¿Cómo administrar cientos de usuarios (y perfiles personalizados) en máquinas individuales con Windows 7?

8

Somos una universidad pequeña, donde a cada estudiante se le asigna una cuenta de Active Directory. Tenemos un par de laboratorios de computadoras donde todas las máquinas están unidas al dominio y los estudiantes pueden iniciar sesión en cualquier máquina. En el transcurso de un semestre, la mayoría de los estudiantes iniciarán sesión en la mayoría de las máquinas.

En el pasado, bajo Windows XP, lo hemos logrado usando la antigua funcionalidad Copiar perfil, junto con un producto llamado Deep Freeze, de modo que los perfiles se limpian efectivamente de manera automática. Muchas escuelas han usado esta técnica con éxito durante mucho tiempo.

Desafortunadamente, Windows 7 rompe todo esto. Ya no podemos usar la función Copiar perfil para preparar perfiles de plantilla para las estaciones de trabajo. La directiva de grupo podría funcionar para configurar las máquinas, y este es el método oficial para manejar el problema. Desafortunadamente, esto no funciona tan bien, por dos razones. La primera es que la directiva de grupo no es tan amigable para configurar los ajustes de perfil. No podemos avanzar tan rápido en los cambios que queremos hacer, y algunas cosas solo se pueden hacer en la máquina antes de ejecutar sysprep (lo que requeriría una reimagen más frecuente de todo el sistema operativo). El resultado es que terminamos con una experiencia de escritorio menos pulida.

Podríamos morder la viñeta en el primer problema, pero el segundo problema es que todas las configuraciones de directiva de grupo resultan en tiempos de inicio de sesión increíblemente lentos cuando se usan junto con Deep Freeze, porque tienes que volver a aplicar casi todos los ajustes de GP con cada iniciar sesión. Las funciones de seguridad mejoradas de Windows 7 sobre XP (es decir, UAC) me permiten sentirme cómodo probando un semestre sin Deep Freeze ... excepto que todavía terminaríamos con cientos de cuentas de perfil de usuario en cada máquina al final de cada semestre, y eso es después de trabajar más para configurar la política de grupo para producir un resultado disminuido.

Entonces, ¿hay alguna sugerencia sobre mejores formas de abordar este problema?

Queremos hacer cosas como asignar las bibliotecas de documentos a recursos compartidos de red, establecer un fondo de pantalla predeterminado, agregar accesos directos específicos a las barras de herramientas de marcadores en IE y Safari (implementamos safari porque tenemos un programa iPod Touch 1: 1 y también necesitamos iTunes) , y muchos otros ajustes a estas estaciones de trabajo públicas. Queremos poder hacerlo rápidamente, donde podamos obtener buenos comentarios sobre los resultados de un cambio, y debemos hacerlo para que cientos de usuarios puedan iniciar sesión con sus credenciales de Active Directory. Hemos recorrido el camino del perfil móvil en el pasado, y esa tampoco es una buena opción.

Actualmente, nuestros controladores de dominio todavía ejecutan Server 2003, y también preferimos usar CloneZilla que sysprep para manejar las imágenes de las máquinas.

También soy reacio a usar la política de grupo simplemente como una cuestión de flujo de trabajo. Cuando pudimos usar perfiles de plantilla, si encuentra algo que desea cambiar, simplemente inició sesión como el usuario correcto, lo cambió, cerró la sesión y el cambio se aplicará la próxima vez que actualicemos las máquinas. Ahora tenemos que buscar la configuración correcta de GP, si es que existe. Podría llevar más de una hora completar lo que solía ser una cosa de cinco minutos.

Joel Coel
fuente
1
¿Qué consideras que es un inicio de sesión "lento"? Trabajo para una universidad en el Reino Unido donde actualmente estamos trabajando a pesar de planear una migración w7 y estamos usando perfiles obligatorios para estudiantes, itinerancia para el personal y nada como congelación profunda y obtener tiempos de inicio de sesión que son aceptables para nosotros (aproximadamente 30 segundos para el personal, donde el perfil ya existe y no se está creando como parte del proceso de inicio de sesión). En cuanto a los perfiles que quedan en las máquinas, hay una configuración de GPO para ordenar los perfiles no utilizados, si eso ayuda.
Rob Moir
Es posible que necesite leer sobre los perfiles obligatorios, si eso me permite hacer algo de lo que me falta en este momento. No estoy seguro de cómo está midiendo los tiempos de inicio de sesión, pero en este momento generalmente es bastante rápido. Nuestra prueba hasta ahora ha mostrado tiempos mucho más lentos al tener que aplicar cambios de GP en lugar de simplemente cargar un perfil que ya está en el disco.
Joel Coel
Además, incluso con la limpieza de perfiles inactivos, todavía tendríamos algunas máquinas con más de 400 perfiles a la vez, y no veo cómo es una buena idea.
Joel Coel
Tengo que decir que no he visto ningún problema al tener los perfiles activos en caché en máquinas, números similares a los suyos. Donde existe un perfil en la red, ya sea como un perfil móvil o obligatorio, el rendimiento ha sido bueno para nosotros. Para las cuentas del personal en su primer inicio de sesión (p. Ej., Donde se genera su perfil móvil por primera vez (y con suerte solo) en el dominio (no en la máquina), entonces sí, es muy lento, pero esto solo sucede muy ocasionalmente para el personal y es un problema para ninguno cuentas alumno para nosotros.
Rob Moir
1
Por cierto, no estoy tratando de criticar con mis comentarios, en realidad estoy muy interesado en escuchar cómo otros establecimientos educativos están haciendo las cosas en caso de que hayamos perdido un giro. Además, ¿eres consciente de edugeek? www.edugeek.net
Rob Moir

Respuestas:

2

¿Ha utilizado las preferencias de política de grupo anteriormente? Usamos GPP y funciona fantástico. Tenemos una TONELADA de configuraciones que implementamos y se aplica rápidamente. Lo bueno de GPP es que se puede usar para establecer valores predeterminados (por ejemplo, la página de inicio predeterminada) y NO volver a aplicar las configuraciones establecidas inicialmente. Puede hacer cosas como entradas de registro personalizadas, copias de archivos, unidades / impresoras asignadas, fondos de escritorio, etc. Casi cualquier cosa.

En segundo lugar, los scripts de inicio de sesión combinados con GPP son otra buena opción. Puede haber cosas más complejas que debe hacer (por ejemplo, con nosotros, necesitamos cargar un complemento de oficina en Excel) para las que un script es más adecuado.

Simplemente sugeriría Googleing "preferencias de política de grupo".

Un poco más que olvidé, si desea que el software gestione esto, la solución que le puede interesar es una tecnología llamada "Virtudización del usuario". Las siguientes dos compañías tienen un producto popular.

  1. AppSence
  2. Software RES
Eric C. Singer
fuente
1

Lo que realmente debe hacer es implementar VDI, por ejemplo, Citrix XenDesktop. En la configuración típica, cada usuario obtiene una máquina virtual que se restablece a un estado prístino al cerrar sesión. La imagen de VM se transmite a través de "Provisioning Services" desde una sola imagen maestra, que es lo único que debe tocar cuando desea cambiar el entorno del usuario. Como beneficio adicional, obtiene versiones y reversiones fáciles porque la imagen maestra se almacena en varias versiones. Realice un cambio y retroceda fácilmente si no funciona.

Sin embargo, implementar VDI no es trivial y necesita algo de tiempo, aunque Citrix intenta que parezca simple .

Helge Klein
fuente
0

Tengo curiosidad acerca de esto, ya que consulto una escuela y me he decidido por la política de grupo. La directiva de grupo con los clientes de Server 2008 R2 y Windows 7 puede administrar la configuración que menciona, si los tiempos de inicio de sesión son largos, posiblemente se deba a problemas de rendimiento de la red o del servidor que se pueden solucionar con un buen diseño de red y servidor.

La política de grupo a veces puede parecer que lleva mucho tiempo cambiar la configuración.

He encontrado algunas cosas para que esto funcione más rápido. Una es crear un script de PowerShell que replica los cambios entre los servidores de inicio de sesión en el comando. El otro es crear un script que fuerce un gpupdate / force remoto en las máquinas. Entonces realiza los cambios, ejecuta el script de replicación y luego ejecuta el script gpudate. Luego, el usuario reinicia o cierra sesión (dependiendo de la configuración, algunos reinician o dos).

Me pregunto si sus recursos compartidos de red están a la altura del impacto en el rendimiento de muchos directorios de Docs de usuarios. ¿Tiene un buen administrador de red empresarial que pueda asegurarse de que su diseño de conmutación y enrutamiento sea sólido? He visto laboratorios escolares con 60 máquinas, llenas de estudiantes que intentan ver youtube, en un enlace ascendente 10/100 a la red central.

Deep Freeze ciertamente parece que podría tener implicaciones de rendimiento, me pregunto si MS Steady State es mejor.

será
fuente
1
MS Steady State no está disponible para Windows 7.
Joel Coel
Además, agradecería que me aclare cómo usa la política de grupo. Nuestra experiencia es que GP funciona bien y es lo suficientemente rápido ... pero solo mientras adopte un enfoque minimalista de la configuración: defina una configuración solo para las cosas que necesita y deje el resto sin configurar. Si tiene muchos ajustes (que queremos hacer), puede ser muy lento. Además, solo buscamos establecer valores predeterminados y no aplicar la configuración. Muchas configuraciones de GP impiden que el usuario realice cambios, y realmente solo nos importa el estado inicial de cada perfil.
Joel Coel
Las cosas que ralentizan la política de grupo a menudo se relacionan con errores de permisos (como una asignación de unidad para la que el usuario no tiene permisos). Estos se resuelven fácilmente con la orientación a nivel de elemento. Otra opción es utilizar el procesamiento asincrónico (si puede).
pauska
0

Puede usar las políticas de grupo.

Con el nuevo GPO disponible con Windows 7, el GPP (preferencia de política de grupo) puede establecer la configuración predeterminada para un usuario y darles la opción de cambiarlo. Puede presionar la impresora y configurarla de manera predeterminada, verifíquela como una sola vez y esta política solo se aplicará una vez, lo que brinda al usuario final la posibilidad de cambiar su impresora predeterminada.

Puede configurar los ajustes para IE y luego importarlos al editor de políticas de grupo.

Configurar el fondo de pantalla predeterminado, la unidad de mapeo es extremadamente fácil con GPP.

Al igual que con GPO, la preferencia se puede aplicar a un sistema o un usuario.

Puede acceder a GPP desde cualquier GPO desde Windows 7 y Windows Server 2008 R2. La mayoría de GPP puede funcionar en Windows XP si tiene instalada la extensión del lado del Cliente (disponible en la actualización de Windows)

Levesquejfrancois
fuente