Где хранятся файлы пользователей в домене
Одна из важнейших задач администратора – управление локальными и доменными учетными записями: аудит, квотирование и разграничение прав пользователей в зависимости от их потребностей и политики компании. Что может предложить в этом плане Active Directory?
В продолжение цикла статей об Active Directory сегодня мы поговорим о центральном звене в процессе администрирования – управлении пользовательскими учетными данными в рамках домена. Нами будет рассмотрено:
- создание учетных записей и управление ими;
- типы профилей пользователей и их применение;
- группы безопасности в доменах AD и их сочетания.
В конечном итоге вы сможете применить эти материалы для построения рабочей инфраструктуры либо доработки существующей, которая будет отвечать вашим требованиям.
Забегая вперед, скажу, что тема тесно связана с применением групповых политик для административных целей. Но вследствие обширности материала, посвященного им, она будет раскрыта в рамках следующей статьи.
Знакомство с Active Directory – Users and Computers
После того как вы установили свой первый контроллер в домене (тем самым вы собственно и организовали домен), в разделе «Администрирование» появляется пять новых элементов (см. рис. 1).
Рисунок 1. Новые элементы для администрирования домена
Для управления объектами AD используется Active Directory – Пользователи и компьютеры (ADUC – AD Users and Computers, см. рис. 2), которая также может быть вызвана через меню «Выполнить» посредством DSA.MSC.
Рисунок 2. Active Directory - Users and Computers
С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками.
Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK.MSI, расположенный в директории «%SYSTEM_DRIVE%\Windows\system32». Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен.
При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц.
- Builtin. Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена.
- Users и Computers. Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх Windows NT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers.
- Domain Controllers. Это организационная единица (OU, Organizational Unit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь.
- ForeignSecurityPrincipals. Это контейнер по умолчанию для объектов из внешних доверяемых доменов.
Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена.
Вводим компьютер в домен
Процедура выполняется непосредственно на локальной машине, которую мы хотим подключить.
Выбираем «Мой компьютер -> Свойства -> Имя компьютера», нажимаем кнопку «Изменить» и в меню «Является членом» выбираем «домена». Вводим имя домена, в который мы хотим добавить наш компьютер, и далее доказываем, что у нас есть права на добавление рабочих станций к домену, введя аутентификационные данные администратора домена.
Создаем пользователя домена
Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться, нажать на нем правой кнопкой мыши и выбрать «Создать -> Пользователь». Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена.
Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость. Смягчить требования можно, открыв «Политику безопасности домена» (Default Domain Security Settings) и далее «Параметры безопасности -> Политики учетных записей -> Политика паролей».
Пусть мы создали пользователя Иван Иванов в контейнере Users (User Logon Name: ivanov@HQ.local). Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так:
cn="Иван Иванов", cn="Users", dc="hq", dc="local"
Здесь cn – container name, dc – domain component. Описания объектов в формате LDAP используются для выполнения сценариев WSH (Windows Script Hosts) либо для программ, использующих протокол LDAP для связи с Active Directory.
Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (Universal Principal Name): ivanov@hq.local. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win2000), в нашем случае HQ\Ivanov.
При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, Security Identifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой.
Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами.
Рабочая среда пользователя
Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства Windows NT используют для создания рабочего окружения на клиентской машине профиль пользователя.
Рассмотрим основные составляющие профиля пользователя:
- Раздел реестра, соответствующий определенному пользователю («улей» или «hive»). Фактически данные этой ветки реестра хранятся в файле NTUSER.DAT. Он располагается в папке %SYSTEMDRIVE%\Documents and Settings\User_name, которая содержит профиль пользователя. Таким образом, при входе конкретного пользователя в систему в раздел реестра HKEY_CURRENT_USER загружается «улей» NTUSER.DAT из папки, содержащей его профиль. И все изменения настроек пользовательской среды за сеанс будут сохраняться именно в этот «улей». Файл NTUSER.DAT.LOG – это журнал транзакций, который существует для защиты файла NTUSER.DAT. Однако для пользователя Default User вы вряд ли его найдете, поскольку он является шаблоном. Об этом далее. Администратор имеет возможность редактировать «улей» определенного пользователя прямо из своей рабочей среды. Для этого с помощью редактора реестра REGEDIT32 он должен загрузить «улей» в раздел HKEY_USERS, а затем после внесения изменений выгрузить его.
- Папки файловой системы, содержащие файлы пользовательских настроек. Они располагаются в специальном каталоге %SYSTEMDRIVE%\Documents and Settings\User_name, где User_name – имя пользователя, вошедшего в систему. Здесь хранятся элементы рабочего стола, элементы автозагрузки, документы и др.
Если пользователь впервые входит в систему, происходит следующее:
- Система проверяет, существует ли локальный профиль этого пользователя.
- Не найдя его, система обращается к контроллеру домена в поиске доменного профиля по умолчанию, который должен располагаться в папке Default User на общем ресурсе NETLOGON; если система обнаружила этот профиль, он копируется локально на машину в папку %SYSTEMDRIVE%\Documents and Settings с именем пользователя, в противном случае он копируется из локальной папки %SYSTEMDRIVE%\Documents and Settings\Default User.
- В раздел реестра HKEY_CURRENT_USER загружается пользовательский «улей».
- При выходе из системы все изменения сохраняются локально.
В конечном итоге рабочее окружение пользователя – это объединение его рабочего профиля и профиля All Users, в котором находятся общие для всех пользователей данной машины настройки.
Теперь несколько слов о создании профиля по умолчанию для домена. Создайте фиктивный профиль на своей машине, настройте его в соответствии с вашими нуждами либо с требованиями корпоративной политики. Затем выйдите из системы и снова зайдите как администратор домена. На общем ресурсе NETLOGON-сервера создайте папку Default User. Далее при помощи вкладки User Profiles в апплете System (см. рис. 3) скопируйте ваш профиль в эту папку и предоставьте права на ее использование группе Domain Users или какой-либо другой подходящей группе безопасности. Все, профиль по умолчанию для вашего домена создан.
Рисунок 3. Вкладка «User Profiles» апплета System
Active Directory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее.
Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии IntelliMirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных.
Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена (см. рис. 4).
Рисунок 4. Здесь указывается путь к перемещаемому профилю
При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя (см. рис. 5).
Рисунок 5. Путь к перемещаемым профилям нескольких пользователей
Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением.
Во-первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано.
Во-вторых, по завершении работы все изменения копируются на сервер, и если групповыми политиками не указано удалять локальную копию, сохраняются на данной машине. Если же пользователь уже имел локальную копию профиля, то серверная и локальная копии профиля сравниваются, и происходит их объединение.
Технология IntelliMirror в системах Windows последних версий позволяет осуществлять перенаправление определенных папок пользователей, таких как «Мои документы», «Мои рисунки» и др., на сетевой ресурс.
Таким образом, для пользователя все проведенные изменения будут абсолютно прозрачны. Сохраняя документы в папку «Мои документы», которая заведомо будет перенаправлена на сетевой ресурс, он даже и не будет подозревать о том, что все сохраняется на сервер.
Настроить перенаправление можно как вручную для каждого пользователя, так и при помощи групповых политик.
В первом случае нужно кликнуть на иконке «Мои документы» на рабочем столе либо в меню «Пуск» правой кнопкой мыши и выбрать свойства. Дальше все предельно просто.
Во-втором случае нужно открыть групповую политику OU или домена, для которых мы хотим применить перенаправление, и раскрыть иерархию «Конфигурация пользователя ‑> Конфигурация Windows» (см. рис. 6). Далее перенаправление настраивается либо для всех пользователей, либо для определенных групп безопасности OU или домена, к которым эта групповая политика будет применяться.
Рисунок 6. Настройка перенаправления папок при помощи групповых политик
Используя перенаправление папок к работе с перемещаемыми профилями пользователей, можно добиться, например, уменьшения времени загрузки профиля. Это при условии того, что перемещаемый профиль загружается всегда с сервера без использования локальной копии.
Рассказ о технологии перенаправления папок был бы неполон без упоминания об автономных файлах. Они позволяют пользователям работать с документами даже при отсутствии подключения к сети. Синхронизация с серверными копиями документов происходит при следующем подключении компьютера к сети. Такая схема организации будет полезна, например, пользователям ноутбуков, работающих как в рамках локальной сети, так и дома.
К недостаткам перемещаемых профилей можно отнести следующее:
- может возникнуть ситуация, когда, например, на рабочем столе пользователя будут существовать ярлыки некоторых программ, а на другой машине, где захочет поработать обладатель перемещаемого профиля таких программ не установлено, соответственно часть ярлыков не будет работать;
- многие пользователи имеют привычку хранить документы, а также фотографии и даже видео на рабочем столе, в результате при загрузке перемещаемого профиля с сервера каждый раз создается дополнительный трафик в сети, а сам профиль загружается очень долго; для решения проблемы используйте разрешения NTFS, чтобы ограничить сохранение «мусора» на рабочем столе;
- каждый раз, когда пользователь входит в систему, для него создается локальный профиль (точнее, профиль с сервера копируется локально), и если меняет рабочие машины, то на каждой из них остается такой «мусор»; этого можно избежать, настроив определенным образом групповые политики («Конфигурация компьютера -> Административные шаблоны -> System -> User Profiles», политика «Delete cached copies of roaming profiles»).
Введение уже существующего пользователя в домен
Зачастую при внедрении службы каталогов в уже существующей сети на базе рабочих групп возникает вопрос о введении пользователя в домен без потери настроек его рабочей среды. Этого можно добиться, используя перемещаемые профили.
Создайте на общем сетевом ресурсе (например, Profiles) на сервере папку с именем пользователя и задайте для нее разрешения на запись для группы Everyone. Пусть она называется HQUser, а полный путь к ней выглядит так: \\Server\Profiles\HQUser.
Создайте пользователя домена, который будет соответствовать пользователю вашей локальной сети, и в качестве пути к профилю укажите \\Server\Profiles\HQUser.
На компьютере, содержащем локальный профиль нашего пользователя, нужно войти под учетной записью администратора и при помощи вкладки User Profiles апплета System скопировать его в папку \\Server\Profiles\HQUser.
Нетрудно понять, что при следующем входе в систему под новой доменной учетной записью наш пользователь загрузит свой рабочий профиль с сервера, и администратору останется лишь решить, оставить этот профиль перемещаемым либо сделать локальным.
Очень часто пользователи загружают ненужной информацией сетевые диски. Чтобы избежать постоянных просьб почистить свои личные папки от ненужного мусора (почему-то он всегда оказывается нужным), можно использовать механизм квотирования. Начиная с Windows 2000 это можно делать стандартными средствами на томах NTFS.
Для включения механизма квотирования и его настройки нужно зайти в свойства локального тома и открыть вкладку «Квота» (Quota) (см. рис. 7).
Рисунок 7. Включение дисковых квот
Далее помечаем «Включить управление квотами» и настраиваем дисковые квоты по умолчанию для всех пользователей, записывающих информацию на этот том.
Также можно посмотреть данные о занимаемом пространстве на диске и настроить квоты отдельно для каждого пользователя (см. рис. 8). Система подсчитывает занимаемое место на диске, основываясь на данных о владельце объектов, суммируя объем принадлежащих ему файлов и папок.
Рисунок 8. Управление дисковыми квотами для отдельных пользователей домена
Группы пользователей в AD
Управление пользователями в рамках домена – задача несложная. Но когда нужно настроить доступ к определенным ресурсам для нескольких десятков (а то и сотен) пользователей, на раздачу прав доступа может уйти уйма времени.
А если возникает необходимость тонко разграничить права участникам нескольких доменов в рамках дерева или леса, перед администратором встает задача сродни задачам из теории множеств. На помощь здесь приходит использование групп.
Основная характеристика групп, встречающихся в рамках домена, была дана в прошлой статье [1], посвященной архитектуре службы каталогов.
Напомню, что локальные группы домена могут включать пользователей своего домена и других доменов в лесу, но область ее действия ограничивается доменом, которому она принадлежит.
Глобальные группы могут включать в себя только пользователей своего домена, но есть возможность их использования для предоставления доступа к ресурсам как в рамках своего, так и другого домена в лесу.
Универсальные группы, соответствуя своему названию, могут содержать пользователей из любого домена и использоваться также для предоставления доступа в рамках всего леса. Не важно, в рамках какого домена универсальная группа будет создана, единственное, стоит учитывать, что при ее перемещении права доступа будут теряться и их необходимо будет переназначить заново.
Чтобы понять описанное выше и основные принципы вложенности групп, рассмотрим пример. Пусть у нас есть лес, содержащий два домена HQ.local и SD.local (какой из них корневой в данном случае, не важно). Каждый из доменов содержит ресурсы, к которым нужно предоставить доступ, и пользователей (см. рис. 9).
Рисунок 9. Предоставление доступа на основе групп
Из рис. 9 видно, что к ресурсам Docs и Distrib должны иметь доступ все пользователи в лесу (зеленые и красные линии), поэтому мы можем создать универсальную группу, содержащую пользователей из обоих доменов, и использовать ее при указании разрешений на доступ к обоим ресурсам. Либо мы можем создать две глобальные группы в каждом домене, которые будут содержать пользователей только своего домена, и включить их в универсальную группу. Любую из этих глобальных групп также можно использовать для назначения прав.
Доступ к каталогу Base должны иметь пользователи только из домена HQ.local (синие линии), поэтому мы включим их в локальную доменную группу, и этой группе предоставим доступ.
Каталогом Distrib будут иметь право пользоваться как члены домена HQ.local, так и члены домена SD.local (оранжевые линии на рис. 9). Поэтому пользователей Manager и Salary мы можем добавить в глобальную группу домена HQ.local, а затем эту группу добавить в локальную группу домена SD.local вместе с пользователем IT. Затем этой локальной группе и предоставить доступ к ресурсу Distrib.
Сейчас мы рассмотрим вложенность этих групп подробнее и рассмотрим еще один тип групп – встроенные локальные доменные группы.
В таблице показано, какие группы в какие могут быть вложены. Здесь по горизонтали расположены группы, в которые вкладываются группы, расположенные по вертикали. Плюс означает, что один вид групп может быть вложен в другой, минус – нет.
На каком-то ресурсе в Интернете, посвященном сертификационным экзаменам Microsoft, я увидел упоминание о такой формуле – AGUDLP, что значит: учетные записи (Account) помещаются в глобальные группы (Global), которые помещаются в универсальные (Universal), которые помещаются в локальные доменные группы (Domain Local), к которым и применяются разрешения (Permissions). Эта формула в полной мере описывает возможность вложенности. Следует добавить, что все эти виды могут быть вложены в локальные группы отдельно взятой машины (локальные доменные исключительно в рамках своего домена).
Система создает профиль пользователя при первом входе пользователя на компьютер. При последующих входах система загружает профиль пользователя, а затем другие компоненты системы настраивают среду пользователя в соответствии со сведениями в профиле.
плитки профиля пользователя в Windows 7 и более поздних версиях
в Windows 7 или более поздней версии каждый профиль пользователя имеет связанный образ, представленный в виде плитки пользователя. Эти плитки отображаются для пользователей в элементе панели управления учетные записи пользователей и вложенной странице Управление учетными записями . Файлы образов для учетных записей гостя по умолчанию и пользователей по умолчанию также отображаются здесь, если у вас есть права доступа администратора.
Доступ к вложенной странице Управление учетными записями осуществляется через ссылку Управление другой учетной записью в элементе панели управления учетные записи пользователей .
- % Папка ProgramData% \ \ изображений учетной записи пользователя Майкрософт \Guest.bmp
- % Папка ProgramData% \ \ изображений учетной записи пользователя Майкрософт \User.bmp
Изображение плитки пользователя хранится в папке% SystemDrive% \ Users \ < username >\ AppData \ Local TEMP в \ качестве < имени пользователя >.bmp. Символы косой черты ( \ ) преобразуются в знаки плюса (+). Например, пользователь домена \ преобразуется в домен и пользователь.
Файл изображения появится во временной папке пользователя:
- После того, как пользователь завершит начальную настройку системы (OOBE).
- Когда пользователь впервые запускает элемент панели управления учетные записи пользователей .
- Когда пользователь переходит на подстраницу Управление учетными записями элемента панели управления учетные записи пользователей . Кроме того, отображаются плитки для всех остальных пользователей компьютера.
Эти экземпляры являются единственным временем создания или обновления образов. Поэтому существует несколько моментов, которые следует учитывать при использовании расположения временной папки программным способом.
Плитка пользователя не гарантируется. Если пользователь удаляет файл .bmp, например вручную или с помощью программы, которая удаляет временные файлы, эта плитка пользователя не создается автоматически, пока пользователь не запустит подстраницу элемента панели управления учетные записи пользователя или Управление учетными записями .
Пользовательские плитки для других пользователей компьютера могут отсутствовать в папке TEMP пользователя, вошедшего в систему. например, если пользователь a создает пользователя B с помощью элемента панели управления учетные записи пользователей , то при Windows отправляет пользователя a на подстраницу управление учетными записями в папке Temp пользователя a. Так как структура каталогов не создается для пользователя б до тех пор, пока пользователь не войдет в систему, то единственным расположением, где хранится плитка пользователя б, является временная папка пользователя A. Когда пользователь б входит в систему, единственный образ, хранящийся в папке User B TEMP , сам является его владельцем.
- Чтобы получить все плитки пользователей в системе, приложениям может потребоваться выполнить поиск во временном каталоге каждого пользователя.
- Так как список управления доступом (ACL) для этих временных каталогов предоставляет доступ к системе, администратору и текущему пользователю, приложениям необходимо повысить уровень доступа для других пользователей.
В временных папках не гарантируется актуальность плиток пользователей. Если пользователь б обновляет плитку пользователя, пользователь а не увидит изменения, пока пользователь A не получит доступ к подстранице Управление учетными записями . Поэтому, если приложения используют временную папку пользователя а для получения плитки пользователя б, эти приложения могут получить устаревшую версию файла образа.
В этом разделе рассматриваются технологии автономных файлов (кэширование на стороне клиента, или CSC), перемещаемых профилей пользователей (также известных как RUP) и перенаправления папок, в том числе новые возможности и поиск дополнительных сведений.
Требования к оборудованию
Технологии автономных файлов, перемещаемых профилей пользователей и перенаправления папок реализуются на компьютерах под управлением 32- или 64-разрядной операционной системы и не поддерживаются на компьютерах под управлением Windows на ARM (WOA).
Какую пользу приносят основные компьютеры?
Назначение основных компьютеров для пользователей дает четыре ключевых преимущества.
- Администратор указывает, на каких компьютерах пользователи могут получить доступ к своим перенаправленным данным и настройкам. Так, он может разрешить перемещение данных и настроек пользователя между настольным компьютером и ноутбуком, а также запретить их перемещение на любой другой компьютер, например расположенный в конференц-зале.
- Назначение основных компьютеров снижает риск нарушения безопасности и конфиденциальности, когда на компьютере, за которым работал пользователь, остаются личные или корпоративные данные. Это полезно, например, когда генеральный директор временно использует компьютер какого-либо сотрудника, чтобы после его работы на компьютере не осталось конфиденциальных или корпоративных данных.
- Назначение основных компьютеров позволяет администратору снизить риск неверной настройки или повреждения профиля, что может быть следствием перемещения данных между системами разной конфигурации, например 32- и 64-разрядной.
- При первом входе на неосновной компьютер, например сервер, потребуется меньше времени, так как перемещаемый профиль пользователя и (или) перенаправленные папки не скачиваются. Время выхода из системы тоже сокращается, поскольку отсутствует необходимость в передаче изменений профиля пользователя на файловый ресурс общего доступа.
Описание технологий
Технологии автономных файлов и перенаправления папок при совместном использовании позволяют перенаправлять путь к локальным папкам (например, к папке документов) в какое-либо место в сети. При этом для увеличения скорости и улучшения доступности кэширование содержимого производится локально. Технология перемещаемых профилей пользователей позволяет перенаправлять профиль пользователя в какое-либо место в сети. Эти возможности раньше назывались IntelliMirror.
Основные компьютеры для перемещаемых профилей пользователей и перенаправления папок
Теперь вы можете для каждого пользователя домена назначить набор компьютеров, которые называются основными, что позволяет контролировать использование технологий перемещаемого профиля и (или) перенаправления папок. Назначение основных компьютеров — простой и эффективный способ сопоставления данных и настроек пользователя с конкретными компьютерами или устройствами. Это упрощает контроль со стороны администратора, повышает безопасность данных и позволяет защитить профили пользователей от повреждения.
Какую пользу дает постоянный автономный режим?
Постоянный автономный режим дает следующие преимущества:
- пользователи получают более быстрый доступ к файлам, расположенным в перенаправленных папках, например в папке документов;
- снижается уровень использования пропускной способности, за счет чего сокращаются расходы на дорогостоящие подключения к глобальной сети или лимитные подключения, например к мобильной сети 4G.
Требования к программному обеспечению
Для назначения основных компьютеров среда должна соответствовать следующим требованиям.
Есть win server 2008 R2. В домене. Работает в качестве терминального сервера.
Как задать папку хранения профилей всех пользователей на этом сервере?
т.е. вместо типового c:\users\ например d:\userProfiles\
- Вопрос задан более трёх лет назад
- 24091 просмотр
Оценить 1 комментарий
Спасибо за ссылку, отчасти подходит.
Вот всегда удивляло:
на сайте майкрософт описано всё тоже самое, но каким-то эзоповым языком, как-будто текст машина генерировала, а на форумах люди с людьми говорят — намного понятнее.
Тоже знаю. Но это топорный метод. Должны быть способы лучше.
Через GPO, наверное лучше всего.
Почему топорный? Это дефолтное место размещение новых профилей, и GPO именно этот параметр и будет менять.
Потому что я его поменял и забыл. А через год-три-пять я или наследник вынесут мозг себе пытаясь понять почему профили создаются черт знает где. А в GPO открыл правила для этого сервера и увидел всё что изменено.
На мой взгляд есть несколько решений:
1. Оставьте все как есть, просто замапьте папку c:\users на папку на другом диске ( d:\userprofiles) на вашем терминальном сервере. ( тут трудности, делать надо в recovery консоли, но ms не рекомендует так делать
2. Расшариваете папку с профилями на d, указываете новый путь в свойствах пользователя в ad Путь к профилю с переменной %username% пр: \\termsrv\profiles\%username% после этого на терминальном сервере профили будут создаваться в этой папке.
3. Посмотрите на Это решение. Надо только добавить недостающие папки из профиля в скрипит запуска.
На мой взгляд самое оптимальное решение, это второй вариант. Сам так делал много раз.
Отпишусь результатом:
Поскольку конечная цель переноса была в организации бекапа данных пользователей, то решил не переносить целиком профили, а ограничится переносом документов, музыки, изображений, т.е. чисто пользовательской инфой.
Это позволит бекапить систему (с настройкамипользователей) и отдельно бекапить именно пользовательскую инфу.
В групповых политиках задал расположение нужных папок: Конфигурация пользователя / Конфигурация Windows / Перенаправление папок
По приходу в компанию сетевые папки были разбросаны по серверам, и админ только и занимался тем, что перенарезал права. Но логика в большинстве компаний одинаковая:
1. У каждого пользователя должна быть своя папка
2. Папка должна быть у каждого отдела
3. Есть общие папки для сотрудников разных отделов, для рабочих групп. 4. Должна быть общая папка помойка — это мнение сугубо только пользователей.
Для упрощения работы пользователей было принято решение, что это должна быть одна точка входа. Как правило, это что-то вроде SharePoint. Но кроме двух серверов с Windows Server 2012 больше не было ничего.
Вот как было решено поступить.
- user — поименные папки пользователей, создавались автоматически и с нужными правами;
- group — создавались вручную, параллельно с созданием рабочей группы, права для группы на изменение;
- send — папка для отправки документов в другие рабочие группы, чистим ежедневно.
1. Папки пользователей
Через GPO поменяли места хранения. Но т.к. после применения все добро из моих документов начинает копироваться на сервер, у некоторых это >20Gb, то мы прибегли к фильтру безопасности. Создали объект, связали со всем доменом, почистили фильтр безопасности и добавляли по одному пользователю. Так смогли разгрузить сеть.
2. Папки рабочих груп
Для этого в AD создали подразделение, для своего удобства. Внутри подразделения на создавали группы соответствующие нашим рабочим группам. Параллельно создавали одноименные папки в папке group и нарезали права. В каждой папке есть ссылка на папку из send где будут лежать входящие документы.
3. Единая точка входа через Мои документы
В моих документов у пользователей не только их файлы но и ярлыки на рабочие группы и папку отправку больших файлов. Вот листинг скрипта на создание ярлыков:
OU=Рабочие группы — объект где хранятся наши рабочие группы.
4. Отправка файлов
Папку send необходимо чистить ежедневно т.к. она очень быстро превратится в помойку. Мы перестраховались, ту папку что есть переносим на сервер резервных копий и создаем по новой папку.
Всё, задача решена, теперь для экономии места включаем дедубликацию, т.к. пользователи очень любят хранить одинаковые файлы. И после окончательного переноса всех пользователей можно настраивать квоты в Диспетчере ресурсов файлового сервера. У нас были грабли тут, мы изначально поставили жесткие квоты на типы файлов, и при переносе пользовательской папки у нас вываливался алярм и приходилось вручную докопировать файлы. Лучше в начале поставить просто уведомление на почту.
В следующей стать расскажу как мы организовали дальше резервное копирование и с использованием дедубликации храним историю файлов.
Какую пользу приносит экономная синхронизация?
Экономная синхронизация помогает пользователям сократить стоимость использования данных при лимитных подключениях или перемещении в сеть стороннего поставщика.
Новые и измененные функции
В следующей таблице описаны некоторые основные изменения в технологиях автономных файлов, перемещаемых профилей пользователей и перенаправления папок, реализованные в данной версии.
Компонент или функция | Новый или обновленный компонент | Описание |
---|---|---|
Постоянный автономный режим | Создать | Обеспечивает более быстрый доступ к файлам и снижает уровень использования пропускной способности за счет постоянной автономной работы даже при высокоскоростном сетевом подключении. |
Экономная синхронизация | Создать | Позволяет сократить стоимость синхронизации данных при использовании лимитных подключений или перемещении в сеть стороннего поставщика. |
Поддержка основного компьютера | Создать | Позволяет применять технологии перемещаемого профиля и перенаправления папок (совместно или раздельно) только на основных компьютерах пользователей. |
Как изменяют ситуацию основные компьютеры?
Чтобы ограничить загрузку личных данных пользователей на основные компьютеры, с помощью технологий перемещаемых профилей и перенаправления папок производятся следующие проверки логики при входе:
- Операционная система Windows проверяет новые параметры групповой политики (Загружать перемещаемые профили только на основные компьютеры и Перенаправлять папки только на основных компьютерах), чтобы определить, будет ли атрибут msDS-Primary-Computer в доменных службах Active Directory (AD DS) влиять на принятие решения о перемещении профиля пользователя или перенаправлении папок.
- Если этот параметр политики обеспечивает поддержку основных компьютеров, Windows проверяет наличие в схеме доменных служб Active Directory поддержки атрибута msDS-Primary-Computer . Если она есть, Windows проверяет, назначен ли компьютер, на который заходит пользователь, для него основным:
- если компьютер является одним из основных для этого пользователя, в Windows к нему применятся параметры перемещаемых профилей пользователей и перенаправления папок;
- в противном случае Windows загрузит кэшированный локальный профиль пользователя (при наличии) или создаст новый. Кроме того, Windows удалит все существующие перенаправленные папки в порядке, который указан в ранее примененном параметре групповой политики, сохраненном в локальной конфигурации перенаправления папок.
Практическое применение
С помощью технологий автономных файлов, перемещаемых профилей пользователей и перенаправления папок администраторы могут организовывать централизованное хранение данных и настроек пользователей, а также обеспечивать возможность доступа к данным при автономной работе, отказе сети или сервера. Некоторые частные случаи применения:
- централизация данных с клиентских компьютеров для решения задач администрирования, например использование расположенного на сервере средства архивации для сохранения папок и настроек пользователей;
- обеспечение пользователям непрерывного доступа к сетевым файлам даже при отказе сети или сервера;
- оптимизация использования пропускной способности сети и повышение удобства работы пользователей в филиалах с файлами и папками, размещенными на автономных серверах организации;
- обеспечение пользователям мобильных устройств доступа к сетевым файлам при автономной работе или медленном сетевом подключении.
Как изменяет ситуацию постоянный автономный режим?
До появления ОС Windows 8 и Windows Server 2012 переход между сетевым и автономным режимами осуществлялся в зависимости от доступности и условий сети даже при включении режима медленного подключения с пороговым значением задержки в 1 миллисекунду.
При использовании постоянного автономного режима компьютеры никогда не переходят в сетевой режим, если установлен параметр групповой политики Настроить режим медленного подключения, а параметру Задержка присвоено пороговое значение 1 миллисекунда. По умолчанию фоновая синхронизация производится каждые 120 минут, но ее можно настроить с помощью параметра групповой политики Configure Background Sync .
Экономная синхронизация
При экономной синхронизации Windows отключает фоновую синхронизацию, когда пользователь, выбравший сеть с лимитным тарифным планом (например, мобильную сеть 4G), достиг или почти достиг предела пропускной способности, либо в сеть стороннего поставщика.
Как правило, в ОС Windows 8, Windows Server 2019, Windows Server 2016 и Windows Server 2012 для лимитных сетевых подключений автономный режим (режим медленного подключения) включается при увеличении задержки кругового пути до 35 миллисекунд. Поэтому данные подключения переводятся в автономный режим (режим медленного подключения) автоматически.
Как изменяет ситуацию экономная синхронизация?
До появления Windows 8 и Windows Server 2012 пользователям, желавшим сократить расходы при работе с автономными файлами на лимитных сетевых подключениях, приходилось отслеживать использование данных с помощью средств, предлагаемых поставщиком мобильной связи. Затем при приближении к пределу пропускной способности или его превышении можно было переключиться на автономный режим вручную.
При использовании экономной синхронизации Windows автоматически отслеживает пределы перемещения и использования пропускной способности на лимитных подключениях. Когда пользователь перемещается, приближается к пределу пропускной способности или превышает его, Windows переключается в автономный режим и препятствует любой синхронизации. Тем не менее синхронизация по-прежнему запускается вручную, а администраторы могут переопределить экономную синхронизацию для конкретных пользователей, например руководителей организации.
Постоянный автономный режим
Начиная с Windows 8 и Windows Server 2012, администраторы могут настроить систему так, чтобы работающие с автономными файлами пользователи всегда находились в автономном режиме, даже если они располагают высокоскоростным сетевым подключением. Windows по умолчанию обновляет автономные файлы в кэше посредством почасовой фоновой синхронизации.
Типы профилей пользователей
-
. Профиль локального пользователя создается при первом входе пользователя на компьютер. Профиль хранится на локальном жестком диске компьютера. Изменения, внесенные в профиль локального пользователя, относятся к пользователю и к компьютеру, на котором вносятся изменения. . Перемещаемый профиль пользователя — это копия локального профиля, которая копируется в общую папку сервера и хранится на сервере. Этот профиль загружается на любой компьютер, на котором пользователь входит в сеть. Изменения, внесенные в перемещаемый профиль пользователя, синхронизируются с копией сервера профиля при выходе пользователя из системы. Преимущество перемещаемых профилей пользователей заключается в том, что пользователям не нужно создавать профиль на каждом компьютере, который они используют в сети. . Обязательный профиль пользователя — это тип профиля, который администраторы могут использовать для указания параметров пользователей. Только системные администраторы могут вносить изменения в обязательные профили пользователей. Изменения, внесенные пользователями в параметры рабочего стола, теряются при выходе пользователя из системы. . Временный профиль выдается каждый раз, когда условие ошибки предотвращает загрузку профиля пользователя. Временные профили удаляются в конце каждого сеанса, а изменения, внесенные пользователем в параметры рабочего стола и файлы, теряются при выходе пользователя из системы. временные профили доступны только на компьютерах под управлением Windows 2000 и более поздних версий.
Профиль пользователя состоит из следующих элементов:
- Куст реестра. Куст реестра — это файл NTuser. dat. Куст загружается системой при входе пользователя в систему и сопоставляется с ключом реестра hKey _ текущий _ пользователь . Куст реестра пользователя поддерживает настройки и настройки на основе реестра пользователя.
- Набор папок профиля, хранящихся в файловой системе. Файлы профиля пользователя хранятся в каталоге Profiles отдельно для каждого пользователя. Папка профиля пользователя — это контейнер для приложений и других системных компонентов, которые заполняются вложенными папками и данными пользователя, такими как документы и файлы конфигурации. Windows Проводник использует папки профиля пользователя для таких элементов, как рабочий стол пользователя, меню " Пуск " и папка " документы ".
Профили пользователей предоставляют следующие преимущества.
- Когда пользователь входит в систему компьютера, система использует те же параметры, которые использовались, когда пользователь вышел из системы.
- При совместном использовании компьютера с другими пользователями каждый пользователь получает свой настроенный Рабочий стол после входа в систему.
- Параметры в профиле пользователя уникальны для каждого пользователя. Другие пользователи не могут получить доступ к параметрам. Изменения, внесенные в профиль одного пользователя, не затрагивают других пользователей и профилей других пользователей.
Читайте также: