с помощью групповых политик. В частности, нас интересует применение технологий перемещаемых профилей и перенаправление папок.

С помощью консоли «Active Directory – пользователи и компьютеры» создадим новых пользователей. Сначала создадим подразделение «FolderRedirection», а затем двух пользователей. Например, Дмитрий Соколов (имя входа пользователя – dima) и Иван Петров (имя входа пользователя – ivan).

Отредактируем свойства пользователя «Иван Петров». Для этого нужно щёлкнуть правой кнопкой на пользователе и выбрать в меню пункт «Свойства». Затем перейдите на вкладку «Профиль». В пункте «путь к профилю» укажите папку, в которой будет храниться профиль пользователя.

В данном случае папка хранится на сервере. Обратите внимание на то, в каком формате указывается путь к папке. Также стоит отметить, что папка должна быть доступна по сети с правами на запись. Если папка не будет доступна, то зайдя под этим пользователем в систему, вы получите следующее сообщение:

После первого захода в систему, в FoldersUsers будет создана папка ivan.V2 (в случае захода на компьютер с ОС Windows 7) или папка ivan (в случае захода на компьютер с ОС Windows XP). Как видно, созданные папки для профилей пользователей этих двух операционных систем отличаются.

Теперь профиль пользователя хранится на сервере. При следующих входах в систему профиль будет обновляться с сервера, а сделанные изменения будут синхронизироваться обратно на сервер.

Перенаправление папок отличается от перемещаемого профиля тем, что Вы сами можете выбрать те папки, которые нужно перенаправить в другое место. Рассмотрим, как это сделать.

В меню «Пуск» выберем «Администрирование» и вызовем консоль «Управление групповой политикой». Создадим новую групповую политику «Перенаправление папок для пользователей» и добавим пользователя «Дмитрий Соколов», для которого будет применяться данная политика (в реальной ситуации будет добавляться не один пользователь, а даже группа).

После создания новой групповой политики, изменим некоторые её параметры. Для этого нужно щёлкнуть правой кнопкой на название групповой политики и в меню выбрать «Изменить». Появится «Редактор управления групповыми политиками», в котором нужно выбрать «Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папки».

Нам предоставляется выбор тех папок, которые мы хотим перенаправить. Например, перенаправим папку «Документы». Для этого нужно щёлкнуть правой кнопкой на пункт «Документы» и выбрать «Свойства».

Выберем «Перенаправлять папки всех пользователей в одно расположение». В списке расположения целевой папки выберем «Создать папку для каждого пользователя на корневом пути» и затем укажем корневой путь. После этого в указанной папке для каждого пользователя будет создаваться отдельная папка (например, для пользователя «Дмитрий Соколов» будет создана папка dima) для хранения перенаправленных папок.

Преимущества, которые можно получить от применения технологий перемещаемых профилей и перенапраления папок:

  • когда пользователь входит в сеть с разных компьютеров, его данные остаются доступными, как если бы он работал только за одним компьютером;
  • файлы и параметры пользователя можно перенаправить на другой компьютер, поэтому если потребуется переустановка операционной системы, данные будут сохранены.

Данные технологии можно применить, например, в организациях, где запрещён вынос любой информации за её пределы, а пользователям требуется иметь доступ к своим данным, работая за разными компьютерами. В этом случае можно организовать централизованное хранилище данных и перенаправлять профили или отдельные папки пользователей туда.

Другой случай можно рассмотреть на примере студентов в университете. Чаще всего студенты работают на разных компьютерах и сохраняют данные, как правило на флешке. Для каждого студента можно создать отдельный профиль, в котором будут храниться все его данные. Если же совместно с этой технологией использовать ещё и Dropbox (потребуется выход в интернет через прокси-сервер в университете), то можно вообще забыть о любом переносе данных и работать как на своём домашнем компьютере.

Ссылка на основную публикацию
Adblock
detector