Профили на общественных компьютерах

Несмотря на то, что домен в нашей сети мы подняли относительно недавно, полезной информации по этой теме было найдено крайне мало. Поэтому, пришлось осваивать все методом проб и ошибок.

Основной проблемой стало управление пользователями в компьютерных классах, куда приходит множество людей, в т.ч. и те, у кого руки чешутся напакостить.

Наслушавшись всяких умных слов про "перемещаемые профили" в начале сделали попытку их внедрить, но в первый раз ничего не получилось и время поджимало. В этот раз все получилось гораздо удачней.

Итак.

Имеем: среднестатистический компьютерный класс, в котором занимаются школьники/студенты/курсанты/etc.

Нужно: Сделать так, чтобы самые необузданно одаренные представители доставляли наименьшее количество проблем администраторам, ну и управление данными пользователей было наиболее удобным.

Проблема 0: Чем пользоваться?

Решение 0: На сервер поставили зеркалирующий raid-массив с двумя 120Гб жесткими дисками (SATA). Поставили Windows 2003 (ради эксперимента, надо же научиться работать с новыми технологиями), туда же - Active Directory, File Server, DNS, DHCP. В качества файловой системы - везде NTFS, для удобства раздачи прав.

Внедрение: В начале были созданы интересующие группы пользователей, пользователи. Пользователей ввели в необходимые группы.

На машинах в классах установили все необходимое ПО, вогнали в домен, раздали необходимые права на каталоги. Далее работаем в режиме: 1-1, т.е. настройка сервера и одного клиента (далее - будет понятно почему). Создаем пользователя домена, допустим, с логином test.

Проблема 1: Нужно, чтобы у каждого пользователя был свой каталог, доступный из любой части сети, с его личными документами.

Решение: На сервере создается каталог. В свойствах безопасности задаем такие настройки, которые позволят пользователям иметь доступ к файлам и каталогам внутри. Если кому интересно - могу пояснить на примере, но позже. В нем создаются каталоги пользователей, соответственно назначаются права, при необходимости. Также можно задать квоты пользователям - это значит, сколько каждый пользователь может занять места на диске.

Этот общий каталог делается доступным по сети (расшаривается). На этом подготовка заканчивается. Далее, в свойствах нашего пользователя test, на закладке "Профиль" указываем: Подключить домашнюю папку как диск Z:

Входим на компьютере-клиенте с данными учетной записи (у нас - test). Заходим в мой компьютер, там должен появиться диск Z:. Если его нет, значит в предыдущем решении не все прошло так удачно, как хотелось бы и его следует повторить.

Правой кнопкой мыши по "Моим документам", пункт меню "Свойства". Самая первая закладка. Там - размещение конечной папки и что-то вроде C:\Documents and Settings\... Меням это на Z:\ и жмем кнопку "Переместить..."

Далее, если необходимо, производим настройку локального ПО для пользователя.

Проблема 2: Сделать так, чтобы все пользователи на компьютерах были такими же как наш test.

Решение: Здесь нам на помощь приходят перемещаемые профили. В контексте компьютерных классов в образовательных учреждениях - незаменимая вещь! Объясняю почему: Настроить можно только 1 профиль и затем без особых проблем разнести его по всем компьютерам класса или классов. Возможно запретить изменение настроек пользователем. Другими словами: как бы не изголялся пользователь над рабочим столом, при следующем входе его ждет такой же стол, как и до его входа. Знаю любовь пользователей к всяким украшательствам вроде обнаженных девушек на рабочем столе - очень удобно.

Также можно в любой момент поменять кое-какие настройки одного пользователя и они будут применены на всех компьютерах при следующем входе.

Что же надо сделать, чтобы воспользоваться всеми благами цивилизации?

Для начала, создаем на сервере каталог, допустим, profiles (местоположение не важно). Делаем его доступным из сети, даем права на запись. Важно, убрать эти права по окончании настройки.

Далее, с компьютера клиента, зайдя под администратором, нужно скопировать данные профиля в каталог на сервере. Обычно, профиль пользователя лежит по адресу C:\Documents and Settings.

Открываем в проводнике расшареный нами каталог профилей (у нас он расположен по адресу \192.168.0.1\profiles) и копируем локальный профиль на сервер, в результате, каталог на сервере будет содержать что-то вроде этого:

Если Вы не хотите, чтобы профиль изменяли пользователи, а Вы явно этого не хотите, ввиду некомпетентности пользователей, необходимо переименовать файл NTUSER.DAT в NTUSER.MAN.

Все, настройка почти завершена. Снова идем в свойства профиля пользователя test и прописываем путь к профилю:

Теперь, при каждом входе на машину, настройки пользователя будут браться из сети, из указанного сетевого каталога. А все файлы пользователя, которые он по привычке сохраняет в "Моих документах", будут храниться на сервере.

Также можно создать свой профиль для класса или группы (10а класс, 11б класс, например) пользователей, либо для каждого пользователя свой. Профиль можно использовать для всех один и тот же, а вот домашнюю папку, желательно, указывать каждому свою.

Возможные трудности:

1. Частичное наследование параметров профиля. Например, не сохраняются настройки прокси IE. В качестве решения - на компьютерах убрать каталог стандартного пользователя. Но в этом случае, все профили должны иметь свой образ на сервере. Каталог стандартного пользователя - C:\Documents and Settings\Default User. Обычно - скрытый.
2. Не работает некоторый софт, если точнее - не регистрируется. Когда приложение явно пишет (или читает) регистрационную информацию из реестра, возможна проблема с правами на реестр. Для исправления - запускаем regedt32.exe и, либо узнаем ключ, который нужен приложению и на него меняем разрешения так, чтобы любой пользователь получил возможность читать/писать в этот раздел или ключ. Либо можно дать возможность чтения/записи всего реестра всем.
3. После удаления/переименования каталога стандартного пользователя, при входе нового пользователя на компьютер вылезает ошибка, что невозможно найти профиль пользователя. Это значит, что в свойствах профиля не указан путь к профилю, либо там храниться неверный профиль, либо нет прав на чтение профиля.
4. Появляются лишние панели инструментов и т.п. глюки отображения при входе на компьютер. Такое может проявиться из-за несовпадения версий Windows: в которой создан профиль и в которую он загружен. Другими словами - лучше всего использовать профиль, созданный на Win2k на машинах с Win2k, WinXP на WinXP.

Есть вопросы? Пишите, постараюсь ответить.