Wie verwalte ich Hunderte von Benutzern (und benutzerdefinierten Profilen) auf einzelnen Windows 7-Computern?

8

Wir sind ein kleines College, in dem jedem Schüler ein Active Directory-Konto zugewiesen wird. Wir haben ein paar Computerlabors, in denen alle Computer der Domäne zugeordnet sind und die Schüler sich bei jedem Computer anmelden können. Im Laufe eines Semesters melden sich die meisten Studenten an den meisten Maschinen an.

In der Vergangenheit haben wir dies unter Windows XP mithilfe der alten Funktion zum Kopieren von Profilen zusammen mit einem Produkt namens Deep Freeze verwaltet, sodass Profile effektiv automatisch bereinigt werden. Viele Schulen setzen diese Technik schon lange erfolgreich ein.

Leider bricht Windows 7 all dies. Wir können die Funktion "Profil kopieren" nicht mehr verwenden, um Vorlagenprofile für die Workstations vorzubereiten. Gruppenrichtlinien können zum Einrichten der Maschinen verwendet werden. Dies ist die offizielle Methode zur Behandlung des Problems. Leider funktioniert dies aus zwei Gründen nicht so gut. Das erste ist, dass Gruppenrichtlinien beim Einrichten der Profiloptimierungen nicht annähernd so freundlich sind. Wir können Änderungen, die wir vornehmen möchten, nicht so schnell ausführen, und einige Dinge können nur auf dem Computer ausgeführt werden, bevor sysprep ausgeführt wird (was eine häufigere Neuabbildung des gesamten Betriebssystems erfordern würde). Das Ergebnis ist, dass wir am Ende ein weniger ausgefeiltes Desktop-Erlebnis haben.

Bei diesem ersten Problem könnten wir die Kugel beißen, aber das zweite Problem ist, dass alle Gruppenrichtlinieneinstellungen in Verbindung mit Deep Freeze zu unglaublich langsamen Anmeldezeiten führen, da Sie fast alle GP-Optimierungen bei jedem erneut anwenden müssen Anmeldung. Die verbesserten Sicherheitsfunktionen von Windows 7 gegenüber XP (nämlich UAC) ermöglichen es mir, ein Semester ohne Deep Freeze zu versuchen ... außer dass wir am Ende jedes Semesters immer noch Hunderte von Benutzerprofilkonten auf jedem Computer haben würden Das ist, nachdem mehr Arbeit investiert wurde , um Gruppenrichtlinien einzurichten, die zu einem verminderten Ergebnis führen.

Gibt es also Vorschläge für bessere Wege, um dieses Problem anzugehen?

Wir möchten beispielsweise die Dokumentbibliotheken Netzwerkfreigaben zuordnen, ein Standard-Hintergrundbild festlegen und bestimmte Verknüpfungen zu den Lesezeichen-Symbolleisten in IE und Safari hinzufügen (wir stellen Safari bereit, da wir ein 1: 1-iPod Touch-Programm haben und auch iTunes benötigen). und viele andere Verbesserungen an diesen öffentlichen Arbeitsplätzen. Wir möchten in der Lage sein, dies schnell zu tun, um ein gutes Feedback zu den Ergebnissen einer Änderung zu erhalten, und wir müssen dies tun, damit sich Hunderte von Benutzern mit ihren Active Directory-Anmeldeinformationen anmelden können. Wir sind in der Vergangenheit den Weg des Roaming-Profils gegangen, und das ist auch keine gute Option.

Derzeit wird auf unseren Domänencontrollern immer noch Server 2003 ausgeführt, und wir verwenden CloneZilla viel lieber als Sysprep, um das Imaging der Computer zu verwalten.

Ich zögere auch, Gruppenrichtlinien nur als Frage des Workflows zu verwenden. Wenn wir Vorlagenprofile verwenden konnten und etwas gefunden haben, das Sie ändern möchten, haben Sie sich einfach als der richtige Benutzer angemeldet, es geändert, sich abgemeldet und die Änderung wird beim nächsten Aktualisieren der Computer angewendet. Jetzt müssen wir die richtige GP-Einstellung suchen, falls sie überhaupt existiert. Es könnte mehr als eine Stunde dauern, bis eine fünfminütige Sache erledigt war.

active-directory windows-7 user-profile Joel Coel
quelle
1
Was halten Sie von einem "langsamen" Login? Ich arbeite für ein College in Großbritannien, wo wir derzeit arbeiten, obwohl wir eine W7-Migration planen. Wir verwenden obligatorische Profile für Studenten, Roaming für Mitarbeiter und nichts anderes als Deep Freeze und erhalten Anmeldezeiten, die für uns akzeptabel sind (ca. 30 Sekunden) für Mitarbeiter, bei denen das Profil bereits vorhanden ist und nicht im Rahmen des Anmeldevorgangs erstellt wird). Für die auf Computern zurückgelassenen Profile gibt es eine Gruppenrichtlinienobjekteinstellung, um nicht verwendete Profile aufzuräumen, wenn dies hilfreich ist.
Rob Moir
Möglicherweise muss ich mich über obligatorische Profile informieren, wenn ich dann etwas von dem tun kann, was mir gerade fehlt. Ich bin mir nicht sicher, wie Sie die Anmeldezeiten messen, aber im Moment ist es im Allgemeinen ziemlich schnell. Unser bisheriger Test hat gezeigt , dass Änderungen von GP viel langsamer durchgeführt werden müssen, als nur ein Profil zu laden, das bereits auf der Festplatte vorhanden ist.
Joel Coel
Selbst wenn wir inaktive Profile bereinigen, haben wir immer noch einige Maschinen mit mehr als 400 Profilen gleichzeitig, und ich sehe keine gute Idee.
Joel Coel
Ich muss sagen, dass ich keine Probleme gesehen habe, wenn aktive Profile auf Maschinen zwischengespeichert wurden - ähnliche Zahlen wie bei Ihnen. Wenn im Netzwerk ein Profil vorhanden ist, sei es als Roaming- oder Pflichtprofil, war die Leistung für uns in Ordnung. Für Mitarbeiterkonten bei ihrer ersten Anmeldung (z. B. wenn ihr Roaming-Profil zum ersten (und hoffentlich einzigen) Mal in der Domäne (nicht auf dem Computer) generiert wird, ist dies sehr langsam, aber dies geschieht nur sehr gelegentlich für Mitarbeiter und ist es auch Ein Problem für Studentenkonten für uns.
Rob Moir
1
Ich versuche übrigens nicht, mit meinen Kommentaren zu kritisieren, sondern bin sehr daran interessiert zu hören, wie andere Bildungseinrichtungen Dinge tun, falls es eine nette Wendung gibt, die wir verpasst haben. Kennen Sie auch Edugeek? www.edugeek.net
Rob Moir

Antworten:

2

Haben Sie bereits Gruppenrichtlinieneinstellungen verwendet? Wir verwenden GPP und es funktioniert fantastisch. Wir haben eine TONNE von Einstellungen, die wir bereitstellen und die schnell angewendet werden. Das Schöne an GPP ist, dass damit Standardeinstellungen festgelegt werden können (z. B. die Standardhomepage) und die ursprünglich festgelegten Einstellungen NICHT erneut angewendet werden können. Sie können beispielsweise benutzerdefinierte Registrierungseinträge, Dateikopien, zugeordnete Laufwerke / Drucker, Desktop-Hintergründe usw. ausführen.

Zweitens sind mit GPP kombinierte Anmeldeskripte eine weitere gute Option. Möglicherweise müssen Sie komplexere Dinge tun (zum Beispiel mussten wir bei uns ein Office-Plugin in Excel laden), für die ein Skript besser geeignet ist.

Ich würde einfach Googleing "Gruppenrichtlinieneinstellungen" vorschlagen.

Ein weiteres bisschen, das ich vergessen habe, wenn Sie möchten, dass Software dies verwaltet, ist die Lösung, an der Sie interessiert sein könnten, eine Technologie namens "User Virtualazation". Die folgenden zwei Unternehmen haben ein beliebtes Produkt.

  1. AppSence
  2. RES Software
Eric C. Singer
quelle
1

Was Sie wirklich tun sollten, ist die Bereitstellung von VDI, z. B. Citrix XenDesktop. In der typischen Konfiguration erhält jeder Benutzer eine virtuelle Maschine, die beim Abmelden auf einen ursprünglichen Zustand zurückgesetzt wird. Das VM-Image wird über "Provisioning Services" von einem einzigen Master-Image gestreamt. Dies ist das einzige, was Sie berühren müssen, wenn Sie die Benutzerumgebung ändern möchten. Als Bonus erhalten Sie eine einfache Versionierung und ein Rollback, da das Master-Image in mehreren Versionen gespeichert ist. Nehmen Sie eine Änderung vor und rollen Sie einfach zurück, wenn es nicht funktioniert.

Die Implementierung von VDI ist jedoch nicht trivial und benötigt einige Zeit, obwohl Citrix versucht, es einfach aussehen zu lassen .

Helge Klein
quelle
0

Ich bin neugierig auf diese, da ich für eine Schule berate und mich für Gruppenrichtlinien entschieden habe. Gruppenrichtlinien mit Server 2008 R2- und Windows 7-Clients können die von Ihnen genannten Einstellungen verwalten. Wenn die Anmeldezeiten lang sind, liegt dies möglicherweise an Netzwerk- oder Serverleistungsproblemen, die mit einem guten Netzwerk- und Serverdesign behoben werden können.

Gruppenrichtlinien können manchmal den Anschein erwecken, dass das Ändern der Einstellung lange dauert.

Ich habe ein paar Dinge gefunden, damit dies schneller funktioniert. Eine besteht darin, ein Powershell-Skript zu erstellen, das Änderungen zwischen Anmeldeservern auf Befehl repliziert. Das andere besteht darin, ein Skript zu erstellen, das ein entferntes gpupdate / force auf Computern erzwingt. Sie nehmen also Ihre Änderungen vor, führen das Replikationsskript aus und führen dann das gpudate-Skript aus. Anschließend führt der Benutzer einen Neustart durch oder meldet sich ab (abhängig von den Einstellungen führen einige einen oder zwei Neustarts durch).

Ich frage mich, ob Ihre Netzwerkfreigaben den Auswirkungen vieler Benutzer-Docs-Verzeichnisse auf die Leistung entsprechen. Haben Sie einen guten Netzwerkadministrator für Unternehmen, der sicherstellen kann, dass Ihr Switching- und Routing-Design solide ist? Ich habe Schullabore mit 60 Maschinen gesehen, die mit Schülern gefüllt sind, die versuchen, YouTube auf einem 10/100-Uplink zum Kernnetzwerk anzusehen.

Deep Freeze klingt sicherlich so, als könnte es Auswirkungen auf die Leistung haben. Ich frage mich, ob MS Steady State besser ist.

werden
quelle
1
MS Steady State ist nicht verfügbar für Windows 7.
Joel Coel
Ich würde mich auch über eine Klarstellung darüber freuen, wie Sie Gruppenrichtlinien verwenden. Wir haben die Erfahrung gemacht, dass GP in Ordnung ist und schnell genug ist ... aber nur solange Sie die Einstellungen minimalistisch angehen: Definieren Sie eine Einstellung nur für die Dinge, die Sie benötigen , und lassen Sie den Rest nicht festgelegt. Wenn Sie viele Optimierungen haben (was wir tun möchten), kann es sehr langsam werden. Außerdem möchten wir nur Standardeinstellungen festlegen und die Einstellungen nicht erzwingen. Viele GP-Einstellungen verhindern, dass Benutzer Änderungen vornehmen, und wir kümmern uns wirklich nur um den Anfangszustand jedes Profils.
Joel Coel
Die Dinge, die die Gruppenrichtlinie verlangsamen, beziehen sich häufig auf Berechtigungsfehler (wie eine Laufwerkszuordnung, für die der Benutzer keine Berechtigungen hat). Diese können mit Targeting auf Objektebene leicht gelöst werden. Eine andere Möglichkeit ist die asynchrone Verarbeitung (wenn Sie können).
Pause
0

Sie können Gruppenrichtlinien verwenden.

Mit dem neuen Gruppenrichtlinienobjekt, das unter Windows 7 verfügbar ist, dem Gruppenrichtlinienobjekt (Gruppenrichtlinieneinstellung), können Sie Einstellungen als Standard für einen Benutzer festlegen und ihm die Möglichkeit geben, diese zu ändern. Sie können den Drucker pushen und standardmäßig festlegen. Aktivieren Sie ihn als einmal ausgeführt. Diese Richtlinie gilt nur einmal, sodass der Endbenutzer die Möglichkeit hat, seinen Standarddrucker zu ändern.

Sie können Einstellungen für den IE konfigurieren und diese dann in den Gruppenrichtlinien-Editor importieren.

Das Einrichten des Standard-Hintergrundbilds und das Zuordnen von Laufwerken sind mit GPP extrem einfach.

Wie beim Gruppenrichtlinienobjekt kann die Präferenz auf ein System oder einen Benutzer angewendet werden.

Sie können von jedem Gruppenrichtlinienobjekt aus über Windows 7 und Windows Server 2008 R2 auf GPP zugreifen. Die meisten GPPs können unter Windows XP verwendet werden, wenn die clientseitige Erweiterung installiert ist (verfügbar unter Windows Update).

Levesquejfrancois
quelle