Comment gérer des centaines d'utilisateurs (et des profils personnalisés) sur des machines Windows 7 individuelles?

8

Nous sommes une petite université, où chaque étudiant se voit attribuer un compte Active Directory. Nous avons quelques laboratoires informatiques où les machines sont toutes jointes au domaine et les étudiants peuvent se connecter à n'importe quelle machine. Au cours d'un semestre, la plupart des étudiants se connecteront à la plupart des machines.

Dans le passé, sous Windows XP, nous avons géré cela en utilisant l'ancienne fonctionnalité Copier le profil, ainsi qu'un produit appelé Deep Freeze, de sorte que les profils sont efficacement nettoyés automatiquement. De nombreuses écoles utilisent cette technique avec succès depuis longtemps.

Malheureusement, Windows 7 rompt tout cela. Nous ne pouvons plus utiliser la fonction Copier le profil pour préparer des profils de modèle pour les postes de travail. La stratégie de groupe peut fonctionner pour configurer les machines, et c'est la méthode officielle pour gérer le problème. Malheureusement, cela ne fonctionne pas aussi bien, pour deux raisons. Le premier est que la stratégie de groupe est loin d'être aussi conviviale pour la configuration des modifications de profil. Nous ne pouvons pas avancer aussi rapidement sur les modifications que nous voulons apporter, et certaines choses ne peuvent être effectuées sur la machine qu'avant d'exécuter sysprep (ce qui nécessiterait une ré-imagerie plus fréquente de l'ensemble du système d'exploitation). Le résultat est que nous nous retrouvons avec une expérience de bureau moins soignée.

Nous pourrions mordre la balle sur ce premier problème, mais le deuxième problème est que tous les paramètres de stratégie de groupe entraînent des temps de connexion incroyablement lents lorsqu'ils sont utilisés en conjonction avec Deep Freeze, car vous devez réappliquer presque tous les ajustements GP à chaque s'identifier. Les fonctionnalités de sécurité améliorées de Windows 7 sur XP (à savoir UAC) me permettent de me sentir à l'aise d'essayer un semestre sans Deep Freeze ... sauf que nous nous retrouverions toujours avec des centaines de comptes de profil utilisateur sur chaque machine d'ici la fin de chaque semestre, et c'est après avoir mis plus de travail pour mettre en place une politique de groupe pour produire un résultat diminué.

Y a-t-il donc des suggestions pour de meilleures façons d'aborder ce problème?

Nous voulons faire des choses comme mapper les bibliothèques de documents sur des partages réseau, définir un fond d'écran par défaut, ajouter des raccourcis spécifiques aux barres d'outils des signets dans IE et Safari (nous déployons safari car nous avons un programme iPod Touch 1: 1 et avons également besoin d'iTunes) et de nombreux autres ajustements à ces postes de travail publics. Nous voulons pouvoir le faire rapidement, où nous pouvons obtenir de bons commentaires sur les résultats d'un changement, et nous devons le faire pour que des centaines d'utilisateurs puissent se connecter avec leurs informations d'identification Active Directory. Nous avons emprunté le chemin du profil itinérant dans le passé, et ce n'est pas vraiment une bonne option non plus.

Actuellement, nos contrôleurs de domaine exécutent toujours Server 2003, et nous préférons également utiliser CloneZilla plutôt que sysprep pour gérer l'imagerie des machines.

Je suis également réticent à utiliser la stratégie de groupe simplement comme une question de flux de travail. Lorsque nous pouvions utiliser des profils de modèle, si vous trouviez quelque chose que vous vouliez changer, vous vous connectiez simplement en tant qu'utilisateur correct, le changiez, vous déconnectiez, et le changement serait appliqué la prochaine fois que nous mettrions à jour les machines. Maintenant, nous devons rechercher le bon paramètre GP, s'il existe même. Cela pouvait prendre plus d'une heure pour terminer ce qui était auparavant une tâche de cinq minutes.

active-directory windows-7 user-profile Joel Coel
la source
1
Que considérez-vous comme une connexion "lente"? Je travaille pour une université au Royaume-Uni où nous travaillons actuellement en prévoyant une migration w7 et nous utilisons des profils obligatoires pour les étudiants, l'itinérance pour le personnel et rien de tel que le gel profond et obtenir des temps de connexion qui sont acceptables pour nous (environ 30 secondes pour le personnel, lorsque le profil existe déjà et n'est pas créé dans le cadre du processus de connexion). En ce qui concerne les profils laissés sur les machines, il existe un paramètre GPO pour ranger les profils inutilisés, si cela aide.
Rob Moir
Je devrais peut-être lire les profils obligatoires, si cela me permet de faire une partie de ce qui me manque en ce moment. Je ne sais pas comment vous mesurez les temps de connexion, mais pour l'instant, c'est généralement assez rapide. Jusqu'à présent, nos tests ont montré des temps beaucoup plus lents à appliquer des modifications de GP par rapport au chargement d'un profil déjà sur le disque.
Joel Coel
De plus, même avec le nettoyage des profils inactifs, nous aurions toujours des machines avec plus de 400 profils en même temps, et je ne vois pas comment c'est une bonne idée.
Joel Coel du
Je dois dire que je n'ai vu aucun problème d'avoir des profils actifs mis en cache sur les machines - des nombres similaires aux vôtres. Lorsqu'un profil existe sur le réseau, qu'il s'agisse d'un profil itinérant ou obligatoire, les performances nous conviennent. Pour les comptes du personnel lors de leur première connexion (par exemple, lorsque leur profil d'itinérance est généré pour la première fois (et, espérons-le seulement) sur le domaine (pas la machine), alors oui, c'est très lent, mais cela ne se produit que très occasionnellement pour le personnel et est un compte sans problème pour les comptes étudiants pour nous
Rob Moir
1
Soit dit en passant, je n'essaie pas de critiquer mes commentaires. En fait, je suis très intéressé à savoir comment les autres établissements d'enseignement font les choses au cas où nous aurions manqué une torsion intéressante. De plus, connaissez-vous edugeek? www.edugeek.net
Rob Moir

Réponses:

2

Avez-vous déjà utilisé des préférences de stratégie de groupe? Nous utilisons GPP et cela fonctionne très bien. Nous avons une tonne de paramètres que nous déployons et cela s'applique rapidement. La bonne chose à propos de GPP, c'est qu'il peut être utilisé pour définir les valeurs par défaut (par exemple la page d'accueil par défaut) et NE PAS réappliquer une seule fois. Vous pouvez faire des choses comme des entrées de registre personnalisées, des copies de fichiers, des lecteurs / imprimantes mappés, des arrière-plans de bureau, etc. À peu près n'importe quoi.

Deuxièmement, les scripts de connexion compilés avec GPP sont une autre option intéressante. Il peut y avoir des choses plus complexes que vous devez faire (par exemple avec nous, nous devions charger un plugin Office dans Excel) pour lesquelles un script est mieux adapté.

Je suggérerais simplement Googleing "préférences de stratégie de groupe".

Encore une chose que j'ai oubliée, si vous voulez qu'un logiciel gère cela, la solution qui pourrait vous intéresser est une technologie appelée "User Virtualazation". Les deux sociétés suivantes ont un produit populaire.

  1. AppSence
  2. Logiciel RES
Eric C. Singer
la source
1

Ce que vous devez vraiment faire est de déployer VDI, par exemple Citrix XenDesktop. Dans la configuration typique, chaque utilisateur obtient une machine virtuelle qui est réinitialisée à un état vierge à la fermeture de session. L'image de machine virtuelle est diffusée via "Provisioning Services" à partir d'une seule image principale, qui est la seule chose que vous devez toucher lorsque vous souhaitez modifier l'environnement utilisateur. En prime, vous obtenez un versionnage et une restauration faciles car l'image principale est stockée dans plusieurs versions. Faites un changement et annulez facilement si cela ne fonctionne pas.

La mise en œuvre de VDI n'est pas triviale, cependant, et nécessite un certain temps, bien que Citrix essaie de le rendre simple .

Helge Klein
la source
0

Je suis curieux à propos de celui-ci car je fais du conseil pour une école et je me suis fixé une politique de groupe. La stratégie de groupe avec les clients Server 2008 R2 et Windows 7 peut gérer les paramètres que vous mentionnez, si les temps de connexion sont longs, cela peut être dû à des problèmes de performances du réseau ou du serveur qui peuvent être résolus avec une bonne conception de réseau et de serveur.

La stratégie de groupe peut parfois sembler longue à modifier le paramètre.

J'ai trouvé quelques éléments pour que cela fonctionne plus rapidement. L'une consiste à créer un script PowerShell qui réplique les modifications entre les serveurs d'ouverture de session sur commande. L'autre consiste à créer un script qui force un gpupdate / force distant sur les machines. Vous effectuez donc vos modifications, exécutez le script de réplication, puis exécutez le script gpudate. Ensuite, l'utilisateur redémarre ou se déconnecte (selon les paramètres, certains redémarrent ou deux).

Je me demande si vos partages réseau sont à la hauteur de l'impact sur les performances de nombreux répertoires Docs d'utilisateurs? Avez-vous un bon administrateur de réseau d'entreprise qui peut s'assurer que votre conception de commutation et de routage est solide? J'ai vu des laboratoires scolaires avec 60 machines, remplis d'étudiants essayant de regarder YouTube, sur une liaison montante 10/100 vers le réseau principal.

Deep Freeze semble certainement avoir des répercussions sur les performances, je me demande si MS Steady State est meilleur?

volonté
la source
1
MS Steady State n'est pas disponible pour Windows 7.
Joel Coel
J'apprécierais également la façon dont vous utilisez la stratégie de groupe. D'après notre expérience, GP fonctionne bien et est assez rapide ... mais seulement tant que vous adoptez une approche minimaliste des paramètres: définissez un paramètre uniquement pour les choses dont vous avez besoin et laissez le reste inchangé. Si vous avez beaucoup de réglages (que nous voulons faire), cela peut devenir très lent. En outre, nous cherchons uniquement à définir des valeurs par défaut et non à appliquer les paramètres. De nombreux paramètres GP empêchent l'utilisateur d'apporter des modifications, et nous ne nous soucions vraiment que de l'état initial de chaque profil.
Joel Coel
Les choses qui ralentissent la stratégie de groupe sont souvent liées à des erreurs d'autorisation (comme un mappage de lecteur pour lequel l'utilisateur n'a pas d'autorisations). Ceux-ci sont facilement résolus avec le ciblage au niveau de l'élément. Une autre option consiste à utiliser le traitement asynchrone (si vous le pouvez).
pauska
0

Vous pouvez utiliser des stratégies de groupe.

Avec le nouvel objet de stratégie de groupe disponible avec Windows 7, le GPP (préférence de stratégie de groupe), vous pouvez définir les paramètres par défaut pour un utilisateur et lui donner le choix de le modifier. Vous pouvez pousser l'imprimante et la définir par défaut, la vérifier comme exécutable une fois et cette stratégie ne s'appliquera qu'une seule fois, donnant à l'utilisateur final la possibilité de changer son imprimante par défaut.

Vous pouvez configurer les paramètres d'IE, puis les importer dans l'éditeur de stratégie de groupe.

La configuration du fond d'écran par défaut et le mappage du lecteur sont extrêmement faciles avec GPP.

Comme avec GPO, la préférence peut être appliquée à un système ou à un utilisateur.

Vous pouvez accéder au GPP à partir de n'importe quel GPO à partir d'un serveur Windows 7 et Windows 2008 R2. La plupart des GPP peuvent fonctionner sur Windows XP si vous avez installé l'extension côté client (disponible sur la mise à jour Windows)

Levesquejfrancois
la source