Profils itinérants: meilleures pratiques

18

Je souhaite configurer des profils itinérants pour environ 50 utilisateurs. Quelle est la meilleure façon de procéder? Quelles sont les meilleures pratiques. J'ai lu que les ordinateurs de bureau / mes documents étaient TROP gros. Quelle taille est trop grande?

Nous avons quelques utilisateurs qui gardent beaucoup de médias sur leur machine à écouter tout au long de la journée. J'imagine qu'ils ont quelques concerts de MP3 dans leur dossier Mes documents. Comment gérez-vous cela?

Merci!

Noah Clark
la source

Réponses:

20

L'utilisation de la redirection de dossiers pour obtenir les dossiers «Mes documents», «Bureau» et potentiellement «Données d'application» du profil utilisateur itinérant de l'utilisateur aidera énormément.

Je consulterais ce document de Microsoft: "Guide de déploiement de la gestion des données utilisateur itinérantes" . C'est incroyablement détaillé, mais il est rempli de très bonnes informations.

Certaines personnes utilisent uniquement la redirection de dossiers et n'utilisent pas de profils utilisateur itinérants. J'ai tendance à être en désaccord avec cette stratégie parce que, pour moi, le profil de l' utilisateur est aussi des données utilisateur et doit être sauvegardé avec le même degré d'intendance que leurs éléments de données "ouvertement". Les profils utilisateur itinérants facilitent également le déplacement de l'utilisateur vers un nouveau PC.

Que vous utilisiez des «fichiers hors connexion» pour mettre en cache les données côté client dépend de votre environnement. Windows XP ne gère pas bien les fichiers hors connexion lorsque la taille des dossiers redirigés de l'utilisateur dépasse 2 Go. Windows Vista et Windows 7 ont un moteur de mise en cache bien amélioré et font un meilleur travail. À mon avis, si l'ordinateur de l'utilisateur n'est pas portable, il n'y a pas de «gain» à utiliser des «fichiers hors connexion». Les opinions des autres peuvent varier.

Enfin, j'ai tendance à ne pas utiliser le paradigme de sécurité par défaut que Microsoft "recommande". J'ai défini les autorisations à la racine d'un dossier partagé hébergeant des dossiers redirigés par l'utilisateur vers quelque chose comme: SYSTÈME / Contrôle total, Administrateurs / Contrôle total, Utilisateurs authentifiés / Liste du contenu du dossier - Ce dossier uniquement. Ensuite, je pré-crée le dossier de chaque utilisateur et ajoute une autorisation That-User / Full Control. Je modifie les paramètres par défaut dans "Redirection de dossier" pour éviter d'accorder à l'utilisateur un "accès exclusif" (ce qui signifie vraiment "gâcher la hiérarchie des autorisations de mon dossier et désactiver l'héritage"). J'ai également défini le paramètre de stratégie de groupe sur "Ne pas vérifier la propriété des dossiers de profils itinérants" sur activé pour me permettre de définir la sécurité sur mes dossiers de profils itinérants de la même manière que ci-dessus.

Je fais tout cela avec des autorisations pour deux raisons. Les valeurs par défaut de Microsoft "cassent" la hiérarchie d'héritage des autorisations sur mon système de fichiers, et je trouve cela à la fois irritant et un obstacle avec lequel je devrai toujours me battre à un moment donné dans le futur. Deuxièmement, la «méthode Microsoft» implique la définition du dossier racine de partage pour permettre aux utilisateurs de créer des sous-dossiers. Au mieux, ce n'est qu'une sécurité laxiste. Au pire, un utilisateur pourrait lancer une attaque par déni de service contre un nouvel utilisateur en créant à l'avance les dossiers de cet utilisateur avant de se connecter et en définissant les autorisations pour refuser l'accès au nouvel utilisateur.

Evan Anderson
la source
1
+1 pour la distinction entre les utilisateurs d'ordinateurs portables et de bureau, ce sont des problèmes différents.
nray
Dans l'article de Windows IT Pro dans ma réponse, l'auteur utilise à la fois les profils itinérants et la redirection de dossiers pour réduire la taille de ces profils.
nray
+1 Belle réponse, Evan.
Tim Long
1
OMI, le «gain» avec les fichiers hors ligne est que les copies locales cahées sont indexables. Cela permet une indexation et une recherche plus rapides sur les PC clients.
Tim Long
un autre +1 pour portable vs non portable, et une autre victoire avec des fichiers hors ligne sur des systèmes non portables est que vous pouvez redémarrer un serveur de fichiers desservant les répertoires personnels pendant les heures de travail pour la maintenance d'urgence, sans que les utilisateurs ne soient trop perturbés. Sans cela, chaque PC de bureau se verrouille lorsque les répertoires personnels disparaissent soudainement.
Bryan
6

La conception de profils itinérants est une tâche complexe. L'article suivant tente de donner un aperçu:

Conception du profil utilisateur: une introduction

Les liens à la fin mènent à des articles qui entrent dans des détails supplémentaires.

La redirection de dossiers est un moyen très courant de réduire la durée de connexion en supprimant les dossiers généralement volumineux de la partie du profil qui est copiée lors de la connexion et de la déconnexion. Cependant, avec la redirection de dossiers, vous échangez la vitesse de connexion / déconnexion pour des performances en session. Une discussion détaillée avec des vidéos de démonstration peut être trouvée dans une série de blogs en plusieurs parties commençant ici:

Impact de la redirection de dossiers sur les UX et les applications cassées

Helge Klein
la source
1
Hou la la! Je ne savais pas que tu étais ici. Neato! Gros accessoires pour écrire SetACL ... Je le recommande aussi souvent que possible et je l'utilise régulièrement.
Evan Anderson
5

"Trop grand" dépendra de la vitesse de votre réseau, les utilisateurs à la fin d'un WAN lent avec des Go de documents remarqueront des ouvertures de session lentes. Ceux qui sont dans le même bureau que leur serveur domestique devraient être bien.

Une meilleure pratique (enfin, pas la meilleure, mais meilleure que la plupart des alternatives) est la redirection de dossiers combinée avec la mise en cache côté client , et idéalement DFS . On dit que cela fonctionne beaucoup mieux avec Vista / Win7 qu'avec XP. Cette technologie fonctionne avec XP mais est maladroite à gérer ou à dépanner.

Un avantage est que la synchronisation se produit en arrière-plan et ne bloque pas l'ouverture de session.

La redirection peut être effectuée via la stratégie de groupe , dans votre cas, vous pointeriez «Mes documents» vers le partage d'un utilisateur, mais pointerez «Ma musique» vers le disque dur local. De cette façon, vous avez une sauvegarde des documents pour les utilisateurs d'ordinateurs portables sans remplir le serveur de MP3. Les utilisateurs de bureau n'auront pas du tout besoin de fichiers hors connexion.

Utilisez DFS pour vos partages et vous pourrez même changer de serveur à l'avenir. Un vrai problème avec la redirection de dossiers configurée par GPO est que si vous devez déplacer le dossier, l'ancien partage et le nouveau partage doivent être disponibles - DFS évite cela. Si vous activez Mes documents redirigés pour un utilisateur existant avec des Go de fichiers sur un WAN lent, ils seront verrouillés hors de leur PC Windows XP pendant le déplacement des données.

Il y avait un excellent article en deux parties " Meilleures pratiques pour la gestion des données et des paramètres utilisateur " dans Windows IT Pro à propos de cette dernière année, traitant des utilisateurs XP et Vista dans les mêmes politiques - le gars y avait réfléchi.

nray
la source