Перемещаемые профили в Active Directory?

Question

[Vi]

Дайте совет рекомендации по настройкам таких пользователей

Мне понравилась идея с такими настройками(перемещаемыми) но если вдруг у человека стоит 50 гигов фильмов на рабочем столе. они все чтоли будут подгружаться каждый раз когда он заходит или меняет рабочее место?

Какие вообще кто может посоветовать best practice по управлению пользователями и автоматизации в среде Windows

Answer 1

[TheShestov]

Vi Не рекомендую связываться с перемещающими профилями. Я не уточняю, что у тебя за организация, условия парка и т д, НО! Я не рекомендую.
А вот наиболее полезный функционал из перемещаемого профиля у меня реализован по другому и вот как:
Создаем на выделенном файловом сервере папку Personal. шарим ее в сеть - всем на изменение\чтение
Создаем политику: Folder_redirect
1. конф. компьютера: сеть\автономные файлы. Ограничить размер дискового пространства, используемого автономными файлами в мб: общий 50000 размер автоматически кэшируемых: 10000 (но цифры по своим нуждам выставлять)
2. конф. пользователя:
конв. Windows\перенаправление папок\Документы - и ТУТ! выставляем путь расшаренной папки, примерно так: \\srv-profile\personal\%USERNAME%\documents
Проставляем параметры: монопольный доступ=офф. переместить содержимое докумнетов в новое=ON. политика для old систем - на усмотрение...
Процедура удаления политики - восстановить содержимое
Готово. Теперь проделать тоже самое с Desktop только путь будет иной в конце:
\\srv-profile\personal\%USERNAME%\desktop
Дополнительно настраиваете административные шаблоны:
Сеть\автономные файлы:
действия при отключении от сервера: режим: Работа в автономном режиме (файлы будут доступны на локале, если сервер недоступен)
Включить синхронизацию автономных файлов перед выходом из системы и перед приостановкой. Тип: Полный режим.
Система\перенаправление папок:
не предоставлять автоматический автономный доступ к определенным перенапр. папкам: OFF. ко всем перенаправленным папкам: OFF
Все готово!
Теперь у вас картина такая (если вдруг не ясно) - куда-бы пользователь не сел, а возможно даже подключился к терминальному серверу - у него всегда будут доступны его папки рабочего стола и моих документов. Безусловно без всех его няшностей, настроенного вида на рабочем столе и т д (как это в перемещаемом профиле работает), но зато весь функционал, а именно ЭТО зачастую требуется, у вас работает! Синхронизация никогда не беспокоит. Ни пользователя, ни вас. Проверено не одним годом.
Пользуйтесь ;)

Comments

[Vi]

Попробую разобраться и может отпишусь если получится в ближайшее время организовать

[gimntut]

TheShestov: Очень красивое решение. Правда, есть случай, в котором не стоит им пользоваться, когда используются торговые площадки или банк-клиент с использованием IE и ActiveX. В случае использования перемещаемых профилей с компьютера на компьютер переезжает реестр и сертификаты. Сейчас это редкость, но Vi это тоже нужно иметь ввиду.

[Vi]

Я всё равно некоторые пункты из списка плохо понял, и почему так недолюблювают переносимые профили. я не спец в этих технологиях, но идея удобная для администрирования. пользователи вообще не понимают что произошоло когда им новый комп даешь а там всё тоже самое. Я бы рад чтото другое, но не знаю где это изучать. может чтото посоветуете? О Windows

[TheShestov]

gimntut: спасибо. безусловно. нюансы есть всегда и везде :) Vi: я не рекомендую использовать это решение, т.к. за весь период работы с перемещаемыми профилями - я постоянно напарывался на те или иные глюки. и ЛЮБИМАЯ тема перемещаемых профилей - это "временный профиль пользователя". Тот случай, когда ваш пользователь ушел домой. а пришел на работу и залогиниться может только во временный профиль. и то одно... то другое... поэтому пробовать то - всегда пожалуйста. работать вам. шишки тоже вам ловить сверху.
насчет описанного мною решения - я не понимаю, что там непонятного. если остались вопросы - можете уточнить. но описанное решение работает не в первом проде :)

[Александр Бавтюк]

Интересное решение, спасибо!
Есть вопрос:
1. конф. компьютера: сеть\автономные файлы. Ограничить размер дискового пространства, используемого автономными файлами в мб: общий 50000 размер автоматически кэшируемых: 10000 (но цифры по своим нуждам выставлять)
в данном примере, получается, что у всех перенаправленных пользователей макс.размер перенаправленных файлов будет составлять 50гб? Или это 50гб на каждого юзера?
Что будет, если преодолеть данный порог?

[Василий]

TheShestov Большое спасибо за то что делитесь ценной информацией, вымученной годами практики)) Дистанционно жму вам руку, и благодарю от всей души!

[TheShestov]

snaiper04ek, спасибо, за добрые слова! рад был помочь сейчас, несмотря на то, что сам уже давно с этим не работаю :)

Answer 2

[gimntut]

Про windows 7 ни чего не скажу, но для xp нужно обязательно вынести папки "моя музыка" и "моё видео" за пределы папки "мои документы". Это делается через групповые политики. Для служебных видео (всякие промо-ролики предприятия, съёмка производственного брака и т.п.) должна быть отдельная сетевая папка. Так же через групповые политики нужно создать папку для личных файлов пользователей. А ярлык этой папки вывести на рабочий стол и в мои документы.
Если музыка и видео попадает в мои документы - уничтожать безжалостно. При таких условиях синхронизация происходит достаточно быстро. При синхронизации по сети передаются только те файлы, которые поменялись.
И обязательный инструктаж. Сначала каждому(!) пользователю нужно показать как это работает на собственном примере. В присутствии пользователя нужно войти на два компьютера со своим логином, показать, что "мои документы" и "рабочий стол" синхронизируется, а папка на диске c:, программы, музыка и видео - нет. Объяснить, что всё, что есть на рабочем столе и в моих документах сохраняется в бэкапах организации на всегда, и что для личных файлов есть своя отдельная папка, и что любую музыку которую они оставят в моих документах они гарантированно потеряют. Ещё нужно объяснить, что если что-то случится с компьютером, то личные данные они потеряют, пусть хранят их дома.

Алгоритм получается такой
1. Вынести "тяжелые" системные папки за пределы пользовательского профиля и создать папку для личных данных.
2. Провести инструктаж, дать 3 дня на то, чтобы разложили файлы по своим местам.
3. Включить перемещаемый профиль
Если пользователь "случайно забыл", то получит долгое включение и выключение компьютера и потеряет "любимые песни Игоря Николаева".

Внедрение лучше выполнять по отделам.

Comments

[shaazz]

А в продолжение, как следующий этап, перевод с компьютеров на терминалы. И тогда на рабочий стол поставить квоту, чтобы там только ярлыки вмещались, а запись с флешек только через ИТ-отдел, и ни о каких 50Гб фильмов уже речи даже не будет )

[Vi]

shaazz: расскажите в чем преимущество терминалов? И как запись флешек ограничить?

[shaazz]

В терминале, если USB не пробрасывать, то и флешки - ограничены, а запись с/на флешку через ИТ-отдел. Преимущество - независимость рабочего места от компьютера, сломался терминал - поставил замену и пользователь продолжает работу с места перед поломкой. Также переезд (временный/постоянный) по офису - сменил в конфигурационном файле на сервере с TFTP логин, и пользователь приступает к работе на новом месте. Перемещаемые профили, при использовании DFS, в терминале удобнее использовать: на файловом сервере профили в одном месте, через перенаправление папок документы, почтовые базы Outlook в другом, и опять же ночной бэкап на файловое хранилище; с помощью Диспетчера ресурсов файл. сервера квоты на рабочий стол, плюс блокировки файлов (кстати удобно было блокировать, когда шифровальщики в формате scr рассылали). Подключение к рабочей сессии пользователя без отбирания экрана из коробки (не нужно стороннее ПО типа радмина). Может что еще что не назвал.

[gimntut]

Vi: Чтобы заблокировать флэшки достаточно через групповую политику запустить на всех компьютерах команду "sc config usbstor start= disabled". А чтобы пользователь не смог снять блокировку, у него не должно быть прав администратора.

Answer 3

[Тимур Усманов]

Соглашусь во всем с gimntut плюс добавлю еще, что если у вас Windows Server 2012, то там можно настроить софтверные запреты на хранение определенных типов файлов (*.mp3, *.mp4, etc) в определенных папках + настроить квоты на объем папки пользователя.