Настройка локального профиля пользователя по умолчанию при подготовке образа Windows

В этой статье описывается настройка локальных параметров профилей пользователей по умолчанию при создании изображения в Windows 7.

Оригинальная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 973289

Общая информация

После развертывания изображения локальные параметры профилей пользователей по умолчанию применяются к всем новым пользователям, входивших на компьютер.

Чтобы настроить профиль пользователя по умолчанию или обязательный профиль пользователя, сначала необходимо настроить профиль пользователя по умолчанию. Затем профиль пользователя по умолчанию можно скопировать в соответствующую общую папку, чтобы сделать этот профиль пользователя либо профилем пользователя по умолчанию, либо обязательным профилем пользователя.

При настройке профиля пользователя по умолчанию, как описано в этой статье, он восстанавливает исходный профиль в формате, который подходит для использования несколькими пользователями. Это единственный поддерживаемый метод настройки профиля пользователя по умолчанию для операционной системы Windows. Если вы пытаетесь использовать другие методы для настройки профиля пользователя по умолчанию, это может привести к включению в новый профиль пользователя по умолчанию. Такая экстрасенсная информация может привести к серьезным проблемам с приложениями и стабильности системы.

В этой статье порядок настройки локальных профилей пользователей по умолчанию при подготовке изображений в этой статье переопубликовывает все ранее опубликованные процедуры.

Настройка профиля пользователя по умолчанию

Единственный поддерживаемый метод настройки профиля пользователя по умолчанию — это использование параметра Microsoft-Windows-Shell-Setup\CopyProfile в файле Unattend.xml ответа. Файл Unattend.xml ответа передается средству подготовки системы (Sysprep.exe).

Шаг 1. Настройка профиля пользователя по умолчанию

Войдите в Windows с помощью встроенной учетной записи локального администратора.

Вы не можете использовать учетную запись домена для этого процесса.

Откройте панель управления учетной записью пользователей и удалите все добавленные учетные записи пользователей, за исключением учетной записи пользователя на уровне администратора, которую вы использовали для входа в Windows.

Настройка параметров, которые необходимо скопировать в профиле пользователя по умолчанию. Это включает параметры настольных компьютеров, избранное и параметры меню Пуск.

Настройка меню «Пуск» и панели задач ограничена в Windows 7.

Шаг 2. Создание файла Unattend.xml, который содержит параметр Copy Profile

Создайте Unattend.xml файл, содержащий параметр Copy Profile ( Microsoft-Windows-Shell-Setup\CopyProfile ). С помощью этого параметра Скопируйте профиль, параметры пользователя, который в настоящее время вошел в систему, копируются в профиль пользователя по умолчанию. Этот параметр должен быть задан для true в проходе специализируются.

Windows System Image Manager (Windows SIM) создает и управляет без присмотра файлами ответов windows Setup в графическом пользовательском интерфейсе (GUI).

Файлы ответов — это XML-файлы, которые используются во время установки Windows для настройки и настройки установки Windows по умолчанию.

Чтобы создать файл Unattend.xml, используйте Unattend.xml windows System Image Manager. Средство Управления изображениями системы Windows включено в пакет автоматической установки Windows (Windows AIK). Получение AIK для операционной системы на одном из следующих веб-сайтов:

Дополнительные сведения о Windows AIK см. в пакет автоматической установки Windows (AIK). Инструкции по созданию файла ответов можно найти в справке, которая включена в Windows AIK. Дополнительные сведения о создании файла ответов см. в материалах Work with Answer Files in Windows SIM.

Шаг 3. Настройка профиля пользователя по умолчанию в Unattend.xml файле

Откройте окно командной строки с повышенными полномочиями. Для этого нажмите кнопку Начните, введите cmd в поле Поиск, щелкните правой кнопкой мыши cmd в списке Программ, а затем нажмите кнопку Запустить в качестве администратора.

Если вам будет предложен пароль администратора или подтверждение, введите пароль или предоведите подтверждение.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Sysprep.exe находится в %systemdrive%\Windows\System32\sysprep каталоге.

Чтобы подтвердить успешное заполнение команды CopyProfile, откройте %systemroot%\panther\unattendgc\setupact.log файл.

Поиск строк, похожих на следующие (в проходе специализируются):

[оболочка без присмотра] CopyProfileDirectory c:\Users\Administrator успешно.
[оболочка без присмотра] CopyProfile удалось.

Эта строка подтверждает, удалось ли получить команду CopyProfile и какой профиль пользователя был скопирован в профиль пользователя по умолчанию.

Развертывание изображения. Дополнительные сведения об использовании Sysprep для захвата и развертывания изображения см. в технической справке Sysprep.

• Необходимо использовать переключатель с sysprep.exe, чтобы можно было использовать параметр /generalize Copy Profile. Этот /unattend параметр используется для указать нужный Unattend.xml файл. Поэтому в этом примере файл Unattend.xml находится в c:\answerfile папке.
• Встроенный профиль учетной записи администратора удаляется при выполнении чистой установки Windows или при запуске средства Sysprep. Параметр CopyProfile обрабатывается до удаления встроенной учетной записи администратора. Поэтому все настройки, которые вы делаете, будут отображаться в новом профиле учетной записи пользователя. Это включает встроенные параметры профиля учетной записи администратора.
• Если существует несколько профилей пользователей, windows sysprep может выбрать неожиданный профиль для копирования в профиль пользователя по умолчанию.
• Не все настройки будут распространяться на новые профили. Некоторые параметры сбрасываются с помощью нового процесса логоса пользователя. Чтобы настроить эти параметры, используйте параметры групповой политики или сценарии.

Что следует учитывать при использовании автоматизированных систем сборки и развертывания изображений

При использовании таких средств, как microsoft Deployment набор средств или System Center Configuration Manager, параметр CopyProfile не требуется при запуске команды Sysprep. Эти средства обычно заменяют или изменяют файл Unattend.xml после развертывания изображения на диске, но до первого запуска операционной системы после запуска команды Sysprep. Поэтому файл Unattend.xml, используемый в процессе развертывания microsoft Deployment набор средств или System Center Configuration Manager, должен содержать параметр CopyProfile.

Если параметр CopyProfile установлен верно при запуске Установки из мультимедиа установки Windows 7 во время процесса сборки изображений, параметры профиля администратора могут быть непреднамеренно скопированы в профиль пользователя по умолчанию. Параметры профиля администратора обычно присутствуют в файле Install.wim на носителю установки.

Превратите профиль пользователя по умолчанию в профиль пользователя по умолчанию сети

Чтобы превратить профиль пользователя по умолчанию в профиль пользователя по умолчанию сети, выполните следующие действия:

Используйте учетную запись с административными учетными данными для входа на компьютер с настраиваемым профилем пользователя по умолчанию.

Используйте команду для подключения к общей папке Run NETLOGON контроллера домена. Например, путь напоминает следующее:
\\ \NETLOGON

Создайте новую папку в общей папке NETLOGON и назовем ее User.v2 по умолчанию.

Нажмите кнопку Начните, щелкните правой кнопкой мыши Компьютер, щелкните Свойства, а затем нажмите параметры advanced system.

В профиле пользователя щелкните Параметры. В диалоговом окне Профилей пользователей показан список профилей, хранимых на компьютере.

Выберите профиль по умолчанию и нажмите кнопку Copy To.

В профиле Copy в текстовом окне введите сетевой путь папки профилей пользователей Windows по умолчанию, созданной в шаге 3. Например, введите путь \\ \NETLOGON\Default User.v2 .

В соответствии с разрешенным использованием нажмите кнопку Изменить, введите имя Все, а затем нажмите кнопку ОК.

Нажмите кнопку ОК, чтобы начать копировать профиль.

Войдите с компьютера после завершения процесса копирования.

Превратите профиль пользователя по умолчанию в обязательный профиль пользователя

Вы можете настроить локальный профиль пользователя по умолчанию, чтобы стать обязательным профилем. При этом можно получить один центральный профиль, который используется всеми пользователями. Для этого необходимо подготовить обязательное расположение профиля, скопировать локальный профиль пользователя по умолчанию в обязательное расположение профиля, а затем настроить расположение профиля пользователя, чтобы указать на обязательный профиль.

Шаг 1. Подготовка обязательного расположения профиля

На центральном файловом сервере создайте новую папку или используйте существующую папку, используемую для роуминга профилей пользователей. Например, можно использовать профили имен папок:
\Profiles

Если вы создаете новую папку, поделитесь этой папкой с помощью имени, подходящего для вашей организации.

Разрешения на общий доступ для общих папок, которые содержат профили пользователей в роуминге, должны включить разрешения полного управления для группы пользователей с проверкой подлинности. Разрешения на совместное использование папок, предназначенных для хранения обязательных профилей пользователей, должны включить разрешения на чтение для группы пользователей с проверкой подлинности и включить разрешения полного управления для группы администраторов.

Создание новой папки в папке, созданной или идентифицированной на шаге 1. Имя этой новой папки должно начинаться с логотипа учетной записи пользователя, если обязательный профиль пользователя для конкретного пользователя. Если обязательный профиль пользователя для более чем одного пользователя, назови его соответствующим образом. Например, в следующем домене имеется обязательный профиль, а имя папки начинается со слова обязательное:
\Profiles\mandatory

Завершите именовать папку, добавив .v2 после имени. Пример, используемый в шаге 3, имеет обязательное имя папки. Поэтому окончательное имя следующей папки для этого пользователя является обязательным.v2:
\Profiles\mandatory.v2

Шаг 2. Скопируйте профиль пользователя по умолчанию в обязательное расположение профиля

Войдите на компьютер с настраиваемым локальным профилем пользователя по умолчанию с помощью учетной записи с административными учетными данными.

Нажмите кнопку Начните, щелкните правой кнопкой мыши Компьютер, щелкните Свойства и нажмите кнопку Расширенные параметры системы.

В профиле пользователя щелкните Параметры. В диалоговом окне Профилей пользователей показан список профилей, хранимых на компьютере.

Выберите профиль по умолчанию и нажмите кнопку Copy To.

В профиле Copy в текстовом окне введите сетевой путь пользовательской папки Windows по умолчанию, созданной в разделе Шаг 1: Подготовка обязательного раздела расположения профиля. Например, введите следующий путь:
\\ \Profiles\mandatory.v2

В соответствии с разрешенным использованием нажмите кнопку Изменить, введите имя Все, а затем нажмите кнопку ОК.

Нажмите кнопку ОК, чтобы начать копировать профиль.

Войдите с компьютера после завершения процесса копирования.

На центральном файловом сервере найдите папку, созданную в разделе Шаг 1: Подготовка обязательного раздела расположения профиля.

Щелкните Упорядока, а затем щелкните параметры папки.

Щелкните вкладку Просмотр, щелкните, чтобы выбрать поле Показать скрытые файлы и папки, щелкните, чтобы очистить расширения hide для известных типов файлов, щелкните, чтобы очистить поле Скрыть защищенные файлы операционной системы, нажмите да, чтобы отклонять предупреждение, а затем нажмите кнопку ОК, чтобы применить изменения и закрыть диалоговое окно.

Найдите и щелкните правой кнопкой мыши NTUSER. DAT-файл, нажмите переименовать, изменить имя файла на NTUSER. MAN, а затем нажмите ВВОД.

Ранее можно было копировать профили с помощью элемента Панели управления системой. Теперь эта копия параметра профиля по умолчанию отключена, так как она может добавлять данные, которые сделали профиль непригодным для пользователей.

Шаг 3. Подготовка учетной записи пользователя

В качестве администратора домена откройте консоль управления пользователями и компьютерами Active Directory с компьютера Windows Server 2008 R2 Windows Server 2008.

Щелкните правой кнопкой мыши учетную запись пользователя, к которой необходимо применить обязательный профиль пользователя, а затем нажмите кнопку Свойства.

Щелкните вкладку Profile, введите сетевой путь, созданный в шаге 1: Подготовка обязательного раздела расположения профиля в текстовом окне путь профиля. Однако в конце не добавляйте .v2. В нашем примере путь будет следующим:
\\ \Profiles\mandatory

Нажмите кнопку ОК, а затем закроем консоль управления пользователями Active Directory и компьютерами. Теперь пользователь будет использовать настраиваемый обязательный профиль пользователя.

По-прежнему нужна помощь

Если эта статья не отвечает на ваш вопрос, задайте вопрос и задайте его другим членам сообщества в Microsoft Community.

Ресурсы

Если возникли проблемы с входом в профиль пользователя, см. на сайте:

Профили пользователей изнутри

Углубляемся в процесс обработки профилей пользователей

Если спросить у администраторов систем Windows, что создает наибольшие сложности в их работе, многие вспомнят о проблемах, связанных с профилями пользователей. Если же говорить о перемещаемых (roaming) профилях, то затруднения возникают у 80-90% администраторов. Несмотря на все усилия, предпринимаемые Microsoft при выпуске каждой версии Windows, пользовательские профили все еще остаются слабым местом системы. Давайте посмотрим, как, по замыслу разработчиков, должны функционировать пользовательские профили, а также что происходит при создании профиля и при его записи на сервер. Тогда станет ясно, какие проблемы могут возникнуть при выполнении этих действий и каким образом их можно избежать.

Что такое профиль пользователя

Пользовательский профиль представляет собой множество файлов и папок, в которых Windows хранит персональные настройки пользователя. Так, составными частями профиля являются настройки Microsoft Outlook и все ярлыки, размещенные пользователем на рабочем столе. Вообще в профиле хранятся все пользовательские настройки Windows и приложений, с которыми работает пользователь.

В Windows предусмотрено три вида профилей пользователя — локальные (local), перемещаемые (roaming) и обязательные (mandatory). Каждый регистрирующийся на рабочей станции Windows пользователь имеет собственный локальный профиль, который по умолчанию хранится в папке \%systemroot%documents and settings\%username% (например, C:documents and settingsjoesmith) для систем Windows Server 2003, Windows XP и Windows 2000 или в папке \%systemroot%profiles\%username% — для компьютеров Windows NT 4.0.

Перемещаемый профиль пользователя, как следует из его названия, применяется на любой рабочей станции, с которой данный пользователь регистрируется в сети. Для этого Windows копирует локальный профиль пользователя в специальный общий каталог на сервере каждый раз при завершении пользователем сеанса работы в сети. Если у пользователя нет перемещаемого профиля, то при регистрации в сети с различных рабочих станций он может иметь разные настройки рабочего стола. Поэтому если в сети пользователи часто регистрируются с разных рабочих станций и при этом должны иметь на них одни и те же настройки, следует настроить перемещаемые профили. Чтобы сделать локальный профиль пользователя перемещаемым, в Windows 2000 и более поздних версиях достаточно изменить объект пользователя в Active Directory и указать путь разделяемого каталога на сервере для хранения перемещаемых профилей в нотации UNC (например, s3gpo1profilesdarren, см. экран 1). После указания пути в объекте пользователя система сохраняет профиль на сервере при следующем завершении сеанса.

Экран 1. Задание пути перемещаемого профиля для пользователя в AD

Обязательный профиль пользователя представляет собой разновидность перемещаемого профиля. Обязательный профиль гарантирует, что каждый пользователь в данной среде имеет одинаковый профиль. Имеются две разновидности обязательного профиля — обычный и принудительный (super mandatory profile). Обычный обязательный профиль не позволяет пользователям менять настройки приложений, но при этом допускает создание новых ярлыков на рабочем столе и сохранение документов в папке «Мои документы». Принудительный обязательный профиль не позволяет вносить какие бы то ни было изменения в настройки. Обязательные профили обычно применяются в тех случаях, когда необходим строгий контроль над действиями пользователей.

Независимо от вида пользовательского профиля, следует помнить, что пользователь всегда работает с локальной копией профиля, размещаемой в папке \%systemroot%documents and settings\%username% (или %systemroot%profiles\%username% в Windows NT 4.0). Даже если пользователь имеет перемещаемый профиль, при регистрации в системе рабочая станция создает локальную копию профиля, и все последующие изменения, которые выполняет пользователь во время сеанса, сохраняются в локальной папке. Запись изменений в перемещаемый профиль пользователя на сервере происходит при завершении сеанса, но по умолчанию на рабочей станции локальная копия профиля пользователя сохраняется. Таким образом, если перемещаемый профиль не изменился и пользователь повторно регистрируется на той же рабочей станции, работа происходит с сохраненной локальной копией профиля без повторной загрузки с сервера. Механизм этого процесса будет рассмотрен ниже.

Теперь давайте посмотрим, как происходит обработка пользовательского профиля системой. Как уже было сказано выше, в профиле хранятся различные пользовательские настройки, а также ярлыки. Имя каталога, в котором хранятся профили, говорит само за себя — documents and settings. В разделе документов могут храниться различные файлы — ярлыки, документы Word, временные файлы Internet, конфигурационные файлы приложений и т. п. Если взглянуть на профиль обычного пользователя через Windows Explorer, мы увидим структуру, подобную изображенной на экране 2 .

Как показано на экране 2, пользовательские данные в профиле пользователя хранятся всего в нескольких папках. Так, в папке «Мои документы» хранятся документы пользователя, созданные в Microsoft Word и других приложениях. В папке «Рабочий стол» содержатся элементы, отображаемые на рабочем столе пользователя. В папке Application Data содержатся конфигурационные файлы приложений. Например, Microsoft Outlook сохраняет в этом каталоге заданные пользователем настройки. Некоторые папки от пользователя скрыты. Так, ряд папок, показанных на экране 2, такие как Application Data и Local Settings, не предназначены для непосредственного просмотра пользователем и скрыты (их значки отмечены более блеклым цветом).

Раздел настроек профиля пользователя хранится в файле ntuser.dat в папке пользователя, как показано на том же экране 2. Его содержимое можно просмотреть с помощью редактора реестра в ветви HKEY_CURRENT_USER. Содержимое этой ветви загружается в реестр при регистрации пользователя в системе. Все изменения настроек, сделанные пользователем во время сеанса работы, такие как смена обоев на рабочем столе или изменение настроек Outlook, записываются Windows именно в эту ветвь реестра и сохраняются в файле ntuser.dat. Здесь уместно отметить, что при необходимости просмотра настроек другого пользователя, не начавшего сеанс работы Windows, можно загрузить соответствующий файл в редактор реестра в качестве временной ветви с помощью команды Файл/Загрузить ветвь в редакторе реестра (regedit.exe в Windows XP и 2003, regedt32.exe в Windows 2000).

Обратите внимание, что обязательные профили используют отличную от описанной ранее систему именования элементов. Как правило, обычный обязательный профиль — это тот профиль, в котором файл ntuser.dat переименован в ntuser.man. Принудительный обязательный профиль представляет собой перемещаемый профиль, в котором полное имя файла конфигурации имеет расширение .man. Так, перемещаемый профиль, размещенный в папке serverprofilesstdprofile.man, указывает на принудительный обязательный профиль.

Создание профиля

Что же происходит при создании профиля? На первый взгляд все очень просто: если пользователь регистрируется в сети со своей рабочей станции Windows впервые и не имеет профиля, кэшированного на данной рабочей станции или перемещаемого на сервере, Windows создает для этого пользователя профиль по умолчанию. На самом деле все несколько сложнее. Рассмотрим последовательно процесс создания профиля пользователя — это поможет понять причины возможных проблем. Отметим, что существуют некоторые различия обработки профилей пользователей в разных версиях Windows; в этой статье обработка профилей операционной системой рассматривается на примере Windows XP. Рассмотрим ситуацию, когда пользователь домена AD, для которого имеется перемещаемый профиль, впервые выполняет регистрацию в сети на данной рабочей станции.

• При отработке регистрации в сети Windows в первую очередь проверяет учетную запись AD на предмет существования пути перемещаемого профиля.
• Далее выполняется ping к указанной общей папке на сервере для проверки скорости соединения. Если обнаружено медленное соединение, операционная система использует альтернативный способ загрузки профиля. Порог медленного соединения определяется групповой политикой и по умолчанию равен 500 Кбит/с.
• Когда Windows выясняет, что используется быстрое соединение, Windows проверяет разрешения NTFS папки перемещаемого профиля, дабы убедиться, что владельцем является регистрирующийся в сети пользователь или член группы локальных администраторов. Эта проверка была добавлена в XP SP1 и Windows 2000 SP4, чтобы убедиться, что некий злоумышленник не создал подменный перемещаемый профиль, который может быть загружен пользователем случайно.
• В случае когда проверка шага 3 выполнена успешно, Windows проверяет общую папку на наличие профилей, а сервер — на наличие файлов ntuser.dat или ntuser.man (для обязательного профиля). Если таких файлов нет, как в том случае, если пользователь регистрируется впервые, Windows переходит к следующему шагу.
• Система определяет наличие кэшированной копии профиля пользователя в папке C:documents and settings. При этом Windows обращается не к файловой системе, а проверяет записи в реестре. Все легитимные профили пользователей, кэшируемые на рабочей станции, регистрируются в разделе системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList. В разделе ProfileList для каждого пользователя, имеющего локальную кэшированную копию профиля, создается подраздел с уникальным идентификатором SID, определяющим данного пользователя. В этом подразделе хранится название папки с профилем, путь перемещаемого профиля, а также информация о статусе профиля и о времени последних сделанных изменений.
• Если Windows не находит ни перемещаемого, ни локального профиля, то в соответствующем разделе системного реестра создается новый подраздел и формируется локальный профиль в папке Documents and Settings.
• Далее Windows назначает пользователю новый профиль по умолчанию. Профиль по умолчанию можно определить одним из двух способов. Можно разместить профиль пользователя по умолчанию в общей папке Netlogon на контроллере домена AD, etlogondefault user. При создании нового профиля пользователя Windows обращается в первую очередь именно в эту общую папку. Если в этой папке профиль отсутствует, Windows использует локальный профиль по умолчанию, размещенный на рабочей станции в папке \%system root%documents and settingsdefault user. Если вы хотите задать профиль по умолчанию, он должен быть полным, то есть содержать файл ntuser.dat и включать в себя все папки, которые Windows рассчитывает найти в профиле пользователя. С точки зрения простоты управления профиль по умолчанию рекомендуется разместить в общей папке Netlogon, хотя, конечно, можно сформировать профиль по умолчанию и в образе стандартной сетевой рабочей станции.
• Определив правильный путь для профиля пользователя по умолчанию, Windows копирует содержимое этой папки в локальную папку пользователя в Documents and Settings. При этом Windows устанавливает настройки безопасности файловой системы таким образом, что к папке \%systemroot%documents and settings\%username% полный доступ имеют только данный пользователь и члены локальной группы «Администраторы». Поскольку файл ntuser.dat представляет собой ветвь реестра, с которой связаны соответствующие разрешения системы безопасности, то, когда система выполняет копирование данного файла из профиля пользователя по умолчанию, разрешения на разделы реестра в данной ветви устанавливаются такие же, как для файлов профиля пользователя. Таким образом, правами доступа к настройкам в этом профиле обладают только сам пользователь и локальные администраторы. Данный факт важно принимать во внимание, так как по этой причине оказывается бесполезным копировать файл ntuser.dat и передавать от одного пользователя к другому. Даже если поменять разрешения на файлы, разрешения в реестре все равно будут указывать на исходного пользователя, которому принадлежал файл. Из такой ситуации существует два выхода: в приложении System панели управления Windows выбрать закладку Advanced, в группе User Profiles пользователей нажать кнопку Settings и в диалоговом окне, изображенном на экране 3, воспользоваться кнопкой Copy to или же задействовать утилиту moveuser.exe, входящую в состав Microsoft Windows 2000 Resource Kit.

Экран 3. Применение приложения System для копирования профиля пользователя

Созданный профиль пользователя не будет скопирован на сервер до тех пор, пока пользователь не выйдет из системы. При завершении сеанса Windows сначала проверяет, какие элементы профиля не являются перемещаемыми. По умолчанию перемещаемыми не являются настройки, хранящиеся в папках History, Local Settings, Temp, и Temporary Internet Files, так что содержимое этих папок на сервер не копируется. В эту группу попадают кэш Internet Explorer, временные файлы и автономные хранилища Outlook (файлы .ost). Список папок, не сохраняемых для перемещаемого профиля, можно указать в политике Administrative Template объекта групповых политик. Эта политика размещается в папке User ConfigurationAdministrative TemplatesSystemUser ProfilesExclude Directories перемещаемого профиля пользователя.

По сравнению с NT 4.0, в Windows 2000 значительно усовершенствован алгоритм сохранения изменений в перемещаемый профиль пользователя при завершении сеанса. В NT 4.0 при завершении сеанса система выполняла копирование всех файлов профиля пользователя на сервер вне зависимости от того, изменялись они или нет. Начиная с Windows 2000 система сравнивает дату и время создания файлов в локальном и перемещаемом профилях пользователя и при завершении сеанса выполняет копирование только тех файлов, которые требуют обновления. Это позволяет значительно ускорить процедуру завершения сеанса и снизить сетевой трафик по сравнению с NT 4.0. Аналогичным образом оптимизирован процесс копирования файлов перемещаемого профиля пользователя при регистрации пользователя в сети с рабочей станции, на которой уже имеется его кэшированный профиль.

Управление обработкой профилей пользователей

Некоторые настройки работы профилей пользователей в сети можно изменить. Как уже отмечалось, групповые политики позволяют указать, какие из папок профиля являются перемещаемыми, а какие — нет. Можно изменить политики, определяющие реакцию системы в случае использования медленного соединения для копирования перемещаемого профиля из общей папки профилей. Windows по-другому осуществляет обработку перемещаемых профилей и групповых политик в случае использования медленного соединения. Так, для медленного соединения Windows не выполняет копирование перемещаемого профиля из общей папки на сервере, вместо этого используется кэшированная локальная копия профиля. При необходимости можно изменить это заданное по умолчанию поведение Windows. Например, при включении политики Prompt User When Slow Link Is Detected (запрашивать пользователя при обнаружении медленного соединения) пользователь при регистрации через медленное соединение будет получать запрос, дождаться копирования перемещаемого профиля пользователя или продолжить работу с кэшированной копией профиля. Можно также изменить политику Logs User Off When Roaming Profile Fails таким образом, чтобы запретить пользователю регистрацию в сети при невозможности загрузки перемещаемого профиля.

Групповые политики позволяют изменять другие аспекты обработки системой профилей пользователей. Например, если необходимо удалять кэшированную локальную копию перемещаемого профиля пользователя при завершении сеанса работы, можно включить политику Delete Cached Copies of Roaming Profiles («Удалять из кэша копии перемещаемого профиля») в разделе, описанном ранее. Это удобно сделать в среде с использованием терминальных серверов Windows, когда на одной и той же рабочей станции может работать множество пользователей и накопление в кэше большого количества профилей пользователей будет приводить к неоправданному расходованию дискового пространства.

Можно установить квоту на размер профиля пользователя. Следует помнить о том, что профиль пользователя может содержать и другие файлы, помимо пользовательских настроек, причем некоторые из этих файлов могут оказаться довольно большими. Если размер этих файлов окажется велик, они будут занимать очень много места в общей папке на сервере, а регистрация пользователя в сети и завершение работы будут требовать слишком много времени. В некоторых случаях с помощью квотирования имеет смысл ограничить возможности пользователей по части включения в профиль слишком больших файлов. Квота профиля устанавливается в GPO в разделе User ConfigurationAdministrative TemplatesSystemUser ProfilesLimit Profile Size. При этом квотирование следует применять осторожно, так как в некоторых случаях увеличение размеров профиля является оправданным, а ограничение размера может помешать сотрудникам выполнять свои прямые служебные обязанности.

Руководство по борьбе с неполадками

Мне приходилось сталкиваться с различными типами проблем, связанных с профилями пользователей, и, как показывает практика, применение перемещаемых профилей усугубляет положение. Но есть некоторые правила и утилиты, использование которых может помочь в решении проблем, возникающих в сети.

Прежде всего необходимо уяснить, что происходит с профилем пользователя в необычных условиях. Например, что если для пользователя задан перемещаемый профиль, на рабочей станции его локальная копия отсутствует, а Windows не может получить доступ к перемещаемому профилю на сервере? В Windows 2000 и XP система создает локальный временный профиль на основе профиля пользователя по умолчанию в папке \%systemroot%documents and settings emp, так что пользователь может продолжить работу. По завершении сеанса система просто удаляет временный профиль, так что все сделанные пользователем изменения настроек будут потеряны.

Рассмотрим другую распространенную ситуацию. Что если на рабочей станции регистрируются два пользователя под одним и тем же именем — произойдет ли в этом случае замена одного профиля другим? Нет, не произойдет, хотя причина этого неочевидна. Нужно помнить о том, что каждая кэшируемая локальная копия профиля регистрируется в реестре с идентификатором SID пользователя, что позволяет предотвратить перезапись локальной копии профиля. Но где же система сохраняет дублирующий профиль? На самом деле Windows добавляет к имени пользователя название домена или рабочей группы. Допустим, на рабочей станции workstationA уже зарегистрирован локальный пользователь jsmith с соответствующим локальным профилем в папке \%systemroot%documents and settingsjsmith. Тогда при регистрации пользователя jsmith из домена AD mycompany.com (NetBIOS — имя домена mycompany) Windows создаст профиль в папке \%systemroot%documents and settingsjsmithmycompany. Это не очень удобно, зато позволяет избежать путаницы.

Почти во всех сетях я сталкивался с одной и той же проблемой, достойное решение которой пока не найдено. Иногда при завершении сеанса пользователя система не производит полную выгрузку профиля на сервер. Какой-то из выполняющихся на рабочей станции процессов держит ветвь реестра ntuser.dat, что не позволяет полностью выгрузить профиль. Это может привести к негативным последствиям для рабочей станции, поскольку сделанные пользователем изменения в ntuser.dat не копируются в перемещаемый профиль пользователя или Windows не может удалить локальную копию профиля, если у вас выбран такой вариант. Некоторые администраторы используют утилиту delprof.exe из Resource Kit для удаления кэшированных локальных копий профиля. В тех случаях, когда файл ntuser.dat заблокирован, эта утилита не может удалить локальный профиль. Единственным простым решением в данной ситуации является перезагрузка рабочей станции, при которой происходит снятие всех блокировок с реестра. Правда, в некоторых ситуациях такое решение нежелательно. В Windows XP Microsoft предоставляет возможность увеличить число попыток сохранения профиля пользователей на сервере. Это делается с помощью политики Computer ConfigurationAdministrative TemplatesSystemUser ProfilesMaximum retries, определяющей допустимое число попыток сохранения и обновления профиля пользователя, — в некоторых сетях изменение данной политики позволяет частично решить проблему.

Если не получается разобраться, что происходит с профилями пользователей в сети, я бы посоветовал включить подробный журнал userenv. Файл userenv.log находится на любой рабочей станции Windows 2000, XP и Windows 2003 в папке \%systemroot%debugusermode. Процедура включения подробного журнала для профилей пользователей и групповых политик описана в статье Microsoft «How to Enable User Environment Debug Logging in Retail Builds of Windows» (http://support.microsoft.com/?kbid=221833). Детализированный журнал действий, выполняемых при загрузке и выгрузке профиля, может помочь при устранении проблем, возникающих с профилями пользователей.

По сравнению с Windows NT 4.0, обработка профилей пользователей претерпела значительные изменения. Понимание механизма использования профилей может помочь в предотвращении и решении соответствующего класса проблем. Обычно в случае затруднений с профилями пользователей администратор просто удаляет профиль, и пользователь вынужден начинать настраивать все заново, а в результате тратится время и пользователя, и в конечном счете администратора. Применение описанных в этой статье приемов и инструментов, особенно ведение и анализ протоколов userenv, поможет локализовать проблемы и избежать необходимости применения радикальных средств.