Perfiles de itinerancia: mejores prácticas

18

Quiero configurar perfiles móviles para unos 50 usuarios. ¿Cuál es la mejor manera de hacer esto? ¿Cuáles son las mejores prácticas? He leído sobre escritorios / mis documentos son demasiado grandes. ¿Cuán grande es muy grande?

Tenemos algunos usuarios que mantienen muchos medios en su máquina para escuchar durante todo el día. Me imagino que tienen algunos conciertos de MP3 en su carpeta Mis documentos. Como tratas con esto?

¡Gracias!

Noah Clark
fuente

Respuestas:

20

El uso de la redirección de carpetas para obtener las carpetas "Mis documentos", "Escritorio" y, potencialmente, "Datos de la aplicación" del perfil de usuario itinerante del usuario será de gran ayuda.

Revisaría este documento de Microsoft: "Guía de implementación de datos de usuario de roaming" . Es desalentador en profundidad, pero está lleno de muy buena información.

Algunas personas solo usan Redirección de carpetas y no usan perfiles de usuario móviles. Tiendo a estar en desacuerdo con esa estrategia porque, para mí, el perfil del usuario también es información del usuario , y debe respaldarse con el mismo grado de administración que sus elementos de datos "abiertamente". Los perfiles de usuario itinerantes hacen que mover al usuario a una nueva PC también sea mucho más fácil.

Si usa "Archivos sin conexión" para almacenar en caché los datos del lado del cliente depende de su entorno. Windows XP no maneja bien los archivos sin conexión cuando las carpetas redirigidas del usuario son más grandes que 2 GB de tamaño. Windows Vista y Windows 7 tienen un motor de almacenamiento en caché muy mejorado y hacen un mejor trabajo. En mi opinión, si la computadora del usuario no es portátil, no hay una "victoria" en el uso de "Archivos sin conexión". Los puntos de vista de otros pueden variar.

Finalmente, tiendo a no usar el paradigma de seguridad predeterminado que Microsoft "recomienda". Establecí los permisos en la raíz de una carpeta compartida que aloja las carpetas redirigidas por el usuario a algo como: SISTEMA / Control total, Administradores / Control total, Usuarios autenticados / Contenido de la carpeta de lista: solo esta carpeta. Luego, creo previamente la carpeta de cada usuario y agrego un permiso de Ese usuario / Control total. Cambio la configuración predeterminada en "Redirección de carpetas" para evitar otorgar al usuario "acceso exclusivo" (lo que realmente significa "desordenar la jerarquía de permisos de la carpeta y desactivar la herencia"). También configuré la configuración de directiva de grupo en "No verificar la propiedad de las Carpetas de perfil móvil" para permitirme configurar la seguridad en mis carpetas de perfil móvil igual que antes.

Hago todo esto con permisos por dos razones. Los valores predeterminados de Microsoft "rompen" la jerarquía de herencia de permisos en mi sistema de archivos, y encuentro eso irritante y un obstáculo con el que tendré que luchar invariablemente en algún momento en el futuro. En segundo lugar, la "forma de Microsoft" invoca la configuración de la carpeta raíz compartida para permitir a los usuarios crear subcarpetas. En el mejor de los casos, esto es solo seguridad laxa. En el peor de los casos, un usuario podría lanzar un ataque de denegación de servicio contra un nuevo usuario al crear previamente las carpetas para ese usuario antes de iniciar sesión y establecer los permisos para denegar el acceso del nuevo usuario.

Evan Anderson
fuente
1
+1 por la distinción entre usuarios de computadoras portátiles y de escritorio, son problemas diferentes.
nray
En el artículo de Windows IT Pro en mi respuesta, el autor utiliza tanto los perfiles móviles como la redirección de carpetas para reducir el tamaño de esos perfiles.
nray
+1 Buena respuesta, Evan.
Tim Long
1
En mi opinión, el "triunfo" con archivos sin conexión es que las copias en caché locales son indexables. Esto permite una indexación y búsqueda más rápidas en las PC clientes.
Tim Long
otro +1 para portátil versus no portátil, y otro triunfo con archivos sin conexión en sistemas no portátiles es que puede reiniciar un servidor de archivos que sirve directorios de inicio durante las horas de trabajo para el mantenimiento de emergencia, sin que los usuarios se molesten demasiado. Sin ella, todas las PC de escritorio se bloquean cuando los directorios principales desaparecen repentinamente.
Bryan
6

Diseñar perfiles móviles es una tarea compleja. El siguiente artículo intenta dar una visión general:

Diseño de perfil de usuario: una cartilla

Los enlaces al final conducen a artículos que entran en detalles adicionales.

La redirección de carpetas es una forma muy común de reducir la duración del inicio de sesión eliminando carpetas que generalmente son grandes de la parte del perfil que se copia durante el inicio y cierre de sesión. Sin embargo, con la redirección de carpetas, está cambiando la velocidad de inicio / cierre de sesión por el rendimiento en la sesión. Puede encontrar una discusión detallada con videos de demostración en una serie de blogs de varias partes que comienza aquí:

Cómo la redirección de carpetas impacta en UX y rompe aplicaciones

Helge Klein
fuente
1
¡Guauu! No tenía idea de que estabas aquí. Neato! Grandes accesorios para escribir SetACL ... Lo recomiendo con la mayor frecuencia posible y lo uso con regularidad.
Evan Anderson
5

"Demasiado grande" dependerá de la velocidad de su red, los usuarios al final de una WAN lenta con GB de documentos notarán inicios de sesión lentos. Aquellos en la misma oficina que su servidor doméstico deberían estar bien.

Una práctica recomendada (bueno, no la mejor, pero mejor que la mayoría de las alternativas) es la redirección de carpetas combinada con el almacenamiento en caché del lado del cliente , e idealmente DFS . Se rumorea que funciona mucho mejor con Vista / Win7 que con XP. Esta tecnología funciona con XP, pero es torpe de administrar o solucionar problemas.

Una ventaja es que la sincronización ocurre en segundo plano y no detiene el inicio de sesión.

La redirección se puede hacer a través de la Política de grupo , en su caso, apuntaría "Mis documentos" al recurso compartido de un usuario, pero apunte "Mi música" al disco duro local. De esa forma, tiene una copia de seguridad de los documentos para usuarios de computadoras portátiles sin llenar el servidor con MP3. Los usuarios de escritorio no necesitarán archivos sin conexión en absoluto.

Use DFS para sus recursos compartidos e incluso puede cambiar servidores en el futuro. Un verdadero problema con la redirección de carpetas configurada con GPO es que si necesita mover la carpeta, tanto el recurso compartido anterior como el nuevo deben estar disponibles, DFS lo evita. Si activa Mis documentos redirigidos para un usuario existente con GB de archivos en una WAN lenta, se bloqueará su PC con Windows XP mientras se mueven los datos.

Hubo un excelente artículo de dos partes " Mejores prácticas para administrar los datos y la configuración de los usuarios " en Windows IT Pro sobre este último año, que trata sobre los usuarios de XP y Vista en las mismas políticas: el tipo había pensado en esto.

rayo
fuente