Обзор
В данной статье, предназначенной для системных администраторов, рассказывается о компонентах IntelliMirror – технологии управления пользовательскими данными и настройками в Windows XP. Осуществляя эффективное управление этими ключевыми элементами конфигурации пользователей, предприятия могут снизить совокупную стоимость владения компьютерами (TCO).
На этой странице:
- Введение
- Структура профиля пользователя
- Усовершенствования в профилях пользователей Windows XP
- Настройка перемещаемого профиля пользователя
- Аспекты безопасности при настройке перемещаемых профилей пользователей
- Советы и рекомендации по настройке профилей пользователей
- Обзор технологии перенаправления папок
- Настройка перенаправления папок
- Аспекты безопасности при настройке перенаправления папок
- Советы и рекомендации по настройке перенаправления папок
- Связанные технологии: автономные файлы и диспетчер синхронизации
- Распространенные сценарии использования технологий IntelliMirror
- Заключение
- Приложение. Настройки групповых политик для перемещаемых профилей пользователей.
- Связанные ресурсы
Введение
Профиль пользователя содержит настройки компьютера для конкретного пользователя, включая личные параметры интерфейса и пользовательской среды.
Профиль создается при первом входе пользователя на компьютер под управлением операционной системы Windows XP, Windows 2000 или Windows NT. Профиль представляет собой ряд параметров и файлов, определяющих пользовательскую среду при входе в систему. В него входят настройки приложений, сетевые подключения и принтеры, настройки мыши, а также оформление и расположения окон. Профили не являются пользовательскими политиками. Даже если Вы не используете групповые политики, у пользователя все равно будет свой профиль.
Можно хранить данные пользователей на жестком диске или настроить перемещение данных вслед за пользователем, обеспечивая доступ к ним на любом компьютере локальной сети. В пользовательские данные входят ярлыки к исполняемым файлам, личные файлы и пользовательские настройки (например, собственный словарь офисного приложения).
В зависимости от методов управления локальной сетью, настройки компьютера могут быть заданы пользователем или системным администратором.
Следующие типы пользовательских профилей доступны в Windows 2003 Server, Windows XP Professional и Windows 2000 Professional.
- Локальный профиль пользователя. Создается при первом входе пользователя в систему и хранится на локальном жестком диске. Любые изменения, сделанные в локальном пользовательском профиле, относятся только к компьютеру, на котором они были произведены.
- Перемещаемый профиль пользователя. Копия локального профиля хранится на общем ресурсе сервера. Профиль загружается при каждом входе пользователя на компьютер локальной сети. Все изменения в перемещаемом профиле синхронизируются с копией на сервере по завершении пользовательского сеанса.
- Обязательный профиль пользователя. ИТ специалисты могут использовать этот тип профиля, чтобы задать определенные пользовательские настройки. Изменения в обязательный профиль пользователя могут вносить лишь системные администраторы. Пользовательские изменения сохраняются только до окончания текущего сеанса.
- Временный профиль пользователя. Временный профиль используется в тех случаях, когда из-за ошибки не удается загрузить профиль пользователя. По завершении сеанса временный профиль удаляется, и изменения, внесенные в настройки пользователя, не сохраняются.
Примечание. Если Вашей организации требуется управление конфигурациями различных групп пользователей и компьютеров, Вы можете воспользоваться групповыми политиками вместо обязательных профилей.
Преимущества профилей пользователей
Пользовательские профили призваны разделить обеспечить независимость данных и настроек для каждого пользователя и локального компьютера. Разделение настроек дает следующие преимущества:
- «Обезличенный» компьютер. Компьютеры организации можно настроить для хранения настроек на серверных ресурсах. Это существенно упрощает замену компьютера или резервное копирование данных. Если возникнет необходимость в замене компьютера, то достаточно будет просто установить новый. Все пользовательские настройки надежно сохраняются в локальной сети и не привязаны к аппаратной конфигурации. Они будут скопированы при первом же входе пользователя в систему на новом компьютере.
- Перемещение пользовательских настроек от компьютера к компьютеру избавляет от необходимости настраивать каждый компьютер под себя. При входе в систему на компьютере, поддерживающем перемещаемые профили, пользователь видит свой рабочий стол в точно таком же состоянии, в каком он был при завершении предыдущего сеанса. Внедрение поддержки перемещаемых пользователей позволяет им работать на различных компьютерах сети, сохраняя при этом собственный рабочий стол. Данную функциональность поддерживают как перемещаемый, так и обязательный профили.
Структура профиля пользователя
Профиль пользователя составляют:
- Раздел системного реестра (куст). Реестр представляет собой базу данных общих и личных настроек пользователей. Части реестра могут быть сохранены в файлы, именуемые кустами. Такие кусты можно загрузить в реестр при необходимости. Преимущества этой технологии легли в основу функциональности перемещаемых профилей. Куст пользовательского профиля, по сути, представляет собой файл NTuser.dat, загружающийся в раздел реестра HKEY_CURRENT_USER при входе пользователя в систему. Файл NTuser.dat сохраняет все изменения настроек пользовательской среды, произведенные в течение сеанса. В этом файле сохраняются настройки сетевых подключений, конфигурация элементов панели управления, уникальных для каждого пользователя (например, обои на рабочем столе или настройки мыши), а также настройки приложений. Большинство пользовательских настроек доступно для изменения компонентам операционной системы и сторонним приложениям.
- Набор папок профиля, хранящийся в файловой системе. Файлы пользовательских настроек хранятся в специально отведенном для этого каталоге. При этом для каждого пользователя создается отдельная папка, которую операционная система и приложения в процессе работы наполняют подпапками и файлами данных пользователя. Такими файлами могут быть ярлыки, иконки рабочего стола, автоматически загружаемые приложения, документы, конфигурационные файлы и т.д.
Вместе эти два компонента и составляют пользовательские настройки, которые можно перемещать от компьютера к компьютеру.
На компьютерах, работающих под управлением Windows NT, профили располагаются в системном каталоге %Systemroot%\profiles (обычно, WINNT\profiles). Однако, начиная с Windows 2000, расположение профилей по умолчанию было изменено. В операционных системах Windows 2003 Server, Windows XP или Windows 2000 профили теперь хранятся в папке %Systemdrive%\Documents and Settings, что позволяет отделить пользовательские настройки от папок и файлов операционной системы.
Примечание. Если Вы производите обновление операционной системы с Windows NT на более новую версию, то расположение профилей остается неизменным (%Systemroot%\profiles),
В Таблице 1 приведены расположения профилей пользователей для каждого из возможных сценариев установки Windows XP.
Таблица 1. Расположение профилей пользователей.
Операционная система | Расположение профилей пользователей |
«Чистая» установка Windows XP (нет предыдущей ОС) | %SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Обновление Windows 2000 до Windows XP | SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Обновление Windows NT 4.0 до Windows XP | %SYSTEMROOT%\Profiles; например, C:\WinNT\Profiles |
Обновление Windows 98 до Windows XP | %SYSTEMDRIVE%\Documents and Settings; например, C:\Documents and Settings |
Пользовательские настройки, хранящиеся в реестре
Файл NTuser.dat содержит следующие настройки:
- Настройки Проводника. Все пользовательские настройки Проводника и сетевых подключений.
- Настройки панели задач.
- Настройки принтеров. Все подключения к сетевым принтерам.
- Панель управления. Все пользовательские настройки панели управления.
- Стандартные программы. Все пользовательские настройки приложений Windows, многие из которых доступны из меню Пуск – Программы – Стандартные (Калькулятор, Блокнот, Paint, HyperTerminal и другие)
- Настройки приложений. Многие приложения хранят пользовательские настройки в разделе реестра HKEY_CURRENT_USER. Например, MS Word 2003 хранит там свои настройки панелей инструментов.
Настройки, хранящиеся в папках профиля
Рисунок 1 демонстрирует структуру профиля пользователя:
Рисунок 1. Профиль пользователя.
Каждый пользовательский профиль содержит следующие папки:
- Application data*. Данные различных приложений. Например, вспомогательный словарь текстового редактора. Производители программного обеспечения определяют, какие данные хранить в этой папке.
- Cookies. Файлы «cookie» обозревателя Internet Explorer.
- Local Settings*. Настройки приложений, которые не перемещаются вместе с профилем. Обычно они либо относятся к конкретному компьютеру, либо слишком большой объем данных препятствует их эффективному перемещению.
- Application data. Данные приложений, относящиеся к конкретному компьютеру.
- History. Журнал обозревателя Internet Explorer
- Temp. Временные файлы.
- Temporary Internet Files. Автономные файлы (кэш) обозревателя Internet Explorer.
- Nethood*. Ярлыки к элементам сетевого окружения.
- Printhood*. Ярлыки к принтерам.
- SendTo. Ярлыки к папкам и приложениям.
- Главное меню. Ярлыки к программам.
- Избранное. Избранное (закладки) обозревателя Internet Explorer.
- Мои документы. Папка по умолчанию для новых документов и файлов пользователя. Приложения должны создаваться таким образом, чтобы они по умолчанию сохраняли свои файлы в этой папке.
- Мои рисунки. Папка по умолчанию для графических изображений.
- Моя музыка. Папка по умолчанию для музыкальных файлов.
- Недавние документы. Ярлыки к недавно использовавшимся документам.
- Рабочий стол. Элементы рабочего стола, включая файлы и ярлыки.
- Шаблоны*. Ярлыки к шаблонам.
*Эти папки скрыты по умолчанию. Чтобы их увидеть, нужно изменить настройки отображения папок в Проводнике (в меню Сервис выбрать Свойства папки и на вкладке Вид установить переключатель в положение Показывать скрытые файлы и папки).
Перенаправление папок
Одной из возможностей технологии IntelliMirror является перенаправление папок. Эта особенность позволяет системным администраторам перенаправить расположение определенных папок профиля пользователя на сетевой ресурс. Когда Windows или приложение обращаются к перенаправленным папкам, операционная система автоматически выполняет переадресацию на общий сетевой ресурс, указанный администратором. С точки зрения пользователей все выглядит аналогично перемещаемым профилям. Их документы и файлы всегда под рукой вне зависимости от используемого компьютера. Однако в отличие от перемещаемых профилей, пользовательские данные все время находятся на сетевом ресурсе. Перенаправление папок можно использовать со всеми типами профилей пользователя: локальным, перемещаемым и обязательным.
Из перенаправления папок локального профиля можно извлечь ряд преимуществ, предоставляемых технологией перемещения профилей. Например, пользовательские данные становятся доступны с любого компьютера, а их обслуживание ведется на сервере. Однако перенаправление папок позволяет сделать доступными на любом компьютере только документы и файлы пользователя. Для перемещения всех пользовательских настроек следует задействовать перемещаемые профили.
Скомбинировав перенаправление папок с перемещаемыми профилями, Вы получаете все преимущества перемещаемых профилей, одновременно минимизируя сетевой трафик, который требуется для синхронизации профилей пользователей.
Перенаправление папок осуществляется при помощи групповых политик. О совместном использовании перенаправления папок и перемещаемых профилей, рассказывается ниже в этой статье.
В Таблице 2 перечислены папки, по умолчанию перемещаемые вместе с профилем, а также указана возможность их перенаправления групповыми политиками.
Таблица 2. Папки, перемещаемые с профилем.
Название папки | Описание | По умолчанию перемещается с профилем | Перенаправляется групповыми политиками |
Application Data | Перемещаемые пользовательские данные приложений | Да | Да |
Cookies | Файлы «cookie» Internet Explorer | Да | Нет |
Local Settings | Временные файлы и неперемещаемые пользовательские данные приложений | Нет | Нет |
NetHood | Ярлыки к элементам сетевого окружения | Да | Нет |
PrintHood | Ярлыки к принтерам | Да | Нет |
Send To | Ярлыки к папкам с документами и приложениям | Да | Нет |
Главное меню | Личные настройки меню Пуск | Да | Да |
Избранное | Избранное Internet Explorer | Да | Нет |
Мои документы | Документы пользователя | Да | Да |
Недавние документы | Ярлыки к недавно использовавшимся документам | Да | Нет |
Рабочий стол | Элементы рабочего стола, включая файлы и ярлыки. | Да | Да |
Шаблоны | Пользовательские шаблоны | Да | Нет |
Неперемещаемые папки
При перемещении профиля в Windows NT 4.0 задействовались все папки из каталога профиля. Таким образом, при входе пользователя в систему происходило копирование всех папок профиля с сервера на компьютер клиента, а по окончании работы и выходе из системы все папки копировались обратно на сервер.
Начиная с Windows 2000, в профиле пользователя появилась папка локальных настроек, которые не копируются при входе в систему и завершении сеанса. Эта папка предназначена для хранения компонентами операционной системы или сторонними приложениями неперемещаемых данных пользователя. Ярким примером использования этой папки служит работа Internet Explorer. Обозреватель хранит содержимое папки Избранное в перемещаемой части профиля, а временные файлы Интернета размещаются в локальной (неперемещаемой) части профиля. Такой подход сохраняет пользователю постоянный доступ к Избранному, позволяя обойтись без копирования временных файлов при входе и выходе из системы.
В Windows XP папки History, Local Settings, Temp и Temporary Internet Files не перемещаются по умолчанию. Остальные неперемещаемые папки настраиваются при помощи оснастки групповых политик. Для этого в разделе Конфигурация пользователя\Административные шаблоны\Система\Профили пользователей (User Configuration\Administrative Templates\System\User Profiles) есть политика Исключить папки из перемещаемого профиля (Exclude directories in roaming profile).
Включив данную политику, Вы можете перечислить несколько папок, путь к которым указывается относительно корневого каталога профиля. Перечисленные папки не будут копироваться как с сервера на компьютер клиента при входе в систему, так и в обратном направлении по завершении сеанса. Включение этой политики ограничивает объем пользовательских данных, перемещаемых вместе с профилем, что позволяет уменьшить время, требуемое для входа пользователя в систему.
Как пользователи получают свои профили?
Способ получения профилей пользователями зависит от того, какой тип профиля для них сконфигурирован. В этом разделе описан процесс получения различных типов профилей.
Локальный профиль для нового пользователя
- Пользователь входит в систему
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить существует ли локальный профиль для данного пользователя.
- Очевидно, у нового пользователя еще нет локального профиля. Если компьютер входит в состав домена, операционная система проверяет наличие профиля по умолчанию для всего домена. Поиск производится в папке Default User на общем сетевом ресурсе NETLOGON контроллера домена.
- Если доменный профиль по умолчанию существует, он копируется на локальный компьютер в каталог %SYSTEMDRIVE%\Documents and Settings\. При этом названием скопированной папки становится имя пользователя. Например, для нового пользователя JDoe профиль создается в %SYSTEMDRIVE%\Documents and Settings\JDoe.
- Если доменного профиля по умолчанию не существует, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Если компьютер не входит в домен, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- При выходе из системы профиль сохраняется на локальном жестком диске компьютера.
Локальный профиль для существующего пользователя
- Пользователь входит в систему
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить существует ли локальный профиль для данного пользователя.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- При выходе из системы профиль сохраняется на локальном жестком диске компьютера.
Перемещаемый профиль для нового пользователя
- Пользователь входит в систему
- Путь к перемещаемому профилю извлекается из объекта пользователя на контроллере домена.
- Windows проверяет наличие профиля в полученном пути. При отсутствии профиля создается папка.
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы определить, существует ли кэшированная копия профиля пользователя. Если локальная копия профиля не найдена, а компьютер входит в состав домена, Windows проверяет наличие профиля по умолчанию для всего домена. Поиск производится в папке Default User на общем сетевом ресурсе NETLOGON контроллера домена.
- Если доменный профиль по умолчанию существует, он копируется на локальный компьютер в папку каталога %SYSTEMDRIVE%\Documents and Settings\. При этом названием скопированной папки становится имя пользователя.
- Если доменного профиля по умолчанию не существует, то локальный профиль по умолчанию копируется из папки %Systemdrive%\Documents and Settings\Default User в папку с именем пользователя каталога %Systemdrive%\Documents and Settings\.
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- Пользователь может запускать приложения и работать с документами как обычно. При выходе из системы локальный профиль копируется в каталог, назначенный администратором. Если профиль уже существует на сервере, то происходит объединение локального профиля с серверной копией (подробнее механизм объединения описан ниже в этой статье).
Перемещаемый профиль для существующего пользователя
- Пользователь входит в систему
- Путь к перемещаемому профилю извлекается из объекта пользователя в контроллере домена.
- Windows проверяет наличие профиля по указанному пути. При отсутствии профиля создается папка.
- Операционная система проверяет список пользователей, расположенный в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, чтобы получить путь к кэшированной копии профиля пользователя, если таковая существует.
- Содержимое локального кэшированного профиля сравнивается с копией профиля на сервере. По результатам сравнения происходит объединение локального профиля с серверной копией (подробнее механизм объединения описан ниже в этой статье).
- Пользовательский куст реестра (NTuser.dat) загружается в раздел реестра HKEY_CURRENT_USER.
- Значение пользовательской переменной среды %userprofile% обновляется, отражая текущее расположение профиля.
- Пользователь может запускать приложения и работать с документами как обычно. При выходе из системы локальный профиль копируется в каталог, назначенный администратором. Если профиль уже существует на сервере, то происходит объединение локального профиля с серверной копией.
Усовершенствования в профилях пользователей в Windows XP
Ряд усовершенствований в управлении пользовательскими данными и настройками в Windows XP позволяет улучшить удобство использования и гибкость профилей, а также увеличить быстродействие их работы.
Новые настройки групповых политик
В редакторе групповых политик создан новый раздел для политик профилей пользователей: Конфигурация пользователя\Административные шаблоны\Система\Профили пользователей (User Configuration\Administrative Templates\System\User Profiles). Кроме того, появились три новых политики в Конфигурации компьютера:
- Запретить распространение изменений в перемещаемом профиле на сервер (Prevent Roaming Profile Changes from Propagating to the server). Эта политика определяет, будут ли изменения, вносимые пользователем в свой перемещаемый профиль, добавляться к копии его профиля на сервере. Если эта политика включена, при входе пользователь получит свой перемещаемый профиль. Но любые изменения, сделанные пользователем в своем профиле, не будут внесены в перемещаемый профиль при выходе из системы.
- Добавлять группу администраторов для перемещаемых профилей пользователя (Add the Administrator security group to the roaming user profile share). Для операционных систем Windows 2000 Professional и Windows XP Professional принятые по умолчанию разрешения для генерируемого профиля предоставляют полный доступ, или доступ на чтение и запись для пользователя, и не предоставляют доступ к файлам для группы администраторов. С помощью этой политики Вы можете изменить это поведение. Если эта политика включена, администраторы получают полный доступ к папкам пользовательских профилей (т.е. поведение в точности такое же, как в Windows NT 4.0).
- Разрешать использование только локальных профилей (Only allow local user profiles). Определяет, будут ли доступны перемещаемые профили пользователя на определенном компьютере. По умолчанию, когда пользователь с перемещаемым профилем входит в систему на компьютере, его перемещаемый профиль загружается на локальный компьютер. С помощью этой политики можно запретить пользователям с перемещаемым профилем получать свой профиль на определенном компьютере.
Поддержка быстрого входа в систему в Windows XP
Обзор функции быстрого входа в систему
Новые возможности Windows XP позволяют запускать компьютер быстрее, не дожидаясь подключения к сети во время загрузки и входа в систему.
По умолчанию операционная система Windows XP не дожидается полной инициализации сети во время запуска и входа в сеть. Вход зарегистрированных пользователей осуществляется с помощью кэшированных учетных сведений, что ускоряет процедуру подключения. Поскольку компьютер не ждет полной инициализации сети, групповая политика применяется в фоновом режиме сразу же, как только сеть становится доступной.
- Для некоторых расширений групповой политики вступление изменений в силу может занять до трех входов в систему. Поскольку обновление групповых политик по умолчанию производится в фоновом режиме, некоторым расширениям групповых политик (например, установке программ и перенаправлению папок) может потребоваться вплоть до трех входов в систему для вступления изменений в силу. Это вызвано тем, что для безопасной работы этих расширений требуется, чтобы пользователь еще не выполнил вход. Иными словами, изменения должны обрабатываться в режиме переднего плана перед тем, как пользователь начинает активно использовать компьютер. В случае с перенаправлением папок требуется три входа пользователя в систему, поскольку применение политики основано на членстве в группах безопасности. Первый вход в систему обновляет кэшированный объект пользователя и членство в группе безопасности. Второй вход требуется для обнаружения изменений в группе безопасности и применения политики в режиме переднего плана. И, наконец, третий вход в систему применяет политику расширения перенаправления папок в фоновом режиме.
- Для некоторых свойств объекта пользователя вступление изменений в силу может занять два входа в систему. В некоторых случаях оптимизация быстрого входа в систему отключена. Если у пользователя перемещаемый профиль или домашняя папка, то опция быстрого входа будет недоступна при входе в систему (хотя компьютер все равно запустится быстрее).
Изменения в перемещаемых профилях пользователей, поддерживающие быстрый вход в систему
При входе пользователя в систему производится сравнение дат последних изменений локального и серверного кустов реестра пользователя, и более свежий куст загружается в реестр. Как правило, серверная копия оказывается новее, так как сравнение производится до загрузки куста.
Однако когда Windows XP работает в режиме быстрого входа в систему, пользователь всегда выполняет вход с кэшированным профилем. Как следствие, когда система определяет, что у пользователя теперь перемещаемый профиль, куст реестра уже загружен и имеет более свежую дату. Если пользователь входит в систему на различных компьютерах, возможна ситуация, при которой старый локальный профиль перезапишет более новую серверную копию, поскольку Windows станет известно о перемещаемом статусе пользователя уже после выполнения входа в систему с кэшированным профилем.
Во избежание подобной ситуации разработан специальный алгоритм, который рассматривает переход от локального профиля к перемещаемому профилю как особый случай.
При входе в систему проверяется, верны ли следующие условия:
- Первый ли это вход перемещаемого пользователя, ранее имевшего локальный профиль?
- Существует ли копия профиля на сервере?
Если оба условия верны, то производится корректировка алгоритма и события развиваются так:
- Содержимое локального профиля объединяется с копией профиля на сервере, за исключением куста реестра пользователя (NTuser.dat)
- Серверная копия пользовательского куста реестра всегда копируется на компьютер клиента. Это происходит независимо от даты последнего изменения файла NTuser.dat
Во всех остальных случаях алгоритм остается неизменным. На определенном компьютере проверка производится только в первый раз, когда система определяет, что профиль пользователя теперь является перемещаемым. Как только пользователь получит перемещаемый статус, компьютер всегда будет ожидать полной инициализации сети, чтобы загрузить профиль с сервера. Фактически, Windows XP ведет себя точно так же, как Windows 2000.
С учетом вышеизложенных изменений, если администратор удаляет путь к профилю из объекта пользователя, то рекомендуется переименовать или удалить соответствующую папку профиля. Иначе если вновь добавить точно такой же путь к профилю, пользователь получит более старую серверную копию реестра.
Новые служебные профили операционной системы
В Windows XP представлены три новых профиля для нужд системы.
- LocalService
- NetworkService
- System
Профили LocalService и NetworkService
Профили LocalService и NetworkService автоматически создаются операционной системой Windows XP для двух одноименных встроенных учетных записей. Диспетчер служб использует эти учетные записи для обеспечения тех сервисов, которым не требуется запуск из-под локальной учетной записи. Эти два профиля, по сути, являются обычными профилями пользователей, однако они жизненно необходимы для функционирования системы. Как следствие, к этим профилям отношение немного иное:
- LocalService и NetworkService не отображаются в списке профилей в свойствах системы.
- Оба профиля по умолчанию расположены в папке %systemroot%\Documents and Settings, но являются максимально скрытыми, и поэтому не видны.
Профиль System
Приложение или служба могут использовать функцию API LoadUserProfile, чтобы загрузить профиль пользователя. В случае загрузки профиля локальной системы (System), Windows 2000 создавала профиль %computername%$, где %computername% - имя локального компьютера. Это могло вызвать проблемы у некоторых приложений, т.к. в зависимости от того, загружен ли профиль System, его раздел HKEY_CURRENT_USER мог соответствовать различным разделам реестра: HKEY_USERS\S-1-5-18 или HKEY_USERS\.DEFAULT (поскольку, профиль System уже мог быть загружен в один из этих разделов другим компонентом операционной системы).
Во избежание подобной ситуации в Windows XP создан новый профиль для локальной системы (System), хранящийся в %systemroot%\System32\Config\SystemProfile. Системный профиль постоянно загружен указывает на раздел HKEY_USERS\.DEFAULT. Это обеспечивает системным компонентам целостность профиля и реестра.
Более надежное перемещение пользователей
В Windows 2000 некоторые неудачно написанные приложения могли создать проблемы для механизма сохранения пользовательских данных при выходе из системы. Продолжая обращение к параметрам системного реестра, они могли помешать операционной системе произвести выгрузку куста реестра пользователя. В такой ситуации, изменения в профиле не сохраняются на сервере. У этой проблемы обычно три симптома:
- Пользователи начинают интересоваться, почему их настройки не сохраняются при перемещении на другой компьютер.
- Серверу терминалов, обеспечивающему работу большого количества пользователей, требуется больше памяти, поскольку заблокированные профили так никогда и не выгружаются.
- Если профиль помечен для удаления по завершении сеанса (временный профиль или просто очистка машины), то удаление становится невозможным.
Windows XP предотвращает появление таких проблем следующим образом:
- Когда пользователь выходит из Windows 2000, система пытается скопировать профиль в течение 60 секунд, а затем сдается. Windows XP по завершении 60 секунд сохраняет пользовательский куст реестра, а затем корректно перемещает профиль.
- Когда приложение или служба прекращают обращения к параметру реестра, Windows XP выгружает пользовательский куст реестра, высвобождая память, которую профиль занимал на сервере терминалов.
- Если профиль помечается для удаления через определенное количество входов в систему, то по достижении счетчиком этого значения профиль выгружается и удаляется. Если же приложение не освобождает пользовательские параметры реестра, профиль будет удален при следующей загрузке компьютера.
Обратите внимание на то, что если пользователь с перемещаемым профилем выполняет вход в систему на машине, которая не смогла выгрузить этот профиль ранее (и профиль все еще не выгружен), то он получит этот локальный невыгруженный профиль. Все изменения, произведенные в профиле за это время на других машинах, не будут доступны на компьютере с заблокированным профилем.
Усовершенствованный алгоритм объединения профилей
В этой секции описывается принцип работы Windows XP с локальными и серверными копиями профилей пользователей. Чтобы сделать работу Ваших пользователей более комфортной, перемещаемые профили в Windows XP снабжены новым алгоритмом синхронизации. Алгоритм призван предотвратить возникновение проблем в случае, если пользователь одновременно входит в систему на различных компьютерах. Алгоритм Windows NT 4.0 хорошо работал в большинстве стандартных ситуаций, когда пользователь одновременно работал лишь за одним компьютером. Однако, если осуществлялся одновременный вход на несколько машин, пользователь мог столкнуться с неадекватным поведением системы, полагающей, что в данный момент на каждом компьютере имеется главная копия профиля.
В Windows 2000 и Windows XP алгоритм изменился, и теперь объединение профилей осуществляется на файловом уровне. При этом четко отслеживается, какой профиль был изменен в последнюю очередь.
Проиллюстрировать работу алгоритма проще всего на примерах, сравнивающих поведение Windows NT 4.0 и Windows XP.
Обзор алгоритма Windows NT 4.0
В Windows NT 4.0 алгоритм является командой Xcopy с поддержкой полной синхронизации. Иными словами, создаются зеркальные копии профилей, причем лишние файлы и папки в каталоге назначения удаляются. Алгоритм предполагает наличие единственного главного профиля в отдельно взятый момент времени. Если пользователь вошел в систему, то главный профиль находится на локальном компьютере. В противном случае, главный профиль расположен на сервере.
- Пользователь входит в систему на компьютере А (основном компьютере).
- Перемещаемый профиль копируется с сервера на локальный компьютер.
- Пользователь создает документы, меняет свои настройки и т.д. Все эти изменения сохраняются в локальном профиле.
- При выходе из системы локальный профиль копируется обратно на сервер.
По сути, это процесс создания точной зеркальной копии. Все лишние файлы удаляются с сервера, чтобы обеспечить абсолютное дублирование локального профиля. Как было сказано выше, в большинстве случаев проблем не возникает. Однако как только пользователь одновременно выполнит вход в систему на несколько машин, поведение Windows NT 4.0 станет не вполне очевидным.
Примеры недостатков алгоритма в Windows NT 4.0
При использовании Windows NT 4.0 возникает проблема, когда пользователь одновременно выполняет вход в систему на нескольких компьютерах. Продолжая упомянутый выше пример:
- Пользователь входит в систему на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь создает документ на компьютере А и сохраняет его в профиле.
- Пользователь выходит из системы на компьютере А.
- Пользователь выходит из системы на компьютере Б.
Документ, созданный пользователем на третьем этапе удаляется, так как с точки зрения компьютера Б главный профиль хранится локально. Лишние файлы на сервере должны удаляться, чтобы серверная копия стала зеркалом локальной.
Алгоритм Windows XP сохранит документ, произведя сравнение времени создания документа со временем загрузки профиля. Если документ, находящийся на сервере, был создан или изменен после загрузки профиля, следовательно, он был получен из другого источника и должен быть сохранен.
Похожая проблема может возникнуть при редактировании файлов. Допустим, в папке «Мои документы» серверной копии профиля лежит файл Реферат.doc:
- Пользователь входит в систему на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь редактирует Реферат.doc на компьютере А.
- Пользователь выходит из системы на компьютере А.
- Пользователь выходит из системы на компьютере Б.
Изменения, внесенные в реферат на компьютере А, пропадут. При выходе из системы Б компьютер перезапишет новую версию документа старой, полагая, что именно на нем расположен главный профиль.
В Windows XP алгоритм сохранит изменения в документе, отслеживая дату последнего изменения файла. Как следствие, работа пользователей становится более комфортной.
Обзор алгоритма Windows XP
Операционная система Windows XP производит объединение профилей на файловом уровне. Результирующий профиль содержит все файлы серверного и локального профилей. Если некий файл находится как в серверном, так и в локальном профиле, то будет использован файл, измененный в последнюю очередь. Это означает, что новые файлы не удаляются, а обновленные версии существующих файлов не перезаписываются более старыми версиями.
При обновлении файла или документа сравниваются даты последних изменений исходного файла и файла в папке назначения. Если последний новее, то он не будет перезаписан. При входе пользователя в систему отмечается время, которое затем используется для контроля изменений, происходящих в файлах профиля на протяжении сеанса. Допустим, в папке «Мои документы» серверной копии профиля лежит файл Доклад.doc, которого нет в локальном профиле. Либо это новый файл с другой машины, либо он ранее существовал в локальном профиле, но был удален пользователем. Зная время загрузки профиля, можно определить, был ли изменен файл Доклад.doc после входа в систему. Если да, то его нужно сохранить, так как очевидно, изменения были внесены с другого компьютера. Если файл уже был на сервере до входа в систему, то он бы скопировался в профиль на машину клиента. Поскольку файла там нет, значит, пользователь удалил его за ненадобностью. Такой файл на сервере сохранен не будет.
Кроме того, может возникнуть необходимость удаления файлов из локального кэша профиля, чтобы файлы, удаленные между сеансами, не попадали в серверную копию профиля. Рассмотрим такой сценарий:
- Пользователь входит в систему на компьютере А.
- Пользователь редактирует документ на компьютере А.
- Пользователь входит в систему на компьютере Б.
- Пользователь выходит из системы на компьютере Б. Копия документа сохраняется в локальном профиле.
- Пользователь удаляет документ и выходит из системы на компьютере А.
Кэшированный профиль синхронизируется с копией на сервере при входе в систему, чтобы обеспечить удаление файлов. Если файлы в локальном кэше не редактировались с момента последнего выхода из системы и отсутствуют на сервере, они подлежат удалению. Отслеживая изменения файлов, Windows XP производит объединение профилей.
Некоторые файлы копируются всегда, так как их дата меняется при выгрузке профиля. Файлы ntuser.dat и ntuser.ini копируются на сервер в любом случае.
Квоты на размер профиля
При помощи программы Proquota.exe Вы можете контролировать размер профиля пользователя. Если размер профиля превышает заданный предел, пользователь не сможет выйти из системы, пока не снизит общий размер своих файлов.
Управление квотами на размер профиля осуществляется через оснастку групповых политик. В разделе Конфигурация пользователя\Административные шаблоны\Система\Профиль пользователя (User Configuration\Administrative Templates\System\User Profiles) есть политика Ограничить размер профиля (Limit Profile Size). Она позволяет задать максимальный размер перемещаемого профиля и системное сообщение при его превышении. Более подробную информацию Вы можете получить, перейдя на вкладку Объяснение в свойствах политики.
Если Вы комбинируете перенаправление папки «Мои документы» с перемещаемыми профилями, то лучше воздержаться от наложения квоты на размер профиля. Дело в том, что операционная система и приложения сохраняют в профиле пользовательские данные, о чем сам пользователь может не догадываться. Примерами таких файлов могут служить вспомогательный словарь Custom.dic и папка Избранное обозревателя Internet Explorer.
Удаление кэшированных перемещаемых профилей
Если Вы озабочены размером дискового пространства на компьютерах, находящихся в местах общественного пользования, где тысячи людей могут входить в систему, то вас выручат групповые политики. Политика Удалять кэшированные копии перемещаемых профилей (Delete cached copies of roaming profiles), находящаяся в разделе Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей (Computer Configuration\Administrative Templates\System\User Profiles) оснастки групповых политик, выполняет указанное действие по завершении сеанса.
Изменения в работе гостевых профилей
Операционные системы Windows 2000 и Windows NT 4.0 всегда удаляют профили пользователей, принадлежащих к группе безопасности Гости, по завершении сеанса. Операционная система Windows XP проделывает то же самое лишь на компьютерах, входящих в домен. Если же компьютер принадлежит к рабочей группе, то профили пользователей, входящих в группу Гости, не удаляются при выходе из системы.
Исключением из правила будут пользователи одновременно входящие в группы безопасности Гости и Администраторы. Профиль такого пользователя НЕ будет удален в домене.
Настройки групповых политик для перемещаемых профилей
В Приложении к статье перечислены политики, относящиеся к перемещаемым профилям. Более подробную информацию всегда можно найти в свойствах политики на вкладке Объяснение.
Настройка перемещаемого профиля пользователя
Вы можете настроить перемещаемый профиль для пользователя следующим образом:
- Создайте на сервере каталог для хранения профилей пользователей. В ней разместятся все индивидуальные пользовательские профили.
- Сделайте каталог общим и дайте пользователям разрешение Полный доступ (Full Control).
- Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и перейдите к индивидуальному объекту пользователя.
- Правой кнопкой мыши щелкните на имени пользователя и в контекстном меню выберите Свойства (Properties).
- Перейдите на вкладку Профиль (Profile).
- В текстовое поле Путь к профилю (Profile path) введите путь к сетевому ресурсу, где хранятся профили пользователей. Например, для пользователя с сетевым именем JDoe путь \\NetworkShare\Profiles\%username% создаст на сервере папку JDoe в общем каталоге перемещаемых профилей.
Вы можете использовать интрефейс сценариев служб Active Directory (Active Directory Scripting Interface, ADSI) для заполнения пути к профилю. ADSI представляет собой единый набор интерфейсов для управления сетевыми ресурсами. Администраторы могут совмещать ADSI со сценариями Visual Basic® Scripting Edition (VbScript) или Jscript® для управления службами, пользователями и другими ресурсами службы каталогов.
Дополнительную информацию об ADSI и сценариев для него можно найти в наборе инструментальных средств разработчика (SDK) для платформы Microsoft.
Устранение неполадок в работе профилей пользователей
В первую очередь нужно изучить журнал событий приложений и определить ошибку. Если это перемещаемый профиль, проверьте разрешения (смотрите раздел Аспекты безопасности при настройке перемещаемых профилей пользователей). Одной из наиболее частых причин неполадок в работе перемещаемых профилей являются неверные разрешения для общего каталога профилей.
Помимо протоколирования событий в журнале приложений, можно настроить создание детального отчета о неполадках в работе профилей.
- Откройте редактор реестра и перейдите к HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.
- Создайте новый параметр REG_WORD с названием UserEnvDebugLevel и установите его значение в 30002 (в шестнадцатеричной системе счисления).
Файл с отчетом будет располагаться в папке %windir%\debug\usermode\userenv.log
Аспекты безопасности при настройке перемещаемых профилей пользователей
Создавая общий каталог для перемещаемых профилей, выдавайте доступ только тем пользователям, которым он необходим.
Поскольку перемещаемые профили содержат документы пользователя, сертификаты EFS и другую персональную информацию, необходимо как можно надежнее защитить пользовательские данные. Ниже излагается общий подход:
- Доступ к общему ресурсу должны иметь только те пользователи, которым он необходим. Создавайте группу безопасности для пользователей, чьи профили хранятся в определенном общем каталоге, и предоставляйте доступ к данному каталогу лишь этой группе.
- Скрывайте создаваемый общий ресурс, ставя символ $ в конце имени папки. Это скроет общий каталог от случайного просмотра, сделав его невидимым в сетевом окружении.
- Давайте возможность системе создать папки для пользователей. Предварительное создание папок имеет смысл лишь в том случае, если Вам нужно установить для них особые разрешения.
- Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 3. Разрешения NTFS для родительской папки перемещаемых профилей.
Учетная запись | Минимальные требования к разрешениям |
Создатель/Владелец | Полный доступ (только подпапки и файлы) |
Администраторы | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) |
Все | Разрешения отсутствуют |
Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 4. Разрешения на общий доступ (SMB) к каталогу, хранящему перемещаемые профили.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
Все | Полный доступ | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Неприменимо | Полный доступ |
Таблица 5. Разрешения NTFS для папок, в которых хранятся индивидуальные профили пользователей.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
%Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) |
Локальная система (SYSTEM) | Полный доступ | Полный доступ |
Администраторы | Разрешения отсутствуют * | Разрешения отсутствуют |
Все | Разрешения отсутствуют | Разрешения отсутствуют |
*Если только не установлена политика «Добавлять группу администраторов для перемещаемых профилей пользователя» (“Add the Administrator security group to the roaming user profile share”), что дает группе Администраторы полный доступ (требуется Windows 2000 Service Pack 2 или новее).
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога профилей.
Перемещаемые профили пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипуляция данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перемещаемыми профилями. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также обеспечивает целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа «man-in-the-middle». Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные.
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перемещаемых профилей. В отличие от FAT, NTFS позволяет использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.
Советы и рекомендации по работе с профилями пользователей
Для того, чтобы достичь максимального эффекта от работы перемещаемых профилей, важно ознакомиться со всей документацией и тщательно спланировать внедрение. В этой секции приведены рекомендации по работе с перемещаемыми профилями.
Предоставьте системе создание папок для каждого пользователя.
Чтобы достичь оптимальной работы перемещаемых профилей, достаточно создать лишь корневой каталог для хранения профилей на сервере, а далее предоставить возможность системе создать папки для каждого пользователя. Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы выдаете правильные разрешения. Подробнее о требуемых разрешениях Вы можете прочесть в разделе Аспекты безопасности при настройке перемещаемых профилей пользователей.
Не используйте кэширование автономных папок в общих каталогах перемещаемых профилей.
Обязательно отключите использование автономных папкок на общих ресурсах, хранящих перемещаемые профили. Если этого не сделать, могут возникнуть проблемы с синхронизацией. Как автономные папки, так и перемещаемые профили будут пытаться синхронизировать файлы в профиле пользователя.
Примечание. Это не исключает возможности использования автономных папок с перенаправленными папками, такими как «Мои документы».
Отключите оптимизацию быстрого входа в систему.
Если используется быстрый вход в систему, то при переходе пользователя с локального профиля на перемещаемый на каждом компьютере требуется дважды войти в систему для вступления изменений в силу. Это происходит потому, что вход зарегистрированных пользователей осуществляется с помощью кэшированных учетных сведений. Следовательно, системе требуется один вход, чтобы обнаружить перемещаемый статус пользователя, а при втором входе уже применяются данные настройки.
Лучше всего включить политику Всегда ожидать инициализации сети при загрузке и входе в систему (Always wait for the network at computer startup and logon), расположенную в разделе Конфигурация компьютера\Административные шаблоны\Система\Вход в систему (Computer Configuration\Administrative Templates\System\Logon) оснастки групповых политик.
Перемещение между различными версиями операционных систем.
Хотя перемещение между Windows 2000 и Windows XP должно происходить безболезненно, следует предпринять некоторые меры предосторожности, чтобы свести возможные неполадки к минимуму:
- По возможности избегайте перемещения между различными версиями операционных систем. По своей природе перемещение профилей не вызывает проблем, однако данные, размещаемые приложениями в профиле, могут непреднамеренно повлиять на работу других версий операционных систем.
- Убедитесь, что у вас установлены одинаковые версии приложений.
- Убедитесь, что пути к приложениям одинаковы.
- Убедитесь, что различные версии операционных систем установлены в одинаковые каталоги %windir% на одинаковые тома %systemdrive%.
- Если пользователи перемещаются между компьютерами под управлением Windows NT 4.0 и машинами под управлением Windows 2000 / XP, то на последних имеет смысл задать путь к профилю при установке операционной системы, задействовав файл ответов. Различия в путях к системным профилям (%windir%\Profiles и %systemdrive%\Documents and Settings соответственно) могут вызвать проблемы для пользователей, перемещающихся от клиентов Windows NT 4.0 к клиентам Windows 2000 / XP и обратно. Чтобы уменьшить вероятность возникновения проблем, убедитесь, что путь к профилям у вас везде одинаков.
Перенаправьте расположение папки «Мои документы» за пределы перемещаемого профиля пользователя.
Перенаправление папки «Мои документы» за пределы перемещаемого профиля рекомендуется для того, чтобы уменьшить время, требуемое для первого входа в систему на новом компьютере. Лучше всего это осуществить при помощи перенаправления папок. Если Вы не используете службу каталогов Active Directory, можно задействовать сценарий входа в систему или объяснить пользователям, как произвести перенаправление папки вручную.
Не используйте шифрованную файловую систему (EFS) для файлов перемещаемого профиля пользователя.
Шифрованная файловая система несовместима с файлами, находящимися в перемещаемом профиле пользователя. Если зашифровать папки или файлы профиля, его невозможно будет переместить.
Примечание. Это не влияет на шифрование файлов на удаленных общих ресурсах.
Не устанавливайте слишком низкие значения дисковых квот для пользователей с перемещаемыми профилями.
Синхронизация перемещаемых профилей пользователей может не сработать в случае, если пользователю назначены слишком низкие дисковые квоты. Убедитесь, что выделено достаточно места для создания временной точной копии профиля, которая необходима для процесса синхронизации. Поскольку эти временные файлы рассматриваются системой как пользовательские, их размер учитывается при подсчете дисковых квот.
Продуманно применяйте групповую политику «Режим обработки замыкания пользовательской групповой политики», если используете перемещаемые профили.
Политика Режим обработки замыкания пользовательской групповой политики (Group Policy loopback processing) позволяет применять другой набор пользовательских групповых политик в зависимости от того, на какой компьютер производится вход. Данную политику удобно применять в случае, когда Вам нужно применить некие пользовательские политики на определенных компьютерах. Это можно сделать двумя способами. Первый способ позволяет осуществлять не только обработку набора пользовательских политик, основывающегося на расположении объекта пользователя, но и применение политик, установленных на компьютере, на который входит пользователь. Второй метод применяет лишь политики, базирующиеся на списке объектов групповых политик компьютера.
Осторожно подходите к применению вышеупомянутой политики, особенно когда Ваши пользователи перемещаются между компьютерами под управлением Windows 2000 / XP и Windows NT 4.0. Дело в том, что приложения могут сохранять настройки политик в разделе реестра HKCU\Software\Policies вне зависимости от версии операционной системы. К тому же Windows NT 4.0 хранит некоторые параметры политик Проводника в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Policies, а Windows 2000 и Windows XP очищают эти параметры каждый раз, перед тем как заново применить текущие политики. Но поскольку Windows NT 4.0 не очищает эти параметры, они могут остаться в реестре при перемещении с машины под управлением Windows 2000 / XP.
Обзор технологии перенаправления папок
Перенаправление папок является технологией IntelliMirror, позволяющей пользователям и администраторам перенаправить путь папки в другое место. Перенаправление можно осуществить в другую папку локального компьютера или в общий каталог на сетевом ресурсе. Например, Вы можете перенаправить на сетевой ресурс папку «Мои документы», обычно располагающуюся на локальном диске. Документы папки будут доступны пользователю с любого компьютера Вашей сети. В Windows XP и Windows 2000 папка «Мои документы» расположена в профиле пользователя, а ярлык вынесен на рабочий стол.
Ранее системным администраторам приходилось использовать сценарии входа для перенаправления папок на сетевой ресурс. В Windows XP эту задачу можно решить при помощи групповых политик.
Преимущества перенаправления папок
Перенаправление папок обладает рядом преимуществ. Некоторые из перечисленных ниже особенностей относятся к любым папкам, но именно перенаправление папки «Мои документы» раскрывает все достоинства технологии.
- Даже если пользователь входит на различные компьютеры сети, его документы всегда под рукой.
- Системный администратор может применить групповые политики, устанавливая дисковые квоты и таким образом снижая количество дискового пространства, занимаемого папками пользователей.
- Параметры пользователя можно перенаправить на другой логический или физический диск локального компьютера, отделив их от файлов операционной системы. Это сохраняет пользовательские данные при переустановке операционной системы.
- Резервное копирование данных, хранящихся на сервере, становится не более чем рутинным процессом системного администрирования. Это безопаснее, и не требует никакого участия пользователя.
Вы также можете скомбинировать перенаправление папок с перемещаемыми профилями пользователей. Это уменьшит время, требуемое для входа в систему перемещаемым и мобильным пользователям. Помимо улучшенной доступности данных и преимуществ хранения их резервных копий на сервере, пользователи получают возможность быстрее работать в условиях низкоскоростной сетевой инфраструктуры и последовательных входов в систему.
Совмещение перенаправления папок с перемещаемыми профилями упрощает процесс замены компьютеров. Пользовательские данные можно легко восстановить на новом компьютере в случае неисправности или плановой замены старого. Используя перенаправление папок «Мои документы» и Application Data в сочетании с перемещаемым профилем и установкой риложений ef="/file/club.html" targe может легко перемещать ключевые параметры пользователей на сетевой ресурс. Это означает, что документы, настройки и приложения следуют за пользователем вне зависимости от того, на какой компьютер под управлением Windows XP осуществляется вход.
Можно сделать документы еще более доступными, задействовав технологию автономных файлов, тем самым обеспечивая доступ к папке даже тем пользователям, которые не подключены к сети. Это особенно удобно пользователям портативных компьютеров. Дополнительную информацию можно получить в разделе Связанные технологии ниже в этой статье.
Папки, которые можно перенаправить
Вы можете перенаправить папки «Мои документы», «Мои рисунки», Application Data, «Рабочий стол» и «Главное меню». Поскольку эти папки могут содержать важные пользовательские данные и параметры, они были определены как ключевые для перенаправления в пределах Вашей организации. Перенаправление каждой из папок дает несколько преимуществ, полезность которых зависит от нужд Вашей организации.
- Мои документы. Место в оболочке для хранения пользовательских документов и рисунков. Поскольку общие диалоговые окна Windows XP (Открыть и Сохранить как) по умолчанию ведут к папке «Мои документы», пользователи чаще хранят свои файлы именно в этой папке. Таким образом, резервное копирование пользовательских данных, хранящихся на сервере, становится не более чем рутинным процессом системного администрирования. Это безопаснее, и не требует никакого участия пользователя.
- Мои рисунки. Папка является расположением по умолчанию для пользовательских изображений и фотографий. Рекомендуется произвести настройку таким образом, чтобы папка «Мои рисунки» следовала за папкой «Мои документы».
- Application Data. Нередко приложения хранят большие объемы данных (например, вспомогательные словари) в профиле пользователя. Для этого используется папка Application Data, перемещаемая вслед за пользователем. С целью увеличения производительности она была включена в список папок, которые можно перенаправить. Иными словами, пользователи сохраняют доступ к данным в Application Data, обходясь без загрузки файлов (возможно, весьма больших) при каждом входе в систему.
- Рабочий стол. Некоторые организации предпочитают настраивать рабочий стол одинаково для всех пользователей. Перенаправив рабочий стол для группы пользователей, Вы можете обеспечить всем пользователям единый рабочий стол, с одинаковыми элементами на нем.
- Главное меню. Для совместимости с Windows NT 4.0 операционная система Windows XP позволяет перенаправить папку «Главное меню», хранящую элементы меню Пуск. К перенаправлению этой папки применяется слегка иной подход. Содержимое папки «Главное меню» не копируется в папку назначения. Предполагается, что меню Пуск заранее сконфигурировано администратором, и что у всех пользователей это меню одинаковое. Для компьютеров под управлением Windows XP лучше всего контролировать содержимое меню Пуск при помощи групповых политик, вместо перенаправления папки «Главное меню».
Усовершенствования перенаправления папок в Windows XP
В этом разделе описаны различия между Windows 2000 и Windows XP.
Перенаправленные папки по умолчанию доступны автономно.
По умолчанию в Windows XP перенаправленные папки пользовательской оболочки (например, «Мои документы», Application Data, «Рабочий стол» и «Главное меню») автоматически становятся доступны автономно. Чтобы достичь такого эффекта в Windows 2000, администраторам приходилось конфигурировать политику «Административно назначенные автономные файлы» (“Administratively assigned offline files”). Ее было неудобно использовать в случае расширенного перенаправления папок, что вызывало дополнительную головную боль у системных администраторов.
Поведение по умолчанию можно изменить, включив политику Не делать перенаправляемые папки доступными в автономном режиме автоматически (Do not automatically make redirected folders available offline), расположенную в разделе Конфигурация пользователя\Административные шаблоны\Сеть\Автономные файлы (User Configuration\Administrative Templates\Network\Offline File) оснастки групповых политик.
Перенаправление папок и переменные среды.
Перенаправление папок обрабатывает на компьютере клиента лишь две переменные: %username% and %userprofile%. Такие переменные среды, как %logonserver%, %homedrive% и %homepath% с перенаправлением папок не работают.
Изменение настроек после применения политики перенаправления папок.
Вы можете изменить настройки перенаправленных папок на вкладке Параметры (Settings) уже после того, как политика была применена. Однако измененное значение параметра Предоставить права монопольного доступа к папке (Grant the user exclusive rights to ) будет применено лишь к новым пользователям, на которых распространится действие политики. У существующих пользователей, к которым политика уже была применена ранее, останется преженее значение параметра.
Перенаправление папок и подключение сетевых дисков.
Перенаправление папок обрабатывается на ранних этапах процесса входа в систему. Как следствие, сетевые диски, подключенные при помощи сценариев входа в систему (включая домашний диск любых папок, кроме папки «Мои документы»), не могут быть использованы для перенаправления папок в расположения, указанные в сценариях. Поскольку на момент перенаправления сетевые диски еще не подключены, перенаправление папок не сработает.
Настройка перенаправления папок
Администраторы могут управлять параметрами перенаправления папок при помощи оснастки групповых политик.
Для настройки перенаправления папок:
- Чтобы запустить оснастку групповые политики из оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers), нажмите на кнопку Пуск (Start), перейдите в Программы (Programs), а затем из группы Администрирование (Administrative Tools) выберите Active Directory - пользователи и компьютеры.
- В дереве консоли щелкните правой кнопкой мыши домен или подразделение, для которых требуется задать групповую политику. Выберите Свойства (Properties) и откройте вкладку Групповая политика (Group Policy).
- Нажмите кнопку Создать (New) для создания нового объекта групповой политики, и задайте имя объекта (например, Redirect My Documents).
- Щелкните Изменить (Edit), чтобы открыть новый объект и изменить его.
- В оснастке групповых политик раскройте узлы Конфигурация пользователя (User Configuration), Конфигурация Windows (Windows Settings) и Перенаправление папки (Folder Redirection). Вы увидите значки персональных папок, доступных для перенаправления.
- Для перенаправления любой из этих папок щелкните правой кнопкой мыши на названии папки, выберите Свойства (Properties), а затем укажите одно из значений раскрывающегося списка:
- Простое - перенаправлять папки всех пользователей в одно место (Basic - Redirect everyone's folder to the same location). Все папки, на которые распространяется действие объекта групповой политики, будут храниться на одном общем сетевом ресурсе.
- Расширенное - указать различные места для разных групп пользователей (Advanced – Specify locations for various user groups). Папки перенаправляются на различные общие ресурсы в зависимости от членства в группе безопасности. Например, папки, принадлежащие к группе Бухгалтеры, могут быть перенаправлены на сервер Финансы, в то время как папки группы Продажи могут быть перенаправлены на сервер Маркетинг.
- В область Размещение конечной папки (Target folder location) введите имя общей сетевой папки или нажмите на кнопку Обзор (Browse), чтобы найти ее. Например, введите \\FolderServer\MyDocumentsFolders\%username%. В приведенном выше примере используется переменная среды %username% . Это позволяет применить единственную политику для всех пользователей и использовать перенаправление папок для создания папок каждого пользователя. При этом названиями папок будут служить имена пользователей.
- В Свойствах (Properties) папки выберите вкладку Параметры (Settings), сконфигурируйте желаемые настройки, и нажмите кнопку Применить (Finish). Вам будут доступны следующие настройки:
- Предоставить права монопольного доступа к папке «Мои документы» (Grant the user exclusive rights to My Documents). Устанавливает для папки дескриптор безопасности NTFS в Полный доступ (Full Control) только для пользователя и Local System. Это означает, что администраторы и другие пользователи не будут иметь доступа к этой папке. Эта настройка включена по умолчанию.
- Перемещение содержимого специальной папки в новое место (Move the contents of My Documents to the new location). Перемещает все документы из локальной папки «Мои документы» на общий сетевой ресурс. Эта настройка включена по умолчанию.
- При удалении политики папка останется в новом размещении (Leave the folder in the new location when policy is removed). Предписывает файлам оставаться в новом расположении, даже если объект групповой политики более не применяется. Эта настройка включена по умолчанию.
- После удаления политики перенаправить папку обратно в расположение профиля пользователя (Redirect the folder back to the local user profile location when policy is removed). Предписывает копирование файлов обратно в локальный профиль, если объект групповой политики более не применяется.
Вкладка Параметры (Settings) папки «Мои документы» позволяет сконфигурировать две дополнительные настройки для папки «Мои рисунки».
- Сделать «Мои рисунки» подпапкой папки мои «Мои документы» (Make My Pictures a subfolder of My Documents). Когда перенаправляется папка «Мои документы», папка «Мои рисунки» остается подпапкой в «Мои документы». По умолчанию папка «Мои рисунки» следует за папкой «Мои документы».
- Не указывать политику для папки «Мои рисунки» (Do not specify administrative policy for My Pictures). Если выбрана эта настройка, то расположение папки «Мои рисунки» определяется профилем пользователя, а групповая политика не контролирует ее расположение.
Важное примечание. Вам не нужно заранее создавать индивидуальные папки для пользователей. Перенаправление папок автоматически задаст корректные параметры списков управления доступом на папку. Если Вы решите создавать пользовательские папки самостоятельно, убедитесь, что Вы устанавливаете правильные разрешения (смотрите раздел Аспекты безопасности при настройке перенаправления папок ниже в этой статье).
Дополнительную информацию о работе с оснасткой групповых политик и расширением перенаправления папок Вы можете найти в файле справки Microsoft® Windows Server™ 2003 Windows 2000 Server online Help (EN), размещенном на веб-узле Microsoft, и Пошаговом руководстве по работе с пользовательскими данными и настройками Step-by-step Guide to User Data and User Settings (EN).
Устранение неполадок, связанных с перенаправлением папок
Процесс перенаправления папок происходит в пять этапов:
- При входе в систему определяется, какие папки подлежат перенаправлению в зависимости от изменения в политиках.
- Определяется конечное расположение для перенаправления и проверятся его доступность.
- Если папка не существует, она создается вместе с списками контроля доступа (ACL).
- Если папка существует, то проверяются списки контроля доступа и владелец.
- В случае необходимости содержимое перемещается.
В случае, когда перенаправление папок не срабатывает, это означает, что папки неверно сконфигурированы . Если Вы заранее создаете папки вместо того, чтобы предоставить эту работу расширению перенаправления папок, то не исключены следующие распространенные ошибки:
- Перенаправление в папку, для которой неверно настроены списки контроля доступа (ACL).
- Пользователь не является владельцем папки.
- Конечное расположение папки не существует.
Включение протоколирования
Помимо записей в журнал событий приложений, можно получить и детальный отчет, который поможет устранить неполадки в работе перенаправления папок. Чтобы создать такой журнал, откройте редактор реестра и в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics, создайте параметр REG_DWORD с именем FdeployDebugLevel и значением 0x0f. Файл с отчетом будет располагаться в %windir%\debug\usermode\fdeploy.log.
Использование сценариев входа в систему для перенаправления папок
Несмотря на то, что рекомендуется перенаправлять папки пользователей при помощи групповых политик, можно достичь схожих результатов иными методами. Вы можете задействовать сценарии входа в систему, чтобы задать в реестре параметры пользовательских папок оболочки (User Shell Folders). Идя таким путем, можно добиться базовой функциональности, схожей с перенаправлением папок при помощи одноименного расширения групповых политик.
Другой способ заключается в использовании системных политик Windows NT 4.0, задающих параметры реестра. Однако, избрав этот способ, Вы не сможете воспользоваться преимуществами групповых политик, позволяющих задать пути к папкам. Например, невозможно будет осуществить автоматическое перемещение файлов при изменении пути, так как параметры реестра будут иметь приоритет.
Аспекты безопасности при настройке перенаправления папок
Создавая общий каталог для перенаправления, выдавайте доступ только тем пользователям, которым он необходим.
Поскольку перенаправленные папки содержат документы пользователя, сертификаты EFS и другую персональную информацию, необходимо как можно надежнее защитить пользовательские данные. Ниже излагается общий подход:
- Доступ к общему ресурсу должны иметь только пользователи, которым он необходим. Создвайте группу безопасности для пользователей, чьи перенаправленные папки хранятся в определенном общем каталоге, и предоставляйте доступ к данному каталогу лишь этой группе.
- Скрывайте создаваемый общий ресурс, ставя символ $ в конце имени папки. Это скроет общий каталог от случайного просмотра, сделав его невидимым в сетевом окружении.
- Давайте возможность системе создать папки для пользователей. Предварительно создание папок имеет смысл лишь в том случае, если Вам нужно дать на них особые разрешения.
- Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 6. Разрешения NTFS для корневого каталога.
Учетная запись | Минимальные требования к разрешениям |
Создатель/Владелец | Полный доступ (только подпапки и файлы) |
Администраторы | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) |
Все | Разрешения отсутствуют |
Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 7. Разрешения на общий доступ (SMB) к корневому каталогу.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
Все | Полный доступ | Нет разрешений |
Группа безопасности пользователей, чьи данные будут храниться на сервер | Неприменимо | Полный доступ |
Таблица 8. Разрешения NTFS для каждой перенаправленной папки пользователя.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
%Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) |
Локальная система (SYSTEM) | Полный доступ | Полный доступ |
Администраторы | Разрешения отсутствуют | Разрешения отсутствуют |
Все | Разрешения отсутствуют | Разрешения отсутствуют |
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога перенаправленных папок.
Перенаправляемые папки пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипулирование данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перенаправляемыми папками. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа «man-in-the-middle». Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные.
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перенаправленных папок. В отличие от FAT, в NTFS можно использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.
Не рассчитывайте на EFS для шифрования пользовательских файлов во время их перемещения по сети.
Шифрование файлов на удаленном сервере при помощи шифрованной файловой системы (EFS) распространяется только на файлы, хранящиеся на диске. На данные, передаваемые по сети, шифрование EFS не распространяется.
Исключением являются случаи, когда Ваша система использует протокол безопасности IPSec или протокол WebDAV (Web Distributed Authoring and Versioning). Например, IPSec шифрует данные, переправляемые по протоколу TCP/IP. В случае с WebDAV, если файл зашифрован до копирования или перемещения в папку или на сервер WebDAV, он остается зашифрованным во время перемещения и хранения на сервере.
Зашифруйте кэш автономных файлов.
Несмотря на то, что автономные файлы по умолчанию защищены на NTFS томах при помощи списков управления доступом, шифрование файлов увеличивает уровень безопасности на локальном компьютере. По умолчанию кэшированные файлы локального компьютера не зашифрованы. Как следствие, любые шифрованные файлы, полученные из кэша сервера, окажутся незашифрованными на локальной машине. В некоторых случаях это может представлять угрозу безопасности.
Если шифрование включено, то весь кэш автономных файлов автоматически шифруется. Это распространяется как на существующие файлы, так и на файлы, добавленные впоследствии. Включая шифрование кэшированных файлов, Вы шифруете файлы локального компьютера, а не соответствующую им серверную копию.
Зашифровать кэш можно одним из двух способов:
- При помощи групповых политик, включив политику Шифровать кэш автономных файлов (Encrypt the Offline Files Cache) в разделе Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы (Computer Configuration\Administrative Templates\Network\Offline Files) редактора групповых политик.
- Вручную, выбрав в Проводнике из меню Сервис (Tools) пункт Свойства папки (Folder options), где перейти на вкладку Автономные файлы (Offline files) и установить флажок Шифровать автономные файлы для защиты данных (Encrypt offline files to secure data).
Примечание. Шифрование автономных файлов доступно лишь в Windows XP и более поздних операционных системах. На компьютере под управлением Windows 2000 зашифровать кэш невозможно.
Дополнительную информацию о шифровании автономных файлов можно найти в статье Как зашифровать автономные файлы How to Encrypt Offline Files (EN).
Предоставьте системе создание папок для каждого пользователя.
Чтобы достичь оптимальной работы перенаправления папок, достаточно создать лишь корневой каталог для хранения профилей на сервере, а далее дать возможность системе создать папки для каждого пользователя. Перенаправление папок автоматически создаст пользователям папки и обеспечит необходимый уровень безопасности.
Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы даете правильные разрешения. Также обратите внимание, что при создании папок Вам нужно снять флажок Предоставить права монопольного доступа к папке (Grant the user exclusive rights to My Documents) на вкладке Параметры (Settings) диалогового окна свойств папки. Если Вы не снимите флажок, перенаправление папок сначала проверит заранее созданную папку, чтобы убедиться, что пользователь является ее владельцем. Если папка была создана администратором, то она не пройдет эту проверку, и перенаправление будет прервано. В таком случае в журнал событий приложений будет внесена следующая запись:
Тип: Ошибка
Источник: Folder Redirection
Категория: Отсутствует
Код (ID): 101
Дата: Дата
Время: Время
Пользователь: имя_домена\имя_пользователя.
Компьютер: имя_компьютера
Описание: Не удалось выполнить перенаправление папки . Не удалось создать новые каталоги для перенаправленной папки. Эта папка была настроена на перенаправление в \\имя_компьютера\общая_папка_для_перенаправления, конечный развернутый путь \\имя_компьютера\общая_папка_для_перенаправления. Произошла следующая ошибка: Этот код защиты не может соответствовать владельцу объекта.
Настоятельно рекомендуется не создавать папки для пользователей заранее, а предоставить эту работу технологии перенаправления папок.
Осуществляя перенаправление в домашнюю папку пользователя, убедитесь, что для нее установлены правильные разрешения.
Операционная система Windows XP позволяет Вам произвести перенаправление папки «Мои документы» в домашнюю папку пользователя. При перенаправлении в домашнюю папку стандартная проверка безопасности не производится. Иными словами, не проверяются существующие разрешения для папки, и то, является ли пользователь ее владельцем. Поскольку это домашняя папка пользователя, предполагается, что разрешения на нее уже заданы правильно.
Производя перенаправление в домашнюю папку, убедитесь, что для нее заданы правильные разрешения.
Советы и рекомендации по настройке перенаправления папок
Чтобы достичь максимального эффекта от перенаправления папок, важно ознакомиться со всей документацией и тщательно спланировать внедрение, особенно в отношении групповых политик.
Посетив веб-узел Обслуживание Windows 2000 Server Windows 2000 Management Services (EN), Вы сможете подробнее узнать о том, как спроектированы групповые политики и перенаправление папок в Windows 2000.
Не перенаправляйте папку «Мои документы» в домашнюю папку, за исключением тех случаев, когда в организации уже развернуты домашние папки.
Операционная система Windows XP позволяет перенаправить папку «Мои документы» в домашнюю папку пользователя. Это функциональность предназначена для организаций, использующих старую структуру домашних папок и желающих перейти на новую схему, сохраняя совместимость с существующей структурой. Вам следует использовать эту функцию только в случае, если домашние папки уже развернуты в Вашей организации.
Предоставьте системе создание папок для каждого пользователя.
Чтобы достичь оптимальной работы перенаправления папок, достаточно создать лишь корневой каталог на сервере, а далее дать возможность системе создать папки для каждого пользователя. Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы даете правильные разрешения. Подробнее о требуемых разрешениях Вы можете прочесть разделе Аспекты безопасности при настройке перенаправления папок.
Аспекты удаления групповой политки.
Вы должны иметь четкое представление о том, что происходит с перенаправленными папками при удалении групповой политики.
Вы можете сконфигурировать удаление политики в свойствах папки, как показано на Рисунке 2 ниже. Чтобы получить доступ к этим настройкам, нужно перейти в раздел оснастки групповых политик Конфигурация пользователя\Конфигурация Windows (User Configuration\Windows Settings) и, сделав правый щелчок мышью на Перенаправление папки (Folder Redirection), выбрать из контекстного меню Свойства (Properties) (подробнее смотрите в разделе Как настроить перенаправление папок).
Рисунок 2. Конфигурирование удаления политики в свойствах папки.
Увеличить изображение.
В Таблицу 9 сведена информация о том, что произойдет с перенаправленными папками и их содержимым, если к ним больше не будет применяться объект групповой политики.
Таблица 9. Сводка параметров в свойствах папки для перенаправленных папок.
Параметр Перемещение содержимого специальной папки в новое место | Параметр Удаление политики | Результаты удаления политики: |
Включен | После удаления политики перенаправить папку обратно в локальный профиль пользователя (Redirect the folder back to the user profile location when policy is removed.). |
|
Выключен | После удаления политики перенаправить папку обратно в локальный профиль пользователя (Redirect the folder back to the user profile location when policy is removed). |
|
Или Включен или Выключен | При удалении политики папка останется в новом расположении (Leave the folder in the new location when policy is removed). |
|
Внимание! Если на вкладке Размещение (Target) диалогового окна свойств папки выбран параметр Административная политика не указана (No Administrative policy specified), то папка не будет перенаправлена в локальный профиль. Этот параметр означает, что перенаправление папки не задано и, если она ранее была перенаправлена, то перенаправление в предыдущее расположение будет продолжаться. Если Вы хотите вернуть папку в локальный профиль, следует выбрать параметр Перенаправлять в место, определяемое локальным профилем (Redirect to the local user profile).
Используйте автономные файлы на общем сетевом каталоге, хранящем данные пользователей.
Это особенно удобно пользователям портативных компьютеров. В частности, перенаправление папок любого типа следует совмещать с использованием автономных файлов.
В Таблице 10 приведены рекомендуемые настройки автономных файлов.
Таблица 10. Рекомендуемые настройки автономных файлов
Перенаправленная папка | Рекомендуемая настройка автономных файлов |
Мои документы | Автоматическое кэширование документов (или кэширование вручную, если необходимо предоставить пользователям возможность делать файлы и папки доступными для автономной работы вручную) |
Мои Рисунки | Автоматическое кэширование документов (или кэширование вручную, если необходимо предоставить пользователям возможность делать файлы и папки доступными для автономной работы вручную) |
Application Data | Автоматическое кэширование программ. |
Рабочий стол | Автоматическое кэширование программ, если папка «Рабочий стол» доступна только для чтения. |
Всегда включайте политику «Синхронизация всех автономных файлов перед выходом из системы».
Включение этой политики обеспечивает полную синхронизацию автномных файлов, а также доступность всех пользовательских файлов перенаправленной папки для автономной работы. Если не включить эту политику, система будет проводить только быструю синхронизацию, кэшируя только недавние файлы.
Перемещайте папку «Мои рисунки» вслед за папкой «Мои документы».
Рекомендуется настроить следование папки «Мои рисунки» за папкой «Мои документы», если только у вас нет веских причин для отказа от такой практики (например, ограниченное дисковое пространство на сервере).
Всегда старайтесь использовать настройки перенаправления папок по умолчанию.
Если на сервере, хранящем перемещаемые профили, включены автономные файлы, то перенаправленные папки обеспечат синхронизацию автономных файлов при входе и перед выходом из системы.
Когда сетевой ресурс недоступен, автономные файлы продолжают считать его недоступным до тех пор, пока кэш не синхронизирован вручную. Перемещаемые профили не будут синхронизированы с сервером, пока он считается недоступным для автономных файлов. Если Вы используете автономные файлы в сочетании с перенаправлением папок и перемещаемыми профилями, то для наилучшей производительности следует включить политику синхронизации файлов перед выходом из системы.
Не запускайте более одной копии Outlook 2000, если включено перенаправление папки Application Data.
Если пользователь, у которого включено перемещение папки Application Data, запустит несколько копий Outlook 2000 на разных машинах, его электронные письма будут медленно открываться. Outlook 2000 постоянно использует файл outcmd.dat, хранящий настройки панелей (например, их расположение). Когда вторая копия программы обратится к этому файлу, она не получит доступа, т.к. файл окажется заблокирован первой копией. Вторая копия Outlook 2000 будет продолжать постоянные попытки обращения к файлу outcmd.dat, результатом чего станут задержки при открытии писем, ответах на письма и т.п.
Примечание. Программы Outlook 2002 и Outlook 2003 не блокируют файл outcmd.dat, т.е. проблема может возникнуть только в том случае, если на одной из машин запущен Outlook 2000.
Связанные технологии: автономные файлы и диспетчер синхронизации
В этой секции описаны технологии, дополняющие перенаправление папок.
Автономные файлы
Автономные файлы, впервые представленные в Windows 2000, являются технологией, дополняющей перенаправление папок. Автономные файлы позволяют отключенным от сети пользователям работать так, как если бы они были подключены к сети. При работе в автономном режиме файлы и папки отображаются в том же каталоге, что и при наличии сетевого подключения. Иными словами, все выглядит так же, как будто файлы действительно находятся на удаленном сервере. Это дает пользователям возможность редактирования файлов в автономном режиме. Синхронизация автономных файлов с сетевым каталогом происходит при следующем подключении к сети.
Как было сказано выше, автономные файлы позволяют работать с копиями серверных файлов даже в отсутствие сетевого подключения. Если в Вашей организации есть мобильные пользователи с портативными компьютерами, они в полной мере оценят удобство автономных файлов. Данная технология позволит таким пользователям работать со своими документами в автономном режиме, а также проследит за тем, чтобы пользователи всегда работали с текущей версией сетевых файлов. Автономные файлы кэшируют данные на локальном компьютере, чтобы сделать их доступными в отсутствие сетевого соединения. Пользователи могут открывать и редактировать кэшированные файлы, не нуждаясь в сетевом подключении. Кэш представляет собой часть дискового пространства, к которой компьютер обращается, когда он не подключен к сети. Вид общих сетевых каталогов, доступных для автономной работы, всегда остается неизменным даже при разрыве или намеренном отключении сетевого соединения. Пользователи могут спокойно продолжать работу, как будто они подключены к сети. При этом сохраняются все имеющиеся разрешения на файлы или папки. При восстановлении сетевого подключения происходит синхронизация всех изменений, произведенных за время автономной работы.
Если два пользователя редактируют один и тот же файл, каждый из них может сохранить на сервере свою версию файла, версию другого пользователя или обе версии.
Общие папки и файлы можно сделать доступными автономно в сети компьютеров под управлением Windows XP. Вы также можете сделать файлы доступными с любого компьютера, осуществляющего общий доступ при помощи службы совместного доступа к файлам и принтерам (File and Printer Sharing), основанной на технологии SMB (блок сообщений сервера). Компьютеры могут работать под управлением Windows 2000, Windows 95, Windows 98 и Windows NT 4.0.
Примечание. Технология автономных файлов недоступна в сетях Novell Netware.
Настраивая общий каталог, Вы можете выбрать вариант автоматического перевода всех файлов в автономное состояние или предоставить пользователю возможность самому помечать файлы для автономной работы.
Технология автономных файлов является абсолютно независимой, т.е. ее не обязательно сочетать с перенаправлением папок или конфигурировать общие сетевые ресурсы. Однако в связке эти технологии работают отлично. Например, если ярлык к файлу доступен автономно, то и сам файл доступен в автономном режиме. А вот если ярлык указывает на папку, она не будет доступна без подключения к сети. Если задействовать перенаправление папок в связке с автономными файлами, то и ярлык, и папка будут доступны в автономном режиме.
В режиме кэширования вручную пользователи сами выбирают файлы, с которыми они желают работать автономно. Для папок, содержащих документы пользователя, рекомендуется включить автоматическое кэширование. В таком случае открываемые файлы будут автоматически загружены из сети и станут доступными для автономной работы. Старые копии файлов автоматически удаляются, освобождая место для новых и недавно использовавшихся файлов. Автоматическое кэширование программ используется для папок с атрибутом «Только чтение» или для приложений, запускаемых только с сетевых ресурсов. Чтобы обеспечить правильность общего доступа, всегда открывается серверная копия файла.
Диспетчер синхронизации
Пользователи, работающие с автономными файлами и папками, могут производить синхронизацию всех сетевых ресурсов при помощи диспетчера синхронизации. Его можно настроить на автоматическую синхронизацию всех или отдельных ресурсов. Например, пользователи могут настроить синхронизацию избранных файлов и папок при каждом входе в систему и выходе из нее. Диспетчер синхронизации быстро сканирует систему на предмет изменений, и если таковые обнаружены, автоматически обновляет ресурсы. Процесс синхронизации значительно ускоряется за счет обновления лишь измененных данных.
Распространенные сценарии использования технологий IntelliMirror
В этой секции рассматриваются примерные сценарии управлениями пользовательскими данными и настройками, иллюстрирующие практическое применение технологий IntelliMirror.
В сценариях рассматривается типичный компьютер пользователя в распространенных ситуациях, которые возникают на предприятии. Каждый сценарий демонстрирует, как организации могут извлечь выгоду из использования IntelliMirror для сокращения времени и усилий, требуемых на обслуживание компьютерной среды. Сценарии можно рассматривать по отдельности или как часть общей картины на предприятии.
Новый работник
Настройка компьютера для нового работника всегда отнимает немало времени и является одной из наиболее важных задач работы ИТ отдела. В организации, использующей IntelliMirror, новый работник просто входит в систему на новом компьютере и находит все нужные ярлыки и документы на рабочем столе. Это могут быть ярлыки к часто используемым файлам, ссылкам на веб-страницы и папкам, которыми пользуются все служащие (например, ярлыки к справочникам, корпоративным документам, общим папкам отдела и т.д.). Настройки рабочего стола, параметры приложений, настройки подключения к сети Интернет и т. п. уже сконфигурированы в соответствии со стандартами организации. Следовательно, если пользователю потребуется помощь, работники службы поддержки будут знать исходную конфигурацию пользователя.
В данном примере пользователь получает профиль, заранее сконфигурированный специально для новых работников. Вначале администратор настроил компьютер в соответствии со стандартами организации. Затем при помощи утилиты Профили пользователей (User Profiles), встроенной в элемент панели управления Система (System), администратор скопировал профиль пользователя в папку Default User, расположенную в общем сетевом каталоге Netlogon контроллера домена. При первом входе нового пользователя в систему Windows копирует профиль на локальный компьютер и использует его как основу для профиля нового работника. Помимо конфигурации профиля администратор применил групповые политики, чтобы перенаправить пользовательскую папку «Мои документы» на сетевой ресурс и обеспечить регулярное резервное копирование и надежное хранение данных на сервере.
Пользователь портативного компьютера
Находясь на работе, пользователь портативного компьютера создает несколько документов и сохраняет их в папке «Мои документы». Затем работник выходит из системы, отключает портативный компьютер от сети и едет с ним домой. Находясь дома и не подключаясь к сети, пользователь продолжает работу над документами, сохраненными ранее в папке «Мои документы».
Спустя некоторое время служащий возвращается в офис и выходит в сеть. Поскольку пользователь работал автономно, система отображает диалоговое окно, уведомляющее, что данные в папке «Мои документы» изменились, и происходит синхронизация с сервером.
В этом сценарии пользовательская папка «Мои документы» перенаправлена на сетевой ресурс. Пользователь видит, как документы сохраняются на сервере, а чтобы с ними можно было работать автономно, одновременно производится еще и незаметное сохранение в локальном кэше (поскольку сетевая папка была настроена для автономного доступа). С точки зрения пользователя, процесс ничем не отличается от сохранения документов на локальном диске.
Как только пользователь вновь подключается к сети, IntelliMirror пытается соединиться с сетевым ресурсом, на котором хранятся перенаправленные папки. Соединившись, IntelliMirror сравнивает содержимое локальной папки с сетевой копией. В данном примере пользователь произвел изменения в локальной копии. IntelliMirror замечает изменения и предлагает пользователю обновить документы, хранящиеся в сети.
Замена компьютера
Компьютер служащего неожиданно прекращает работу из-за полного отказа аппаратного обеспечения. Пользователь звонит в службу поддержки и через 20 минут получает новый компьютер, на который установлена лишь Windows XP. Работник самостоятельно подключает периферию и сетевые кабели, включает компьютер и входит в сеть. Войдя в систему, служащий видит точно такой же рабочий стол, какой у него был на неисправном компьютере. Фоновым рисунком рабочего стола является любимая картинка пользователя, а оформление Windows настроено в соответствии с его предпочтениями. Все ярлыки к папкам и файлам, а также Избранное Internet Explorer находятся на своих местах. Но самое главное - сохранились все файлы и документы работника.
В случае внезапного отказа оборудования IntelliMirror помогает произвести замену компьютера в кратчайшие сроки и с минимальными усилиями обслуживающего персонала. Получив новый компьютер, пользователь смог войти в сеть, что повлекло загрузку профиля на новый компьютер. Администратор также мог сконфигурировать перенаправление таких ключевых пользовательских папок, как «Мои документы» и Application Data, обеспечив таким образом надежное хранение пользовательских документов на сервере.
Совместно используемые компьютеры
В этом сценарии работник не имеет постоянного рабочего места и использует любой свободный компьютер отдела (например, центра обработки сообщений или службы технической поддержки). Работник трудится над очень важным документом в конце рабочего дня и не успевает закончить работу. Он сохраняет документ и выходит из системы. На следующий день служащий возвращается на работу и садится за другой компьютер. Пользователь входит в систему и видит точно такой же рабочий стол, как и накануне на другом компьютере. Открыв папку «Мои документы» на рабочем столе, он находит свои документы в том же состоянии, что и накануне, и спокойно продолжает работу над незавершенным документом.
В этом примере у пользователя был сконфигурирован перемещаемый профиль, позволяющий хранить файлы и параметры на сервере. Когда пользователь вошел в систему, все пользовательские параметры, ярлыки и документы скопировались на локальный компьютер, позволив продолжить работу точно так же, как и на другом компьютере накануне.
Вариацией этого сценария будет использование перемещаемого профиля в сочетании с перенаправлением папок. Пользователи получают привычную рабочую среду и доступ к своим документам на любом компьютере. Изменения, произведенные на одном компьютере, синхронизируются с другим компьютером при следующем входе в систему.
Заключение
Используя IntelliMirror на серверах и клиентских компьютерах, администраторы могут управлять данными и настройками пользователей и обеспечивать их защиту. Данные с локальных компьютеров можно копировать на серверы для централизованного управления и резервного копирования. Личные данные, приложения и настройки могут следовать за пользователем на различные компьютеры корпоративной сети. Администраторы могут легко заменять неисправные компьютеры и восстанавливать все пользовательские данные на новых машинах.
Будучи полностью развернутой, технология IntelliMirror задействует службу каталогов Active Directory и групповые политики для управления компьютерами пользователей. Компьютеры под управлением Windows 2000 и Windows XP можно автоматически сконфигурировать для конкретных нужд организации, в зависимости от обязанностей пользователя, членства в группе безопасности или расположения. Групповые политики и служба каталогов Active Directory не являются обязательными условиями для каждой из особенностей IntelliMirror. Некоторые свойства технологии можно использовать и локально, производя настройку через интерфейс операционной системы или локальные групповые политики. Гибкость IntelliMirror позволяет организациям легко приспособить технологию для своих нужд. Планируя использование IntelliMirror, организациям нужно обдумать желаемую функциональность, а затем применить технологию, позволяющую решить поставленную задачу.
В этой статье были описаны два ключевых компонента управления пользовательскими данными и настройками: профили пользователей и перенаправление папок. Также вниманию читателей был представлен детальный разбор возможностей IntelliMirror и примеры использования технологии на практике.
Приложение
Настройки групповых политик для перемещаемых профилей пользователей.
Политика | Расположение в оснастке групповых политик | Описание |
Ограничить размер профиля (Limit profile size) | Конфигурация пользователя\ Административные шаблоны\ Система\ Профили пользователей (User Configuration\ Administrative Templates\ System\ User Profiles) | Задает максимальный размер каждого профиля пользователя и определяет действия системы в том случае, если профиль достигает максимального размера. |
Ограничить доступ к диску C (Connect home directory to root of the share) | Конфигурация пользователя\ Административные шаблоны\ Система\ Профили пользователей | Восстанавливает определения для переменных среды %HOMESHARE% и %HOMEPATH% к значениям, использовавшимся в Windows NT 4.0 и более ранних версиях. |
Исключить папки из перемещаемого профиля (Exclude directories in roaming profile) | Конфигурация пользователя\ Административные шаблоны\ Система\ Профили пользователей | Позволяет добавлять новые элементы к списку папок, исключаемых из перемещаемого профиля пользователя. |
Удалять кэшированные копии перемещаемых профилей (Delete cached copies of roaming profiles) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей (Computer Configuration\ Administrative Templates\ System\ User Profiles) | Определяет, будет ли сохраняться копия пользовательского перемещаемого профиля на жестком диске локального компьютера при выходе пользователя из системы. Эта политика и другие связанные с ней политики из данной папки совместно определяют стратегию управления пользовательскими профилями, хранящимися на удаленных серверах. В частности, они определяют действия системы в тех случаях, когда требуется длительное время для загрузки профиля. |
Таймаут для профилей пользователей для медленных сетевых подключений (Slow network connection timeout for user profiles) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Определяет медленное подключение для загрузки перемещаемых профилей пользователей. Если сервер, на котором располагается перемещаемый профиль пользователя, отвечает медленнее, чем указано в данной политике, система считает это подключение медленным. Эта политика и связанные с ней политики в этой папке указывают, как система должна реагировать на медленное подключение при загрузке перемещаемого пользовательского профиля. |
Добавлять группу администраторов для перемещаемых профилей пользователя (Add the Administrator security group to the roaming user profile share) Новая в Windows XP | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Если эта политика включена, группа администраторов также получает полный доступ к папке профиля пользователя (т.е. поведение в точности такое же, как в Windows NT 4.0.) |
Запретить распространение изменений в перемещаемом профиле на сервер (Prevent Roaming Profile Changes From Propagating to the server) Новая в Windows XP | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Эта политика определяет, будут ли изменения, вносимые пользователем в свой перемещаемый профиль, добавляться к копии его профиля на сервере. Если эта политика включена, при входе пользователь получит свой перемещаемый профиль. Но любые изменения, сделанные пользователем в своем профиле, не будут внесены в их перемещаемый профиль при выходе из системы. |
Разрешать использование только локальных профилей (Only allow local profiles) Новая в Windows XP | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Определяет, будут ли доступны перемещаемые профили пользователя на определенном компьютере. По умолчанию, когда пользователь с перемещаемым профилем входит в систему на компьютере, его перемещаемый профиль загружается на локальный компьютер. Если он ранее уже выполнял вход в систему на этом компьютере, перемещаемый профиль объединяется с локальным профилем. С помощью этой политики можно запретить пользователям с перемещаемым профилем получать свой перемещаемый профиль на определенном компьютере. |
Выдавать запрос пользователю при обнаружении медленного подключения (Prompt user when slow link is detected) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Уведомляет пользователей, когда определено медленное подключение для загрузки перемещаемого профиля. Уведомление позволяет пользователям решить, следует ли использовать локальную копию или подождать выполнения загрузки перемещаемого профиля. Если эта политика отключена или не настроена, то при обнаружении медленного подключения система не извещает об этом пользователя. Вместо этого выполняется автоматическая загрузка локальной копии профиля. Если же включена политика «Дождаться загрузки перемещаемого пользовательского профиля», система автоматически загружает удаленную копию профиля |
Максимальное число повторов попыток выгрузки и обновления профиля пользователя (Maximum retries to unload and update user profile) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Только в Windows 2000. Определяет количество повторных попыток выгрузки и обновления реестровой части профиля пользователя. Когда указанное число попыток оказывается исчерпанным, система прекращает попытки. В результате профиль пользователя может оказаться устаревшим, а локальный и перемещаемый профили пользователя могут не соответствовать друг другу. |
Не определять медленные подключения (Do not detect slow network connections) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Отключает возможность определения медленного подключения. Определение медленного подключения выполняется с помощью измерения скорости подключения пользовательского компьютера к удаленному серверу, на котором хранится перемещаемый пользовательский профиль. Когда система определяет медленное подключение, связанные с этим политики в этой папке указывают, как система должна реагировать на медленное подключение. |
Дождаться загрузки перемещаемого пользовательского профиля (Wait for remote user profile) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Указывает, что система должна дождаться загрузки удаленной копии перемещаемого профиля пользователя, даже если подключение медленное. Кроме того, система ждет загрузки удаленной копии, если пользователь был уведомлен о медленном подключении, но не ответил в течение установленного времени. |
Таймаут диалоговых окон (Timeout for dialog boxes) | Конфигурация компьютера\ Административные шаблоны\ Система\ Профили пользователей | Определяет, как долго система ждет ответа пользователя перед тем, как использовать значение по умолчанию. Значение по умолчанию используется в том случае, если пользователь не отвечает на сообщение об одном из следующих событий:
|
Связанные ресурсы
Дополнительную информацию о технологиях управления пользовательскими данными и настройками можно найти по следующим ссылкам:
Обслуживание Windows 2000 Server
Windows 2000 Management Services (EN)
Пошаговое руководство по работе с пользовательскими данными и настройками
Step-by-Step Guide to User Data and User Settings (EN)
Новейшую информацию об операционной системе Windows XP Вы найдете на веб-узле Microsoft.