Я администрирую среду Windows Server 2008 R2, в которой используются перемещаемые профили и перенаправление папок. На клиентских машинах работает Windows 7. Из-за характера бизнеса пользователи редко выходят из системы и часто входят в систему сразу на нескольких машинах. Это, очевидно, создает множество проблем с конфликтами типа «победил последний писатель» и перезаписью изменений в каждом сеансе, сделанных в другом сеансе.
Я пробовал разные способы уменьшить конфликты, но до сих пор не нашел удовлетворительного решения. Я использую новую функцию фоновой загрузки профилей пользователей, но, как объясняется в этой статье, это не решает проблему: http://blogs.sepago.de/helge/2009/04/02/microsoft-tackles-the-last-writer-wins-problem-of-roaming-profiles-in-windows-7-server-2008-r2/. Я также провел несколько пробных версий стороннего программного обеспечения, такого как ProfileUnity, но все еще имел некоторые проблемы с этим. И, конечно же, я посоветовал пользователям более осознанно выходить из системы, когда они покидают свой компьютер и перед тем, как начать новый сеанс. Но руководство заявило, что этого просто не произойдет и не пойдет на пользу нашей окружающей среде.
Итак, вопрос в том, есть ли у кого-нибудь из вас опыт решения этой проблемы? Знаете ли вы о каких-либо настройках или сторонних приложениях, которые хотя бы минимизируют конфликты, даже если они не устраняют их? Есть ли способ сделать так, чтобы компьютер периодически выходил из системы и снова входил в нее, что было бы прозрачно для пользователя?
Во-первых, нет ничего плохого в использовании перемещаемых профилей, если они реализованы правильно. Просто потому, что это более старая концепция, это не делает их менее полезными или действительными в сегодняшней ИТ-среде. Профили роуминга не были разработаны для одного пользователя на ПК и одного ПК на пользователя, они были разработаны для вашего конкретного случая использования, когда один или несколько пользователей входят в систему на нескольких компьютерах (будь то рабочие станции или терминальные серверы). Намерение состояло в том, чтобы предоставить пользователю согласованную среду (рабочий стол, настройки приложений и т. Д.) Независимо от того, на какой компьютер он входит.
Во-вторых, реализация какого-либо механизма автоматического выхода из системы не решает вашу проблему, поскольку не мешает пользователю иметь несколько входов в систему на нескольких компьютерах одновременно. Что мешает пользователю войти в систему на одном компьютере или TS в 9 утра и войти в систему на другом в 10 утра? Когда сработает ваш автоматический механизм выхода, у вас все равно будет та же проблема.
В-третьих, перенаправление папок может помочь в ситуации, перенаправив некоторые папки из перемещаемого профиля, но это не решает проблему, поскольку все папки пользователей не могут быть перенаправлены. Основные компоненты перемещаемого профиля (ntuser.dat, настройки программы и т. Д.) Не могут быть перенаправлены.
В-четвертых, нет настройки, которая регистрировала бы пользователя в его сеансе в зависимости от настройки часов входа в систему. Две настройки, которые связаны с выходом пользователя из системы и отключением его сеанса на основании часов входа в систему, отключают его от общих ресурсов SMB, но не выводят его из сеанса рабочего стола. Существуют настройки для завершения (выхода из системы) пользовательского сеанса на TS в зависимости от различных таймингов (простоя, активен, отключен).
К сожалению, у вас возникла техническая проблема, вызванная поведенческой проблемой, которую нельзя полностью решить с помощью технического решения. Вот несколько советов, которые могут помочь:
Реализуйте перенаправление папок (как предлагали другие) для таких папок, как «Мои документы», «Рабочий стол», «Пуск».
Если ваши пользователи входят в службы терминалов, реализуйте ограничение единого входа через GPO. Это не позволит любому пользователю проводить более одного сеанса.
Обучите своих пользователей выработке привычки выходить из системы перед тем, как уйти на день. Это считается хорошей практикой / этикетом и должно поощряться и поддерживаться руководством. Если руководство отвергает эту идею, то частично виноваты в том, что проблема не исчезнет.
Большая проблема с перемещаемыми профилями заключается в том, что они были разработаны давно, в середине 90-х, для одного конкретного случая использования: один ПК на пользователя и один пользователь на ПК. В этом сценарии перемещаемые профили работают достаточно хорошо, но если сценарий изменится, они будут работать плохо (плохо).
Проблема "побеждает последний писатель", вызванная параллельными сеансами, очень хорошо известна в мире терминальных серверов, где я работал много лет. Из-за так называемых «разрозненных» сессий очень часто пользователи проводят более одного одновременного сеанса.
Побеждает последний писатель. Проблема заключается не в файлах (которые можно решить путем перенаправления папок), а в кусте реестра HKCU, хранящемся в одном файле NTUSER.DAT. Этот файл изменяется в каждом сеансе, поэтому он всегда записывается обратно при выходе из сеанса, перезаписывая все существующие версии этого файла в сети.
К сожалению, с помощью одних только перемещаемых профилей обойти это невозможно. Именно по этой причине сторонние продукты для управления профилями очень популярны в мире Citrix / терминальных серверов. Я помог создать один такой продукт, который позже был продан Citrix и теперь входит в состав их основных продуктов XenApp и XenDesktop. Он идентифицирует измененные ключи в HKCU и объединяет их в копию NTUSER.DAT, находящуюся в сети.
Другие коммерческие продукты также решают проблему последнего автора. Боюсь, я не знаю ни одного бесплатного решения.
У вас может быть служба Windows или исполняемый файл, загруженный на каждый компьютер, который отслеживает процесс wfica32.exe. И когда этот процесс исчезнет с машины из-за плавного роуминга, заблокируйте рабочую станцию.
Вы можете использовать GPO для принудительного выхода из системы в зависимости от часов входа в систему. Это приведет к их отключению только в нерабочее время и не приведет к повторному включению.
Вы можете использовать объект групповой политики, чтобы протолкнуть стороннее приложение на все ПК, которое вынудило бы выйти из системы после истечения срока, я думаю, есть заставка, которая сделает это. Когда заставка активируется через X минут, пользователь выйдет из системы. Опять же, это не приведет к их повторному запуску.
В среде перемещаемых профилей, которую я администрировал, я ДЕЙСТВИТЕЛЬНО был недоволен скоростью входа / выхода и сетевым трафиком, вызванным профилями, постоянно синхронизирующими данные. Некоторые люди хранили на своих компьютерах сотни файлов - в этом нет необходимости. Я изменил структуру вещей и сделал следующее:
Это решило проблемы, которые я видел, потому что их профили теперь были очень аккуратными и чистыми, вход в систему был быстрым, и я исправил проблемы с открытием нескольких копий файлов, потому что они получали сообщение «файл уже открыт», если они пытались открыть файл на файловом сервере со второго ПК. Это также помогло с некоторыми проблемами резервного копирования файлов, которые я получал, потому что у меня были все мои важные данные на одном сервере, с которого я мог запускать резервные копии.
Наконец, если вы не заинтересованы в изменении конфигурации своей среды, вам необходимо обучить своих пользователей. Во многих отношениях это не кажется мне проблемой, которую нужно решать. Среда работает правильно, пользователи просто не знают, как им нужно делать что-то правильно. Поговорите со своим руководством и попросите провести учебный класс, составить 15-минутный доклад о том, как правильно сохранять данные, и выйти из рабочих станций. Не говорите им, что они делают это неправильно - просто скажите им, что если они будут делать то, что вы преподаете, у них будет меньше проблем, а их работа станет проще и эффективнее.
Перенаправление папок устраняет большую часть проблемы, поскольку большинство операций записи происходит почти в реальном времени, хотя и по сети. Я видел, как людей блокировали доступ к своим (конкретным, а не папкам) документам, потому что они забыли их закрыть.
Кроме того, вы можете попробовать выйти из системы, если вы не используете (если вы можете получить одобрение руководства, это означает, что вашим пользователям придется сохранить свою работу перед уходом, но они все равно должны это сделать).
http://t3chnot3s.blogspot.com/2011/04/logoff-idle-windows-sessions-via-screen.html
Вы должны взглянуть на UserLock, стороннее программное решение, которое позволяет (среди прочего) предотвращать или ограничивать одновременный вход в систему (тот же идентификатор, тот же пароль) для каждого пользователя, группы пользователей или организационной единицы и для каждого типа сеанса (рабочая станция, терминал, интерактивный, Интернет-информация Services или VPN / RAS).
Ограничения могут устанавливаться детально и могут варьироваться от одного пользователя к другому, от одной группы к другой или от одной организационной единицы к другой.
Кроме того, UserLock позволит пользователям удаленно закрыть предыдущий сеанс с новой рабочей станции, на которой ему / ей не разрешено входить в систему из-за ограничения максимально допустимого числа.
Решение для предотвращения одновременного входа пользователей в систему также может быть достигнуто с помощью LimitLogin, который не требует покупки (в отличие от UserLock). У него может быть не так много функций, но он бесплатный.
Скачать и информацию можно здесь Вот в Microsoft TechNet:
Мы рассматриваем возможность реализации этого у одного из наших клиентов из-за аналогичных проблем с перемещаемыми профилями.