Предисловие
Давно хотел написать про перемещаемые профили, но не было времени. Много в Интернете читал разные отзывы, мнения, комментарии и т. д. Много статей и видеороликов, выкладываемых в сеть, были раскрыты не полностью, а в общих чертах. Такое ощущение, что человек сам не до конца понимает сути вопроса (в чем я сомневаюсь), или считает, что все уже обладают достаточными знаниями и потому многие детали не раскрываются. Пропускались мелочи, на которые стоило бы обратить внимание. Полностью раскрытую тему нигде не нашел, поэтому и решился за написание этой статьи.
Я хотел написать для людей, которые не имеют практического опыта работы с перемещаемыми профилями, не знают, как правильно все сделать, чтобы не было потом больно и обидно за бесцельно потраченные силы и время.
Короче — здесь все для новичков. Разжевано до мелочей. Если все вами будет сделано правильно, проблем не возникнет.
Прежде чем сесть за написание этой статьи, я подключил 56 компьютеров к серверу и все 56 работают через перемещаемые профили. Уже прошло более полугода после подключения последней машины и около 10 месяцев с момента подключения первого компа. Поэтому имею хоть и небольшой, но в данном вопросе хороший опыт.
Уверен, что в комментариях появится много негативных отзывов. Появятся вопросы, обсуждения и осуждения. Я готов к этому. И поэтому начну с небольшой вводной части.
1. Что нам дает перемещаемый профиль и перенаправление папок кроме головной боли?
1.1 Возможность работать со своими документами с любого компьютера, введенного в домен.
1.2 Нет страха, что ваш компьютер сдохнет (сломается, сгорит и т.д.) и все ваши данные будут утеряны, потому как на флешку скинуть с рабочего стола все ценное никогда нет времени, а все ценное мы всегда храним на рабочем столе. Просто берем другой комп и работаем на нем, как на своем.
1.3 Можно экспериментировать с операционкой как вздумается, потому что если ОСЬ накроется медным тазом, всё, что хранилось на рабочем столе, в загрузках, в документах сохранено на сервере.
1.4 Юзер, зная, что содержимое его рабочего стола и остальных папок находятся на сервере в распоряжении сисадмина, вряд ли будет хранить конфиденциальную информацию на своей машине. Даже если она запаролена.
2. Какую головную боль может дать перемещаемый профиль и перенаправление папок?
2.1 Пользователю — никакую. Юзер даже временами не может понять, что сервер помер и он работает с документами в автономном режиме.
2.2 Сисадмину — если все сделано правильно, тоже проблем не будет. Но это при соблюдении необходимых требований.
Немного дегтя в бочку с профилями.
Не стоит разворачивать перемещаемый профиль и перенаправление папок на обычном компьютере, на котором развернут домен. Даже если у вас не один контроллер домена, а целых три (в чем я очень сомневаюсь), и тогда с тремя контроллерами ваша папка с профилями на двух дочерних контроллерах не пригодится.
Да, она реплицируется с первого контроллера на остальные два. Да, все данные профилей у вас дважды будут продублированы. Но если основной контроллер не будет работать, юзеры не смогут подключиться к серверу, потому что их профили жестко привязаны к основному контроллеру домена. И единственным временным вариантом будет работа юзеров в автономном режиме, пока не восстановится основной контроллер.
Чтобы этого избежать, необходимо соблюсти следующие требования к железу:
Под домен выделить настоящий сервер, на котором имеется возможность создать RAID‑массивы.
Под систему выделить 2 HDD и ввести их в RAID 1.
Под профили пользователей выделить не менее 3 HDD и ввести их в RAID 5.
Сервер должен иметь опцию возобновления работы после отключения электроэнергии.
Или другой вариант:
Сейчас продаются материнские платы с поддержкой RAID 1, 5,10,50. На этой матери собрать компьютер, накатить Server 2016/2019. И в итоге получим не полноценный, но вполне рабочий и надежный сервер. Даже если отключится питание от сервера, всегда можно потом вручную его запустить.
На черный день иметь бэкап системы вместе с GPO, с пользователями и т.д. Лучшим вариантом будет бэкап через Акронис. Ну это мое личное мнение. Вольному – воля.
И только при соблюдении этих условий можно разворачивать перемещаемый профиль и перенаправление папок.
Часть 1
Создание папок пользователей в AD и перемещаемого профиля.
Открываем на сервере «Пользователи и компьютеры» в AD.
В общем подразделении «users» определяемся с правами доступа. Для администраторов нам понадобится группа безопасности «Администратор», а для юзеров — «Пользователи домена».
Создаем расшаренную папку — желательно на отдельном диске (на чистом для начала). Объясняю — если с профилями пойдет что‑то не так (пропишете не тот путь) — их удалить тяжело, если совершены ошибки с профилями. Я просто форматировал диск. Потом, когда все будете делать без ошибок, расшарите папку там, где нужно будет.
Я создал расшаренную папку под названием «ПРОФИЛИ ЮЗЕРОВ». Это моя папка. Ваша может называться как угодно. Даем полный доступ к этой папке группе безопасности «Пользователи домена». Во вкладке «Безопасность\Дополнительно» убираем наследование.
Создаем Подразделения Администраторов и Юзеров в текущем контейнере — т.е в своем домене.
1. Затем создаем подразделения юзеров по отделам, а уже в подразделениях отделов создаем учетные записи пользователей.
1. Открываем свойства учетной записи пользователя Иванова. (Все остальные учетки юзеров создаются по такому же принципу). По умолчанию создаваемые учетные записи имеют группу безопасности «Пользователи домена». Это нам и надо. Ничего не меняем.
Щелкаем на кнопку «Профиль».
Путь к профилю – ничего не вписываем.
Подключить – выбираем диск (это не диск, а папка пользователя на сервере, хотя она будет выглядеть как сетевой диск) и вводим \\имя сервера\имя расшаренной папки\имя отдела\ и %username%
%username% - это переменная пользователя, чтобы вручную не вписывать пользователей в расшаренной папке.
У меня получилось так: \\Virtual-server\профили юзеров\БУХГАЛТЕРИЯ\%username%
Как только нажмем ОК, сразу в расшаренной папке появится папка с именем пользователя Иванова. Затем то же самое делаем с учеткой Петрова и с учеткой Сидорова. В результате в папке БУХГАЛТЕРИЯ появятся личные папки юзеров.
Т.е. переменная %username% преобразуется в имя пользователя в структуре папок.
Удобно.
Для чего такие манипуляции? Для того, чтобы юзер, который входит под своей учетной записью, попадал именно в свою папку на свой рабочий стол, т.е. пропишется имя профиля, а в расшаренной папке появится папка с именем профиля.
В эти папки юзеров будут перенаправляться все служебные папки на основании групповой политики– так они и называются – ПЕРЕНАПРАВЛЯЕМЫЕ ПАПКИ.
В дальнейшем, когда мы создадим несколько GPO с разными параметрами для разных юзеров, их можно будет применять конкретно к определенным компьютерам или для всех пользователей или по отдельности. Об этом в следующей статье.
На данном этапе мы создали структуру профилей пользователей отделов и распределили эти профили по своим папкам. Пока эти папки профилей пустые.
На этом первый этап закончен.
Часть 2
Создание групповой политики ПЕРЕНАПРАВЛЯЕМЫХ ПАПОК
1. В AD запускаем «Управление групповой политикой»
В «Объекты групповой политики» создаем новую политику правой клавишей мыши «Создать» и присваиваем ей понятное имя, для чего эта политика предназначена. Для бухгалтерии я присвоил имя - ПРОФИЛИ БУХГАЛТЕРИЯ.
ВНИМАНИЕ! Для каждого отдела создаем отдельную GPO с пропиской пути под свой отдел! Позже все поймете.
Дальше выделяем созданную ГПО и правой клавишей мыши нажимаем «Изменить». Откроется «Редактор управления групповыми политиками».
Открываем этот путь - Конфигурация пользователя\Политики\Конфигурация Windows.
Нас интересует вкладка «Перенаправление папки». Открываем ее.
В правом столбце видны папки, которые можно перенаправить. Можно перенаправить только «Рабочий стол» и все. Ну еще добавить «Документы». Но я перенаправляю все папки, кроме «Сохраненные игры». Игры – и так понятно. Некогда играть на работе.
Хотя «Контакты», «Ссылки» и «Поиски» почти никогда не нужны. Это решать каждому, кто какие папки будет перенаправлять.
Далее правой клавишей мыши щелкаем на папке Рабочий стол и открываем вкладку «Свойства».
1. Открывается такое окно:
1. В первой строке надо установить значение «Перенаправлять папки всех пользователей в одно расположение».
2. Во второй строке установить значение «Создать папку для пользователя на корневом пути».
3. И в третьей строке ввести путь своей расшаренной папки, там где будут храниться профили. Обратите внимание — путь перенаправления папок для разных отделов.
Для бухгалтерии после \\имя сервера\имя расшаренной папки\ надо вписать Бухгалтерия, для планового отдела вписать Плановый отдел и т. д.
Об этом я говорил в п.3 Второго этапа.
4. В этом окне есть еще кнопка «Параметры».
Первую галку снимаем, вторую оставляем, третью я снял, т.к. у меня нет таких Осей.
«Удаление политики». На свое усмотрение, но иногда не корректно папки перенаправляются обратно. Я с этим столкнулся несколько раз. Поэтому я не собираюсь менять политику и оставил точку в первом окне.
Нажимаем ОК. Это значит, что папки будут перенаправлены в расшаренную папку и в папку профиля, уже ранее созданного. Все взаимосвязано. Профиль каждого пользователя и GPO имеют одинаковый путь.
Как только закончили с этой GPO‑шкой, редактор групповой политики закрываем. Но она еще не привязана к пользователям и компьютерам.
На этом второй этап закончен.
Часть 3
Настройка и привязка GPO к конкретному объекту
Возвращаемся в «Управление групповой политики».
Для того, чтобы привязать GPO к кому-либо объъекту, просто перетаскиваем ее в нужную папку. Т.е. GPO с названием ПРОФИЛИ БУХГАЛТЕРИЯ перетаскиваем в подразделение БУХГАЛТЕРИЯ. Таким образом, эта политика распространяется на всех, кто находится в данном подразделении. И на юзера Иванова, и на юзера Петрова и на Сидорову.
Но если вы по ошибке перетащите GPO-шку в подразделение Петрова, тогда политика будет работать только на юзера Петрова. Я пару раз в запарке ошибался, а потом не мог понять, почем все работает не так.
Но необходимо для созданной GPO-шки установить свои правила применения. Иначе она не будет работать.
Выделяем свою GPO и видим такое окно.
1. В фильтрах безопасности вкладки «Область» добавляем «Компьютеры домена» и «Пользователи домена». По умолчанию там находится группа безопасности «Прошедшие проверку». Мы ее пока удаляем.
2. Смотрим вверху вкладку «Делегирование»
Внизу справа этого окна нажмем кнопку «Дополнительно».
Вот тут и добавляем группу «Прошедшие проверку». Этой группе даем права - только чтение.
«Компьютерам домена» и «Пользователям домена» даем права «Чтение» и «Выполнение групповой политики».
«Контроллеры домена предприятия» - только чтение.
«Система» - права не применяются. У меня пусто.
«Администраторы домена» и «Администраторы предприятия» – полные права, кроме «Выполнение групповой политики».
Примечание! Здесь нужны только «Компьютеры домена», «Пользователи домена» и «Прошедшие проверку». Остальных можно удалить. GPO будет работать исправно, но тогда вы не сможете изменить GPO при необходимости. Поэтому пусть все остается так, как есть.
Вот только после этого GPO считается настроенной
Для обновления на сервере GPO нажать «Пуск»\ Выполнить» и ввести команду «gpupdate /force». Применятся и обновятся все политики.
Теперь дело за малым - надо все проверить.
Заходим на проверочном компе (не на сервере) под созданным пользователем - Иванова и ждем-с. На компьютере будет подготавливаться рабочий стол.
После того, как открылся рабочий стол, на сервере открываем расшаренную папку с именем профиля Иванова.
В папке профиля Иванова должны появиться эти служебные папки:
Это означает, что GPO по перенаправлению папок отработало на УРА.
На этом закончен этап создания групповой политики перенаправления папок и перемещения профиля пользователя.
На этом третий этап закончен.
Часть 4
Заключительная
Теперь для остальных отделов надо создать такие же групповые политики.
Но не надо создавать их заново. Просто в «Объекты групповой политики», копируем созданную политику для Бухгалтерии, вставляем ее в «Объекты групповой политики» (с сохранением существующих разрешений,
Переименовываем на имя другого отдела, правой клавишей – изменить.
Опять идем по пути - Конфигурация пользователя\Политики\Конфигурация Windows\Перенаправление папки.
В перенаправляемых папках только меняем имя отдела, как я говорил ранее.
В итоге получится несколько разных политик для разных отделов.
Напоминаю – это политики для перенаправления папок и перемещения профилей.
Создание групповых политик для разных задач разным пользователям будет разъяснено в другой статье.
Теперь один из важных моментов.
Если отключился основной контроллер, отвалился сетевой провод, умер коммутатор, как юзер сможет работать без подключения к серверу?
Просто. В автономном режиме.
А для этого надо этот режим включить.
После того, как вы вошли в свою учетку (к примеру Иванова) и откроете «Мой компьютер», то увидите примерно такую картинку:
1. Ваши локальные диски.
2. Сетевой диск под названием профиля юзера.
На самом деле это не сетевой диск, а папка профиля на сервере. Для того, чтобы включить автономный режим, правой клавишей мыши щелкаем по этой сетевой папке. Выскакивает такое окно:
Нас интересует вкладка «Автономные файлы». Открываем ее.
Ставим галочку в квадратике «Всегда доступны вне сети» и нажимаем «Синхронизировать».
Начнет выполняться синхронизация ваших файлов в специальную папку.
После синхронизации можете спокойно работать, не боясь, что при отключении от сервера вы не попадете на свой рабочий стол.
При запуске с отключенным сервером загрузка произойдет несколько медленнее ввиду того, что компьютер будет искать сервер. Не найдет его и применится автономный режим. Ничего с рабочего стола не пропадет, все файлы останутся на своих местах.
Вы можете продолжать работать как ни в чем не бывало. Как только сервер снова будет в работе, примерно через 1–2 минуты произойдет репликация вашей машины с сервером и все измененные файлы реплицируются на сервер.
Таким вот образом можно быть уверенным, что все ваши данные под надежной защитой.
Теперь о необходимом.
Мы получили новый рабочий стол, новые системные папки в профиле юзера. Но эти все папки пустые. Остался последний штрих — надо всю информацию юзера с его компьютера перенести на сервер.
Все очень просто. Открываем профиль пользователя на рабочем компьютере, и с каждой системной папки копируем все в такие же папки, которые находятся на «сетевом диске»
Поверьте, то, что я здесь выкладываю, я проверил все на своих серверах и машинах юзеров. Много было ошибок, пока не отработалась технология и последовательность создания и применения перемещаемых профилей.
Ну на этом пока все. Всем желаю удачи.
Комментарии (14)
gotch
31.10.2024 23:26Смешалось всё, перемещаемые профили, перенаправляемые папки, монтируемые диски в объектах пользователя (где ты мой 1996 год?), мутные и скорее всего бессмысленные права на GPO.
Читатель, не делай так.
special066 Автор
31.10.2024 23:26Это ваше мнение и оно имеет право быть. Ничего не смешано, все взаимосвязано.
Bomond
31.10.2024 23:26А как тогда? Мне лично понравилось статья, автору респект!
Прежде чем обсирать, надо рассказать свою версию. А так это пустая болтавня
Naves
Зачем каждому пользователю отдельная OU?
Опция включаться всегда при появлении питания была даже на обычных десктопных материнках 25 лет назад.
Но эти рассуждения в данной статье навевают на грустные мысли, что у вас нет никакого бесперебойника.
А SSD можно под систему? Сарказм
А только два диска по 10Тб можно? тоже сарказм.
Может, но не должен.
Вообще тут можно пройтись по граблям, когда отключается электричество на условный час, потом включается на полминуты, и снова выключается. И так несколько раз. Получить убитую файловую систему на таких прыжках очень легко. Тут либо бесперебойник, который продержится 15 минут минимум, и который подключен к серверу с управляющим софтом, для плавного выключения. Либо ручной запуск ручками и ножками.
Это вы пока не столкнулись с 10гб профилями с почтой. Или теми кто гигабайты фоток копирует на рабочий стол. А потом внезапно появляются профили v2 или вообще temp.
randomsimplenumber
IRL перемещаемый профиль нужен только в том случае, когда сотрудник садится на любое рабочее место. От сбоев сети и электричества это не помогает, всё равно как правило нужен интернет/доступ к бд/терминальному серверу/CRM/етц, нет доступа - нет работы, зато рабочий стол тот же.
special066 Автор
Я не говорил, что все должны перейти на перемещаемый профиль. Разговор изначально о том, как это все развернуть без ошибок. От сбоев в электричестве никто не застрахован и этот вариант с профилями не поможет.
Повторюсь - разговор о применении профилей и последовательности действий.
Спасибо за отзыв.
special066 Автор
(Но эти рассуждения в данной статье навевают на грустные мысли, что у вас нет никакого бесперебойника. ) Все верно, бесперебойника у нас нет. Финансирования тоже. Госструктура.
(
А SSD можно под систему? Сарказм
А только два диска по 10Тб можно? )
Под систему SSD можно и нужно. Я просто не стал конкретно указывать железо.
(Это вы пока не столкнулись с 10гб профилями с почтой. Или теми кто гигабайты фоток копирует на рабочий стол. А потом внезапно появляются профили v2 или вообще temp. )
Я ограничил размер профилей через политики не более 2 гигов.
За комментарии спасибо большое!
Naves
Через год бегите оттуда, хоть чучелом, хоть тушкой. Потом будет уже поздно.
special066 Автор
Пусть бегут те, кто боится трудностей.
special066 Автор
Зачем каждому пользователю отдельная OU?
Ответ будет в следующей статье, посвященной применению политик.
special066 Автор
Дополню ответ. Да, были профили и по 15 гигов. Сделал два предупреждения о переносе лишнего и ненужного с рабочего стола, загрузок и т.д. в другое хранилище. Двое не захотели этого сделать. Тогда с горем пополам перенес их профили на сервер, а потом просто снес лишнее. Сохранил, конечно. Криков было на неделю. Подождал, пока успокоятся, сказал где на файловом сервере хранятся их снесенные файлы. Теперь же никто не превышает квоту. Да и не может. Стоит ограничение.
kuzzdra
И какая задача решена? Раньше пользователи хранили свои фотки с отпуска на своем диске, и никого это не напрягало. Проведена работа, конфликты, стрессы.. Теперь фотки занимают место на сервере. Оно того стоило?
special066 Автор
Может и не стоило. Но есть распоряжение сверху, которое я не в силах изменить. А для фоток есть другое хранилище кроме рабочего стола. Сейчас люди уже привыкли, скандалов нет. Просто надо по-человечьи объяснять, для чего это делается. Наши люди все прекрасно понимают.