назад Оглавление вперед

Перемещаемые профили

Перемещаемые профили — это бич администратора сети. Они могут вызвать больше проблем, чем решить, замедляют процесс входа в сеть, эти проблемы трудно диагностировать и вообще говоря не одобряются опытными администраторами сети. Но тем не менее они пользуются большим спросом у пользователей, а также и у управляющего персонала и следовательно придется с ними мириться. Перемещаемым профиль по существу позволяет пользователям иметь свои документы, рабочий стол и профиль пользователя, при перемещении с одного компьютера на другой. Перемещаемые профили хранятся на центральном сервере в домене. При входе в Windows копия профиля пользователя копируется с сервера на локальный компьютер. Когда пользователь завершает сеанс, Windows копирует измененный профиль пользователя обратно на сервер для хранения.

К сожалению, это как решает, так и создает дополнительные проблемы. Профили пользователей увеличиваются в размерах, они могут вырасти до 20, 50, 100, 1000 мегабайт или даже больше. Это увеличение размеров приводит к задержкам при входе, так как требуется дополнительное время для копирования профиля пользователя с сервера на локальный компьютер и обратно при выходе из системы. Кроме того, при входе пользователя в систему на нескольких компьютерах одновременно, последний компьютер "выигрывает", насколько это то, что должно быть по умолчанию.

Вам все это уже очень нравится? Ну тогда начнем.

Измените ваш файл конфигурации к в примере ниже:

[global]
	domain logons = yes
	domain master = Yes
	logon drive = P:
	logon home = \\%L\%U
	logon path = \\%L\profile\%U
	netbios name = fluffygerbil
	os level = 255
	preferred master = yes
	security = user
	wins support = yes
	workgroup = fluffygroup

[profile]
	path = /cifs/profile
	read only = no
	profile acls = yes
	create mode = 0600
	directory mode = 0700
	browseable = no

Неплохо еще убедиться что существуют необходимые каталоги с нужными правами доступа к ним:

# mkdir -p /cifs/profile
# chmod 1755 /cifs/profile

Просто перезапустите сервер Samba, и получите перемещаемые профили пользователей.

Если что то не работает, у вас одна из двух возможных проблем в настройке групповых политик (gpedit.msc) на клиенте Windows:

1. Включите «Не проверять права пользователя Директорий Перемещаемого Профиля» и перезагрузите компьютер. Из описания Windows для этого параметра: "Для операционных систем Windows 2000 Professional без SP4 и Windows XP без SP1, права доступа по умолчанию на вновь созданный профиль — полный контроль доступа для пользователя и отсутствие доступа к файлам для группы администраторов. Вышеописанный параметр задаст корректные права, если папка профиля уже существует. Для семейства серверов Windows Server 2003, Windows 2000 Professional SP4 и Windows XP SP1, если профиль существует, поведением по умолчанию является проверка директории на корректность прав и запрет на копирование файлов из/в перемещаемый профиль если права доступа заданы некорректно. При включении этого параметра вы можете изменить поведение Windows. При включении параметра Windows перестанет проверять права доступа к папке, если она существует. При отключении параметра или неиспользовании этой настройки И при условии что папка перемещаемого профиля существует И пользователь или группа администраторов не являются владельцами этой папки, Windows НЕ будет копировать файлы из/в перемещаемый профиль. Пользователю будет выведено сообщение об ошибке, также информация о ней будет зафиксирована в журнал ошибок. Будет использован закешированный профиль пользователя, или если таковой не существует создастся временный профиль пользователя. Заметьте, что настройки должны быть сделаны на клиентском компьютере, а не на сервере, так как клиентский компьютер устанавливает права доступа на папку перемещаемого профиля в момент его создания. Заметьте также, что если параметр включен поведение будет таким же как в Windows 2000 Professional без SP4 и Windows XP Professional.”

или

2. Включите настройку разрешать только локальные профили пользователей (при этом совершенно забыв о Перемещаемых Профилях Пользователей) и перезагрузите компьютер. Из описания Windows для этого варианта: "Этот параметр определяет, будут ли перемещаемые профили пользователей доступны на данном компьютере. По умолчанию, когда пользователь с перемещаемым профилем пользователя входит в систему на компьютере, его перемещаемый профиль записывается на локальный компьютер. Если он уже входил в систему на этом компьютере и раньше, перемещаемый профиль объединяется с локальным профилем. Аналогичным образом, когда пользователь завершает сеанс работы, локальная копия его профиля, включая любые изменения, которые он сделал, объединяется с серверной копией его профиля. Использованием этого параметра можно запретить пользователям использование перемещаемых профилей на конкретном компьютере. Если вы включите этот параметр, происходит следующее на целевом компьютере: При первом входе в систему, пользователь получает новый локальный профиль, а не перемещаемый профиль. При выходе из системы изменения сохраняются в новом локальном профиле. При всех последующих входах будет использоваться локальный профиль. Если вы отключите этот параметр или не настроите его, то по умолчанию все будет происходить , как описано выше. Если вы включите параметры "Запретить перемещаемому профилю изменения на сервере" и "Разрешить только локальные профили пользователей", перемещаемые профили будут отключены. Примечание: Этот параметр влияет только на перемещаемые профили пользователей ".

Опять же, опытные системные администраторы, как правило воспользуются вторым варианта.

Вот собственно то, что фактически потребуются от вас для создания перемещаемых профилей.

Примечание: Windows клиенты ожидают следующие права доступа к файлам для всех перемещаемых профилей, независимо от того, Windows сервер или Samba сервер (Таким образом, мы должны попытаться установить необходимые разрешения командой CHMOD).

 

Таблица 1. NTFS разрешения для директории перемещаемого профиля.
Учетная запись пользователя Windows Минимальные требуемые разрешения
Создатель/Владелец Полный доступ, только поддиректории и файлы
Администратор Нет
Группа безопасности пользователей, которым необходимо копировать данные на общий ресурс Чтение папки/Чтение данных, Создание папки/Добавление данных – Только для папки
Все Нет прав
Локальная система Полный доступ, Эта папка, Поддиректории и файлы

 

Таблица 2. Уровень прав доступа к общему ресурсу (SMB) для папки Перемещаемого Профиля
Учетная запись пользователя Windows Права доступа по умолчанию Минимально требуемые права доступа
Все Полный доступ Нет доступа
Группа безопасности пользователей, которым необходимо копировать данные на общий ресурс N/A Полный доступ

 

Таблица 3. NTFS Разрешения для каждого Перемещаемого профиля пользователя
Учетная запись пользователя Windows Права доступа по умолчанию Минимально требуемые права доступа
%Username% Полный доступ, Владелец директории Полный доступ, Владелец директории
Локальная система Полный доступ Полный доступ
Администратор Нет доступа Нет доступа
Все Нет доступа Нет доступа

 

назад Оглавление вперед