Как управлять сотнями пользователей (и настроенными профилями) на отдельных машинах Windows 7?

Мы небольшой колледж, где каждому учащемуся назначена учетная запись Active Directory. У нас есть пара компьютерных классов, в которых все компьютеры подключены к домену, и студенты могут войти на любой компьютер. В течение семестра большинство студентов будут подключаться к большинству машин.

Раньше в Windows XP мы управляли этим с помощью старой функциональности Copy Profile вместе с продуктом Deep Freeze, так что профили эффективно очищались автоматически. Многие школы давно и успешно применяют эту технику.

К сожалению, Windows 7 ломает все это. Мы больше не можем использовать функцию «Копировать профиль» для подготовки шаблонов профилей для рабочих станций. Групповая политика может работать для настройки компьютеров, и это официальный метод решения проблемы. К сожалению, это не работает так же по двум причинам. Во-первых, групповая политика не так удобна для настройки настроек профиля. Мы не можем так быстро переходить к изменениям, которые мы хотим внести, и некоторые вещи можно сделать только на машине перед запуском sysprep (что потребовало бы более частого повторного создания образа всей ОС). Результатом является то, что мы получаем менее отточенный рабочий стол.

Мы могли бы отмахнуться от этой первой проблемы, но вторая проблема заключается в том, что все параметры групповой политики приводят к невероятно медленному времени входа в систему при использовании вместе с Deep Freeze, поскольку вам приходится повторно применять почти все настройки GP с каждым авторизоваться. Улучшенные функции безопасности Windows 7 по сравнению с XP (а именно UAC) позволяют мне чувствовать себя комфортно, пробуя семестр без Deep Freeze ... за исключением того, что к концу каждого семестра у нас все равно останутся сотни учетных записей профилей пользователей на каждой машине, и это после того, как мы потратили больше времени на настройку групповой политики для получения уменьшенного результата.

Так есть ли какие-либо предложения по лучшим способам решения этой проблемы?

Мы хотим сделать такие вещи, как привязка библиотек документов к общим сетевым ресурсам, установка обоев по умолчанию, добавление определенных ярлыков на панели инструментов закладок в IE и Safari (мы разворачиваем Safari, потому что у нас есть программа iPod Touch 1: 1 и нам также нужен iTunes) и множество других настроек этих общественных рабочих станций. Мы хотим быть в состоянии сделать это быстро, чтобы получить хорошие отзывы о результатах изменений, и нам нужно сделать это, чтобы сотни пользователей могли войти в систему со своими учетными данными Active Directory. В прошлом мы шли по пути роумингового профиля, и это тоже не очень хороший вариант.

В настоящее время наши контроллеры домена все еще работают под управлением Server 2003, и мы также предпочли бы использовать CloneZilla, а не sysprep для обработки образов машин.

Я также неохотно использую групповую политику просто как вопрос рабочего процесса. Когда мы могли использовать профили шаблонов, если вы нашли что-то, что хотели изменить, вы просто вошли как правильный пользователь, изменили его, вышли из системы, и изменение будет применено при следующем обновлении компьютеров. Теперь нам нужно найти правильную настройку GP, если она вообще существует. Это может занять больше часа, чтобы завершить то, что раньше было пять минут.

Вы использовали настройки групповой политики раньше? Мы используем GPP, и это работает фантастически. У нас есть тонна настроек, которые мы внедряем, и они применяются быстро. Хорошая вещь о GPP, это то, что он может быть использован для установки значений по умолчанию (например, домашней страницы по умолчанию), а НЕ для повторного применения установленных значений. Вы можете делать такие вещи, как пользовательские записи reg, копии файлов, подключенные диски / принтеры, фоны рабочего стола и т. Д. Практически все что угодно.

Во-вторых, сценарии входа в систему, объединенные с GPP, являются еще одним хорошим вариантом. Могут быть более сложные вещи, которые вам нужно сделать (например, нам нужно было загрузить офисный плагин в Excel), для которых лучше подходит сценарий.

Я бы просто предложил Google "предпочтения групповой политики".

Еще один момент, о котором я забыл, если вы хотите, чтобы программное обеспечение управляло этим, то решение, которое вас может заинтересовать, - это технология, называемая «Виртуализация пользователей». Следующие две компании имеют популярный продукт.

1. AppSence
2. RES Software

Что вы действительно должны сделать, это развернуть VDI, например, Citrix XenDesktop. В типичной конфигурации каждый пользователь получает виртуальную машину, которая сбрасывается в первоначальное состояние при выходе из системы. Образ виртуальной машины передается через «Provisioning Services» из одного основного образа, и это единственное, к чему вам нужно прикасаться, когда вы хотите изменить пользовательскую среду. В качестве бонуса вы получаете простое управление версиями и откат, потому что главное изображение хранится в нескольких версиях. Внести изменения и откатиться легко, если не получится.

Внедрение VDI не является тривиальным и требует некоторого времени, хотя Citrix старается сделать его простым .

Мне интересно об этом, так как я консультируюсь со школой и остановился на групповой политике. Групповая политика с клиентами Server 2008 R2 и Windows 7 может управлять упомянутыми параметрами, если время входа в систему слишком велико, возможно, это связано с проблемами производительности сети или сервера, которые могут быть исправлены с помощью хорошего дизайна Netork и сервера.

Иногда может показаться, что групповая политика меняет настройки.

Я нашел несколько вещей, чтобы заставить это работать быстрее. Одним из них является создание сценария powershell, который реплицирует изменения между серверами входа в систему по команде. Другой - создать скрипт, который принудительно запускает удаленный gpupdate / force на машинах. Таким образом, вы вносите изменения, запускаете сценарий репликации, а затем запускаете сценарий gpudate. Затем пользователь перезагружается или выходит из системы (в зависимости от настроек некоторые перезагружаются или два).

Мне интересно, соответствуют ли ваши сетевые ресурсы влиянию производительности многих пользовательских каталогов Docs на производительность? У вас есть хороший администратор корпоративной сети, который может убедиться, что ваш дизайн коммутации и маршрутизации надежен? Я видел школьные лаборатории с 60 машинами, заполненными учениками, пытающимися смотреть YouTube, по 10/100 восходящей линии связи с базовой сетью.

Deep Freeze, безусловно, звучит так, как будто это может повлиять на производительность. Интересно, MS Steady State лучше?

Вы можете использовать групповые политики.

С новым GPO, доступным в Windows 7, GPP (предпочтение групповой политики) вы можете установить настройки по умолчанию для пользователя и дать им возможность изменить его. Вы можете нажать принтер и установить его по умолчанию, отметив его как однократный запуск, и эта политика будет применяться только один раз, предоставляя конечному пользователю возможность изменить свой принтер по умолчанию.

Вы можете настроить параметры для IE, а затем импортировать их в редактор групповой политики.

Настройка обоев по умолчанию, отображение диска чрезвычайно просты с GPP.

Как и в случае с объектом групповой политики, предпочтение может быть применено к системе или пользователю.

Вы можете получить доступ к GPP из любого объекта групповой политики из windows 7 и windows server 2008 r2. Большая часть GPP может работать в Windows XP, если у вас установлено клиентское расширение (доступно для обновления Windows)