Обзор
В данной статье, предназначенной для системных администраторов, рассказывается о компонентах IntelliMirror – технологии управления пользовательскими данными и настройками в Windows XP. Осуществляя эффективное управление этими ключевыми элементами конфигурации пользователей, предприятия могут снизить совокупную стоимость владения компьютерами (TCO).
На этой странице:
Введение
Профиль пользователя содержит настройки компьютера для конкретного пользователя, включая личные параметры интерфейса и пользовательской среды.
Профиль создается при первом входе пользователя на компьютер под управлением операционной системы Windows XP, Windows 2000 или Windows NT. Профиль представляет собой ряд параметров и файлов, определяющих пользовательскую среду при входе в систему. В него входят настройки приложений, сетевые подключения и принтеры, настройки мыши, а также оформление и расположения окон. Профили не являются пользовательскими политиками. Даже если Вы не используете групповые политики, у пользователя все равно будет свой профиль.
Можно хранить данные пользователей на жестком диске или настроить перемещение данных вслед за пользователем, обеспечивая доступ к ним на любом компьютере локальной сети. В пользовательские данные входят ярлыки к исполняемым файлам, личные файлы и пользовательские настройки (например, собственный словарь офисного приложения).
В зависимости от методов управления локальной сетью, настройки компьютера могут быть заданы пользователем или системным администратором.
Следующие типы пользовательских профилей доступны в Windows 2003 Server, Windows XP Professional и Windows 2000 Professional.
- Локальный профиль пользователя. Создается при первом входе пользователя в систему и хранится на локальном жестком диске. Любые изменения, сделанные в локальном пользовательском профиле, относятся только к компьютеру, на котором они были произведены.
- Перемещаемый профиль пользователя. Копия локального профиля хранится на общем ресурсе сервера. Профиль загружается при каждом входе пользователя на компьютер локальной сети. Все изменения в перемещаемом профиле синхронизируются с копией на сервере по завершении пользовательского сеанса.
- Обязательный профиль пользователя. ИТ специалисты могут использовать этот тип профиля, чтобы задать определенные пользовательские настройки. Изменения в обязательный профиль пользователя могут вносить лишь системные администраторы. Пользовательские изменения сохраняются только до окончания текущего сеанса.
- Временный профиль пользователя. Временный профиль используется в тех случаях, когда из-за ошибки не удается загрузить профиль пользователя. По завершении сеанса временный профиль удаляется, и изменения, внесенные в настройки пользователя, не сохраняются.
Примечание. Если Вашей организации требуется управление конфигурациями различных групп пользователей и компьютеров, Вы можете воспользоваться групповыми политиками вместо обязательных профилей.
Преимущества профилей пользователей
Пользовательские профили призваны разделить обеспечить независимость данных и настроек для каждого пользователя и локального компьютера. Разделение настроек дает следующие преимущества:
- «Обезличенный» компьютер. Компьютеры организации можно настроить для хранения настроек на серверных ресурсах. Это существенно упрощает замену компьютера или резервное копирование данных. Если возникнет необходимость в замене компьютера, то достаточно будет просто установить новый. Все пользовательские настройки надежно сохраняются в локальной сети и не привязаны к аппаратной конфигурации. Они будут скопированы при первом же входе пользователя в систему на новом компьютере.
- Перемещение пользовательских настроек от компьютера к компьютеру избавляет от необходимости настраивать каждый компьютер под себя. При входе в систему на компьютере, поддерживающем перемещаемые профили, пользователь видит свой рабочий стол в точно таком же состоянии, в каком он был при завершении предыдущего сеанса. Внедрение поддержки перемещаемых пользователей позволяет им работать на различных компьютерах сети, сохраняя при этом собственный рабочий стол. Данную функциональность поддерживают как перемещаемый, так и обязательный профили.
Наверх страницы
Структура профиля пользователя
Профиль пользователя составляют:
- Раздел системного реестра (куст). Реестр представляет собой базу данных общих и личных настроек пользователей. Части реестра могут быть сохранены в файлы, именуемые кустами. Такие кусты можно загрузить в реестр при необходимости. Преимущества этой технологии легли в основу функциональности перемещаемых профилей. Куст пользовательского профиля, по сути, представляет собой файл NTuser.dat, загружающийся в раздел реестра HKEY_CURRENT_USER при входе пользователя в систему. Файл NTuser.dat сохраняет все изменения настроек пользовательской среды, произведенные в течение сеанса. В этом файле сохраняются настройки сетевых подключений, конфигурация элементов панели управления, уникальных для каждого пользователя (например, обои на рабочем столе или настройки мыши), а также настройки приложений. Большинство пользовательских настроек доступно для изменения компонентам операционной системы и сторонним приложениям.
- Набор папок профиля, хранящийся в файловой системе. Файлы пользовательских настроек хранятся в специально отведенном для этого каталоге. При этом для каждого пользователя создается отдельная папка, которую операционная система и приложения в процессе работы наполняют подпапками и файлами данных пользователя. Такими файлами могут быть ярлыки, иконки рабочего стола, автоматически загружаемые приложения, документы, конфигурационные файлы и т.д.
Вместе эти два компонента и составляют пользовательские настройки, которые можно перемещать от компьютера к компьютеру.
На компьютерах, работающих под управлением Windows NT, профили располагаются в системном каталоге %Systemroot%\profiles (обычно, WINNT\profiles). Однако, начиная с Windows 2000, расположение профилей по умолчанию было изменено. В операционных системах Windows 2003 Server, Windows XP или Windows 2000 профили теперь хранятся в папке %Systemdrive%\Documents and Settings, что позволяет отделить пользовательские настройки от папок и файлов операционной системы.
Примечание. Если Вы производите обновление операционной системы с Windows NT на более новую версию, то расположение профилей остается неизменным (%Systemroot%\profiles),
В Таблице 1 приведены расположения профилей пользователей для каждого из возможных сценариев установки Windows XP.
Таблица 1. Расположение профилей пользователей.
Операционная система | Расположение профилей пользователей |
«Чистая» установка Windows XP (нет предыдущей ОС) | %SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Обновление Windows 2000 до Windows XP | SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Обновление Windows NT 4.0 до Windows XP | %SYSTEMROOT%\Profiles; например, C:\WinNT\Profiles |
Обновление Windows 98 до Windows XP | %SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Пользовательские настройки, хранящиеся в реестре
Файл NTuser.dat содержит следующие настройки:
- Настройки Проводника. Все пользовательские настройки Проводника и сетевых подключений.
- Настройки панели задач.
- Настройки принтеров. Все подключения к сетевым принтерам.
- Панель управления. Все пользовательские настройки панели управления.
- Стандартные программы. Все пользовательские настройки приложений Windows, многие из которых доступны из меню Пуск – Программы – Стандартные (Калькулятор, Блокнот, Paint, HyperTerminal и другие)
- Настройки приложений. Многие приложения хранят пользовательские настройки в разделе реестра HKEY_CURRENT_USER. Например, MS Word 2003 хранит там свои настройки панелей инструментов.
Настройки, хранящиеся в папках профиля
Рисунок 1 демонстрирует структуру профиля пользователя:
Рисунок 1. Профиль пользователя.
Каждый пользовательский профиль содержит следующие папки:
- Application data*. Данные различных приложений. Например, вспомогательный словарь текстового редактора. Производители программного обеспечения определяют, какие данные хранить в этой папке.
- Cookies. Файлы «cookie» обозревателя Internet Explorer.
- Local Settings*. Настройки приложений, которые не перемещаются вместе с профилем. Обычно они либо относятся к конкретному компьютеру, либо слишком большой объем данных препятствует их эффективному перемещению.
- Application data. Данные приложений, относящиеся к конкретному компьютеру.
- History. Журнал обозревателя Internet Explorer
- Temp. Временные файлы.
- Temporary Internet Files. Автономные файлы (кэш) обозревателя Internet Explorer.
- Nethood*. Ярлыки к элементам сетевого окружения.
- Printhood*. Ярлыки к принтерам.
- SendTo. Ярлыки к папкам и приложениям.
- Главное меню. Ярлыки к программам.
- Избранное. Избранное (закладки) обозревателя Internet Explorer.
- Мои документы. Папка по умолчанию для новых документов и файлов пользователя. Приложения должны создаваться таким образом, чтобы они по умолчанию сохраняли свои файлы в этой папке.
- Мои рисунки. Папка по умолчанию для графических изображений.
- Моя музыка. Папка по умолчанию для музыкальных файлов.
- Недавние документы. Ярлыки к недавно использовавшимся документам.
- Рабочий стол. Элементы рабочего стола, включая файлы и ярлыки.
- Шаблоны*. Ярлыки к шаблонам.
*Эти папки скрыты по умолчанию. Чтобы их увидеть, нужно изменить настройки отображения папок в Проводнике (в меню Сервис выбрать Свойства папки и на вкладке Вид установить переключатель в положение Показывать скрытые файлы и папки).
Перенаправление папок
Одной из возможностей технологии IntelliMirror является перенаправление папок. Эта особенность позволяет системным администраторам перенаправить расположение определенных папок профиля пользователя на сетевой ресурс. Когда Windows или приложение обращаются к перенаправленным папкам, операционная система автоматически выполняет переадресацию на общий сетевой ресурс, указанный администратором. С точки зрения пользователей все выглядит аналогично перемещаемым профилям. Их документы и файлы всегда под рукой вне зависимости от используемого компьютера. Однако в отличие от перемещаемых профилей, пользовательские данные все время находятся на сетевом ресурсе. Перенаправление папок можно использовать со всеми типами профилей пользователя: локальным, перемещаемым и обязательным.
Из перенаправления папок локального профиля можно извлечь ряд преимуществ, предоставляемых технологией перемещения профилей. Например, пользовательские данные становятся доступны с любого компьютера, а их обслуживание ведется на сервере. Однако перенаправление папок позволяет сделать доступными на любом компьютере только документы и файлы пользователя. Для перемещения всех пользовательских настроек следует задействовать перемещаемые профили.
Скомбинировав перенаправление папок с перемещаемыми профилями, Вы получаете все преимущества перемещаемых профилей, одновременно минимизируя сетевой трафик, который требуется для синхронизации профилей пользователей.
Перенаправление папок осуществляется при помощи групповых политик. О совместном использовании перенаправления папок и перемещаемых профилей, рассказывается ниже в этой статье.
В Таблице 2 перечислены папки, по умолчанию перемещаемые вместе с профилем, а также указана возможность их перенаправления групповыми политиками.
Таблица 2. Папки, перемещаемые с профилем.
Название папки | Описание | По умолчанию перемещается с профилем | Перенаправляется групповыми политиками |
Application Data | Перемещаемые пользовательские данные приложений | Да | Да |
Cookies | Файлы «cookie» Internet Explorer | Да | Нет |
Local Settings | Временные файлы и неперемещаемые пользовательские данные приложений | Нет | Нет |
NetHood | Ярлыки к элементам сетевого окружения | Да | Нет |
PrintHood | Ярлыки к принтерам | Да | Нет |
Send To | Ярлыки к папкам с документами и приложениям | Да | Нет |
Главное меню | Личные настройки меню Пуск | Да | Да |
Избранное | Избранное Internet Explorer | Да | Нет |
Мои документы | Документы пользователя | Да | Да |
Недавние документы | Ярлыки к недавно использовавшимся документам | Да | Нет |
Рабочий стол | Элементы рабочего стола, включая файлы и ярлыки. | Да | Да |
Шаблоны | Пользовательские шаблоны | Да | Нет |
Неперемещаемые папки
При перемещении профиля в Windows NT 4.0 задействовались все папки из каталога профиля. Таким образом, при входе пользователя в систему происходило копирование всех папок профиля с сервера на компьютер клиента, а по окончании работы и выходе из системы все папки копировались обратно на сервер.
Начиная с Windows 2000, в профиле пользователя появилась папка локальных настроек, которые не копируются при входе в систему и завершении сеанса. Эта папка предназначена для хранения компонентами операционной системы или сторонними приложениями неперемещаемых данных пользователя. Ярким примером использования этой папки служит работа Internet Explorer. Обозреватель хранит содержимое папки Избранное в перемещаемой части профиля, а временные файлы Интернета размещаются в локальной (неперемещаемой) части профиля. Такой подход сохраняет пользователю постоянный доступ к Избранному, позволяя обойтись без копирования временных файлов при входе и выходе из системы.
В Windows XP папки History, Local Settings, Temp и Temporary Internet Files не перемещаются по умолчанию. Остальные неперемещаемые папки настраиваются при помощи оснастки групповых политик. Для этого в разделе Конфигурация пользователя\Административные шаблоны\Система\Профили пользователей (User Configuration\Administrative Templates\System\User Profiles) есть политика Исключить папки из перемещаемого профиля (Exclude directories in roaming profile).
Включив данную политику, Вы можете перечислить несколько папок, путь к которым указывается относительно корневого каталога профиля. Перечисленные папки не будут копироваться как с сервера на компьютер клиента при входе в систему, так и в обратном направлении по завершении сеанса. Включение этой политики ограничивает объем пользовательских данных, перемещаемых вместе с профилем, что позволяет уменьшить время, требуемое для входа пользователя в систему.
Как пользователи получают свои профили?
Способ получения профилей пользователями зависит от того, какой тип профиля для них сконфигурирован. В этом разделе описан процесс получения различных типов профилей.
Локальный профиль для нового пользователя
- Пользователь входит в систему
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить существует ли локальный профиль для данного пользователя.
- Очевидно, у нового пользователя еще нет локального профиля. Если компьютер входит в состав домена, операционная система проверяет наличие профиля по умолчанию для всего домена. Поиск производится в папке Default User на общем сетевом ресурсе NETLOGON контроллера домена.
- Если доменный профиль по умолчанию существует, он копируется на локальный компьютер в каталог %SYSTEMDRIVE%\Documents and Settings\. При этом названием скопированной папки становится имя пользователя. Например, для нового пользователя JDoe профиль создается в %SYSTEMDRIVE%\Documents and Settings\JDoe.
- Если доменного профиля по умолчанию не существует, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Если компьютер не входит в домен, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- При выходе из системы профиль сохраняется на локальном жестком диске компьютера.
Локальный профиль для существующего пользователя
- Пользователь входит в систему
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить существует ли локальный профиль для данного пользователя.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- При выходе из системы профиль сохраняется на локальном жестком диске компьютера.
Перемещаемый профиль для нового пользователя
- Пользователь входит в систему
- Путь к перемещаемому профилю извлекается из объекта пользователя на контроллере домена.
- Windows проверяет наличие профиля в полученном пути. При отсутствии профиля создается папка.
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить, существует ли кэшированная копия профиля пользователя. Если локальная копия профиля не найдена, а компьютер входит в состав домена, Windows проверяет наличие профиля по умолчанию для всего домена. Поиск производится в папке Default User на общем сетевом ресурсе NETLOGON контроллера домена.
- Если доменный профиль по умолчанию существует, он копируется на локальный компьютер в папку каталога %SYSTEMDRIVE%\Documents and Settings\. При этом названием скопированной папки становится имя пользователя.
- Если доменного профиля по умолчанию не существует, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- Пользователь может запускать приложения и работать с документами как обычно. При выходе из системы локальный профиль копируется в каталог, назначенный администратором. Если профиль уже существует на сервере, то происходит объединение локального профиля с серверной копией (подробнее механизм объединения описан ниже в этой статье).
Перемещаемый профиль для существующего пользователя
- Пользователь входит в систему
- Путь к перемещаемому профилю извлекается из объекта пользователя в контроллере домена.
- Windows проверяет наличие профиля по указанному пути. При отсутствии профиля создается папка.
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы получить путь к кэшированной копии профиля пользователя, если таковая существует.
- Содержимое локального кэшированного профиля сравнивается с копией профиля на сервере. По результатам сравнения происходит объединение локального профиля с серверной копией (подробнее механизм объединения описан ниже в этой статье).
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- Пользователь может запускать приложения и работать с документами как обычно. При выходе из системы локальный профиль копируется в каталог, назначенный администратором. Если профиль уже существует на сервере, то происходит объединение локального профиля с серверной копией.
Наверх страницы
Усовершенствования в профилях пользователей в Windows XP
Ряд усовершенствований в управлении пользовательскими данными и настройками в Windows XP позволяет улучшить удобство использования и гибкость профилей, а также увеличить быстродействие их работы.
Новые настройки групповых политик
В редакторе групповых политик создан новый раздел для политик профилей пользователей: Конфигурация пользователя\Административные шаблоны\Система\Профили пользователей (User Configuration\Administrative Templates\System\User Profiles). Кроме того, появились три новых политики в Конфигурации компьютера:
- Запретить распространение изменений в перемещаемом профиле на сервер (Prevent Roaming Profile Changes from Propagating to the server). Эта политика определяет, будут ли изменения, вносимые пользователем в свой перемещаемый профиль, добавляться к копии его профиля на сервере. Если эта политика включена, при входе пользователь получит свой перемещаемый профиль. Но любые изменения, сделанные пользователем в своем профиле, не будут внесены в перемещаемый профиль при выходе из системы.
- Добавлять группу администраторов для перемещаемых профилей пользователя (Add the Administrator security group to the roaming user profile share). Для операционных систем Windows 2000 Professional и Windows XP Professional принятые по умолчанию разрешения для генерируемого профиля предоставляют полный доступ, или доступ на чтение и запись для пользователя, и не предоставляют доступ к файлам для группы администраторов. С помощью этой политики Вы можете изменить это поведение. Если эта политика включена, администраторы получают полный доступ к папкам пользовательских профилей (т.е. поведение в точности такое же, как в Windows NT 4.0).
- Разрешать использование только локальных профилей (Only allow local user profiles). Определяет, будут ли доступны перемещаемые профили пользователя на определенном компьютере. По умолчанию, когда пользователь с перемещаемым профилем входит в систему на компьютере, его перемещаемый профиль загружается на локальный компьютер. С помощью этой политики можно запретить пользователям с перемещаемым профилем получать свой профиль на определенном компьютере.
Поддержка быстрого входа в систему в Windows XP
Обзор функции быстрого входа в систему
Новые возможности Windows XP позволяют запускать компьютер быстрее, не дожидаясь подключения к сети во время загрузки и входа в систему.
По умолчанию операционная система Windows XP не дожидается полной инициализации сети во время запуска и входа в сеть. Вход зарегистрированных пользователей осуществляется с помощью кэшированных учетных сведений, что ускоряет процедуру подключения. Поскольку компьютер не ждет полной инициализации сети, групповая политика применяется в фоновом режиме сразу же, как только сеть становится доступной.
- Для некоторых расширений групповой политики вступление изменений в силу может занять до трех входов в систему. Поскольку обновление групповых политик по умолчанию производится в фоновом режиме, некоторым расширениям групповых политик (например, установке программ и перенаправлению папок) может потребоваться вплоть до трех входов в систему для вступления изменений в силу. Это вызвано тем, что для безопасной работы этих расширений требуется, чтобы пользователь еще не выполнил вход. Иными словами, изменения должны обрабатываться в режиме переднего плана перед тем, как пользователь начинает активно использовать компьютер. В случае с перенаправлением папок требуется три входа пользователя в систему, поскольку применение политики основано на членстве в группах безопасности. Первый вход в систему обновляет кэшированный объект пользователя и членство в группе безопасности. Второй вход требуется для обнаружения изменений в группе безопасности и применения политики в режиме переднего плана. И, наконец, третий вход в систему применяет политику расширения перенаправления папок в фоновом режиме.
- Для некоторых свойств объекта пользователя вступление изменений в силу может занять два входа в систему. В некоторых случаях оптимизация быстрого входа в систему отключена. Если у пользователя перемещаемый профиль или домашняя папка, то опция быстрого входа будет недоступна при входе в систему (хотя компьютер все равно запустится быстрее).
Изменения в перемещаемых профилях пользователей, поддерживающие быстрый вход в систему
При входе пользователя в систему производится сравнение дат последних изменений локального и серверного кустов реестра пользователя, и более свежий куст загружается в реестр. Как правило, серверная копия оказывается новее, так как сравнение производится до загрузки куста.
Однако когда Windows XP работает в режиме быстрого входа в систему, пользователь всегда выполняет вход с кэшированным профилем. Как следствие, когда система определяет, что у пользователя теперь перемещаемый профиль, куст реестра уже загружен и имеет более свежую дату. Если пользователь входит в систему на различных компьютерах, возможна ситуация, при которой старый локальный профиль перезапишет более новую серверную копию, поскольку Windows станет известно о перемещаемом статусе пользователя уже после выполнения входа в систему с кэшированным профилем.
Во избежание подобной ситуации разработан специальный алгоритм, который рассматривает переход от локального профиля к перемещаемому профилю как особый случай.
При входе в систему проверяется, верны ли следующие условия:
- Первый ли это вход перемещаемого пользователя, ранее имевшего локальный профиль?
- Существует ли копия профиля на сервере?
Если оба условия верны, то производится корректировка алгоритма и события развиваются так:
- Содержимое локального профиля объединяется с копией профиля на сервере, за исключением куста реестра пользователя (NTuser.dat)
- Серверная копия пользовательского куста реестра всегда копируется на компьютер клиента. Это происходит независимо от даты последнего изменения файла NTuser.dat
Во всех остальных случаях алгоритм остается неизменным. На определенном компьютере проверка производится только в первый раз, когда система определяет, что профиль пользователя теперь является перемещаемым. Как только пользователь получит перемещаемый статус, компьютер всегда будет ожидать полной инициализации сети, чтобы загрузить профиль с сервера. Фактически, Windows XP ведет себя точно так же, как Windows 2000.
С учетом вышеизложенных изменений, если администратор удаляет путь к профилю из объекта пользователя, то рекомендуется переименовать или удалить соответствующую папку профиля. Иначе если вновь добавить точно такой же путь к профилю, пользователь получит более старую серверную копию реестра.
Новые служебные профили операционной системы
В Windows XP представлены три новых профиля для нужд системы.
- LocalService
- NetworkService
- System
Профили LocalService и NetworkService
Профили LocalService и NetworkService автоматически создаются операционной системой Windows XP для двух одноименных встроенных учетных записей. Диспетчер служб использует эти учетные записи для обеспечения тех сервисов, которым не требуется запуск из-под локальной учетной записи. Эти два профиля, по сути, являются обычными профилями пользователей, однако они жизненно необходимы для функционирования системы. Как следствие, к этим профилям отношение немного иное:
- LocalService и NetworkService не отображаются в списке профилей в свойствах системы.
- Оба профиля по умолчанию расположены в папке %systemroot%\Documents and Settings, но являются максимально скрытыми, и поэтому не видны.
Профиль System
Приложение или служба могут использовать функцию API LoadUserProfile, чтобы загрузить профиль пользователя. В случае загрузки профиля локальной системы (System), Windows 2000 создавала профиль %computername%$, где %computername% - имя локального компьютера. Это могло вызвать проблемы у некоторых приложений, т.к. в зависимости от того, загружен ли профиль System, его раздел HKEY_CURRENT_USER мог соответствовать различным разделам реестра: HKEY_USERS\S-1-5-18 или HKEY_USERS\.DEFAULT (поскольку, профиль System уже мог быть загружен в один из этих разделов другим компонентом операционной системы).
Во избежание подобной ситуации в Windows XP создан новый профиль для локальной системы (System), хранящийся в %systemroot%\System32\Config\SystemProfile. Системный профиль постоянно загружен указывает на раздел HKEY_USERS\.DEFAULT. Это обеспечивает системным компонентам целостность профиля и реестра.
Более надежное перемещение пользователей
В Windows 2000 некоторые неудачно написанные приложения могли создать проблемы для механизма сохранения пользовательских данных при выходе из системы. Продолжая обращение к параметрам системного реестра, они могли помешать операционной системе произвести выгрузку куста реестра пользователя. В такой ситуации, изменения в профиле не сохраняются на сервере. У этой проблемы обычно три симптома:
- Пользователи начинают интересоваться, почему их настройки не сохраняются при перемещении на другой компьютер.
- Серверу терминалов, обеспечивающему работу большого количества пользователей, требуется больше памяти, поскольку заблокированные профили так никогда и не выгружаются.
- Если профиль помечен для удаления по завершении сеанса (временный профиль или просто очистка машины), то удаление становится невозможным.
Windows XP предотвращает появление таких проблем следующим образом:
- Когда пользователь выходит из Windows 2000, система пытается скопировать профиль в течение 60 секунд, а затем сдается. Windows XP по завершении 60 секунд сохраняет пользовательский куст реестра, а затем корректно перемещает профиль.
- Когда приложение или служба прекращают обращения к параметру реестра, Windows XP выгружает пользовательский куст реестра, высвобождая память, которую профиль занимал на сервере терминалов.
- Если профиль помечается для удаления через определенное количество входов в систему, то по достижении счетчиком этого значения профиль выгружается и удаляется. Если же приложение не освобождает пользовательские параметры реестра, профиль будет удален при следующей загрузке компьютера.
Обратите внимание на то, что если пользователь с перемещаемым профилем выполняет вход в систему на машине, которая не смогла выгрузить этот профиль ранее (и профиль все еще не выгружен), то он получит этот локальный невыгруженный профиль. Все изменения, произведенные в профиле за это время на других машинах, не будут доступны на компьютере с заблокированным профилем.
Усовершенствованный алгоритм объединения профилей
В этой секции описывается принцип работы Windows XP с локальными и серверными копиями профилей пользователей. Чтобы сделать работу Ваших пользователей более комфортной, перемещаемые профили в Windows XP снабжены новым алгоритмом синхронизации. Алгоритм призван предотвратить возникновение проблем в случае, если пользователь одновременно входит в систему на различных компьютерах. Алгоритм Windows NT 4.0 хорошо работал в большинстве стандартных ситуаций, когда пользователь одновременно работал лишь за одним компьютером. Однако, если осуществлялся одновременный вход на несколько машин, пользователь мог столкнуться с неадекватным поведением системы, полагающей, что в данный момент на каждом компьютере имеется главная копия профиля.
В Windows 2000 и Windows XP алгоритм изменился, и теперь объединение профилей осуществляется на файловом уровне. При этом четко отслеживается, какой профиль был изменен в последнюю очередь.
Проиллюстрировать работу алгоритма проще всего на примерах, сравнивающих поведение Windows NT 4.0 и Windows XP.
Обзор алгоритма Windows NT 4.0
В Windows NT 4.0 алгоритм является командой Xcopy с поддержкой полной синхронизации. Иными словами, создаются зеркальные копии профилей, причем лишние файлы и папки в каталоге назначения удаляются. Алгоритм предполагает наличие единственного главного профиля в отдельно взятый момент времени. Если пользователь вошел в систему, то главный профиль находится на локальном компьютере. В противном случае, главный профиль расположен на сервере.
- Пользователь входит в систему на компьютере А (основном компьютере).
- Перемещаемый профиль копируется с сервера на локальный компьютер.
- Пользователь создает документы, меняет свои настройки и т.д. Все эти изменения сохраняются в локальном профиле.
- При выходе из системы локальный профиль копируется обратно на сервер.
По сути, это процесс создания точной зеркальной копии. Все лишние файлы удаляются с сервера, чтобы обеспечить абсолютное дублирование локального профиля. Как было сказано выше, в большинстве случаев проблем не возникает. Однако как только пользователь одновременно выполнит вход в систему на несколько машин, поведение Windows NT 4.0 станет не вполне очевидным.
Примеры недостатков алгоритма в Windows NT 4.0
При использовании Windows NT 4.0 возникает проблема, когда пользователь одновременно выполняет вход в систему на нескольких компьютерах. Продолжая упомянутый выше пример:
- Пользователь входит в систему на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь создает документ на компьютере А и сохраняет его в профиле.
- Пользователь выходит из системы на компьютере А.
- Пользователь выходит из системы на компьютере Б.
Документ, созданный пользователем на третьем этапе удаляется, так как с точки зрения компьютера Б главный профиль хранится локально. Лишние файлы на сервере должны удаляться, чтобы серверная копия стала зеркалом локальной.
Алгоритм Windows XP сохранит документ, произведя сравнение времени создания документа со временем загрузки профиля. Если документ, находящийся на сервере, был создан или изменен после загрузки профиля, следовательно, он был получен из другого источника и должен быть сохранен.
Похожая проблема может возникнуть при редактировании файлов. Допустим, в папке «Мои документы» серверной копии профиля лежит файл Реферат.doc:
- Пользователь входит в систему на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь редактирует Реферат.doc на компьютере А.
- Пользователь выходит из системы на компьютере А.
- Пользователь выходит из системы на компьютере Б.
Изменения, внесенные в реферат на компьютере А, пропадут. При выходе из системы Б компьютер перезапишет новую версию документа старой, полагая, что именно на нем расположен главный профиль.
В Windows XP алгоритм сохранит изменения в документе, отслеживая дату последнего изменения файла. Как следствие, работа пользователей становится более комфортной.
Обзор алгоритма Windows XP
Операционная система Windows XP производит объединение профилей на файловом уровне. Результирующий профиль содержит все файлы серверного и локального профилей. Если некий файл находится как в серверном, так и в локальном профиле, то будет использован файл, измененный в последнюю очередь. Это означает, что новые файлы не удаляются, а обновленные версии существующих файлов не перезаписываются более старыми версиями.
При обновлении файла или документа сравниваются даты последних изменений исходного файла и файла в папке назначения. Если последний новее, то он не будет перезаписан. При входе пользователя в систему отмечается время, которое затем используется для контроля изменений, происходящих в файлах профиля на протяжении сеанса. Допустим, в папке «Мои документы» серверной копии профиля лежит файл Доклад.doc, которого нет в локальном профиле. Либо это новый файл с другой машины, либо он ранее существовал в локальном профиле, но был удален пользователем. Зная время загрузки профиля, можно определить, был ли изменен файл Доклад.doc после входа в систему. Если да, то его нужно сохранить, так как очевидно, изменения были внесены с другого компьютера. Если файл уже был на сервере до входа в систему, то он бы скопировался в профиль на машину клиента. Поскольку файла там нет, значит, пользователь удалил его за ненадобностью. Такой файл на сервере сохранен не будет.
Кроме того, может возникнуть необходимость удаления файлов из локального кэша профиля, чтобы файлы, удаленные между сеансами, не попадали в серверную копию профиля. Рассмотрим такой сценарий:
- Пользователь входит в систему на компьютере А.
- Пользователь редактирует документ на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь выходит из системы на компьютере Б. Копия документа сохраняется в локальном профиле.
- Пользователь удаляет документ и выходит из системы на компьютере А.
Кэшированный профиль синхронизируется с копией на сервере при входе в систему, чтобы обеспечить удаление файлов. Если файлы в локальном кэше не редактировались с момента последнего выхода из системы и отсутствуют на сервере, они подлежат удалению. Отслеживая изменения файлов, Windows XP производит объединение профилей.
Некоторые файлы копируются всегда, так как их дата меняется при выгрузке профиля. Файлы ntuser.dat и ntuser.ini копируются на сервер в любом случае.
Квоты на размер профиля
При помощи программы Proquota.exe Вы можете контролировать размер профиля пользователя. Если размер профиля превышает заданный предел, пользователь не сможет выйти из системы, пока не снизит общий размер своих файлов.
Управление квотами на размер профиля осуществляется через оснастку групповых политик. В разделе Конфигурация пользователя\Административные шаблоны\Система\Профиль пользователя (User Configuration\Administrative Templates\System\User Profiles) есть политика Ограничить размер профиля (Limit Profile Size). Она позволяет задать максимальный размер перемещаемого профиля и системное сообщение при его превышении. Более подробную информацию Вы можете получить, перейдя на вкладку Объяснение в свойствах политики.
Если Вы комбинируете перенаправление папки «Мои документы» с перемещаемыми профилями, то лучше воздержаться от наложения квоты на размер профиля. Дело в том, что операционная система и приложения сохраняют в профиле пользовательские данные, о чем сам пользователь может не догадываться. Примерами таких файлов могут служить вспомогательный словарь Custom.dic и папка Избранное обозревателя Internet Explorer.
Удаление кэшированных перемещаемых профилей
Если Вы озабочены размером дискового пространства на компьютерах, находящихся в местах общественного пользования, где тысячи людей могут входить в систему, то вас выручат групповые политики. Политика Удалять кэшированные копии перемещаемых профилей (Delete cached copies of roaming profiles), находящаяся в разделе Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей (Computer Configuration\Administrative Templates\System\User Profiles) оснастки групповых политик, выполняет указанное действие по завершении сеанса.
Изменения в работе гостевых профилей
Операционные системы Windows 2000 и Windows NT 4.0 всегда удаляют профили пользователей, принадлежащих к группе безопасности Гости, по завершении сеанса. Операционная система Windows XP проделывает то же самое лишь на компьютерах, входящих в домен. Если же компьютер принадлежит к рабочей группе, то профили пользователей, входящих в группу Гости, не удаляются при выходе из системы.
Исключением из правила будут пользователи одновременно входящие в группы безопасности Гости и Администраторы. Профиль такого пользователя НЕ будет удален в домене.
Настройки групповых политик для перемещаемых профилей
В Приложении к статье перечислены политики, относящиеся к перемещаемым профилям. Более подробную информацию всегда можно найти в свойствах политики на вкладке Объяснение.
Наверх страницы
Настройка перемещаемого профиля пользователя
Вы можете настроить перемещаемый профиль для пользователя следующим образом:
- Создайте на сервере каталог для хранения профилей пользователей. В ней разместятся все индивидуальные пользовательские профили.
- Сделайте каталог общим и дайте пользователям разрешение Полный доступ (Full Control).
- Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и перейдите к индивидуальному объекту пользователя.
- Правой кнопкой мыши щелкните на имени пользователя и в контекстном меню выберите Свойства (Properties).
- Перейдите на вкладку Профиль (Profile).
- В текстовое поле Путь к профилю (Profile path) введите путь к сетевому ресурсу, где хранятся профили пользователей. Например, для пользователя с сетевым именем JDoe путь \\NetworkShare\Profiles\%username% создаст на сервере папку JDoe в общем каталоге перемещаемых профилей.
Вы можете использовать интрефейс сценариев служб Active Directory (Active Directory Scripting Interface, ADSI) для заполнения пути к профилю. ADSI представляет собой единый набор интерфейсов для управления сетевыми ресурсами. Администраторы могут совмещать ADSI со сценариями Visual Basic® Scripting Edition (VbScript) или Jscript® для управления службами, пользователями и другими ресурсами службы каталогов.
Дополнительную информацию об ADSI и сценариев для него можно найти в наборе инструментальных средств разработчика (SDK) для платформы Microsoft.
Устранение неполадок в работе профилей пользователей
В первую очередь нужно изучить журнал событий приложений и определить ошибку. Если это перемещаемый профиль, проверьте разрешения (смотрите раздел Аспекты безопасности при настройке перемещаемых профилей пользователей). Одной из наиболее частых причин неполадок в работе перемещаемых профилей являются неверные разрешения для общего каталога профилей.
Помимо протоколирования событий в журнале приложений, можно настроить создание детального отчета о неполадках в работе профилей.
- Откройте редактор реестра и перейдите к HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.
- Создайте новый параметр REG_WORD с названием UserEnvDebugLevel и установите его значение в 30002 (в шестнадцатеричной системе счисления).
Файл с отчетом будет располагаться в папке %windir%\debug\usermode\userenv.log
Наверх страницы
Аспекты безопасности при настройке перемещаемых профилей пользователей
Создавая общий каталог для перемещаемых профилей, выдавайте доступ только тем пользователям, которым он необходим.
Поскольку перемещаемые профили содержат документы пользователя, сертификаты EFS и другую персональную информацию, необходимо как можно надежнее защитить пользовательские данные. Ниже излагается общий подход:
- Доступ к общему ресурсу должны иметь только те пользователи, которым он необходим. Создавайте группу безопасности для пользователей, чьи профили хранятся в определенном общем каталоге, и предоставляйте доступ к данному каталогу лишь этой группе.
- Скрывайте создаваемый общий ресурс, ставя символ $ в конце имени папки. Это скроет общий каталог от случайного просмотра, сделав его невидимым в сетевом окружении.
- Давайте возможность системе создать папки для пользователей. Предварительное создание папок имеет смысл лишь в том случае, если Вам нужно установить для них особые разрешения.
- Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 3. Разрешения NTFS для родительской папки перемещаемых профилей.
Учетная запись | Минимальные требования к разрешениям |
Создатель/Владелец | Полный доступ (только подпапки и файлы) |
Администраторы | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) |
Все | Разрешения отсутствуют |
Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 4. Разрешения на общий доступ (SMB) к каталогу, хранящему перемещаемые профили.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
Все | Полный доступ | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Неприменимо | Полный доступ |
Таблица 5. Разрешения NTFS для папок, в которых хранятся индивидуальные профили пользователей.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
%Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) |
Локальная система (SYSTEM) | Полный доступ | Полный доступ |
Администраторы | Разрешения отсутствуют * | Разрешения отсутствуют |
Все | Разрешения отсутствуют | Разрешения отсутствуют |
*Если только не установлена политика «Добавлять группу администраторов для перемещаемых профилей пользователя» (“Add the Administrator security group to the roaming user profile share”), что дает группе Администраторы полный доступ (требуется Windows 2000 Service Pack 2 или новее).
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога профилей.
Перемещаемые профили пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипуляция данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перемещаемыми профилями. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также обеспечивает целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа «man-in-the-middle». Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные.
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перемещаемых профилей. В отличие от FAT, NTFS позволяет использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.
Наверх страницы