Управление пользовательскими профилями
Пользовательский профиль содержит всю конфигурационную информацию для рабочего стола пользователя. Эта информация включает содержание поддерева HKEY_CURRENT_USER в системном реестре (хранящееся как файл Ntuser.dat), который включает параметры настройки конфигурации для приложений и рабочего стола. Кроме того, профиль содержит папки My Documents (Мои документы), Start Menu (Меню Пуск), Desktop (Рабочий стол) и Application Data (Данные приложений). На рисунке 13-2 показано содержимое пользовательского профиля на компьютере с системой Windows Server 2003.
Рис. 13-2. Пользовательский профиль содержит все пользовательские параметры настройки рабочего стола и папки для пользовательских данных
Пользовательский профиль создается на каждом компьютере, когда пользователь первый раз входит в систему. Начальный профиль основан на заданном по умолчанию пользовательском профиле, который хранится в папке %systemdrive%\Documents And Settings. Когда пользователь выходит из системы, профиль пользователя, включая любые сделанные им изменения к заданному по умолчанию, сохраняется в папке с именем, под которым пользователь входил в систему, в папке Documents And Settings (Документы и параметры настройки). Когда пользователь снова войдет на тот же самый компьютер, его профиль будет найден, и пользователю будет представлен тот же самый рабочий стол, который был перед выходом из системы. Некоторые компании реализовали роу-минговые профили пользователя. Роуминговые пользовательские профили хранятся на сетевом ресурсе, чтобы быть доступными пользователю, когда он перемещается между компьютерами. Когда пользователь, для которого сконфигурирован роуминговый профиль, впервые входит на компьютер, этот профиль загружается с сетевого ресурса и применяется к компьютеру. Когда пользователь выходит из системы, сделанные им изменения к пользовательскому профилю копируются назад на сетевой ресурс. Копия профиля также кэшируется на местной рабочей станции. Если пользователь уже входил на рабочую станцию прежде, то временная метка профиля, хранящегося на местной рабочей станции, сравнится с временной меткой профиля, хранящегося на сетевом ресурсе. В системах Windows 2000 и Windows XP Professional временная метка на индивидуальных файлах используется для определения того, какой из файлов профиля является более новым. Если профиль, хранящийся на сервере, новее, чем местный профиль, то весь профиль будет скопирован с сервера на местную рабочую станцию. Включить роуминговый профиль пользователя можно, конфигурируя путь профиля на вкладке Profile (Профиль) окна Properties (Свойства) учетной записи пользователя в инструменте Active Directory Users And Computers (Пользователи и компьютеры Active Directory).
Некоторые компании реализуют принудительные профили. В большинстве случаев принудительные профили используются в комбинации с роуминговыми профилями для создания стандартной настольной конфигурации для группы пользователей. Например, вы имеется группа пользователей, исполняющих одни и те же функции и нуждающихся в очень ограниченной конфигурации рабочего стола. Если вы являетесь членом групп Account Operators (Операторы учетных записей), Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия), вы можете создать один стандартный рабочий стол для этой группы пользователей и использовать принудительные профили, чтобы помешать изменению конфигурации. Чтобы включить опцию принудительных профилей, сначала создайте желательную стандартную конфигурацию рабочего стола. Затем сохраните все содержимое пользовательского профиля на сетевом ресурсе и переименуйте файл
Ntuser.dat в Ntuser.man. Далее сконфигурируйте всех необходимых пользователей, чтобы этот профиль был их роуминговым профилем. Когда пользователи войдут в сеть, им будет представлен стандартный профиль, и поскольку этот профиль является принудительным, они не смогут сохранить никакие изменения, сделанные к нему.
Роуминговые пользовательские профили существуют и в Windows Server 2003. Если в вашей компании реализованы роуминговые или принудительные пользовательские профили, можно продолжать их использование. Для управления пользовательскими профилями используются групповые политики. Большинство пользовательских параметров настройки профиля расположено в папке Computer Configuration\ Administrative Templates\ System\User Profiles. Дополнительные параметры настройки расположены в подпапке того же названия в разделе параметров User Configuration. В таблице 13-2 объясняются опции конфигурации.
Табл. 13-2. Конфигурирование пользовательских профилей с помощью редактора объектов групповой политики
Опция конфигурации |
Пояснение |
Do Not Check For User Ownership Of Roaming Profile Folders (He проверять право собственности пользователя на папки роу-минговых профилей) |
Используется для конфигурирования действий в случае, если папка роуминговых профилей пользователя уже существует и рабочие станции модернизированы до Microsoft Windows 2000 Service Pack 4 или Microsoft Windows XP Professional Service Pack. Эти новые сервисные пакеты увеличивают заданную по умолчанию защиту пользовательских профилей. Включение этой опции означает, что поддерживается более ранняя защита. |
Delete Cached Copies Of Roaming Profiles (Удалить кэширован-ные копии роуминго-вых профилей) |
Используется для удаления в местном масштабе кэшированной копии роумингового профиля пользователя, когда пользователь выйдет из системы. Не включайте эту опцию, если вы используете функцию обнаружения медленных связей в системах Windows 2000 или Windows XP Professional, потому что этой функции требуется локально кэшированная копия пользовательского профиля. |
Do Not Detect Slow Network Connections (He обнаруживать медленные сетевые подключения) |
Используется для предотвращения использования функции обнаружения медленных связей при конфигурировании способов управления роуминговыми профилями пользователя. Если опция включена, то роуминговые профили пользователей будут загружаться всегда, независимо от скорости передачи в сети. |
Slow Network Connection Timeout For User Profiles (Лимит времени в медленном сетевом подключении для пользовательских профилей) |
Используется для определения медленного сетевого подключения. Если опция включена, то заданное по умолчанию определение медленного сетевого подключения - менее 500 Кб/с, или (для компьютеров, не использующих IP-адрес) если серверу на ответ требуется более 120 мс. |
Wait For Remote User Profile (Ждать удаленный пользовательский профиль) |
Используется для того, чтобы всегда загружать роуминговый профиль пользователя с сервера. Если опция включена, рабочая станция загрузит пользовательский профиль, даже если будет обнаружено медленное сетевое подключение. |
Prompt User When Slow Link Is Detected (Предупредить пользователя, если обнаружены медленные связи) |
Используется для предупреждения об обнаруженном медленном сетевом подключении, чтобы дать пользователю возможность выбора между загрузкой местного профиля или профиля, расположенного на сервере. Если опция не включена, местный профиль будет загружен без уведомления пользователя. |
Timeout For Dialog Boxes (Лимит времени для диалоговых окон) |
Используется для конфигурирования времени ожидания система после того, как пользователь будет предупрежден об обнаружении медленного сетевого подключения. Если лимит времени истекает, то применяется заданное по умолчанию значение или действие, связанное с диалоговым окном. |
Log Users Off When Roaming Profile Fails (Предотвратить вход пользователей, если роуминговый профиль не доступен) |
Используется для запрета входа пользователей в систему, если роуминговый профиль недоступен. Если опция не включена, будет загружен профиль, котируемый в местном масштабе, если он доступен. (Иначе загружается местный заданный по умолчанию пользовательский профиль.) |
Maximum Retries To Unload And Update User Profile (Максимальное количество повторных попыток для выгрузки и обнов- |
Используется для конфигурирования количества попыток системы обновить файл Ntuser.dat, когда пользователь выходит из системы и обновление терпит неудачу. По умолчанию система будет пробовать обновить файл один раз в секунду в течение 60 с. |
Add The Administrators Security Group To Roaming User Profiles (Добавьте группу безопасности администраторов к роуминговым профилям пользователей) |
Используется для конфигурирования административного доступа к пользовательским профилям. По умолчанию в системах Windows 2000 и Windows XP Professional учетной записи пользователя дается полное управление профилем, а администраторы не имеют никакого доступа |
Prevent Roaming Profile Changes From Propagating To The Server (Предотвратить перемещение изменений роумингового профиля на сервер) |
Используется для конфигурирования действий при выходе пользователя из системы. Если эта опция включена, то роуминговый профиль на сервере не модифицируется, когда пользователь выходит из системы. |
Only Allow Local User Profiles (Разрешить только местные пользовательские профили) |
Используется для конфигурирования того, будут ли роуминговые профили пользователя скопированы с сервера. Если опция включена, роуминговый профиль пользователя не будет применяться |
Connect Home Directory To Root Of The Share (Подключить домашний каталог к корню ресурса) (в разделе User Configuration) |
Используется для конфигурирования отображения домашнего диска так, как он был сконфигурирован в Windows NT. Если опция включена, то домашним диском' для всех пользователей будет сетевой ресурс, на котором расположены домашние папки пользователей. Если опция отключена (задано по умолчанию), домашние диски б^удут отображать специфичные для пользователя папки, а не ресурс более высокого уровня. |
Limit Profile Size (Ограничить размер профиля) (в разделе User Configuration) |
Используется для ограничения размера роумингового профиля пользователя, а также для конфигурирования того, какое предупреждение получит пользователь, если размер его профиля будет превышен. |
Exclude Directories In Roaming Profile (Исключить каталоги из роуминговых профилей) (в разделе User Configuration) |
Используется для предотвращения включения определенных пользовательских каталогов в роуминговый профиль пользователя. |
Как показано в таблице 13-2, Active Directory Windows Server 2003 имеет мощные возможности для управления роуминговыми профилями пользователя. Они используются для проектирования специфичных конфигураций пользователей в вашей компании. Например, для большинства пользователей вашей компании, которые входят в домен через быстрые сетевые подключения, можно изменить некоторые параметры настройки роуминговых профилей, таких как ограничение размера профиля, но принять остальные значения заданными по умолчанию. Для тех пользователей, которым требуются специальные конфигурации рабочего стола, могут понадобиться особенные параметры настройки, например, запрет на загрузку роуминговых профилей пользователя или обязательная загрузка профиля. Для тех пользователей, которые входят в сеть через медленные сетевые подключения, нужно сконфигурировать параметры медленных сетевых подключений. Создавая структуру организационных единиц (OU), которая соответствует требованиям пользовательских профилей, можно реализовать особые конфигурации роуминговых профилей пользователя.
Роуминговые пользовательские профили полезны для компаний, в которых пользователи не пользуются все время одним и тем же компьютером. Когда функция роуминговых профилей включена, рабочая среда пользователя остается одной и той же, независимо от того, в каком месте пользователь входит в систему. Однако роуминговые профили пользователя имеют некоторые ограничения. Самая большая проблема состоит в том, что пользовательский профиль может стать очень большим. Например, пользователь хранит большинство своих документов в папке My Documents (Мои документы) или на рабочем столе. Временные интернет-файлы могут вырастать до размеров, составляющих десятки мегабайт. Все эти файлы сохраняются в пользовательском профиле. Проблема заключается в том, что весь профиль должен быть скопирован на локальную рабочую станцию всякий раз, когда пользователь входит в систему, и компьютер обнаруживает, что профиль, находящийся на сервере, новее, чем профиль, находящийся на локальной рабочей станции. Если пользователь делает изменения профиля, то при выходе профиль копируется назад на сервер. Этот процесс создает существенный объем сетевого трафика.