Где хранятся файлы пользователей в домене
Обычно параметры и файлы пользователя хранятся в его профиле на локальном компьютере. Если пользователь работает на нескольких компьютерах, то встаёт вопрос о переносе данных с одного компьютера на другой. Для решения данной проблемы в Active Directory имеются две технологии – перемещаемый профиль и перенаправление папок. Каждая технология имеет свои особенности и преимущества, их также можно использовать совместно в зависимости от поставленной задачи. Рассмотрим на практике, как реализуются данные возможности.
Для этого у нас имеется сервер под управлением операционной системы Windows Server 2008 R2, на котором настроена служба Active Directory с доменом, а также два клиентских компьютера под управлением операционных систем Windows XP и Windows 7, которые включены в домен Active Directory. Включение клиентских компьютеров в домен позволит администрировать их и применять различные настройки с помощью групповых политик. В частности, нас интересует применение технологий перемещаемых профилей и перенаправление папок.
С помощью консоли «Active Directory – пользователи и компьютеры» создадим новых пользователей. Сначала создадим подразделение «FolderRedirection», а затем двух пользователей. Например, Дмитрий Соколов (имя входа пользователя – dima) и Иван Петров (имя входа пользователя – ivan).
Отредактируем свойства пользователя «Иван Петров». Для этого нужно щёлкнуть правой кнопкой на пользователе и выбрать в меню пункт «Свойства». Затем перейдите на вкладку «Профиль». В пункте «путь к профилю» укажите папку, в которой будет храниться профиль пользователя.
После первого захода в систему, в FoldersUsers будет создана папка ivan.V2 (в случае захода на компьютер с ОС Windows 7) или папка ivan (в случае захода на компьютер с ОС Windows XP). Как видно, созданные папки для профилей пользователей этих двух операционных систем отличаются.
Теперь профиль пользователя хранится на сервере. При следующих входах в систему профиль будет обновляться с сервера, а сделанные изменения будут синхронизироваться обратно на сервер.
В меню «Пуск» выберем «Администрирование» и вызовем консоль «Управление групповой политикой». Создадим новую групповую политику «Перенаправление папок для пользователей» и добавим пользователя «Дмитрий Соколов», для которого будет применяться данная политика (в реальной ситуации будет добавляться не один пользователь, а даже группа).
После создания новой групповой политики, изменим некоторые её параметры. Для этого нужно щёлкнуть правой кнопкой на название групповой политики и в меню выбрать «Изменить». Появится «Редактор управления групповыми политиками», в котором нужно выбрать «Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папки».
Выберем «Перенаправлять папки всех пользователей в одно расположение». В списке расположения целевой папки выберем «Создать папку для каждого пользователя на корневом пути» и затем укажем корневой путь. После этого в указанной папке для каждого пользователя будет создаваться отдельная папка (например, для пользователя «Дмитрий Соколов» будет создана папка dima) для хранения перенаправленных папок.
Преимущества, которые можно получить от применения технологий перемещаемых профилей и перенапраления папок:
Данные технологии можно применить, например, в организациях, где запрещён вынос любой информации за её пределы, а пользователям требуется иметь доступ к своим данным, работая за разными компьютерами. В этом случае можно организовать централизованное хранилище данных и перенаправлять профили или отдельные папки пользователей туда.
Другой случай можно рассмотреть на примере студентов в университете. Чаще всего студенты работают на разных компьютерах и сохраняют данные, как правило на флешке. Для каждого студента можно создать отдельный профиль, в котором будут храниться все его данные. Если же совместно с этой технологией использовать ещё и Dropbox (потребуется выход в интернет через прокси-сервер в университете), то можно вообще забыть о любом переносе данных и работать как на своём домашнем компьютере.
В любой компании, основополагающей частью организации считаются сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями. Для того чтобы каждый пользователь мог персонализировать фон рабочего стола, экранную заставку и прочие элементы, применяются профили пользователей. По сути, профили пользователей отличаются от учетных записей пользователей тем, что профили пользователей позволяют применять персональные параметры при каждом входе пользователя в операционную систему, а не используется для входа в систему, как в случае с учетными записями пользователей. Профили представляют ряд преимуществ, как для системных администраторов, так и для конечных пользователей. Например, администратор может установить параметры пользователя по умолчанию, который бы соответствовал его задачам, не сохранял изменения, сделанные в рабочем окружении, а также загружал все параметры на локальный компьютер при каждом входе в систему. К пользовательским преимуществам можно отнести тот факт, что один компьютер может служить нескольким пользователям, то есть конкретный пользователь, который выполняет вход получает полностью настроенную рабочую среду, которая была сохранена именно для него, причем настройка рабочей среды одним пользователем не оказывает воздействия на параметры рабочей среды другого. Стоит обратить внимание на то, что у каждой учетной записи пользователя может быть не менее одного профиля.
Большинство системных администраторов при развертывании и управлении клиентскими местами своих пользователей пренебрегают такой мелочью, как централизованным контролем над пользовательскими рабочими столами. С одной стороны их можно понять, так как пользователи будут смотреть на подобные действия, как на попытку полного контроля их единственным свободным пространством, которое у них есть на рабочем месте, что приведет к появлению конфликтных ситуаций. Но если посмотреть на этот факт с другой стороны, то попытки предоставления пользователю возможности изменения каких-либо настроек может привести к некорректной конфигурации, что может некоторым образом усложнить жизнь вам, как системному администратору. Вполне очевидно, что большинство нюансов, связанных с балансировкой контролем пользователя за своим профилем и централизованным управлением рабочими столами пользователя зависит от корпоративных правил вашей организации и все эти настройки могут быть жестко прописаны средствами групповых политик. Но даже если все было указано в корпоративных правилах, пользователи все равно будут постоянно с вами ругаться, так как они рано или поздно захотят поставить себе на рабочий стол какой-то красивый пейзаж или фотографию любимого троюродного племянника из-за чего вам будут регулярно приходить заявления подписанные начальниками отделов с просьбой облегчить жизнь сотруднику и позволять ему персонализировать свой рабочий стол. Использование групповых политик, безусловно, облегчит вам жизнь, поэтому к основной задачи, связанной с этим вопросом следует отнести процесс убеждения пользователей в том, что управление их рабочими столами обеспечат больший комфорт для последующей работы.
В операционных системах Windows существуют четыре типа профилей, изменять параметры которых могут как системные администраторы, так и конечные пользователи:
Временный профиль пользователя: профиль, который предоставляется пользователю лишь в том случае, когда операционной системе, из-за какой-либо системной ошибки не удалось загрузить во время входа и, соответственно, при выходе пользователя из системы такой профиль будет удален;
Локальный профиль пользователя: профиль, который создается при первом входе пользователя в систему и хранится на локальном жестком диске;
Перемещаемый профиль пользователя: профиль, который специально создается системным администратором для конечного пользователя, и хранится на сервере. Данные профили удобны тем, что пользователь имеет доступ к своей рабочей среде, выполняя вход на любом компьютере в организации;
Обязательный профиль пользователя: перемещаемый профиль, который содержит определенные параметры для конкретных пользователей или групп пользователей, в котором изменения вносятся исключительно администраторами.
Чего же хотят от вас в первую очередь конечные пользователи? Для них важнейшим моментом при входе в систему из любого компьютера, расположенного в сети организации является тот момент, чтобы их рабочий стол имел те настройки, что и на своем персональном компьютере, причем для них еще очень важно иметь доступ к своим данным независимо от своего расположения. По этой причине, правильное управление пользовательскими профилями для конечного пользователя значительно важнее, нежели для администратора. Всю эту функциональность вы можете реализовать при помощи перемещаемых пользовательских профилей. В этой статье вы узнаете о том, каким данные содержат пользовательские профили, разницу между локальными и перемещаемыми профилями, а также об управлении перемещаемыми профилями, средствами групповых политик.
Содержимое пользовательских профилей
Жизненный цикл пользовательского профиля начинается с копирования папки профиля пользователя по умолчанию, а именно папки Default User, которая хранится на любом компьютере, работающем под управлением операционной системы Windows. Информация в пользовательском профиле соответствует улью HKEY_CURRENT_USER системного реестра, которую вы можете найти в корне папки профиля пользователя, а именно в файле Ntuser.dat. в этом файле хранятся параметры конфигурации операционной системы, параметры приложений, а также рабочего стола текущего пользователя. Также профиль пользователя содержит скрытые папки, которые содержат такую информацию, как настройки рабочего стола и меню пуск, конфигурацию приложений и многое другое, а также папки, которые изначально доступны пользователю и предназначены для хранения документов, музыкальных и видео файлов, загружаемые из интернета файлы и многое другое.
Многие из вас знают, какие папки расположены в пользовательских профилях в операционной системе Windows XP и что все они находятся в папке Documents and Settings. Но в операционных системах, начиная с Windows Vista и Windows Server 2008 такой папки не существует, что немного вводит в заблуждение людей, которые работают с данными операционными системами впервые. Теперь все пользовательские профили расположены в папке Users, причем появилось множество папок, доступных пользователям, которых не было ранее. Например, все помнят, что в той же операционной системе Windows XP, в пользовательских профилях были такие папки, как «Мои документы», «Моя музыка», «Мои картинки» и т.д., что вызывало множество забавных конфликтных ситуацию между пользователями и администраторами. Теперь все эти папки имеют другое название, что позволит избежать некоторых конфликтов с конечными пользователями. Все эти папки предоставлены в следующей таблице:
Как вы заметили из предыдущей таблицы, помимо стандартных пользовательских папок, в профилях пользователей еще есть точки соединения – папки, которые используются для разрешения доступа к общим папкам. Точки соединения, на первый взгляд, выглядят аналогично папкам, но на самом деле они содержат лишь ссылку, которая уже перенаправляет запрос файла в другое место на диске. При использовании приложений из предыдущих версий Windows, точки соединения позволяют приложениям записывать информацию в папки, которые используют новые имена в профилях пользователей в операционных системах Windows Vista и выше (версии 2).
Основные отличия между локальными и перемещаемыми профилями
Ранее я вкратце описал определение локальных и перемещаемых профилей. В этом разделе я подробнее опишу значение, применение и некоторые отличия этих двух типов пользовательских профилей.
Локальные пользовательские профили
К основному преимуществу локальных пользовательских профилей можно отнести то, что любой пользователь, который входит на локальный компьютер, поддерживает уникальные личные параметры. Такие профили целесообразно держать на домашних компьютерах или в малых офисах, где все пользователи входят в рабочие группы. Но в том случае, когда пользователи внутри организации перемещаются среди множества компьютеров, поддержка большого количество профилей на каждом компьютере не считается удачным решением. Для решения такой задачи есть смысл воспользоваться таким решением, как перемещаемыми пользовательскими профилями.
Перемещаемые пользовательские профили
Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.
Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.
При планировании перемещаемых профилей вам также стоит проанализировать ситуацию с применением временных пользовательских профилей наряду с обязательными профилями. Если ваш профильный сервер становится недоступным, то пользователи, которые входят в группу с обязательными профилями не смогут выполнить вход в систему. Специально для этих случаев вам нужно создать принудительными профили, которые запрещают пользователям входить на компьютеры в случае недоступности перемещаемых профилей, что позволяет обеспечить дополнительный, улучшенный уровень безопасности.
Учетные записи ( accounts ) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.
В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:
- Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM ( Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups ( Локальные пользователи и группы ) консоли Computer Management ( Управление компьютером ). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
- Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли " Active Directory Users and Computers " (" Active Directory – пользователи и компьютеры ").
- Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator ( Администратор ) и Guest ( Гость ). По умолчанию учетная запись Гость отключена.
Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.
Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name ( основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.
Основное имя пользователя ( UPN, User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок " @ " и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).
Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @ ), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли " Active Directory – домены и доверие " (" Active Directory Domain and Trusts ").
Существует только одно обязательное условие при этом — все UPN в лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.
Локальные учетные записи
Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.
Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.
Создание доменной учетной записи
- Откроем административную консоль " Active Directory – пользователи и компьютеры ".
- Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду " Создать " и далее — " Пользователь ".
- Заполним поля " Имя ", " Фамилия ", например, " Иван " и " Иванов " (в английской версии — First Name, Last Name ), поле " Полное имя " ( Full Name ) заполнится само.
- Введем " Имя входа пользователя " ( User logon name ), например, User1. К этому имени автоматически приписывается часть вида " @<имя домена> ", в нашем примере — " @world.ru " (полученное имя должно быть уникальным в масштабах леса).
- В процессе формирования имени входа автоматически заполняется " Имя входа пользователя (пред-Windows 2000) " ( User logon name (pre- Windows 2000) ), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя " WORLD\User1 ". Нажмем кнопку " Далее " (рис. 6.43):
- Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);
- Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);
- Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);
- Отключить учетную запись.
Нажмем кнопку " Далее " (рис. 6.44):
Внимание! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:
- отключается требование сложности паролей,
- устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),
- устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),
- устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),
- группе "Пользователи" дается право локального входа на контроллеры домена.
Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).
Правила выбора символов для создания пароля:
И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.
Обзор свойств учетных записей пользователей
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли " Active Directory – пользователи и компьютеры ", причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль " Active Directory – пользователи и компьютеры " и посмотрим свойства только что созданного нами пользователя.
Закладка " Общие ". На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:
- " Имя "
- " Фамилия "
- " Выводимое имя "
- " Описание "
- " Номер телефона "
- " Электронная почта "
Закладка " Адрес " — справочная информация для поиска в AD.
Закладка " Учетная запись " — очень важный набор параметров (параметры " Имя входа пользователя " и " Имя входа пользователя (пред-Windows 2000) " обсуждались выше при создании пользователя):
Закладки " Телефоны ", " Организация " — справочная информация о пользователе для поиска в AD.
Закладка " Профиль "
Профиль ( profile ) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
- локальные — хранятся в папке " Documents and Settings " на том разделе диска, где установлена операционная система;
- перемещаемые (сетевые, или roaming ) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username% , где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
- обязательные ( mandatory ) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.
Закладка " Член групп " — позволяет управлять списком групп, в которые входит данный пользователь.
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты " Разрешить доступ " и " Запретить доступ ", а также параметры обратного дозвона (" Ответный вызов сервера "). В режимах " Windows 2000 основной " и " Windows 2003 " доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.
Закладки " Профиль служб терминалов ", " Среда ", " Сеансы ", " Удаленное управление " — данные закладки управляют параметрами работы пользователя на сервере терминалов:
Известно, что Windows хранит настройки каждого пользователя в отдельном профиле. У каждого пользователя могут быть свои параметры рабочего стола, свои документы, своя папка Избранное. Windows — это, наверное, одна из самых дружелюбных операционных систем, поэтому комфорт пользователя для нее на первом месте. Но одним комфортом сыт не будешь. Профили пользователей содержат еще и настройки реестра, которые нужно отделить от общих настроек компьютера, поэтому второе назначение профилей пользователей — это обеспечение стабильности работы операционной системы. Принцип Разделяй и властвуй! в Windows, как и в любой другой современной операционной системе, используется почти в полном объеме (существуют операционные системы, которые защищены еще лучше, чем Windows, где управление профилями пользователей выполняется достаточно гибко).
Администраторам часто приходится сталкиваться с распространением профилей пользователей: это позволяет сэкономить огромное количество времени, а значит, и денег. Когда я работал администратором довольно большого предприятия, постоянно возникала проблема печати. Компьютеров в сети было не очень много — около 50, но за каждым из них в разное время могло работать 2—3 человека. Так вот, когда пользователь в первый раз заходил в сеть предприятия и пытался что-нибудь распечатать, ему приходилось настраивать принтер. А поскольку он не знал, как это сделать, он дергал администратора, то есть меня или моего коллегу. Спасло именно распространение профиля пользователя: в него по умолчанию были добавлены сведения о сетевых принтерах, и после этого администраторам уже не приходилось настраивать принтеры для каждого пользователя отдельно.
(adsbygoogle = window.adsbygoogle || []).push(<>);
Управление профилям.и полезно не только для администраторов. Опытные пользователи могут переносить свои профили на другие компьютеры, чтобы всегда работать с привычными настройками.
Профиль пользователя загружается, когда пользователь входит в систему, и выгружается при выходе пользователя из нее. Профиль содержат настройки реестра (куст реестра), которые к нему добавляются при загрузке профиля. Но профиль пользователя — это не только куст реестра, но и совокупность различных папок, хранящих много различной информации — от служебных файлов системы до личных файлов пользователя. В этом разделе мы подробно рассмотрим профиль пользователя.
При обновлении ОС, например, с Windows NT 4.0 до Windows XP, профили пользователей будут находиться в каталоге $SYSTEMROOT%\Profiles.
Список профилей пользователей хранится в реестре в разделе HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CunentVersion\ProfileList. Каждый подраздел этого раздела описывает отдельный профиль пользователя. Имя раздела соответствует SID пользователя. В каждом разделе, описывающем профиль, находится параметр ProfilelmagePath типа REG_SZ, содержащий название домашнего каталога пользователя.
В каждом профиле есть файл Ntuser.dat. Этот файл, как мы уже знаем, является файлом куста профиля пользователя. При загрузке профиля Windows загружает данный файл в подключ HKUVcSIE», где SID — это идентификатор безопасности пользователя. После этого Windows связывает ключ HKCU cHKUXSID.
Профиль пользователя, кроме файла куста, включает в себя названия служебных папок и их содержимое:
- Application Data — файлы приложений. Содержимое подкаталогов этого каталога зависит от установленных программ. Каждая программа сама решает, что хранить в этом каталоге;
- Cookies — Cookies пользователя для Internet Explorer;
- Desktop — ярлыки, файлы и папки рабочего стола. Практически все (кроме служебных пиктограмм, таких как Мой компьютер. Корзина), что находится на рабочем столе, хранится в этой папке;
- Local Settings — файлы приложений, которые не перемещаются вместе с профилем пользователя по сети. Обычно здесь находятся или обще компьютерные файлы (одинаковые для всех пользователей), или файлы, которые слишком велики для копирования по сети. В данном каталоге есть четыре подкаталога:
- Application Data — содержит данные приложений. Например, в Local Settings\Application Data\NFS Underground - содержатся пользовательские файлы и игры Need For Speed;
- History — содержит историю адресов ТЕ;
- Temp — содержит временные файлы пользователя;
- Temporary Internet Files — включает в себя кэшированные файлы;
- NetHood — содержит ярлыки объектов, расположенных в сети. Пользователи видят эти ярлыки в папке Сетевое окружение;
- PrintHood — содержит ярлыки принтеров. Пользователи видят эти ярлыки в папке Принтеры;
- Recent — в этом каталоге находятся ярлыки на недавние документы;
- SendTo — содержит ярлыки дисков, папок и приложений, которые способны принять целевой файл. Эти ярлыки пользователь видит в контекстном меню;
- Главное меню — содержит папки и ярлыки главного меню (меню Пуск) пользователя;
- Избранное (Favorites) — каталог содержит избранные ссылки Internet Explorer. Содержимое этого каталога отображается в меню Избранное браузера;
- Мои документы — используется для хранения документов пользователя. Содержит подкаталоги Мои рисунки, Моя музыка и некоторые другие для хранения, соответственно, графических и музыкальных файлов пользователя, а также файлов с другим содержанием. Кроме этого, некоторые приложения сохраняют файлы, созданные пользователем, в подкаталогах этого каталога, например, ICQ Lite хранит историю переписки и другие параметры учетной записи пользователя в каталоге Мои документыМСО Lite;
Кроме упомянутых ранее, в реестре есть еще один очень интересный раздел HKCL - Software\Microsoft\Windows\CunentVersion\Explorer\Shell Folders. Если в него заглянуть, то вы найдете в нем размещение каждой из папок, которая является частью профиля пользователя.
Служебные профили
Давайте рассмотрим каталог C:\Documents and Settings. Кроме каталогов профилей пользователей, вы найдете в нем еще четыре каталога, соответствующие служебным профилям:
- All users — здесь хранятся настройки, которые относятся ко всем пользователям компьютера. В этом каталоге вы найдете файл куста Ntuser.dat, который не загружается операционной системой. Также здесь есть общие каталоги документов, общие ярлыки для меню Пуск и т. д. Раздел HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersionNExplorer содержит ссылки на каталоги из этого профиля;
- Default User — содержимое этого каталога копируется в профиль пользователя при создании нового пользователя;
- LocalService — каталог хранит профиль встроенной учетной записи LocalService, которую использует менеджер управления службами. Сам каталог LocalService обычно является скрытым, а учетную запись LocalService вы не увидите в списке пользователей;
- NetworkService — необходима для учетной записи NetworkService, которая используется менеджером управления службами.
Наибольший интерес представляет каталог Default User. Все, что вы поместите в этот каталог, будет скопировано в настройки для нового пользователя при создании его учетной записи. Например, вы можете изменить каталог Default добавив в него новые ярлыки. Тем самым вы измените меню Пуск нового пользователя.
Типы профилей
В Windows существует три типа профилей:
- локальный — создается при создании новой учетной записи, точнее, когда пользователь в первый раз входит в систему. Локальные профили хранятся на жестком диске локального компьютера и не следуют за пользователем от одного компьютера к компьютеру, если пользователь перемещается в пределах сети;
- блуждающий — такой профиль следует за пользователем при его перемещении по сети. С какого бы компьютера сети пользователь бы ни зашел, его настройки всегда будут загружены. Такой профиль обычно хранится на контроллере домена. Изменения в профиле сохраняются при выходе пользователя из сети;
- неизменяемый — похож на блуждающий профиль, он загружается с контроллера домена, когда пользователь входит в сеть с любого компьютера, даже не входящего в сеть; однако изменения, произведенные в профиле, сбрасываются при выходе из сети.
Локальные профили
Рассмотрим, как Windows работает с локальными профилями. При входе пользователя в систему Windows первым делом проверяет, есть ли в разделе реестра ProfileList локальный профиль пользователя. Если профиль уже создан, Windows использует его. Если же профиль не существует, действия компьютера зависят от того, является ли он членом домена или нет. В первом случае (компьютер — член домена) операционная система выполняет поиск профиля по умолчанию в сетевом ресурсе netlogon контроллера домена. Если профиль найден, то операционная система использует его, выполняя копирование NETLOGON\Default User в %SYSTEMDRIVE%\Documents and Settings\имя пользователя.
В противном случае, если компьютер не является членом домена или если профиль по умолчанию в NETLOGON не найден, Windows использует локальный профиль по умолчанию. При этом содержимое каталога %SYSTEMDRIVE%\Default User копируется в %SYSTEMDRIVE%\Documents and Settings\HMfl пользователя. После этого производится загрузка куста профиля Ntuser.dat в HKU\SID и связывание HKU\SID с ключом HKCU.
При выходе пользователя из системы все изменения, выполненные в локальном профиле, сохраняются на жестком диске локального компьютера и не копируются в сеть. Таким же образом производится выгрузка куста реестра.
Блуждающие профили
С блуждающими профилями Windows работает немного иначе. При входе пользователя в систему обычно проверяется существование его локального профиля в разделе ProfileList. Если локальный профиль существует, то он объединяется со своей сетевой версией (которая хранится на контроллере домена).
Если же локальная версия профиля не существует, Windows производит поиск на ресурсе NETLOGON, расположенном на контроллере домена, в папке Default User. Если она существует, то операционная система копирует ее в каталог %SYSTEMDRIVE%\Documents and Settings\имя пользователя. Если профиль по умолчанию не найден, содержимое каталога %SYSTEMDRIVE%\Default User копируется в %SYSTEMDRIVE%\Documents and Settings\HM пользователя.
В обоих случаях Windows загружает файл куста в HKU\SE, а затем связывает HKU\SID с ключом HKCU.
При выходе пользователя из системы производится сохранение профиля пользователя с последующим копированием его в сеть (в то место, которое указано администратором при конфигурировании контроллера домена).
Создание блуждающих профилей выполняется на контроллере домена, который обычно работает под управлением Microsoft Windows 2003 (или 2000) Server. Настройку таких профилей мы рассматривать не будем, поскольку это выходит за рамки данной книги. Если вам это интересно, следует прочитать одну из книг, посвященную Active Directory или Windows 2003 Server — в ней вы найдете всю интересующую информацию по данной теме.
Читайте также: