Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Управляємо даними і налаштуваннями користувачів. Частина 2 | Windows IT Pro / RE | Видавництво «Відкриті системи»

  1. Управляємо даними і налаштуваннями користувачів. Частина 2 Нам необхідно об'єднати управління даними...
  2. Управляємо даними і налаштуваннями користувачів. Частина 2
  3. Управляємо даними і налаштуваннями користувачів. Частина 2
  4. Управляємо даними і налаштуваннями користувачів. Частина 2
  5. Управляємо даними і налаштуваннями користувачів. Частина 2

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Після того як дані і настройки користувача переміщені на мережеві сервери, слід пам'ятати, що користувачам ноутбуків потрібно звертатися до даних і налаштувань за відсутності з'єднання з мережею. Завдяки переміщуються профілів файл реєстру користувача і папка AppData доступні локально. Для всіх даних в перенаправлених папках можна використовувати автономні файли для кешування мережевих сховищ даних з метою автономного доступу. Насправді клієнти Vista і XP автоматично кешують переслані папки. Реалізація автономних файлів залежить від багатьох обставин. Нижче перераховані найважливіші з них.

  • Vista і XP забезпечують шифрування кеша автономних файлів, додаючи рівень безпеки для даних, з якими користувач працює в дорозі.

  • Подумайте про відключення автоматичного кешування перенаправлених папок в настільних комп'ютерах. Навряд чи доцільно кешувати на комп'ютері в залі конференцій переслані папки кожного користувача, який працював з ним.

  • За замовчуванням в комп'ютерах XP проглядаються всі файли в автономних папках, щоб виявити зміни і необхідність в синхронізації при завершенні сеансу. Якщо в кеші знаходяться тисячі файлів, час перевірки може бути дуже тривалим. В XP можна використовувати інший алгоритм, щоб стежити за змінами файлів, що істотно підвищує ефективність синхронізації при завершенні сеансу. За допомогою групової політики потрібно відключити параметр Synchronize All Offline Files Before Logging Off, який знаходиться в папках Administrative Templates, Network, Offline Files розділів User Configuration і Computer Configuration. Цей параметр подібний до параметру Synchronize All Files Before Logging Off на вкладці Offline Files утиліти Folder Options панелі управління. Даний підхід доречний, коли автономні файли використовуються в основному або виключно для автономного доступу до призначених для користувача даних (на відміну від загальних даних).

  • Подумайте про видалення списку блокованих типів файлів при використанні автономних файлів для кешування даних користувачів. Більш детальну інформацію можна знайти в статті Microsoft «Error message: 'Files of this type can not be made available offline'».

  • Папки, переслані з використанням реєстру, що не будуть автоматично доступні в автономному режимі. Їх можна «проштовхнути» в кеші користувачів з використанням параметра Administratively Assigned Offline Files з розділу User Configuration, Administrative Templates, Network, Offline Files.

  • Надайте користувачам XP можливість переходу в автономний режим при підключенні за допомогою бездротової технології з малою пропускною здатністю. Якщо користувач XP підключається до корпоративної мережі через VPN, функція Offline Files може вважати лінію зв'язку досить хорошою і спробувати працювати з мережевими копіями кешованих файлів. Може бути навіть зроблена спроба синхронізації через VPN. Служба підтримки компанії Microsoft (PSS) може надати інструмент командного рядка Csccmd (csccmd.exe) для управління автономним режимом. За допомогою ключа / DISCONNECT можна перевести простір імен в автономний режим, щоб користувачі працювали з копією в локальному кеші. Підготуйте на настільному комп'ютері командний файл, після подвійного клацання на якому користувач зможе залишитися в автономному режимі, незважаючи на наявність VPN-з'єднання. Приклад командного файлу:

csccmd /DISCONNECT:contoso.com
users \% username% documents
csccmd /DISCONNECT:»contoso.com
users \% username% desktop »

  • Функціональність і швидкодія Offline Files в Vista настільки краще, ніж в XP, що проблем з організацією автономного застосування даних і налаштувань користувачів виникнути не повинно.

Верхівка айсберга

Інфраструктура управління даними і налаштуваннями користувачів може бути вельми непростий не тільки через складність і своєрідності технологій, а й в силу необхідності творчого вирішення двох проблем (небажаних даних і локальних даних), недостатньо підтримуваних в Windows.

У документації Microsoft детально описано застосування окремих технологій для управління настройками і даними користувачів. На жаль, документація по роботі з різними класами даних на підприємстві дуже мізерна. Дана стаття, я сподіваюся, допоможе уникнути типових проблем при реалізації, а якщо буде потрібна додаткова допомога, то настійно рекомендується звернутися до глави 3 набору ресурсів адміністрування Windows, яка містить вичерпний посібник з інфраструктури управління даними і налаштуваннями користувачів.

Ден Холм ( [email protected] ) - директор консалтингової служби Intelliem, яка організовує консультації для підприємств, які впроваджують SharePoint, Office, Windows і Active Directory

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Після того як дані і настройки користувача переміщені на мережеві сервери, слід пам'ятати, що користувачам ноутбуків потрібно звертатися до даних і налаштувань за відсутності з'єднання з мережею. Завдяки переміщуються профілів файл реєстру користувача і папка AppData доступні локально. Для всіх даних в перенаправлених папках можна використовувати автономні файли для кешування мережевих сховищ даних з метою автономного доступу. Насправді клієнти Vista і XP автоматично кешують переслані папки. Реалізація автономних файлів залежить від багатьох обставин. Нижче перераховані найважливіші з них.

  • Vista і XP забезпечують шифрування кеша автономних файлів, додаючи рівень безпеки для даних, з якими користувач працює в дорозі.

  • Подумайте про відключення автоматичного кешування перенаправлених папок в настільних комп'ютерах. Навряд чи доцільно кешувати на комп'ютері в залі конференцій переслані папки кожного користувача, який працював з ним.

  • За замовчуванням в комп'ютерах XP проглядаються всі файли в автономних папках, щоб виявити зміни і необхідність в синхронізації при завершенні сеансу. Якщо в кеші знаходяться тисячі файлів, час перевірки може бути дуже тривалим. В XP можна використовувати інший алгоритм, щоб стежити за змінами файлів, що істотно підвищує ефективність синхронізації при завершенні сеансу. За допомогою групової політики потрібно відключити параметр Synchronize All Offline Files Before Logging Off, який знаходиться в папках Administrative Templates, Network, Offline Files розділів User Configuration і Computer Configuration. Цей параметр подібний до параметру Synchronize All Files Before Logging Off на вкладці Offline Files утиліти Folder Options панелі управління. Даний підхід доречний, коли автономні файли використовуються в основному або виключно для автономного доступу до призначених для користувача даних (на відміну від загальних даних).

  • Подумайте про видалення списку блокованих типів файлів при використанні автономних файлів для кешування даних користувачів. Більш детальну інформацію можна знайти в статті Microsoft «Error message: 'Files of this type can not be made available offline'».

  • Папки, переслані з використанням реєстру, що не будуть автоматично доступні в автономному режимі. Їх можна «проштовхнути» в кеші користувачів з використанням параметра Administratively Assigned Offline Files з розділу User Configuration, Administrative Templates, Network, Offline Files.

  • Надайте користувачам XP можливість переходу в автономний режим при підключенні за допомогою бездротової технології з малою пропускною здатністю. Якщо користувач XP підключається до корпоративної мережі через VPN, функція Offline Files може вважати лінію зв'язку досить хорошою і спробувати працювати з мережевими копіями кешованих файлів. Може бути навіть зроблена спроба синхронізації через VPN. Служба підтримки компанії Microsoft (PSS) може надати інструмент командного рядка Csccmd (csccmd.exe) для управління автономним режимом. За допомогою ключа / DISCONNECT можна перевести простір імен в автономний режим, щоб користувачі працювали з копією в локальному кеші. Підготуйте на настільному комп'ютері командний файл, після подвійного клацання на якому користувач зможе залишитися в автономному режимі, незважаючи на наявність VPN-з'єднання. Приклад командного файлу:

csccmd /DISCONNECT:contoso.com
users \% username% documents
csccmd /DISCONNECT:»contoso.com
users \% username% desktop »

  • Функціональність і швидкодія Offline Files в Vista настільки краще, ніж в XP, що проблем з організацією автономного застосування даних і налаштувань користувачів виникнути не повинно.

Верхівка айсберга

Інфраструктура управління даними і налаштуваннями користувачів може бути вельми непростий не тільки через складність і своєрідності технологій, але і в силу необхідності творчого вирішення двох проблем (небажаних даних і локальних даних), недостатньо підтримуваних в Windows.

У документації Microsoft детально описано застосування окремих технологій для управління настройками і даними користувачів. На жаль, документація по роботі з різними класами даних на підприємстві дуже мізерна. Дана стаття, я сподіваюся, допоможе уникнути типових проблем при реалізації, а якщо буде потрібна додаткова допомога, то настійно рекомендується звернутися до глави 3 набору ресурсів адміністрування Windows, яка містить вичерпний посібник з інфраструктури управління даними і налаштуваннями користувачів.

Ден Холм ( [email protected] ) - директор консалтингової служби Intelliem, яка організовує консультації для підприємств, які впроваджують SharePoint, Office, Windows і Active Directory

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Після того як дані і настройки користувача переміщені на мережеві сервери, слід пам'ятати, що користувачам ноутбуків потрібно звертатися до даних і налаштувань за відсутності з'єднання з мережею. Завдяки переміщуються профілів файл реєстру користувача і папка AppData доступні локально. Для всіх даних в перенаправлених папках можна використовувати автономні файли для кешування мережевих сховищ даних з метою автономного доступу. Насправді клієнти Vista і XP автоматично кешують переслані папки. Реалізація автономних файлів залежить від багатьох обставин. Нижче перераховані найважливіші з них.

  • Vista і XP забезпечують шифрування кеша автономних файлів, додаючи рівень безпеки для даних, з якими користувач працює в дорозі.

  • Подумайте про відключення автоматичного кешування перенаправлених папок в настільних комп'ютерах. Навряд чи доцільно кешувати на комп'ютері в залі конференцій переслані папки кожного користувача, який працював з ним.

  • За замовчуванням в комп'ютерах XP проглядаються всі файли в автономних папках, щоб виявити зміни і необхідність в синхронізації при завершенні сеансу. Якщо в кеші знаходяться тисячі файлів, час перевірки може бути дуже тривалим. В XP можна використовувати інший алгоритм, щоб стежити за змінами файлів, що істотно підвищує ефективність синхронізації при завершенні сеансу. За допомогою групової політики потрібно відключити параметр Synchronize All Offline Files Before Logging Off, який знаходиться в папках Administrative Templates, Network, Offline Files розділів User Configuration і Computer Configuration. Цей параметр подібний до параметру Synchronize All Files Before Logging Off на вкладці Offline Files утиліти Folder Options панелі управління. Даний підхід доречний, коли автономні файли використовуються в основному або виключно для автономного доступу до призначених для користувача даних (на відміну від загальних даних).

  • Подумайте про видалення списку блокованих типів файлів при використанні автономних файлів для кешування даних користувачів. Більш детальну інформацію можна знайти в статті Microsoft «Error message: 'Files of this type can not be made available offline'».

  • Папки, переслані з використанням реєстру, що не будуть автоматично доступні в автономному режимі. Їх можна «проштовхнути» в кеші користувачів з використанням параметра Administratively Assigned Offline Files з розділу User Configuration, Administrative Templates, Network, Offline Files.

  • Надайте користувачам XP можливість переходу в автономний режим при підключенні за допомогою бездротової технології з малою пропускною здатністю. Якщо користувач XP підключається до корпоративної мережі через VPN, функція Offline Files може вважати лінію зв'язку досить хорошою і спробувати працювати з мережевими копіями кешованих файлів. Може бути навіть зроблена спроба синхронізації через VPN. Служба підтримки компанії Microsoft (PSS) може надати інструмент командного рядка Csccmd (csccmd.exe) для управління автономним режимом. За допомогою ключа / DISCONNECT можна перевести простір імен в автономний режим, щоб користувачі працювали з копією в локальному кеші. Підготуйте на настільному комп'ютері командний файл, після подвійного клацання на якому користувач зможе залишитися в автономному режимі, незважаючи на наявність VPN-з'єднання. Приклад командного файлу:

csccmd /DISCONNECT:contoso.com
users \% username% documents
csccmd /DISCONNECT:»contoso.com
users \% username% desktop »

  • Функціональність і швидкодія Offline Files в Vista настільки краще, ніж в XP, що проблем з організацією автономного застосування даних і налаштувань користувачів виникнути не повинно.

Верхівка айсберга

Інфраструктура управління даними і налаштуваннями користувачів може бути вельми непростий не тільки через складність і своєрідності технологій, але і в силу необхідності творчого вирішення двох проблем (небажаних даних і локальних даних), недостатньо підтримуваних в Windows.

У документації Microsoft детально описано застосування окремих технологій для управління настройками і даними користувачів. На жаль, документація по роботі з різними класами даних на підприємстві дуже мізерна. Дана стаття, я сподіваюся, допоможе уникнути типових проблем при реалізації, а якщо буде потрібна додаткова допомога, то настійно рекомендується звернутися до глави 3 набору ресурсів адміністрування Windows, яка містить вичерпний посібник з інфраструктури управління даними і налаштуваннями користувачів.

Ден Холм ( [email protected] ) - директор консалтингової служби Intelliem, яка організовує консультації для підприємств, які впроваджують SharePoint, Office, Windows і Active Directory

Управляємо даними і налаштуваннями користувачів. Частина 2

Нам необхідно об'єднати управління даними і налаштуваннями користувачів Windows Vista і Windows XP. Потрібно обробляти чотири типи, або класу, особисті дані та установки, іменованих «звичайними даними», «звичайними настройками», «локально доступними даними» і «небажаними даними». На жаль, Windows безпосередньо підтримує управління тільки першими двома типами даних, тому багатьом компаніям важко зібрати весь механізм - деякі компоненти відсутні.

Перенаправлення сховищ даних користувача

Перший клас даних, який належить розглянути, - «звичайні дані», які можуть перебувати в стандартних сховищах даних Windows, таких як папка Documents і робочий стіл. Для управління звичайними даними і відповідності вимогам бізнесу можна використовувати переслані папки.

Переслані папки - зрозуміла, перевірена на практиці технологія Windows. Можна перенаправити вибрані папки оболонки (наприклад, Documents, робочий стіл) в загальні папки в мережі, і результат буде абсолютно прозорий для користувачів. В основному перенаправлення папки виконується через групову політику (User Configuration, Windows Settings, Folder Redirection). Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP.

Слід використовувати редактор групової політики GPME на клієнтській системі Vista для зміни параметрів групової політики перенаправлення папки і налаштувати параметри, які застосовуються як до Vista, так і до XP

XP підтримує перенаправлення тільки чотирьох папок, але в Vista їх кількість збільшено до чотирнадцяти, як показано на екрані 1. Настійно рекомендується перенаправити папку Documents і робочий стіл, а також будь-які нові папки, які перенаправляє Vista. Як буде зазначено нижче, можна перенаправити папку AppData, але використання переміщуваних профілів, як правило, кращий варіант управління для AppData. Крім шкіл та інших організацій, в яких численні користувачі повинні мати однакові меню «Пуск», мені ніколи не доводилося спостерігати ситуації, коли мало б сенс перенаправляти меню «Пуск».

У довідкових файлах Microsoft документовані кроки по перенаправлення папок. Замість того щоб повторювати це опис, зосередимося на підсумкових рекомендаціях. На вкладці Target політики перенаправлення можна налаштувати такі рекомендовані параметри політики.

  • Використовуйте режим перенаправлення папок Basic замість Advanced. У режимі Advanced можна перенаправляти папки в різні місця в залежності від членства в групах. На перший погляд це дуже зручно, але існують інші, не настільки багатозначні параметри політики, які підтримують інфраструктуру даних і налаштувань. Якщо потрібно перенаправити користувачів на інші сервери, рекомендується створити окремі об'єкти GPO, відфільтровані для кожної групи.

  • Для цільового місця розташування папки кожного перенаправлення виберіть параметр Redirect to the following location і введіть шлях amespace \% username% foldername, де namespace - простір імен DFS для особисті дані та установки, а foldername - ім'я перенаправляє папки, наприклад contoso.com users \% username % Documents. Процес створення простору імен DFS був описаний в першій частині статті.

На вкладці Settings слід змінити майже все значення, встановлені за замовчуванням.

  • Зніміть прапорець Grant the user exclusive rights to Documents. Якщо цей прапорець встановлений, тільки користувач має доступ до своїх сховищ даних. Як буде показано нижче, слід призначити кореневій папці, розташованої над усіма папками користувачів, права відповідно до корпоративної політикою інформаційної безпеки. Ці права повинні успадковуватися папками окремих користувачів.

  • Зніміть прапорець Move the contents of Documents to the new location. Якщо прапорець встановлений, дані користувача автоматично переміщаються після застосування політики. Переміщення даних відбувається при першій реєстрації в системі і може зайняти багато часу для великих папок. Потрібно планувати, контролювати і управляти перенесенням даних користувачів в мережеві папки; на автоматичну операцію покладатися не слід.

  • Встановіть прапорець Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результаті політики перенаправлення папок застосовуються до всіх клієнтів Windows. Цей прапорець доступний тільки для папок, перенаправляє в XP.

Перенаправлення папок Favorites і мультимедіа в XP

В Vista можна використовувати політики перенаправлення папок для всіх папок даних користувачів, але в XP ці політики не можна застосовувати для перенаправлення таких папок, як Favorites, My Music і My Videos. Однак в XP для цих папок можна використовувати перенаправлення на основі реєстру. Розділ HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реєстрі XP містить параметри для кожної з папок. Значення параметрів можна змінити, щоб перенаправити папки в мережеві сховища. Результуюче перенаправлення ідентично перенаправлення папок з використанням групової політики.

Процедуру можна спростити. Існує адміністративний шаблон групової політики, який управляє перенаправленням папок на основі реєстру, файл Registry-Redirection.adm. Завантажте файл в об'єкт GPO, призначений для застосування до користувачів XP. Рекомендується застосовувати перенаправлення на основі реєстру для папок Favorites, My Music, My Pictures і My Videos в XP, незважаючи на можливість використання політик перенаправлення для папки My Pictures в XP. Для клієнтів Vista використовуйте звичайні політики перенаправлення папок.

При перенаправлення мультимедіа-папок XP такі додатки, як Apple iTunes і Windows Media Player (WMP), автоматично використовують перенаправлення папку. Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа? Для цих користувачів рекомендується після перенесення вмісту папок в мережу видалити вкладені папки з My Documents. Потім створіть ярлики My Music, My Pictures і My Videos, що вказують на нове місце розташування. Користувачі XP зможуть скористатися цими ярликами як візуальними посиланнями для перегляду мультимедіа. Звичайно, можна не перенаправляти частину цих папок в залежності від прийнятого в компанії підходу до управління мультимедіа-папками користувачів.

Застосовуючи політики перенаправлення папок для всіх сховищ даних користувачів в Vista і комбінацію політик з перенаправленням папок і на основі реєстру для XP, можна уніфікувати способи роботи користувачів з різними операційними системами. Незалежно від місця реєстрації користувача, він завжди зможе звертатися до всіх сховищ даних.

Управління файлами Ntuser.dat і AppData з використанням переміщуваних профілів

Після перенаправлення всіх призначених для користувача сховищ даних і папки Favorites залишаються два сховища налаштувань: гілка реєстру і папка AppData -% userprofile% Application Data (в XP) і% userprofile% AppDataRoaming (в Vista). Цими сховищами, які називали в даній статті «звичайними настройками», найкраще керувати за допомогою переміщуваних профілів.

За часів Windows NT 4.0 у переміщуваних профілів була погана репутація. Навіть в XXI столітті багатьом організаціям непросто працювати з переміщуваними профілями; особливо багато проблем виникає через розмір і синхронізації профілів. Однак при правильному управлінні переміщувані профілі дуже корисні.

Синхронізація профілів - вельми ефективна процедура. На початку і по завершенні сеансу Windows порівнює серверну копію профілю з копією в локальному кеші і синхронізує тільки змінені файли. Однак якщо в папці Documents містяться тисячі документів, то для пошуку файлів, що змінилися може знадобитися тривалий час, і у користувача виникає враження повільних процедур реєстрації та завершення сеансу. Крім того, на робочому столі і в папці Documents може бути один або кілька великих файлів. Наприклад, PST-файли досягають величезних розмірів. Тимчасова мітка PST-файлу змінюється при кожному зверненні до нього з боку Microsoft Outlook, тому при завершенні сеансу Windows розглядає його як змінився файл, навіть якщо інформація в ньому залишилася колишньою. В результаті при завершенні кожного сеансу PST-файли копіюються на сервер. Тому в більшості випадків не слід відносити робочий стіл і Documents до переміщуються папок.

Ці два приклади показують, які труднощі можуть виникнути, якщо підійти до переміщуються профілів недостатньо продумано. Важливо виключити деякі папки з переміщуваного матеріалу. Переслані папки автоматично виключаються з переміщення, тому, перенаправляючи Documents, робочий стіл та інші папки, можна істотно зменшити число файлів (особливо великих) в переміщуваний профілі.

За допомогою групової політики можна виключити додаткові папки з переміщень. Зробити це можна з використанням параметра групової політики Exclude directories in roaming profiles, який знаходиться в розділі User Configuration, Administrative Templates, System, User Profiles. Це призначені для користувача параметри, тому можна організувати інше переміщення папок на основі ролі користувача. Можна вказати імена папок щодо профілю користувача, такі як AppDataRoamingMicrosoftWindowsCookies. На екрані 2 показаний приклад виключення папки Cookies в Vista і XP.

У правильно побудованій інфраструктурі даних і налаштувань переміщувані профілі використовуються як механізм для управління файлом реєстру користувача - файлом ntuser.dat в корені профілю. У цьому файлі міститься кілька важливих параметрів, які впливають на взаємодію користувача з Windows, і керувати ним абсолютно необхідно, щоб виконати вимоги до мобільності, готовності і стійкості до відмов. Єдиний практичний спосіб задовольнити вимоги до файлу реєстру - переміщуваний профіль, навіть якщо в профілі міститься всього один файл, ntuser.dat.

Також рекомендується зробити переміщуваної папку AppData, зокрема папку AppData Roaming в Vista і папку Application Data в XP. Папку AppData можна перенаправити, але, з мого досвіду, багато невдало складені додатки погано функціонують при перенаправлення папці AppData. Робота деяких додатків порушується, якщо AppData кешируєтся в ноутбуці з використанням автономних файлів, і комп'ютер перемикається між мережним і автономним режимами. В кінцевому підсумку AppData потрібно перенаправити, але тільки після вичерпного тестування всіх додатків. Тому практична порада: використовувати переміщувані профілі для управління AppData до тих пір, поки не з'явиться можливість надійно перенаправити папку.

У Vista до папки, яка містить переміщуваний профіль користувача, додається розширення .V2. Якщо задати шлях до профілю користувача як amespace \% username% profile, то профіль XP буде в папці Profile, а профіль Vista автоматично виявиться в папці Profile.V2. Через суттєвої різниці в структурі реєстру і AppData неможливо об'єднати два сховища параметрів для користувачів Vista і XP. Вони будуть роздільними. Це ще одна вагома причина, щоб управляти переміщуються профілями тільки в цих двох сховищах - будь-які інші сховища в переміщуваний профілі будуть дубльованими та окремими для профілю XP і Vista.

Якщо переміщуваний профіль користувача містить тільки файл реєстру і папку AppData, то його розмір дуже невеликий. У моєму перевантаженому файлами ноутбуці розмір переміщуваного профілю складає всього 40 Мбайт. В ході синхронізації профілю доводиться перевіряти менше файлів і копіювати менше даних, тому процес виявляється швидким, ефективним і надійним.

Управління місцезнаходженням небажаних даних

Більшість компаній не управляють особистими музичними колекціями користувачів. Музика - приклад «небажаних даних», на які не поширюються вимоги безпеки, мобільності, готовності і стійкості до відмов. Як небажаних можна визначити і інші типи даних: особисті файли користувачів, картинки або архіви електронної пошти з поштових скриньок, що не відносяться до роботи. У Microsoft немає рішення для безпосереднього управління даними цього типу. У Vista простіше управляти класами небажаних даних, якщо вони відповідають певним мультимедіа-типам: папки Pictures, Music і Videos вже знаходяться в корені профілю користувача. Для інших класів небажаних даних (наприклад, особистих файлів) як і раніше потрібні обхідні прийоми.

Щоб не зберігати небажані дані на мережевому сервері, необхідно спочатку перемістити дані. Наприклад, папка My Music в XP є вкладеною папкою My Documents. Оскільки папка My Documents буде перенаправлено, потрібно перемістити папку My Music. Створіть папку першого рівня під коренем профілю користувача (наприклад,% userprofile% Music) і перемістіть в неї дані.

Потім визначте, як перенаправити додатки і користувача в нове місце. Мультимедіа-папку, таку як Music, можна перенаправити за допомогою змін реєстру. Можна навіть скористатися адміністративним шаблоном групової політики RegistryRedirection.adm для перенаправлення на основі реєстру. Достатньо направити папку My Music на призначену для користувача папку (% userprofile% Music). Потрібно допомогти користувачеві знайти свою папку для небажаних даних. Зробити це можна за допомогою ярликів, поміщених в колишньому місці зберігання папки даних.

Повторіть цей процес для кожного класу небажаних даних: створіть папку всередині профілю користувача, перенаправьте потрібні програми і надайте користувачам спосіб перейти до цієї папки. Звичайно, можна поєднувати різні типи небажаних даних в одній папці профілю користувача. Рекомендується сформувати папку для особистих файлів (% userprofile% Personal Files) і розмістити в ній небажані дані, не пов'язані безпосередньо з картинками, музикою і відео.

Після переміщення всіх небажаних даних в переслані папки слід виключити небажані дані з переміщуваних профілів. Використовуйте згаданий вище параметр групової політики, щоб виключити кожну папку небажаних даних.

Управління даними з локальним доступом

Іноді можна зберігати дані в мережі, але швидкість звернення до них через мережу неприйнятна. Наприклад, компанія створює відеофільми для потокової передачі через Web. Редагувати відеофайли через мережу, як правило, не можна. Більшість програм відеоредагування нормально функціонує тільки з відеофайлами, збереженими на дисках локальної системи. При цьому компанія повинна управляти відеофайлами відповідно до вимог, викладених вище, включаючи стійкість до відмов, готовність і, можливо, навіть мобільність.

Ці файли повинні розміщуватися в мережі, але користувачам необхідно звертатися до них з локального диска. Я називаю такі дані «локально доступними» - це ще один клас даних, для яких у Microsoft немає ідеального рішення управління. Існує три підходи до локально доступними даними, у кожного з яких є свої переваги і недоліки.

По-перше, такі дані можна перемістити в переслані папки і в папки в профілі користувача. Користувачі звертаються до файлів в профілі користувача локально. Вони будуть синхронізовані з мережею при завершенні сеансу в процесі синхронізації переміщуваного профілю. Але якщо локально доступні дані великі, то для синхронізації потрібно дуже багато часу.

По-друге, можна зберігати дані в перенаправлених папках, використовувати автономні файли і новий параметр групової політики для клієнтів Vista: Network Directories To Sync At Logon / Logoff Time Only. Політика знаходиться в User Configuration, Administrative Templates, System, User Profiles (неінтуітівнимі місцезнаходження для параметрів настройки автономних файлів). Для настройки політики використовуються мережеві шляхи до локально доступними даними, наприклад amespace \% username% DocumentsStreamingVideoProjects. Клієнти Vista будуть звертатися туди через локальний кеш, забезпечуючи всі переваги локального доступу. На жаль, як і в випадку з переміщуваними профілями, дані синхронізуються при завершенні сеансу, і час може виявитися неприпустимо тривалим.

Третій підхід - перемістити дані з перенаправлених папок в профіль користувача, але виключити папки з переміщень. Потім потрібно підготувати інший механізм або архівувати дані в папках в підходящі місця в мережі відповідно до налаштованим розкладом. Наприклад, компанія, що займається потокової передачею відео, може створити папку для кожного користувача (% userprofile% Streaming-VideoProjects) і виключити її з переміщуваних профілів користувачів, а потім використовувати планове завдання для архівації папки на мережевий сервер раз в кілька днів. У наборі ресурсів адміністрування Windows є відповідний сценарій, сумісний з усіма поточними версіями Windows. Сценарій можна виконувати при реєстрації в системі або початковому завантаженні комп'ютера або як планове завдання. Для синхронізації локального сховища з мережевою текою із заданою частотою (наприклад, один раз на тиждень) використовується програма Robocopy. У першій частині статті була рекомендована папка Backups в DFS і фізичному просторі імен; ця папка спеціально призначена для зберігання мережевих копій файлів «локально доступного» класу даних.

Дані та установки в дорогу

Після того як дані і настройки користувача переміщені на мережеві сервери, слід пам'ятати, що користувачам ноутбуків потрібно звертатися до даних і налаштувань за відсутності з'єднання з мережею. Завдяки переміщуються профілів файл реєстру користувача і папка AppData доступні локально. Для всіх даних в перенаправлених папках можна використовувати автономні файли для кешування мережевих сховищ даних з метою автономного доступу. Насправді клієнти Vista і XP автоматично кешують переслані папки. Реалізація автономних файлів залежить від багатьох обставин. Нижче перераховані найважливіші з них.

  • Vista і XP забезпечують шифрування кеша автономних файлів, додаючи рівень безпеки для даних, з якими користувач працює в дорозі.

  • Подумайте про відключення автоматичного кешування перенаправлених папок в настільних комп'ютерах. Навряд чи доцільно кешувати на комп'ютері в залі конференцій переслані папки кожного користувача, який працював з ним.

  • За замовчуванням в комп'ютерах XP проглядаються всі файли в автономних папках, щоб виявити зміни і необхідність в синхронізації при завершенні сеансу. Якщо в кеші знаходяться тисячі файлів, час перевірки може бути дуже тривалим. В XP можна використовувати інший алгоритм, щоб стежити за змінами файлів, що істотно підвищує ефективність синхронізації при завершенні сеансу. За допомогою групової політики потрібно відключити параметр Synchronize All Offline Files Before Logging Off, який знаходиться в папках Administrative Templates, Network, Offline Files розділів User Configuration і Computer Configuration. Цей параметр подібний до параметру Synchronize All Files Before Logging Off на вкладці Offline Files утиліти Folder Options панелі управління. Даний підхід доречний, коли автономні файли використовуються в основному або виключно для автономного доступу до призначених для користувача даних (на відміну від загальних даних).

  • Подумайте про видалення списку блокованих типів файлів при використанні автономних файлів для кешування даних користувачів. Більш детальну інформацію можна знайти в статті Microsoft «Error message: 'Files of this type can not be made available offline'».

  • Папки, переслані з використанням реєстру, що не будуть автоматично доступні в автономному режимі. Їх можна «проштовхнути» в кеші користувачів з використанням параметра Administratively Assigned Offline Files з розділу User Configuration, Administrative Templates, Network, Offline Files.

  • Надайте користувачам XP можливість переходу в автономний режим при підключенні за допомогою бездротової технології з малою пропускною здатністю. Якщо користувач XP підключається до корпоративної мережі через VPN, функція Offline Files може вважати лінію зв'язку досить хорошою і спробувати працювати з мережевими копіями кешованих файлів. Може бути навіть зроблена спроба синхронізації через VPN. Служба підтримки компанії Microsoft (PSS) може надати інструмент командного рядка Csccmd (csccmd.exe) для управління автономним режимом. За допомогою ключа / DISCONNECT можна перевести простір імен в автономний режим, щоб користувачі працювали з копією в локальному кеші. Підготуйте на настільному комп'ютері командний файл, після подвійного клацання на якому користувач зможе залишитися в автономному режимі, незважаючи на наявність VPN-з'єднання. Приклад командного файлу:

csccmd /DISCONNECT:contoso.com
users \% username% documents
csccmd /DISCONNECT:»contoso.com
users \% username% desktop »

  • Функціональність і швидкодія Offline Files в Vista настільки краще, ніж в XP, що проблем з організацією автономного застосування даних і налаштувань користувачів виникнути не повинно.

Верхівка айсберга

Інфраструктура управління даними і налаштуваннями користувачів може бути вельми непростий не тільки через складність і своєрідності технологій, але і в силу необхідності творчого вирішення двох проблем (небажаних даних і локальних даних), недостатньо підтримуваних в Windows.

У документації Microsoft детально описано застосування окремих технологій для управління настройками і даними користувачів. На жаль, документація по роботі з різними класами даних на підприємстві дуже мізерна. Дана стаття, я сподіваюся, допоможе уникнути типових проблем при реалізації, а якщо буде потрібна додаткова допомога, то настійно рекомендується звернутися до глави 3 набору ресурсів адміністрування Windows, яка містить вичерпний посібник з інфраструктури управління даними і налаштуваннями користувачів.

Ден Холм ( [email protected] ) - директор консалтингової служби Intelliem, яка організовує консультації для підприємств, які впроваджують SharePoint, Office, Windows і Active Directory

Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?
Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?
Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?
Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?
Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?
Але як бути з користувачами, які звикли відкривати My Documents і двічі клацати на папці для доступу до мультимедіа?

Новости

Как сделать красивую снежинку из бумаги
Красивые бумажные снежинки станут хорошим украшением дома на Новый год. Они создадут в квартире атмосферу белоснежной, зимней сказки. Да и просто занимаясь вырезанием из бумаги снежинок разнообразной

Пиротехника своими руками в домашних
Самые лучшие полезные самоделки рунета! Как сделать самому, мастер-классы, фото, чертежи, инструкции, книги, видео. Главная САМОДЕЛКИ Дизайнерские

Фольгированные шары с гелием
Для начала давайте разберемся и чего же выполнен фольгированный шар и почему он летает дольше?! Как вы помните, наши латексные шарики достаточно пористые, поэтому их приходится обрабатывать специальным

Все товары для праздника оптом купить
Как сделать правильный выбор в работе, бизнесе и жизни, о котором никогда не придется жалеть. Мы хотим рассказать вам об удивительной и очень простой технике 7 вопросов, которые позволят оценить ситуацию

2400 наименований пиротехники
В последние десятилетия наша страна может похвастаться появлением нескольких десятков отечественных производителей, специализирующихся на выпуске пиротехники. Если вы сомневаетесь, какой фейерверк заказать,

Как сделать из бумаги самолет
 1. Самолеты сделанный по первой и второй схеме являются самыми распространенными. Собирается такое оригами своими руками достаточно быстро, несмотря на это самолет летит достаточно далеко за счет свое

Надувные шарики с гелием с доставкой
На праздники часто бывают востребованы воздушные шарики, надутые гелием. Обычно, их покупают уже готовыми (надутыми) и привозят на праздник. Или, приглашают специалистов, которые приезжают и надувают

Аниматоры на детские праздники в Зеленограде
Уж сколько раз твердили миру…Что готовиться ко дню рождения нужно заранее, а не бегать в предпраздничный день угорелой кошкой. Нельзя впихнуть в 24 часа дела, рассчитанные на недели. К празднику нужно