Профили роуминга: одновременный вход одного и того же пользователя
Я администрирую среду Windows Server 2008 R2, в которой используются перемещаемые профили и перенаправление папок. Клиентские машины работают под управлением Windows 7. Из-за особенностей бизнеса пользователи редко выходят из системы и часто входят в систему на нескольких машинах одновременно. Это, очевидно, создает много проблем с конфликтами "последний выигрывает автор", и каждый сеанс перезаписывает изменения, сделанные в другом сеансе.
Я пробовал разные способы уменьшить конфликты, но до сих пор не нашел удовлетворительного решения. Я использую новую функцию фоновой загрузки пользовательских профилей, но, как объясняется в этой статье, эта проблема действительно не решается: http://blogs.sepago.de/helge/2009/04/02/microsoft-tackles-the-last-writer-wins-problem-of-roaming-profiles-in-windows-7-server-2008-r2/. Я также провел несколько испытаний стороннего программного обеспечения, такого как ProfileUnity, но все еще имел некоторые проблемы с этим. И, конечно, я предположил, что пользователи могут быть более добросовестными при выходе из системы, когда они покидают свой компьютер и перед началом нового сеанса. Но руководство заявило, что этого просто не произойдет и не будет работать на нашу окружающую среду.
Итак, вопрос в том, есть ли у кого-нибудь из вас опыт решения этой проблемы? Известны ли вам какие-либо настройки или сторонние приложения, которые хотя бы минимизируют конфликты, даже если они не устраняют их? Есть ли способ сделать так, чтобы компьютер периодически выходил из системы и снова входил в систему, что является прозрачным для пользователя?
7 ответов
Во-первых, нет ничего плохого в использовании перемещаемых профилей, если они реализованы правильно. Тот факт, что они являются более старой концепцией, не делает их менее полезными или неэффективными в современной ИТ-среде. Профили роуминга не были предназначены для одного пользователя на ПК и одного ПК на пользователя, они были разработаны для вашего конкретного случая использования, одного или нескольких пользователей, которые входят в систему на нескольких компьютерах (будь то рабочие станции или терминальные серверы). Цель заключалась в том, чтобы предоставить пользователю согласованную среду (рабочий стол, настройки приложений и т. Д.) Независимо от того, к какому компьютеру они подключаются.
Во-вторых, реализация какого-либо механизма автоматического выхода из системы не решит вашу проблему, так как не мешает пользователю иметь несколько входов в систему на нескольких компьютерах одновременно. Что мешает пользователю войти в систему на одном компьютере или в TS в 9:00 и войти в систему на другом в 10:00? Когда включится ваш механизм автоматического выхода из системы, у вас останется та же проблема.
В-третьих, перенаправление папок может помочь в ситуации, перенаправляя некоторые папки из перемещаемого профиля, но это не решает проблему, поскольку все пользовательские папки не могут быть перенаправлены. Существуют основные компоненты перемещаемого профиля (ntuser.dat, настройки программы и т. Д.), Которые невозможно перенаправить.
В-четвертых, нет настройки, которая будет регистрировать пользователя своего сеанса в соответствии с настройкой часов входа. Два параметра, связанные с выходом пользователя из системы и отключением его сеанса в зависимости от времени входа в систему, отключают его от общих ресурсов SMB, он не отключает их от сеанса рабочего стола. Существуют настройки для завершения (выхода из системы) пользовательского сеанса на TS, основанные на различных временных параметрах (бездействующий, активный, отключенный).
К сожалению, у вас есть техническая проблема, вызванная поведенческой проблемой, которая не может быть полностью решена с помощью технического решения. Вот несколько советов, которые могут помочь:
Реализовать перенаправление папок (как предлагали другие) для таких папок, как "Мои документы", "Рабочий стол", "Пуск".
Если ваши пользователи входят в службы терминалов, примените ограничение единого входа через объект групповой политики. Это позволит любому пользователю не иметь более одного сеанса.
Обучите своих пользователей выработке привычки выходить из системы, прежде чем уйти на следующий день. Это считается хорошей практикой / этикетом и должно поощряться и поддерживаться руководством. Если руководство воздерживается от этой идеи, то они частично виноваты, если проблема не устранена.
Большая проблема с перемещаемыми профилями состоит в том, что они были разработаны давно в середине 90-х годов для одного конкретного случая использования: один ПК на пользователя и один пользователь на ПК. В этом сценарии роуминговые профили работают достаточно хорошо, но если сценарий меняется, они бывают крайне (с треском).
Проблема "последних побед писателя", вызванная одновременными сеансами, очень хорошо известна в мире терминальных серверов, где я работал много лет. Из-за так называемых хранилищ очень часто там пользователи имеют более одного одновременного сеанса.
Проблема последних побед писателя на самом деле не в файлах (которые могут быть решены путем перенаправления папок), а в том, что куст HKCU реестра хранится в одном файле NTUSER.DAT. Этот файл изменяется в каждом сеансе, поэтому он всегда записывается обратно при выходе из сеанса, перезаписывая любые существующие версии этого файла в сети.
К сожалению, нет способа обойти это с одними перемещаемыми профилями. Именно по этой причине сторонние продукты для управления профилями очень популярны в мире серверов Citrix / Terminal. Я помог создать один такой продукт, который позже был продан Citrix и теперь входит в комплект их основных продуктов XenApp и XenDesktop. Он идентифицирует измененные ключи в HKCU и объединяет их с копией NTUSER.DAT, находящейся в сети.
Другие коммерческие продукты также решают проблему последних побед писателя. Боюсь, я не знаю ни одного бесплатного решения.
У вас может быть служба Windows или exe, отправленная на каждую машину, которая контролирует процесс wfica32.exe. И когда этот процесс исчезнет из-за плавного роуминга, заблокируйте рабочую станцию.
Вы можете использовать объект групповой политики для принудительного выхода из системы на основе часов входа в систему. Это только оттолкнет их в нерабочее время и не вернет их обратно.
Вы можете использовать объект групповой политики для передачи сторонних приложений на все ПК, которые будут принудительно выходить из системы по истечении определенного срока, я думаю, что есть экранная заставка, которая сделает это. Когда заставка активируется через X минут, пользователь выйдет из системы. Опять же, это не войдет их обратно.
В администрируемой мной среде с перемещаемым профилем я ДЕЙСТВИТЕЛЬНО был недоволен скоростью входа в систему / отключения и сетевым трафиком, вызванным профилями, синхронизирующими данные все время. Некоторые люди хранили сотни файлов на своих рабочих столах - совершенно ненужные. Я изменил структуру вещей и сделал это вместо этого:
- Пользователи получили ярлыки на своем рабочем столе для выделенных общих папок на файловом сервере
- Я переместил все их данные (документы / рабочий стол / и т. Д.) В эти общие папки
- Пользователи не должны сохранять файлы локально в свой профиль
Это решило проблемы, которые я видел, потому что их профили были теперь очень аккуратными и чистыми, входы в систему были быстрыми, и я исправил проблемы с несколькими открытыми копиями файлов, потому что они получали сообщение "файл уже открыт", если они пытались открыть файл на файловом сервере со второго компьютера. Это также помогло с некоторыми проблемами с резервными копиями файлов, которые я получал, потому что у меня были все мои важные данные на одном сервере, с которого я мог запускать резервные копии.
Наконец, если вы не заинтересованы в изменении конфигурации своей среды, вам необходимо обучить своих пользователей. Во многих отношениях это не кажется мне проблемой, которую нужно решить. Среда работает правильно, пользователи просто не знают, как им нужно делать вещи правильно. Поговорите со своим руководством и попросите провести учебный класс, составьте 15-минутный доклад о том, как правильно сохранять данные, и выйдите из рабочих станций. Не говорите им, что они делают это неправильно - просто скажите им, что если они будут делать то, что вы преподаете, у них будет меньше проблем, и их работа будет легче и эффективнее.
Перенаправление папок смягчает большую часть проблемы, поскольку большинство операций записи происходит почти в реальном времени, хотя и по сети. Я видел, как люди закрывали свои (конкретные, а не папки) документы, потому что они забыли закрыть их.
Кроме того, вы можете попробовать выйти из системы, если простаиваете (если вы можете получить контроль со стороны руководства, это означает, что ваши пользователи должны будут сохранить свою работу перед уходом, но они все равно должны это сделать).
http://t3chnot3s.blogspot.com/2011/04/logoff-idle-windows-sessions-via-screen.html
Решение для предотвращения одновременных входов пользователей также может быть достигнуто с помощью LimitLogin, который не требует покупки (в отличие от UserLock). Он может иметь не так много функций, но он бесплатный.
Загрузка и информация доступны здесь на Microsoft TechNet:
Мы рассматриваем возможность реализации этого в одном из наших клиентов из-за аналогичных проблем с перемещаемыми профилями.
Вам следует обратить внимание на UserLock, стороннее программное решение, которое позволяет (помимо других функций) предотвращать или ограничивать одновременный вход в систему (один и тот же идентификатор, один и тот же пароль) для каждого пользователя, группы пользователей или подразделения организации, а также для каждого типа сеанса (рабочая станция)., терминал, интерактив, Интернет-службы информации или VPN/RAS).
Ограничения могут быть установлены детально и могут варьироваться от одного пользователя к другому, от одной группы к другой или от одной организационной единицы к другой.
Кроме того, UserLock позволит пользователям удаленно закрыть предыдущий сеанс с новой рабочей станции, на которой ему / ей запрещено входить в систему из-за ограничения максимально допустимого числа.