Большинство системных администраторов при развертывании и управлении
клиентскими местами своих пользователей пренебрегают такой мелочью, как
централизованным контролем над пользовательскими рабочими столами. С
одной стороны их можно понять, так как пользователи будут смотреть на
подобные действия, как на попытку полного контроля их единственным
свободным пространством, которое у них есть на рабочем месте, что
приведет к появлению конфликтных ситуаций. Но если посмотреть на этот
факт с другой стороны, то попытки предоставления пользователю
возможности изменения каких-либо настроек может привести к некорректной
конфигурации, что может некоторым образом усложнить жизнь вам, как
системному администратору. Вполне очевидно, что большинство нюансов,
связанных с балансировкой контролем пользователя за своим профилем и
централизованным управлением рабочими столами пользователя зависит от
корпоративных правил вашей организации и все эти настройки могут быть
жестко прописаны средствами групповых политик. Но даже если все было
указано в корпоративных правилах, пользователи все равно будут постоянно
с вами ругаться, так как они рано или поздно захотят поставить себе на
рабочий стол какой-то красивый пейзаж или фотографию любимого
троюродного племянника из-за чего вам будут регулярно приходить
заявления подписанные начальниками отделов с просьбой облегчить жизнь
сотруднику и позволять ему персонализировать свой рабочий стол.
Использование групповых политик, безусловно, облегчит вам жизнь, поэтому
к основной задачи, связанной с этим вопросом следует отнести процесс
убеждения пользователей в том, что управление их рабочими столами
обеспечат больший комфорт для последующей работы.
В операционных
системах Windows существуют четыре типа профилей, изменять параметры
которых могут как системные администраторы, так и конечные пользователи:
Временный профиль пользователя:
профиль, который предоставляется пользователю лишь в том случае, когда
операционной системе, из-за какой-либо системной ошибки не удалось
загрузить во время входа и, соответственно, при выходе пользователя из
системы такой профиль будет удален;
Локальный профиль пользователя: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;
Перемещаемый профиль пользователя:
профиль, который специально создается системным администратором для
конечного пользователя, и храниться на сервере. Данные профили удобны
тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход
на любом компьютере в организации;
Обязательный профиль пользователя:
перемещаемый профиль, который содержит определенные параметры для
конкретных пользователей или групп пользователей, в котором изменения
вносятся исключительно администраторами.
Чего же хотят от вас в
первую очередь конечные пользователи? Для них важнейшим моментом при
входе в систему из любого компьютера, расположенного в сети организации
является тот момент, чтобы их рабочий стол имел те настройки, что и на
своем персональном компьютере, причем для них еще очень важно иметь
доступ к своим данным независимо от своего расположения. По этой
причине, правильное управление пользовательскими профилями для конечного
пользователя значительно важнее, нежели для администратора. Всю эту
функциональность вы можете реализовать при помощи перемещаемых пользовательских профилей.
В этой статье вы узнаете о том, каким данные содержат пользовательские
профили, разницу между локальными и перемещаемыми профилями, а также об
управлении перемещаемыми профилями, средствами групповых политик.
Содержимое пользовательских профилей
Жизненный
цикл пользовательского профиля начинается с копирования папки профиля
пользователя по умолчанию, а именно папки Default User, которая хранится
на любом компьютере, работающем под управлением операционной системы
Windows. Информация в пользовательском профиле соответствует улью
HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне
папки профиля пользователя, а именно в файле Ntuser.dat.
в этом файле хранятся параметры конфигурации операционной системы,
параметры приложений, а также рабочего стола текущего пользователя.
Также профиль пользователя содержит скрытые папки, которые содержат
такую информацию, как настройки рабочего стола и меню пуск, конфигурацию
приложений и многое другое, а также папки, которые изначально доступны
пользователю и предназначены для хранения документов, музыкальных и
видео файлов, загружаемые из интернета файлы и многое другое.
Многие
из вас знают, какие папки расположены в пользовательских профилях в
операционной системе Windows XP и что все они находятся в папке
Documents and Settings. Но в операционных системах, начиная с Windows
Vista и Windows Server 2008 такой папки не существует, что немного
вводит в заблуждение людей, которые работают с данными операционными
системами впервые. Теперь все пользовательские профили расположены в
папке Users, причем появилось множество папок, доступных пользователям,
которых не было ранее. Например, все помнят, что в той же операционной
системе Windows XP, в пользовательских профилях были такие папки, как «Мои документы», «Моя музыка», «Мои картинки»
и т.д., что вызывало множество забавных конфликтных ситуацию между
пользователями и администраторами. Теперь все эти папки имеют другое
название, что позволит избежать некоторых конфликтов с конечными
пользователями. Все эти папки предоставлены в следующей таблице:
Стандартные папки пользователей |
Windows Vista/7/Server 2008/2008 R2 | Windows XP/Server 2003 | Краткое описание |
Contacts (Контакты) | Отсутствует | Папка, для хранения контактов пользователей по умолчанию |
Desktop (Рабочий стол) | Desktop | Папка, которая содержит элементы рабочего стола |
Documents (Рабочий стол) | My Documents | Папка, предназначенная для хранения всех созданных пользователем документов по умолчанию |
Downloads (Загрузки) | Отсутствует | Папка, предназначенная для хранения всех файлов, загруженных пользователем из Интернета по умолчанию |
Favorites (Избранное) | Отсутствует | Папка, содержащая избранное браузера Internet Explorer |
Links (Ссылки) | Отсутствует | Папка, в которой хранятся избранные ссылки браузера Internet Explorer |
Music (Моя музыка) | My Music | Папка, предназначенная для хранения музыкальных файлов пользователя по умолчанию |
Pictures (Изображения) | My Pictures | Папка, предназначенная для хранения файлов изображений пользователя по умолчанию |
Saved Games (Сохраненные игры) | Отсутствует | Папка, в которой расположены сохранения для игр пользователя по умолчанию |
Searches (Поиски) | Отсутствует | Папка, предназначенная для хранения поисковых запросов пользователя |
Videos (Мои видеозаписи) | My Videos | Папка, предназначенная для хранения файлов фидео пользователя по умолчанию |
Virtual Machines (Виртуальные машины)* | Отсутствует | Папка,
предназначенная для хранения виртуальных машин пользователя по
умолчанию (данная папка отсутствует в операционной системе Windows
Vista) |
Точки соединения |
AppData | Отсутствует | Данная
папка является скрытой и в ней по умолчанию содержаться данные
приложений пользователей. Эта папка содержит вложенные папки Local и
Roaming, содержимое которых описано ниже, а также папка LocalLow,
которая хранит параметры приложений для защищенных процессов и не
перемещаются при развертывании перемещаемых профилей |
AppData\Roaming | Application Data | В этой точке соединения хранятся программные данные, которые определяются разработчиками приложений |
AppData\Roaming\Microsoft\Windows\Cookies | Cookies | Содержит сведения о пользователе и параметры его настройки |
AppData\Local | Local Settings | В
этих точках соединения вы можете найти файлы данных приложений, файлы
журналов, а также временные файлы, которые входят в перемещаемый профиль |
AppData\Local\Microsoft\Windows\History |
AppData\Local\Temp |
AppData\Local\Microsoft\Windows\Temporary Internet Files |
AppData\Roaming\Microsoft\Windows\Network Shortcuts | NetHood | Эта точка соединения содержит ярлыки для элементов сетевого окружения |
AppData\Roaming\Microsoft\Windows\Printer Shortcuts | PrintHood | Эта точка соединения содержит ярлыки для элементов папки принтеров |
AppData\Roaming\Microsoft\Windows\Recent | Recent | Эта точка соединения содержит ярлыки для последних используемых документов и папок |
AppData\Roaming\Microsoft\Windows\Send To | SendTo | Эта точка соединения содержит ярлыки служебных программ по работе с документами |
AppData\Roaming\Microsoft\Windows\Start Menu | Start Menu | Эта точка соединения содержит ярлыки для программ из меню «Пуск» |
AppData\Roaming\Microsoft\Windows\Templates | Templates | Данная точка соединения включает шаблоны пользователя |
\Documents | My Documents | Содержит документы и подпапки пользователя |
Как
вы заметили из предыдущей таблицы, помимо стандартных пользовательских
папок, в профилях пользователей еще есть точки соединения – папки,
которые используются для разрешения доступа к общим папкам. Точки
соединения, на первый взгляд, выглядят аналогично папкам, но на самом
деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в
другое место на диске. При использовании приложений из предыдущих
версий Windows, точки соединения позволяют приложениям записывать
информацию в папки, которые используют новые имена в профилях
пользователей в операционных системах Windows Vista и выше (версии 2).
Основные отличия между локальными и перемещаемыми профилями
Ранее
я вкратце описал определение локальных и перемещаемых профилей. В этом
разделе я подробнее опишу значение, применение и некоторые отличия этих
двух типов пользовательских профилей.
Локальные пользовательские профили
Как
уже упоминалось ранее, локальный пользовательский профиль создается на
каждом компьютере при входе пользователя в систему. Этот профиль основан
на скрытом пользовательском профиле Default, расположенном в папке
%SystemDrive%\User, который копируется в папку профиля нового
пользователя. При этом, некоторые параметры настроек рабочего стола
пользователя определяются не только его профилем, а также и общими
группами программ из папки All Users. При выходе пользователя из
системы, все настройки, выполненные пользователем, сохраняются в его
папке профиля, а профиль в папке Default User остается без изменений.
Профили пользователей связаны с идентификаторами безопасности SID.
Поэтому, когда пользователь вновь входит на локальный компьютер, то этот
профиль извлекается и предоставляет пользователю тот же рабочий стол,
который был сохранен при его выходе. В том случае, если у пользователя
на локальном компьютере помимо учетной записи в домене есть собственная
учетная запись, то локальные профили этих учетных записей отличаются.
Если компьютер присоединен к домену, то прежде всего проверяется сетевая
версия пользовательского профиля по умолчанию, которая локализована в
общем ресурсе NETLOGON на контроллере домена.
К основному
преимуществу локальных пользовательских профилей можно отнести то, что
любой пользователь, который входит на локальный компьютер, поддерживает
уникальные личные параметры. Такие профили целесообразно держать на
домашних компьютерах или в малых офисах, где все пользователи входят в
рабочие группы. Но в том случае, когда пользователи внутри организации
перемещаются среди множества компьютеров, поддержка большого количество
профилей на каждом компьютере не считается удачным решением. Для решения
такой задачи есть смысл воспользоваться таким решением, как перемещаемыми пользовательскими профилями.
Перемещаемые пользовательские профили
Перемещаемые
пользовательские профили позволяют пользователям входить в систему на
компьютерах домена, сохраняя параметры их профилей, чтобы пользователи,
перемещающиеся среди множества компьютеров в организации, могли получать
доступ непосредственно к своему профилю. В этом случае все
пользовательские профили размещаются непосредственно на выделенном
администратором сервере. Когда пользователь выполняет вход в систему и
проходит проверку подлинности в Active Directory, пользовательский
профиль копируется на локальный компьютер. Все изменения, которые
пользователь вносит в свой профиль, локально записываются, а также
копируются в профиль пользователя, хранящийся на сервере, и используются
при следующем входе в систему. Если правильно указан путь к профилю для
учетной записи пользователя домена и сервер доступен, то при выходе
пользователя из системы копия его локального профиля будет сохранена как
локально, так и в указанной папке на сервере. Соответственно, все свои
параметры настройки и документы пользователя будут доступны ему вне
зависимости от того, на каком компьютере он входит в систему. По
умолчанию копия профиля также кэшируется на локальном компьютере. Если
пользователь уже входил с текущего компьютера, то временная метка
профиля на локальном компьютере сравнивается с временной меткой профиля в
общем ресурсе NETLOGON. Эта временная метка используется для
определения наиболее новых файлов в профиле. Если на сервере сохранен
профиль новее, чем на локальном компьютере, весь профиль копируется с
сервера. В том случае, если сервер недоступен, то пользователь получает
копию перемещаемого профиля, сохраненного в локальном буфере. А если
пользователь даже ни разу не входил в систему с данного компьютера, то
для него создается новый профиль локального пользователя. И в первом и
во втором случае, такой профиль называется временным, так как при выходе
пользователя из системы этот профиль удаляется. Стоит обратить внимание
на то, что начиная с операционной системы Windows Vista, структура
папок профилей сильно изменилась и поэтому, в смешанной среде, вам
следует тщательно спланировать реализацию перемещаемых пользовательских
профилей.
Подобным образом организована работа и с обязательными
профилями пользователя. Обязательные и перемещаемые профили совместно
используются с целью создания для группы пользователей
стандартизированной конфигурации рабочего стола с ограниченной
функциональностью. Обязательные профили есть смысл использовать в
следующем сценарии. Допустим, в вашей организации есть отдел, который
выполняет идентичные операции с распространением групповых политик,
которые ограничивают возможности персонализации рабочего стола. В этом
случае есть смысл создать единственный обязательный пользовательский
профиль для этой группы пользователей, конфигурацию которого
пользователи не смогут изменить. Такому профилю, после создания и
помещения в общий ресурс NETLOGON, следует переименовать получившийся
NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а
затем отконфигурировать его в качестве перемещаемого профиля. В итоге,
вносимые пользователем изменения профиля на профильном сервере не будут
сохраняться.
При планировании перемещаемых профилей вам также
стоит проанализировать ситуацию с применением временных пользовательских
профилей наряду с обязательными профилями. Если ваш профильный сервер
становится недоступным, то пользователи, которые входят в группу с
обязательными профилями не смогут выполнить вход в систему. Специально
для этих случаев вам нужно создать принудительными профили, которые
запрещают пользователям входить на компьютеры в случае недоступности
перемещаемых профилей, что позволяет обеспечить дополнительный,
улучшенный уровень безопасности.
Продолжение следует.