Tw-city.info

IT Новости
4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Перемещаемый профиль в домене

Полигон 218

Учебный портал

Настройка перемещаемых профилей в Windows Server через GPO

26.11.2019 Михаил Поликарпочкин Комментарии Нет комментариев

В больших компьютерных сетях, когда рабочее место пользователя не привязано к определенному компьютеру удобно использовать перемещаемые профили пользователей.

Рассмотрим процесс настройки перемещаемых профилей пользователей с использованием групповой политики.

Первым делом, создадим специальную группу. Назовем ее, к примеру, Users with roaming profiles.

Сразу после создания группы можно определить для кого и на каком компьютере будут действовать перемещаемые профили.

Поскольку нас интересует создание перемещаемых профилей для всех пользователей мы добавим в группу Users with roaming profiles всех пользователей домена и все компьютеры домена.

На этом подготовка группы закончена, переходим к работе с файловой системой. На сервере, который будет хранилищем перемещаемых профилей создадим новый общий ресурс.

Если не стоит задачи управлять общим ресурсом (к примеру создавать квоты и ограничения), то выбираем профиль SMB Share ProFile

Если требуется настройка квот и ограничений, либо общий ресурс создается на удаленном сервере то потребуется установка дополнительных компонентов.

Если нужно создать общий ресурс на удаленном сервере, то Компоненты ролей должны быть установлены на управляемом и управляющем серверах.

После установки дополнительных компонентов перейдем непосредственно к созданию общей папки.

Определяем параметры Общего ресурса. К этому моменту папка для хранение перемещаемых профилей должна быть создана.

На следующем шаге включим галочку Enable acces-based enumeration. В этом случае пользователь будет иметь доступ только к файлам своего профиля.

Для организации совместного доступа потребуется произвести настройку прав

В частности нужно отключить наследование

В данном примере нас будут интересовать только пользовательские файлы

Если добавление квот не требуется, продолжим работу мастера

Подготовка общего ресурса завершена, осталось все проверить и нажать кнопку Create.

Создав общий ресурс перейдем в редактор групповой политики для окончательно настройки перемещаемых профилей.

Создадим новый объект групповой политики

Откроем его для изменения и найдем параметр Set roaming path for all users logging omto this computer в ветке Computer Configuration-Profiles- Administartive Template Policity definitions-System-User Profile

Указываем путь к созданной ранее общей папке

Перемещаемые профили в Windows 7 на сервере Windows 2008 R2

Последние несколько дней я провел, настраивая работу Windows 7 с перемещаемыми профилями, которые находятся на файловом сервере Windows 2008 R2. Для себя я решил составить небольшую инструкцию, надеюсь, она пригодится еще кому-то!

Требования

  • Сервер Windows 2008 R2 с ролью File Server Resource Manager (FSRM)
  • Клиентская рабочая станция с Windows 7
  • Обе машины должно находится в том же домене AD

Создаем домашний каталог на Windows 2008 R2 server

  • Создаем папку HomeWin7, жмем на нее правой кнопкой – «Свойства» и идем на вкладку Безопасность
  • NTFS права доступа будут следующими

  • Нажимаем кнопку «Advanced», а затем «Change Permissions»
  • Снимаем галочку с пункта «Include inheritable permission form this object’s parent» (наследовать права от родительского объекта), а затем Add
  • Выбираем ACL “Special” ACL и жмем кнопку Edit

  • Изменяем на «Apply to : This folder Only» -> OK
  • Выбираем ACL “Read & execute” -> Edit

  • Изменяем на «Apply to : This folder Only» -> OK
  • Получаем такую картинку

  • Нажимаем OK и переходим на вкладку «Общий доступ» (“Sharing ”), создаем новую общую сетевую папку с именем HomeWin7$

  • Нажимаем на кнопки «Кэширование» и выбираем «no files or programs are available offline»
  • OK и нажимаем кнопку “Permissions”
  • Предоставляем группе everyone права Full Control и OK.
  • Открываем консоль управления сервером и переходим в оснастку «File Services, Share and storage management»
  • Выбираем общую папку HomeWin7$, щелкаем по ней правой кнопкой мыши -> свойства
  • Выбираем «Enable access-based enumeration» и ок (это нужно для того, чтобы пользователи видели только свои папки, когда они заходят на общий ресурс servernameHomeWin7$, подробности тут )

Настройка групповых политик GPO для использования перемещаемых профилей

  • Запускаем консоль GPMC и находим нужный нам пользовательский контейнер (OU)
  • Создаем новую политику и переходим в режим правки
  • Переходим в раздел: User Configuration -> Policies -> Windows Settings -> Folder Redirection

  • Нажимаем правой кнопкой мыши по элементу Appdata(roaming) и выбираем «Properties». Настроим этот параметр следующим образом:
Читать еще:  Мастер настройки доменных служб active directory

  • Переходим на вкладку «Settings» и задаем настройки как на скриншоте:

  • В соответствии со скриншотами настроим и другие параметры политики
  • Параметр Desktop:

Кроме того, можно настроить еще ряд параметров групповой политики

  • User Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Exclude directories in roaming profiles. По умолчанию папки AppdataLocal и AppdataLocalLow и их подпапки (History, Temp и Temporary Internet Files) исключены из перемещаемого профиля пользователя. В случае необходимости вы можете включить их при помощи этого параметра.
  • Создадим также политику для OU пользовательских компьютеров.
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Add the administrators security group to roaming user profiles. – включаем (Enabled).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Delete user profiles older than a specified number of days on system restart. –включаем и задаем 30 дней (удалять с компьютера файлы профиля, не используемого более 30 дней).
  • Computer Configuration -> Policies -> Administrative Templates-> System -> User Profiles -> Do not check for user ownership of roaming profiles folders — Enabled.

ADUC

  • Открываем консоль Active Directory Users and Computers, переходим в свойства пользователя и настроим параметр «Profile path» следующим образом:

  • Структура папки перемещаемого профиля на файловом сервере будет выглядеть следующим образом:

Перемещаемый профиль и перенаправление папок пользователей.

Схема работы с перемещаемым профилем и перенаправлением папок пользователей на сервер (рабочий стол, мои документы) в домене Windows дает большие преимущества. Она обеспечивает снижение простоев в работе персонала при отказе рабочей станции (файлы и настройки пользователей доступны с любого компьютера в сети) — при выходе из строя ПК, пользователь авторизируется на любом свободном компьютере под своей учетной записью и продолжает работу. Снижение затрат на обслуживаение и поддержание работы пользователей — централизированное резервное компирование, удобство администрирования — нет необходимости сохранения файлов, настройке рабочей станции, достаточно восстановить из образа готовую ОС с приложениями.

Так я настраивал у себя на работе, проверено на доменах уровня 2003 и 2008 и серверах Windows Server 2003 R2 Standard и Windows Server 2008 Standard.

1. Создаем папку _FolderRDR. Расшариваем скрытой с $ (everyone — полный доступ) и задаем права NTFS:
Administrators, System, Creator/Owner — полный доступ, Domain Users — чтение, изменение.
2. В ней создаем папки Docs и Profiles — разрешения наследуются.
3. Теперь политики:
Конфигурация компьютера — Административные шаблоны — Система — Профили пользователей: Add the Administrators security group to roaming user profiles / Добавить группу «Администраторы» к перемещаемому профилю пользователя
(Эта опция не применяется на существующие профили).

Конфигурация пользователя — Конфигурация Windows — Перенаправление папки («Рабочий стол» и «Мои документы») — Свойства — на вкладке «Конечная папка»

— Политика: Перенаправлять папки всех пользователей в одно место (простая) .
— Размещение конечной папки: Создать папку для каждого пользователя на корневом пути .
— Корневой путь: dc02_FolderRDR$Docs (dc02 — имя файл сервера).

Внизу окна свойств отображается подсказка о том, как будет выглядеть конечный путь.

На вкладке «Параметры»:
— Предоставить монопольный доступ — отключено — иначе у администратора не будет доступа.
— Перенести содержимое папки в новое место — включено.
— После удаления политики перенаправить папку обратно в локальный профиль пользователя .

Конфигурация пользователя — Административные шаблоны — Сеть — Автономные файлы:
— Синхронизировать автономные файлы при входе в систему — включено
— Синхронизация всех автономных файлов перед выходом из системы — включено
— Синхронизировать автономные файлы перед приостановкой — включено — быстрая
— Действия при отключения от сервера — включено — работать автономно
— Нестандартные действия при отключении от сервера — включено — работать автономно
— Удалить «Сделать доступными автономно» — включено
— Не делать перенаправляемые папки достуными в автономном режиме автоматически — отключено

4. Профиль пользователя: в Acitive Directory, в свойствах пользователя — Профиль — Путь к профилю — указываем путь:
dc02_FolderRDR$Profiles%username%

обязательно с именем пользователя в переменной (%username%), иначе у всех будет один профиль.

Microsoft рекомендует выключить кэширование папки для перемещаемых пользовательских папок (net share sharefolder /cache:no, или свойства папки-доступ-кеширование), но при этом не работают автономные файлы при отключении от сервера. Я оставил кэширование, не понял смысл рекомендации… (=.

Читать еще:  Установка второго контроллера домена 2020 r2

Устранение проблем:

Пути к офлайновым папкам прописываются в профиле, и при смене файл сервера с тестового на рабочий, чтобы решить проблему попытки синхронизации с несуществующими шарами я удалил и заново создать профиль пользователя, предварительно сохранив файлы. Думаю, можно было поправить реестр пользователя вместо этого.

Необходимо, чтобы у пользователя была локальная копия профиля изначально, иначе не будет работать сохранение файлов в отсутствии подключения к файл серверу.

Создание перемещаемых профилей с помощью Active Directory.

Профиль — это совокупность папок и данных, в которых хранятся текущее окружение пользователя (содержимое рабочего стола, параметры настройки приложений и личные данные). Профиль пользователя также содержит все элементы меню Пуск (Старт) для данного пользователя и список разрешённых сетевых дисков. Профили бывают трех типов. (Local) Локальные — создаются при первом входе пользователя в систему, хранится на локальном жестком диске. Перемещаемый (Roaming) — храниться в общей папке на сервере сети и доступен с любого компьютера. Обязательный (Mandatory) — то же, что и перемещаемый, но изменение может производить только системный администратор. Профиль является неотъемлемой частью каждой учётной записи.

Для создания перемещаемого профиля, пройдите по следующему адресу: Пуск/Администрирование/Active Directory — пользователи и компьютеры (рис.28 и рис.29).

Далее создадим подразделение для наших профилей. Для этого жмем правой кнопкой мыши по названию нашего домена, далее вкладка создать/подразделение и пишем название подразделения.

Теперь приступим к созданию самих профилей. Для этого жмем правой кнопкой мыши по созданному нами подразделению и создаем пользователя.

На первом этапе вводим Имя, Инициалы, Фамилия, Имя входа пользователя. Остальные поля заполняются автоматически. Введем имя User1, инициалы и фамилию оставим пустыми, имя входа в систему также напишем user1 и жмем “Далее”.

На следующем этапе нужно ввести пароль, под которым мы будет входить. Введем пароль 123-=qwerty и поставим галочку только напротив “Срок действия пароля не ограничен” и нажмем“Далее”.

На следующем этапе жмем “Готово”. Профиль создан.

Теперь сделаем его перемещаемым. Для этого нужно создать папку с открытым общим доступом на локальном диске. Создаем папку Allmyprofiles .

Жмем Правой кнопкой мыши по созданной папке и нажимаем на Свойства .

Далее переходим на вкладку “Доступ” и жмем на “Общий доступ” .

Здесь нам нужно выбрать, кто именно будет иметь доступ к этой папке и с какими правами. Выберем их списка “Все”, жмем добавить и ставим его “Совладельцем”, который дает нам полные права для “Все”

Жмем “Общий доступ”, затем “Готово” далее ”Закрыть”.

Далее нам нужно прописать путь профиля к этой папке и дать права на сервер. Возвращаемся в Active Directory — пользователи и компьютеры, нажимаем правой кнопкой мыши на созданный ранее профиль и жмем на свойства. Откроется окно настройки профиля .

Переходим к вкладке “Профиль” и вписываем в поле “Путь к профилю”, корневой путь к папке Allmyprofiles .

Корневой путь должен иметь следующий вид: «\WIN-4BHBTSFYA7IAllmyprofiles%username%»,

где «WIN-4BHBTSFYA7I» – имя компьютера

«Allmyprofiles» – папка с открытым доступом

%username% — создаст папку с именем профиля

Перейдем к вкладке “Член групп” и добавим наш профиль в группу Операторы Сервера

Жмем “Применить” потом “ОК”.

На этом создание перемещаемого профиля окончено. Работоспособность проверим позже, когда будем рассматривать настройки и добавление клиентской машины в домен.

Создание группы для профилей с помощью Active Directory.

Теперь мы рассмотрим, как создать группу, как добавить профили в группу, как поставить профиль управлять группой.

Итак, начнем. Для создания группы, перейдите в Пуск/Администрирование/Active Directory — пользователи и компьютеры. Нажмем правой кнопкой по папке Myprofiles, выберем “Создать” и “Группа”.

Нам предлагают ввести имя группы. Введем “GroupProfiles”. Отметки ставим как на рисунке.

Жмем “ОК”. Группа создана.

Теперь добавим профили в созданную группу. Для этого нажмите правой кнопкой мыши на профиль и “Добавить в группу”. Вводим название нашей группы и жмем “ОК”.

Все, профиль теперь находится в группе и чтобы убедится в этом, зайдем в свойства группы и перейдем на вкладку “Члены группы” и видим список профилей находящих в группе

Читать еще:  Локальная доменная группа

Теперь поставим профиль с правами на управление этой группой(он может добавлять, удалять и т.д.). Для этого в свойствах группы перейдем на вкладку “Управляется”, жмем “Изменить” и добавляем профиль

Иллюстрированный самоучитель по Microsoft Windows 2000

Перемещаемые профили пользователя

Перемещаемые профили пользователя могут быть созданы тремя способами:

  • Каждой учетной записи назначается путь к профилю пользователя. В этом случае на сервере происходит автоматическое создание пустой папки профиля пользователя. Затем пользователь может сам создать свой профиль.
  • Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя.
  • Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя. После этого файл NTuser.dat, путь к которому указан в каждой учетной записи, переименовывается в NTuser.man. В этом случае создается обязательный профиль пользователя.

Внимание
В перемещаемый профиль не входит подпапка Local Settings, где, в частности, хранятся архивы программы Outlook Express, папки Temporary Internet Files и History и временные файлы!

Имя сервера (это может быть любой сервер в сети), на котором будут находиться перемещаемые профили пользователей, указывается с помощью оснастки Локальные пользователи и группы и вкладки Профиль (Profile) окна свойств пользователя. В результате при завершении работы пользователя на компьютере его профиль сохраняется как на локальном компьютере, так и в папке на сервере, в соответствии с путем профиля.

При следующей регистрации пользователя в сети дата копии профиля, находящейся на сервере, сравнивается с копией, расположенной локально на компьютере. Если они отличаются, информация берется из более свежей копии. Перемещаемый профиль находится в централизованном хранилище профилей в масштабах домена. Он может быть доступен только при условии работоспособности хранящего его сервера. В обратном случае используется локальная кэшированная копия профиля пользователя.

Если пользователь первый раз зарегистрировался в компьютере, создается новый профиль. В любом случае, если хранящийся централизованно профиль пользователя недоступен, он не обновляется при завершении работы. При следующей регистрации в компьютере пользователю придется напрямую указать копию профиля – более новую локальную или старую копию, находящуюся на сервере.

Примечание
Настройка перемещаемых профилей пользователей, являющихся членами домена Windows 2000, выполняется при помощи оснастки Active Directory – пользователи и компьютеры (Active Directory Users and Computers), поскольку основная информация о пользователях домена хранится в каталоге. В остальном логика управления профилями остается неизменной: перемещаемый профиль хранится в указанной папке на некотором общем сетевом ресурсе, а в случае его недоступности используется кэшированная копия с локального компьютера
.

С помощью оснастки Локальные пользователи и группы можно указать имя сервера, где будет храниться заранее созданный перемещаемый профиль пользователя. Затем в окне Система (System), вызываемом из панели управления, перейдите на вкладку Профили пользователей (User Profiles), нажмите кнопку Копировать (Copy То) и скопируйте профиль заранее созданного профиля на сервер. При первой регистрации вместо профиля, установленного по умолчанию, пользователь получит копию заранее сконфигурированного профиля с сервера. В дальнейшем этот профиль функционирует так же, как любой стандартный профиль пользователя. Каждый раз, когда пользователь завершает работу, его профиль сохраняется локально и одновременно копируется на сервер.

Примечание
Для копирования профиля пользователя следует перейти на вкладку Профили пользователей окна Система. Нельзя для этой цели использовать Проводник или какой-либо другой инструмент управления файлами!

Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации. Пользователь может изменять настройки рабочего стола, но при завершении работы на компьютере изменения не заносятся в профиль. При следующей регистрации на компьютере загружается обязательный профиль пользователя, в котором не произошло никаких изменений. Профиль пользователя становится обязательным, когда вы переименовываете файл NTuser.dat в NTuser.man. В этом случае файл становится доступен только для чтения. Один обязательный профиль может быть использован большим количеством пользователей.

Примечание
Когда для обеспечения безопасности или приведения рабочей среды пользователя в соответствии с его уровнем подготовки для работы на компьютере необходимо контролировать набор доступных функций, лучше использовать групповые политики. С их помощью вы можете выбрать подмножество настроек, а также контролировать как параметры среды пользователя, так и настройки компьютера
.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×