Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Программа для обнаружения и удаления вредоносных шпионских модулей, таких как программы шпионы (spyware), рекламные банн...
Программа для расширения возможностей веб-камеры, которая позволяет не просто настраивать вашу веб-камеру, но и накладыв...
Vivaldi — это гибкий, настраиваемый браузер, для которого «пользователь на первом месте», утверждают создатели, во главе...
Проигрыватель аудио-файлов. Не смотря на свой маленький размер, программа имеет довольно широкие функции: проигрывание ф...
Программа для обеспечения безопасности при подключении к точкам доступа Wi-Fi. Hotspot Shield создает частную виртуальну...
OSzone.net Microsoft Windows Server 2008 Прочее Пользовательские профили и их управление. Часть 1 RSS

Пользовательские профили и их управление. Часть 1

Текущий рейтинг: 4.5 (проголосовало 32)
 Посетителей: 18248 | Просмотров: 30855 (сегодня 7)  Шрифт: - +

Введение

*В любой компании, основополагающей частью организации считаются сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями. Для того чтобы каждый пользователь мог персонализировать фон рабочего стола, экранную заставку и прочие элементы, применяются профили пользователей. По сути, профили пользователей отличаются от учетных записей пользователей тем, что профили пользователей позволяют применять персональные параметры при каждом входе пользователя в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. Профили представляют ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Например, администратор может установить параметры пользователя по умолчанию, который бы соответствовал его задачам, не сохранял изменения, сделанные в рабочем окружении, а также загружал все параметры на локальный компьютер при каждом входе в систему. К пользовательским преимуществам можно отнести тот факт, что один компьютер может служить нескольким пользователям, то есть конкретный пользователь, который выполняет вход получает полностью настроенную рабочую среду, которая была сохранена именно для него, причем настройка рабочей среды одним пользователем не оказывает воздействия на параметры рабочей среды другого. Стоит обратить внимание на то, что у каждой учетной записи пользователя может быть не менее одного профиля.

Большинство системных администраторов при развертывании и управлении клиентскими местами своих пользователей пренебрегают такой мелочью, как централизованным контролем над пользовательскими рабочими столами. С одной стороны их можно понять, так как пользователи будут смотреть на подобные действия, как на попытку полного контроля их единственным свободным пространством, которое у них есть на рабочем месте, что приведет к появлению конфликтных ситуаций. Но если посмотреть на этот факт с другой стороны, то попытки предоставления пользователю возможности изменения каких-либо настроек может привести к некорректной конфигурации, что может некоторым образом усложнить жизнь вам, как системному администратору. Вполне очевидно, что большинство нюансов, связанных с балансировкой контролем пользователя за своим профилем и централизованным управлением рабочими столами пользователя зависит от корпоративных правил вашей организации и все эти настройки могут быть жестко прописаны средствами групповых политик. Но даже если все было указано в корпоративных правилах, пользователи все равно будут постоянно с вами ругаться, так как они рано или поздно захотят поставить себе на рабочий стол какой-то красивый пейзаж или фотографию любимого троюродного племянника из-за чего вам будут регулярно приходить заявления подписанные начальниками отделов с просьбой облегчить жизнь сотруднику и позволять ему персонализировать свой рабочий стол. Использование групповых политик, безусловно, облегчит вам жизнь, поэтому к основной задачи, связанной с этим вопросом следует отнести процесс убеждения пользователей в том, что управление их рабочими столами обеспечат больший комфорт для последующей работы.

В операционных системах Windows существуют четыре типа профилей, изменять параметры которых могут как системные администраторы, так и конечные пользователи:

Временный профиль пользователя: профиль, который предоставляется пользователю лишь в том случае, когда операционной системе, из-за какой-либо системной ошибки не удалось загрузить во время входа и, соответственно, при выходе пользователя из системы такой профиль будет удален;

Локальный профиль пользователя: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;

Перемещаемый профиль пользователя: профиль, который специально создается системным администратором для конечного пользователя, и хранится на сервере. Данные профили удобны тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход на любом компьютере в организации;

Обязательный профиль пользователя: перемещаемый профиль, который содержит определенные параметры для конкретных пользователей или групп пользователей, в котором изменения вносятся исключительно администраторами.

Чего же хотят от вас в первую очередь конечные пользователи? Для них важнейшим моментом при входе в систему из любого компьютера, расположенного в сети организации является тот момент, чтобы их рабочий стол имел те настройки, что и на своем персональном компьютере, причем для них еще очень важно иметь доступ к своим данным независимо от своего расположения. По этой причине, правильное управление пользовательскими профилями для конечного пользователя значительно важнее, нежели для администратора. Всю эту функциональность вы можете реализовать при помощи перемещаемых пользовательских профилей. В этой статье вы узнаете о том, каким данные содержат пользовательские профили, разницу между локальными и перемещаемыми профилями, а также об управлении перемещаемыми профилями, средствами групповых политик.

Содержимое пользовательских профилей

Жизненный цикл пользовательского профиля начинается с копирования папки профиля пользователя по умолчанию, а именно папки Default User, которая хранится на любом компьютере, работающем под управлением операционной системы Windows. Информация в пользовательском профиле соответствует улью HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне папки профиля пользователя, а именно в файле Ntuser.dat. в этом файле хранятся параметры конфигурации операционной системы, параметры приложений, а также рабочего стола текущего пользователя. Также профиль пользователя содержит скрытые папки, которые содержат такую информацию, как настройки рабочего стола и меню пуск, конфигурацию приложений и многое другое, а также папки, которые изначально доступны пользователю и предназначены для хранения документов, музыкальных и видео файлов, загружаемые из интернета файлы и многое другое.

Многие из вас знают, какие папки расположены в пользовательских профилях в операционной системе Windows XP и что все они находятся в папке Documents and Settings. Но в операционных системах, начиная с Windows Vista и Windows Server 2008 такой папки не существует, что немного вводит в заблуждение людей, которые работают с данными операционными системами впервые. Теперь все пользовательские профили расположены в папке Users, причем появилось множество папок, доступных пользователям, которых не было ранее. Например, все помнят, что в той же операционной системе Windows XP, в пользовательских профилях были такие папки, как «Мои документы», «Моя музыка», «Мои картинки» и т.д., что вызывало множество забавных конфликтных ситуацию между пользователями и администраторами. Теперь все эти папки имеют другое название, что позволит избежать некоторых конфликтов с конечными пользователями. Все эти папки предоставлены в следующей таблице:

Стандартные папки пользователей
Windows Vista/7/Server 2008/2008 R2Windows XP/Server 2003Краткое описание
Contacts (Контакты)ОтсутствуетПапка, для хранения контактов пользователей по умолчанию
Desktop (Рабочий стол)DesktopПапка, которая содержит элементы рабочего стола
Documents (Рабочий стол)My DocumentsПапка, предназначенная для хранения всех созданных пользователем документов по умолчанию
Downloads (Загрузки)ОтсутствуетПапка, предназначенная для хранения всех файлов, загруженных пользователем из Интернета по умолчанию
Favorites (Избранное)ОтсутствуетПапка, содержащая избранное браузера Internet Explorer
Links (Ссылки)ОтсутствуетПапка, в которой хранятся избранные ссылки браузера Internet Explorer
Music (Моя музыка)My MusicПапка, предназначенная для хранения музыкальных файлов пользователя по умолчанию
Pictures (Изображения)My PicturesПапка, предназначенная для хранения файлов изображений пользователя по умолчанию
Saved Games (Сохраненные игры)ОтсутствуетПапка, в которой расположены сохранения для игр пользователя по умолчанию
Searches (Поиски)ОтсутствуетПапка, предназначенная для хранения поисковых запросов пользователя
Videos (Мои видеозаписи)My VideosПапка, предназначенная для хранения файлов фидео пользователя по умолчанию
Virtual Machines (Виртуальные машины)*ОтсутствуетПапка, предназначенная для хранения виртуальных машин пользователя по умолчанию (данная папка отсутствует в операционной системе Windows Vista)
Точки соединения
AppDataОтсутствуетДанная папка является скрытой и в ней по умолчанию содержаться данные приложений пользователей. Эта папка содержит вложенные папки Local и Roaming, содержимое которых описано ниже, а также папка LocalLow, которая хранит параметры приложений для защищенных процессов и не перемещаются при развертывании перемещаемых профилей
AppData\RoamingApplication DataВ этой точке соединения хранятся программные данные, которые определяются разработчиками приложений
AppData\Roaming\Microsoft\Windows\CookiesCookiesСодержит сведения о пользователе и параметры его настройки
AppData\LocalLocal SettingsВ этих точках соединения вы можете найти файлы данных приложений, файлы журналов, а также временные файлы, которые входят в перемещаемый профиль
AppData\Local\Microsoft\Windows\History
AppData\Local\Temp
AppData\Local\Microsoft\Windows\Temporary Internet Files
AppData\Roaming\Microsoft\Windows\Network ShortcutsNetHoodЭта точка соединения содержит ярлыки для элементов сетевого окружения
AppData\Roaming\Microsoft\Windows\Printer ShortcutsPrintHoodЭта точка соединения содержит ярлыки для элементов папки принтеров
AppData\Roaming\Microsoft\Windows\RecentRecentЭта точка соединения содержит ярлыки для последних используемых документов и папок
AppData\Roaming\Microsoft\Windows\Send ToSendToЭта точка соединения содержит ярлыки служебных программ по работе с документами
AppData\Roaming\Microsoft\Windows\Start MenuStart MenuЭта точка соединения содержит ярлыки для программ из меню «Пуск»
AppData\Roaming\Microsoft\Windows\TemplatesTemplatesДанная точка соединения включает шаблоны пользователя
\DocumentsMy DocumentsСодержит документы и подпапки пользователя

Как вы заметили из предыдущей таблицы, помимо стандартных пользовательских папок, в профилях пользователей еще есть точки соединения – папки, которые используются для разрешения доступа к общим папкам. Точки соединения, на первый взгляд, выглядят аналогично папкам, но на самом деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в другое место на диске. При использовании приложений из предыдущих версий Windows, точки соединения позволяют приложениям записывать информацию в папки, которые используют новые имена в профилях пользователей в операционных системах Windows Vista и выше (версии 2).

Основные отличия между локальными и перемещаемыми профилями

Ранее я вкратце описал определение локальных и перемещаемых профилей. В этом разделе я подробнее опишу значение, применение и некоторые отличия этих двух типов пользовательских профилей.

Локальные пользовательские профили

Как уже упоминалось ранее, локальный пользовательский профиль создается на каждом компьютере при входе пользователя в систему. Этот профиль основан на скрытом пользовательском профиле Default, расположенном в папке %SystemDrive%\User, который копируется в папку профиля нового пользователя. При этом, некоторые параметры настроек рабочего стола пользователя определяются не только его профилем, а также и общими группами программ из папки All Users. При выходе пользователя из системы, все настройки, выполненные пользователем, сохраняются в его папке профиля, а профиль в папке Default User остается без изменений. Профили пользователей связаны с идентификаторами безопасности SID. Поэтому, когда пользователь вновь входит на локальный компьютер, то этот профиль извлекается и предоставляет пользователю тот же рабочий стол, который был сохранен при его выходе. В том случае, если у пользователя на локальном компьютере помимо учетной записи в домене есть собственная учетная запись, то локальные профили этих учетных записей отличаются. Если компьютер присоединен к домену, то прежде всего проверяется сетевая версия пользовательского профиля по умолчанию, которая локализована в общем ресурсе NETLOGON на контроллере домена.

К основному преимуществу локальных пользовательских профилей можно отнести то, что любой пользователь, который входит на локальный компьютер, поддерживает уникальные личные параметры. Такие профили целесообразно держать на домашних компьютерах или в малых офисах, где все пользователи входят в рабочие группы. Но в том случае, когда пользователи внутри организации перемещаются среди множества компьютеров, поддержка большого количество профилей на каждом компьютере не считается удачным решением. Для решения такой задачи есть смысл воспользоваться таким решением, как перемещаемыми пользовательскими профилями.

Перемещаемые пользовательские профили

Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.

Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.

При планировании перемещаемых профилей вам также стоит проанализировать ситуацию с применением временных пользовательских профилей наряду с обязательными профилями. Если ваш профильный сервер становится недоступным, то пользователи, которые входят в группу с обязательными профилями не смогут выполнить вход в систему. Специально для этих случаев вам нужно создать принудительными профили, которые запрещают пользователям входить на компьютеры в случае недоступности перемещаемых профилей, что позволяет обеспечить дополнительный, улучшенный уровень безопасности.

Продолжение следует.

Автор: Дмитрий Буланов  •  Иcточник: dimanb.wordpress.com  •  Опубликована: 06.12.2010
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.