Come gestire centinaia di utenti (e profili personalizzati) su singoli computer Windows 7?

Siamo una piccola università, in cui a ogni studente viene assegnato un account Active Directory. Abbiamo un paio di laboratori informatici in cui le macchine sono tutte unite al dominio e gli studenti possono accedere a qualsiasi macchina. Nel corso di un semestre, la maggior parte degli studenti accederà alla maggior parte delle macchine.

In passato, sotto Windows XP, lo abbiamo gestito utilizzando la vecchia funzionalità Copia profilo, insieme a un prodotto chiamato Deep Freeze, in modo tale che i profili vengano effettivamente ripuliti automaticamente. Molte scuole hanno usato questa tecnica con successo per molto tempo.

Sfortunatamente, Windows 7 rompe tutto questo. Non è più possibile utilizzare la funzione Copia profilo per preparare i profili modello per le workstation. Criteri di gruppo potrebbero funzionare per l'installazione delle macchine e questo è il metodo ufficiale per gestire il problema. Sfortunatamente, anche questo non funziona, per due motivi. Il primo è che i Criteri di gruppo non sono altrettanto amichevoli per l'impostazione delle modifiche del profilo. Non possiamo spostarci così rapidamente sulle modifiche che vogliamo apportare e alcune cose possono essere fatte sulla macchina solo prima di eseguire sysprep (che richiederebbe una re-imaging più frequente dell'intero sistema operativo). Il risultato è che finiamo con un'esperienza desktop meno raffinata.

Potremmo mordere il proiettile sul primo problema, ma il secondo problema è che tutte le impostazioni dei criteri di gruppo comportano tempi di accesso incredibilmente lenti se utilizzati insieme a Deep Freeze, perché è necessario riapplicare quasi tutte le modifiche GP con ogni accesso. Le funzionalità di sicurezza migliorate di Windows 7 su XP (in particolare UAC) mi consentono di provare a provare un semestre senza Deep Freeze ... tranne per il fatto che alla fine di ogni semestre saremmo ancora con centinaia di account del profilo utente su ogni macchina e questo dopo aver lavorato di più per impostare i criteri di gruppo per produrre un risultato ridotto.

Quindi ci sono suggerimenti per modi migliori per affrontare questo problema?

Vogliamo fare cose come mappare le librerie di documenti su condivisioni di rete, impostare uno sfondo predefinito, aggiungere scorciatoie specifiche alle barre degli strumenti dei segnalibri in IE e Safari (implementiamo safari perché abbiamo un programma 1: 1 per iPod Touch e abbiamo bisogno anche di iTunes) e molte altre modifiche a queste workstation pubbliche. Vogliamo essere in grado di farlo rapidamente, dove possiamo ottenere un buon feedback sui risultati di una modifica e dobbiamo farlo in modo che centinaia di utenti possano accedere con le loro credenziali di Active Directory. Abbiamo percorso il percorso del profilo di roaming in passato e non è nemmeno una buona opzione.

Attualmente i nostri controller di dominio eseguono ancora Server 2003 e preferiremmo molto utilizzare CloneZilla piuttosto che sysprep per gestire l'imaging dei computer.

Sono anche riluttante a utilizzare i criteri di gruppo semplicemente come una questione di flusso di lavoro. Quando abbiamo potuto utilizzare i profili modello, se hai trovato qualcosa che volevi modificare, hai appena effettuato l'accesso come utente corretto, l'ho modificato, disconnesso e la modifica verrà applicata al prossimo aggiornamento delle macchine. Ora dobbiamo cercare le giuste impostazioni GP, se esiste. Potrebbero essere necessarie più di un'ora per completare quella che era una cosa di cinque minuti.

Hai già usato le preferenze dei criteri di gruppo? Usiamo GPP e funziona alla grande. Abbiamo un sacco di impostazioni che implementiamo e si applica rapidamente. La cosa bella di GPP è che può essere utilizzato per impostare i valori predefiniti (ad esempio la home page predefinita) e NON riapplicare le operazioni impostate inizialmente. Puoi fare cose come voci di registro personalizzate, copie di file, unità / stampanti mappate, sfondi desktop, ecc. Praticamente qualsiasi cosa.

In secondo luogo, gli script di accesso combinati con GPP sono un'altra bella opzione. Potrebbero esserci cose più complesse che devi fare (ad esempio con noi, dovevamo caricare un plug-in di Office in Excel) per cui uno script è più adatto.

Vorrei semplicemente suggerire Google "preferenze di criteri di gruppo".

Un altro po 'di cui mi sono dimenticato, se vuoi che il software gestisca questo, la soluzione che potrebbe interessarti è una tecnologia chiamata "Virtualizzazione utente". Le seguenti due società hanno un prodotto popolare.

1. AppSence
2. Software RES

Quello che dovresti davvero fare è distribuire VDI, ad esempio Citrix XenDesktop. Nella configurazione tipica ogni utente ottiene una macchina virtuale che viene ripristinata a uno stato originario alla disconnessione. L'immagine della macchina virtuale viene trasmessa in streaming tramite "Servizi di provisioning" da un'unica immagine principale, che è l'unica cosa che è necessario toccare quando si desidera modificare l'ambiente utente. Come bonus, ottieni un controllo delle versioni e un rollback facili perché l'immagine principale è memorizzata in più versioni. Apporta una modifica e ripristina facilmente se non funziona.

L'implementazione di VDI non è banale, tuttavia, e richiede del tempo, sebbene Citrix cerchi di renderlo semplice .

Sono curioso di questo mentre mi consulto per una scuola e mi sono fissato sulla politica di gruppo. Criteri di gruppo con client Server 2008 R2 e Windows 7 possono gestire le impostazioni menzionate, se i tempi di accesso sono lunghi è probabilmente dovuto a problemi di prestazioni della rete o del server che possono essere risolti con una buona progettazione di netork e server.

Talvolta i criteri di gruppo possono sembrare che ci vuole molto tempo per cambiare l'impostazione.

Ho trovato alcune cose per farlo funzionare più velocemente. Uno è quello di creare uno script PowerShell che replica le modifiche tra i server di accesso su comando. L'altro è creare uno script che forza un gpupdate / force remoto su macchine. Quindi apporti le tue modifiche, esegui lo script di replica, quindi esegui lo script gpudate. Quindi l'utente riavvia o disconnette (a seconda delle impostazioni, alcuni richiedono il riavvio o due).

Mi chiedo se le condivisioni di rete sono in grado di influenzare le prestazioni di molte directory di documenti degli utenti? Hai un buon amministratore di rete aziendale in grado di assicurarti che il tuo design di commutazione e routing sia solido? Ho visto laboratori scolastici con 60 macchine, pieni di studenti che cercavano di guardare YouTube, su un uplink 10/100 alla rete principale.

Deep Freeze sembra certamente che potrebbe avere implicazioni sulle prestazioni, mi chiedo se MS Steady State sia migliore?

È possibile utilizzare i criteri di gruppo.

Con il nuovo oggetto Criteri di gruppo disponibile con Windows 7, GPP (preferenza di criteri di gruppo) è possibile impostare le impostazioni come predefinite per un utente e dare loro la possibilità di modificarlo. È possibile eseguire il push della stampante e impostarla per impostazione predefinita, verificarla come run-once e questo criterio verrà applicato solo una volta, dando all'utente finale la possibilità di cambiare la sua stampante predefinita.

È possibile configurare le impostazioni per IE, quindi importarle nell'editor dei criteri di gruppo.

Configurare lo sfondo predefinito, mappare l'unità sono estremamente facili con GPP.

Come per l'oggetto Criteri di gruppo, la preferenza può essere applicata a un sistema o a un utente.

È possibile accedere a GPP da qualsiasi oggetto Criteri di gruppo da Windows 7 e Windows Server 2008 R2. La maggior parte dei GPP può funzionare su Windows XP se è installata l'estensione lato client (disponibile su Windows Update)