Come gestire centinaia di utenti (e profili personalizzati) su singoli computer Windows 7?


8

Siamo una piccola università, in cui a ogni studente viene assegnato un account Active Directory. Abbiamo un paio di laboratori informatici in cui le macchine sono tutte unite al dominio e gli studenti possono accedere a qualsiasi macchina. Nel corso di un semestre, la maggior parte degli studenti accederà alla maggior parte delle macchine.

In passato, sotto Windows XP, lo abbiamo gestito utilizzando la vecchia funzionalità Copia profilo, insieme a un prodotto chiamato Deep Freeze, in modo tale che i profili vengano effettivamente ripuliti automaticamente. Molte scuole hanno usato questa tecnica con successo per molto tempo.

Sfortunatamente, Windows 7 rompe tutto questo. Non è più possibile utilizzare la funzione Copia profilo per preparare i profili modello per le workstation. Criteri di gruppo potrebbero funzionare per l'installazione delle macchine e questo è il metodo ufficiale per gestire il problema. Sfortunatamente, anche questo non funziona, per due motivi. Il primo è che i Criteri di gruppo non sono altrettanto amichevoli per l'impostazione delle modifiche del profilo. Non possiamo spostarci così rapidamente sulle modifiche che vogliamo apportare e alcune cose possono essere fatte sulla macchina solo prima di eseguire sysprep (che richiederebbe una re-imaging più frequente dell'intero sistema operativo). Il risultato è che finiamo con un'esperienza desktop meno raffinata.

Potremmo mordere il proiettile sul primo problema, ma il secondo problema è che tutte le impostazioni dei criteri di gruppo comportano tempi di accesso incredibilmente lenti se utilizzati insieme a Deep Freeze, perché è necessario riapplicare quasi tutte le modifiche GP con ogni accesso. Le funzionalità di sicurezza migliorate di Windows 7 su XP (in particolare UAC) mi consentono di provare a provare un semestre senza Deep Freeze ... tranne per il fatto che alla fine di ogni semestre saremmo ancora con centinaia di account del profilo utente su ogni macchina e questo dopo aver lavorato di più per impostare i criteri di gruppo per produrre un risultato ridotto.

Quindi ci sono suggerimenti per modi migliori per affrontare questo problema?

Vogliamo fare cose come mappare le librerie di documenti su condivisioni di rete, impostare uno sfondo predefinito, aggiungere scorciatoie specifiche alle barre degli strumenti dei segnalibri in IE e Safari (implementiamo safari perché abbiamo un programma 1: 1 per iPod Touch e abbiamo bisogno anche di iTunes) e molte altre modifiche a queste workstation pubbliche. Vogliamo essere in grado di farlo rapidamente, dove possiamo ottenere un buon feedback sui risultati di una modifica e dobbiamo farlo in modo che centinaia di utenti possano accedere con le loro credenziali di Active Directory. Abbiamo percorso il percorso del profilo di roaming in passato e non è nemmeno una buona opzione.

Attualmente i nostri controller di dominio eseguono ancora Server 2003 e preferiremmo molto utilizzare CloneZilla piuttosto che sysprep per gestire l'imaging dei computer.

Sono anche riluttante a utilizzare i criteri di gruppo semplicemente come una questione di flusso di lavoro. Quando abbiamo potuto utilizzare i profili modello, se hai trovato qualcosa che volevi modificare, hai appena effettuato l'accesso come utente corretto, l'ho modificato, disconnesso e la modifica verrà applicata al prossimo aggiornamento delle macchine. Ora dobbiamo cercare le giuste impostazioni GP, se esiste. Potrebbero essere necessarie più di un'ora per completare quella che era una cosa di cinque minuti.


1
Cosa consideri un login "lento"? Lavoro in un college nel Regno Unito dove attualmente stiamo lavorando anche se stiamo pianificando una migrazione w7 e stiamo usando profili obbligatori per gli studenti, il roaming per il personale e niente come il congelamento profondo e ottenere tempi di accesso accettabili per noi (circa 30 secondi per il personale, dove il profilo esiste già e non viene creato come parte del processo di accesso). Per quanto riguarda i profili lasciati indietro sulle macchine, esiste un'impostazione dell'oggetto Criteri di gruppo per riordinare i profili non utilizzati, se ciò aiuta.
Rob Moir,

Potrei aver bisogno di leggere i profili obbligatori, se ciò mi consente di fare alcune delle cose che mi mancano in questo momento. Non sei sicuro di come stai misurando i tempi di accesso, ma in questo momento è generalmente piuttosto veloce. Finora il nostro test ha mostrato tempi molto più lenti dovendo applicare le modifiche dal GP rispetto al semplice caricamento di un profilo già sul disco.
Joel Coel,

Inoltre, anche con la pulizia dei profili inattivi, avremmo comunque alcune macchine con fino a 400 profili contemporaneamente e non vedo come sia una buona idea.
Joel Coel,

Devo dire che non ho riscontrato problemi con la memorizzazione nella cache di profili attivi su macchine - numeri simili ai tuoi. Laddove esiste un profilo sulla rete, sia come roaming che come profilo obbligatorio, le prestazioni sono andate bene per noi. Per gli account dello staff al primo accesso (ad es. Dove viene generato il loro profilo di roaming per la prima (e si spera solo) volta in assoluto sul dominio (non sulla macchina), allora sì, è molto lento, ma questo accade solo occasionalmente per lo staff ed è una questione irrilevante per i conti degli studenti per noi
Rob Moir,

1
Non provando a criticare i miei commenti tra l'altro, in realtà sono molto interessato a sentire come altri istituti scolastici stanno facendo le cose nel caso in cui ci sia un colpo di scena pulito che ci siamo persi. Inoltre, sei a conoscenza di edugeek? www.edugeek.net
Rob Moir,

Risposte:


2

Hai già usato le preferenze dei criteri di gruppo? Usiamo GPP e funziona alla grande. Abbiamo un sacco di impostazioni che implementiamo e si applica rapidamente. La cosa bella di GPP è che può essere utilizzato per impostare i valori predefiniti (ad esempio la home page predefinita) e NON riapplicare le operazioni impostate inizialmente. Puoi fare cose come voci di registro personalizzate, copie di file, unità / stampanti mappate, sfondi desktop, ecc. Praticamente qualsiasi cosa.

In secondo luogo, gli script di accesso combinati con GPP sono un'altra bella opzione. Potrebbero esserci cose più complesse che devi fare (ad esempio con noi, dovevamo caricare un plug-in di Office in Excel) per cui uno script è più adatto.

Vorrei semplicemente suggerire Google "preferenze di criteri di gruppo".

Un altro po 'di cui mi sono dimenticato, se vuoi che il software gestisca questo, la soluzione che potrebbe interessarti è una tecnologia chiamata "Virtualizzazione utente". Le seguenti due società hanno un prodotto popolare.

  1. AppSence
  2. Software RES

1

Quello che dovresti davvero fare è distribuire VDI, ad esempio Citrix XenDesktop. Nella configurazione tipica ogni utente ottiene una macchina virtuale che viene ripristinata a uno stato originario alla disconnessione. L'immagine della macchina virtuale viene trasmessa in streaming tramite "Servizi di provisioning" da un'unica immagine principale, che è l'unica cosa che è necessario toccare quando si desidera modificare l'ambiente utente. Come bonus, ottieni un controllo delle versioni e un rollback facili perché l'immagine principale è memorizzata in più versioni. Apporta una modifica e ripristina facilmente se non funziona.

L'implementazione di VDI non è banale, tuttavia, e richiede del tempo, sebbene Citrix cerchi di renderlo semplice .


0

Sono curioso di questo mentre mi consulto per una scuola e mi sono fissato sulla politica di gruppo. Criteri di gruppo con client Server 2008 R2 e Windows 7 possono gestire le impostazioni menzionate, se i tempi di accesso sono lunghi è probabilmente dovuto a problemi di prestazioni della rete o del server che possono essere risolti con una buona progettazione di netork e server.

Talvolta i criteri di gruppo possono sembrare che ci vuole molto tempo per cambiare l'impostazione.

Ho trovato alcune cose per farlo funzionare più velocemente. Uno è quello di creare uno script PowerShell che replica le modifiche tra i server di accesso su comando. L'altro è creare uno script che forza un gpupdate / force remoto su macchine. Quindi apporti le tue modifiche, esegui lo script di replica, quindi esegui lo script gpudate. Quindi l'utente riavvia o disconnette (a seconda delle impostazioni, alcuni richiedono il riavvio o due).

Mi chiedo se le condivisioni di rete sono in grado di influenzare le prestazioni di molte directory di documenti degli utenti? Hai un buon amministratore di rete aziendale in grado di assicurarti che il tuo design di commutazione e routing sia solido? Ho visto laboratori scolastici con 60 macchine, pieni di studenti che cercavano di guardare YouTube, su un uplink 10/100 alla rete principale.

Deep Freeze sembra certamente che potrebbe avere implicazioni sulle prestazioni, mi chiedo se MS Steady State sia migliore?


1
MS Steady State non è disponibile per Windows 7.
Joel Coel il

Inoltre, apprezzerei i chiarimenti su come usi i criteri di gruppo. La nostra esperienza è che GP funziona bene ed è abbastanza veloce ... ma solo fino a quando si prende un approccio minimalista per le impostazioni: definire un ambiente solo per quelle cose che servono a, e lasciare il resto non impostato. Se hai molte modifiche (che vogliamo fare), può diventare molto lento. Inoltre, stiamo solo cercando di impostare i valori predefiniti e non applicare le impostazioni. Molte impostazioni GP impediscono all'utente di apportare modifiche e ci preoccupiamo solo dello stato iniziale di ciascun profilo.
Joel Coel,

Le cose che rallentano i criteri di gruppo spesso si riferiscono a errori di autorizzazione (come una mappatura dell'unità per la quale l'utente non dispone delle autorizzazioni). Questi sono facilmente risolti con il targeting a livello di elemento. Un'altra opzione è utilizzare l'elaborazione asincrona (se possibile).
pauska,

0

È possibile utilizzare i criteri di gruppo.

Con il nuovo oggetto Criteri di gruppo disponibile con Windows 7, GPP (preferenza di criteri di gruppo) è possibile impostare le impostazioni come predefinite per un utente e dare loro la possibilità di modificarlo. È possibile eseguire il push della stampante e impostarla per impostazione predefinita, verificarla come run-once e questo criterio verrà applicato solo una volta, dando all'utente finale la possibilità di cambiare la sua stampante predefinita.

È possibile configurare le impostazioni per IE, quindi importarle nell'editor dei criteri di gruppo.

Configurare lo sfondo predefinito, mappare l'unità sono estremamente facili con GPP.

Come per l'oggetto Criteri di gruppo, la preferenza può essere applicata a un sistema o a un utente.

È possibile accedere a GPP da qualsiasi oggetto Criteri di gruppo da Windows 7 e Windows Server 2008 R2. La maggior parte dei GPP può funzionare su Windows XP se è installata l'estensione lato client (disponibile su Windows Update)

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.