Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 12:

Управление пользователями и данными входа

Обязательные профили

Обязательный профиль - это перемещаемый профиль, который нельзя изменять. Хотя пользователи могут изменять некоторые настройки во время сеанса, эти изменения не сохраняются в профиле на сервере и недоступны при следующем входе этого пользователя в сеть. Однако администраторы могут вносить изменения в обязательные профили пользователей. Поскольку обязательные профили нельзя изменять в соответствии с личными настройками пользователя, их можно применять к группам пользователей.

Хотя это может показаться удобным на первый взгляд, лично я советую администраторам избегать использования обязательных профилей, поскольку это порождает множество проблем. Я редко встречал обстоятельства, при которых стоило использовать обязательные профили. У вас есть сотни политик, чтобы запрещать пользователям вносить изменения в их среду, и это намного более надежный подход, чем использование обязательных профилей. Но на тот случай, когда у вас имеется убедительная причина для реализации обязательных профилей, которую я не предусмотрел, ниже описывается это средство.

Обязательные профили очень похожи на перемещаемые профили; фактически это перемещаемые профили, однако этот профиль должен существовать в подпапке профилей пользователя на сервере, прежде чем этот пользователь выполнит вход, поскольку обязательный профиль не может быть записан на сервер клиентской рабочей станцией.

Создавая подпапку профилей для пользователя, вы должны реально создать эту подпапку на сервере, поскольку рабочая станция не может этого делать автоматически, как в случае перемещаемых профилей. Задайте полномочия Read and Execute (Чтение и выполнение).

Кроме того, вы должны добавить расширение .man к последнему компоненту UNC-пути. Например, если бы вы создавали обычный перемещаемый профиль, то задали бы UNC-путь в диалоговом окне Properties для пользователя как \\Server\ProfileFolder\ Имя_пользователя. Для обязательного профиля UNC-путь задается как \\Server\ProfileFolder\ Имя_пользователя.man.

После копирования какого-либо профиля в подпапку этого пользователя переименуйте файл улья NTUSER.DAT в NTUSER.MAN, что сделает его доступным только по чтению. Расширение .man в имени подпапки предупреждает Windows Server 2003, что профиль является обязательным, и это, в свою очередь, вынуждает Windows Server 2003 запрещать пользователю вход в домен, если сервер, содержащий этот профиль, недоступен. Пользователи, которые сконфигурированы для использования перемещаемых профилей, могут использовать для входа в этом случае локальный профиль, а пользователи обязательных профилей не могут. Локальный компьютер выводит сообщение, где говорится, что данный пользователь не может выполнить вход в домен, поскольку его обязательный профиль недоступен. (Теперь вы понимаете, что я подразумевал под "множеством проблем"?)

Проблемы недоступных серверов

Наиболее распространенная проблема перемещаемых профилей возникает, когда при входе пользователя недоступен сервер, содержащий профиль этого пользователя. В этом случае Windows загружает локально кэшированную копию этого профиля. Если пользователь еще не выполнял вход на этом компьютере, то система создает новый временный профиль. В конце каждого сеанса временные профили удаляются. Изменения, внесенные пользователем в настройки и файлы рабочего стола, теряются после завершения сеанса пользователя.

Если сервер становится доступен во время работы пользователя, это не имеет значения. Изменения, которые пользователь внес в профиль, не записываются на сервер при завершении сеанса. Здесь действует простое правило: "недоступен при входе, значит, недоступен при выходе".

Домашние папки

Домашняя папка - это директория, которую вы назначаете как контейнер для документов пользователя. В случае домена это обычно папка на сервере, которая способствует резервному копирования данных пользователя. Резервное копирование серверов происходит регулярно, в то время как резервное копирование локальных рабочих станций не происходит почти никогда, даже если вы "запугиваете" своих пользователей. Вы можете также создавать домашние папки для пользователей на их локальных рабочих станциях, но обычно эту роль выполняет папка My Documents. Домашние папки на сервере создаются для отдельных пользователей внутри заранее созданного разделяемого ресурса. Например, создайте папку с именем Users и с именем разделяемого ресурса Users и задайте для группы Everyone полномочия Full Control. После этого вы можете добавлять подпапки для пользователей (\\Server\Users\ Имя_пользователя ).

Добавление домашних папок к профилям

Чтобы создать домашнюю папку для пользователя, откройте диалоговое окно Properties для этого пользователя в оснастке Active Directory Users and Computers. Перейдите во вкладку Profiles (рис. 12.10), выберите вариант Connect (Присоединить), что фактически является автоматическим отображением буквы накопителя, укажите букву накопителя и затем введите UNC-путь.

Привязка буквы накопителя к домашней папке на сервере

Рис. 12.10. Привязка буквы накопителя к домашней папке на сервере
Примечание. По умолчанию Windows Server 2003 указывает для домашних папок букву накопителя Z:, но некоторые давно работающие администраторы (включая меня) следуют старой традиции, назначая букву накопителя H:.

Если последняя часть этого пути ( имя_пользователя ) не существует, она немедленно создается. Это отличается от создания данной части пути для перемещаемых профилей, которая не создается на сервере, пока данный пользователь не выполнит вход в домен.

Вам следует продумать концепцию домашних папок и принять решения по использованию этого средства для некоторых или всех пользователей. Большим преимуществом домашних папок является хранение документов пользователей на сервере, что гарантирует резервное копирование документов вашей компании.

В случае перемещающихся пользователей вы автоматически получаете преимущества хранения документов на сервере, поскольку профиль, который загружается на локальный компьютер во время входа пользователя, содержит папку этого пользователя My Documents. Когда пользователь завершает сеанс, профиль снова записывается на сервер, включая папку My Documents и ее содержимое. Но если вы используете домашние папки, то при входе перемещающихся пользователей в домен им не приходится ждать, пока папка My Documents (и все ее содержимое) будет скопирована на локальный компьютер. Вместо этого используется указатель на серверную домашнюю папку, который является частью профиля, что намного ускоряет процессы входа и завершения сеанса (и снимает опасения относительно дискового пространства на локальном компьютере).

Перенаправление документов в домашнюю папку

Если у пользователя без перемещаемого профиля имеется домашняя папка на сервере, то в окне My Computer появляется отображаемая буква накопителя, и приглашение в командной строке тоже содержит эту букву накопителя. Однако программы продолжают сохранять документы в папке My Documents, являющейся домашней папкой. Вам нужно перенаправить папку My Documents в домашнюю папку, и это можно делать разнообразными способами.

Если у вас совсем немного пользователей, если они не являются перемещающимися пользователями и если у них есть домашние папки, то вы можете дать им указания, чтобы они перенаправили свои папки My Documents. Инструкции очень простые: нужно щелкнуть правой кнопкой мыши на папке My Documents, выбрать пункт Properties и затем изменить местоположение в поле Target (Место назначения) на домашнюю папку (соответствующая буква накопителя). Windows спросит вас, нужно ли переместить существующие документы в это новое место. Щелкните на кнопке Yes.

Чтобы пользователи не перенаправляли свои папки My Document вручную, вы можете использовать групповую политику, управляющую этим перенаправлением. Откройте редактор групповых политик (GPE) для данного домена или для организационной единицы (OU), содержащей нужных пользователей, и перейдите на уровень User Configuration\Windows Settings\Folder Redirection\My Documents. Щелкните правой кнопкой на объекте My Documents в дереве консоли, чтобы открыть диалоговое окно его свойств с выбранной вкладкой Target (рис. 12.11).

Поле Setting содержит раскрывающийся список со следующими вариантами выбора.

  • Basic (Базовое местоположение). Перенаправление папок всех пользователей в одно и то же место.
  • Advanced (Несколько мест). Указываются несколько мест для различных групп пользователей.
Вы можете перенаправлять папки My Documents каждого пользователя с помощью групповой политики

Рис. 12.11. Вы можете перенаправлять папки My Documents каждого пользователя с помощью групповой политики

Перенаправление типа Basic.При выборе варианта Basic папка My Documents каждого пользователя перенаправляется в один и тот же разделяемый ресурс. Затем внутри этого ресурса система автоматически создает подпапку для каждого пользователя. Поскольку перенаправление данного типа выполняется на один сервер, это наиболее подходит для небольшой сети или для OU, содержащей пользователей из одного места.

В поле Target folder location (Местоположение целевой папки) выберите один из следующих вариантов.

  • Redirect to the user's home directory (Перенаправлять в домашнюю папку пользователя).Выберите этот вариант, если вы уже создали домашние папки для своих пользователей.
  • Create a folder for each user under the root path (Создавать папку для каждого пользователя внутри корневого пути).Используйте этот вариант после того, как вы создали разделяемый ресурс на сервере для хранения документов пользователей.
  • Redirect to the following location (Перенаправлять в следующее место).Используйте этот вариант, если у вас уже есть подпапки для каждого пользователя. В конце UNC-пути введите переменную %username%.
  • Redirect to the local userprofile location (Перенаправлять в локальное местоположение профиля пользователя).Является обратным вариантом для всех остальных вариантов и копирует данные назад в локальный профиль пользователя.

Во вкладке Settings, см. рис. 12.12, сконфигурируйте целевую папку, выбрав следующие опции.

  • Grant the user exclusive rights to My Documents (Предоставить данному пользователю исключительные права доступа к папке Мои документы).Этот флажок, который установлен по умолчанию, создает полномочия только для пользователя %username%,не давая доступа всем остальным (включая администраторов).

Если вы как администратор хотите получить доступ в эту папку, то должны получить владение этой папкой. Если сбросить этот флажок, то задаются полномочия, определяемые наследованием (которые зависят от полномочий, заданных вами при создании родительской папки).

  • Move the contents of My Documents to the new location (Переместить содержимое папки Мои документы в новое место).Этот флажок, устанавливаемый по умолчанию, полностью соответствует своему названию. При следующем входе пользователя в домен его документы автоматически перемещаются (а не копируются) в целевую папку. Это выполняется как для локального, так и перемещающегося пользователя.
  • Policy Removal (При удалении политики).В этой секции можно задать, что происходит, если данная политика не применяется. Здесь на самом деле не предполагается, что вы возвращаетесь в редактор GPE, чтобы удалить свои политики по перенаправлению; эта секция используется в предположении, что вы применяете данную политику к определенной OU. Выбранный здесь вариант определяет, что должно быть выполнено для пользователя, который удаляется из этой OU.
  • My Pictures Preferences (Для папки Мои рисунки).Используйте эту секцию, чтобы определить, влияет ли эта политика на папку My Pictures.
Настройте вашу политику перенаправления во вкладке Settings

Рис. 12.12. Настройте вашу политику перенаправления во вкладке Settings

Перенаправление типа Advanced.Перенаправление типа Advanced используется для более крупных предприятий, где вы хотите назначить конкретные серверы, исходя из местоположения (групп). Если вы создали группы безопасности, которые связаны с отделами (например, группа для бухгалтерии), то это средство прекрасно подходит для перенаправления. Если выбрать этот вид перенаправления, то появится окно со списком Security Group Membership (Членство в группах безопасности), см. рис. 12.13.

Выбор перенаправления типа Advanced позволяет вам задавать разделяемые точки на серверах на уровне отдельных групп

Рис. 12.13. Выбор перенаправления типа Advanced позволяет вам задавать разделяемые точки на серверах на уровне отдельных групп

Щелкните на кнопке Add, чтобы выбрать группу и указать целевую разделяемую точку. Повторите эти шаги для каждой группы и разделяемой точки, которые вы хотите использовать для этой политики.