Como gerenciar centenas de usuários (e perfis personalizados) em máquinas Windows 7 individuais?

Somos uma pequena faculdade, onde cada aluno recebe uma conta do Active Directory. Temos alguns laboratórios de informática onde todas as máquinas estão associadas ao domínio e os alunos podem fazer login em qualquer máquina. Ao longo de um semestre, a maioria dos estudantes fará login na maioria das máquinas.

No passado, no Windows XP, gerenciamos isso usando a funcionalidade antiga Copiar perfil, juntamente com um produto chamado Deep Freeze, para que os perfis sejam efetivamente limpos automaticamente. Muitas escolas usam essa técnica com sucesso há muito tempo.

Infelizmente, o Windows 7 quebra tudo isso. Não podemos mais usar o recurso Copiar perfil para preparar perfis de modelo para as estações de trabalho. A Diretiva de Grupo pode funcionar para configurar as máquinas, e este é o método oficial para lidar com o problema. Infelizmente, isso não funciona tão bem, por duas razões. A primeira é que a Diretiva de Grupo não é nem de longe tão amigável para configurar os ajustes de perfil. Não podemos avançar tão rapidamente nas alterações que queremos fazer, e algumas coisas só podem ser feitas na máquina antes da execução do sysprep (o que exigiria uma nova geração de imagens mais frequentes de todo o sistema operacional). O resultado é que acabamos com uma experiência de desktop menos polida.

Poderíamos deixar de lado o primeiro problema, mas o segundo problema é que todas as configurações de política de grupo resultam em tempos de login incrivelmente lentos quando usados ​​em conjunto com o Deep Freeze, porque é necessário reaplicar quase todos os ajustes de GP a cada Conecte-se. Os recursos de segurança aprimorados do Windows 7 em relação ao XP (ou seja, o UAC) permitem que eu me sinta confortável tentando um semestre sem o Deep Freeze ... exceto que ainda teríamos centenas de contas de perfil de usuário em cada máquina até o final de cada semestre, e isso é depois de colocar mais trabalho para configurar a política de grupo para produzir um resultado reduzido.

Então, existem sugestões para melhores maneiras de abordar esse problema?

Queremos fazer coisas como mapear as bibliotecas de documentos para compartilhamentos de rede, definir um papel de parede padrão, adicionar atalhos específicos às barras de ferramentas de marcadores no IE e Safari (implementamos o safari porque temos um programa iPod Touch 1: 1 e também precisamos do iTunes) , e muitos outros ajustes nessas estações de trabalho públicas. Queremos poder fazer isso rapidamente, onde podemos obter bons comentários sobre os resultados de uma alteração e precisamos fazer isso para que centenas de usuários possam efetuar logon com suas credenciais do Active Directory. Nós seguimos o caminho do perfil móvel no passado, e isso também não é realmente uma boa opção.

Atualmente, nossos controladores de domínio ainda estão executando o Server 2003, e também preferimos usar o CloneZilla do que o sysprep para manipular a criação de imagens das máquinas.

Também reluto em usar a política de grupo simplesmente como uma questão de fluxo de trabalho. Quando poderíamos usar perfis de modelo, se você encontrasse algo que desejava alterar, basta fazer login como usuário correto, alterá-lo, sair e a alteração será aplicada na próxima vez em que atualizarmos as máquinas. Agora temos que procurar a configuração correta do GP, se ela existir. Pode levar mais de uma hora para concluir o que costumava ser uma coisa de cinco minutos.

Você já usou preferências de diretiva de grupo antes? Usamos GPP e funciona fantástico. Temos uma tonelada de configurações que implantamos e ela se aplica rapidamente. O bom do GPP é que ele pode ser usado para definir padrões (por exemplo, a página inicial padrão) e NÃO reaplicar as opções definidas inicialmente. Você pode fazer coisas como entradas personalizadas de registro, cópias de arquivos, unidades / impressoras mapeadas, planos de fundo da área de trabalho, etc. Praticamente qualquer coisa.

Em segundo lugar, os scripts de login combinados com o GPP são outra boa opção. Pode haver coisas mais complexas que você precisa fazer (por exemplo, precisamos carregar um plug-in de escritório no excel.) Para o qual um script é mais adequado.

Eu simplesmente sugeriria "preferências de política de grupo" do Google.

Mais uma coisa que eu esqueci, se você deseja que o software gerencie isso, a solução na qual você pode estar interessado é em uma tecnologia chamada "User Virtualazation". As duas empresas a seguir têm um produto popular.

1. AppSence
2. RES Software

O que você realmente deve fazer é implantar o VDI, por exemplo, Citrix XenDesktop. Na configuração típica, cada usuário obtém uma máquina virtual que é redefinida para um estado intocado no logoff. A imagem da VM está sendo transmitida por meio de "Serviços de provisionamento" a partir de uma única imagem principal, que é a única coisa que você precisa tocar quando deseja alterar o ambiente do usuário. Como bônus, você obtém versões e reversões fáceis, porque a imagem principal é armazenada em várias versões. Faça uma alteração e retroceda facilmente se não der certo.

A implementação do VDI não é trivial e precisa de algum tempo, embora o Citrix tente torná-lo simples .

Estou curioso sobre isso, como faço consultoria para uma escola e decidi a política de grupo. A Diretiva de Grupo com os clientes Server 2008 R2 e Windows 7 pode gerenciar as configurações mencionadas. Se o tempo de logon for longo, é possível que isso ocorra devido a problemas de desempenho da rede ou do servidor que podem ser corrigidos com um bom design de rede e servidor.

Às vezes, a diretiva de grupo pode levar muito tempo para alterar a configuração.

Encontrei algumas coisas para fazer isso funcionar mais rápido. Uma é criar um script do PowerShell que replique as alterações entre os servidores de logon sob comando. O outro é criar um script que force um gpupdate / force remoto nas máquinas. Então você faz as alterações, executa o script de replicação e, em seguida, o script gpudate. Em seguida, o usuário reinicia ou efetua logoff (dependendo das configurações, algumas são reiniciadas ou duas).

Gostaria de saber se seus compartilhamentos de rede são compatíveis com o impacto no desempenho de muitos usuários. Diretórios de documentos? Você tem um bom administrador de rede corporativa que pode garantir que seu design de comutação e roteamento seja sólido? Vi laboratórios escolares com 60 máquinas, cheias de alunos tentando assistir ao youtube, em um link ascendente 10/100 à rede principal.

O Deep Freeze certamente parece que poderia ter implicações no desempenho, estou me perguntando se o MS Steady State é melhor?

Você pode usar diretivas de grupo.

Com o novo GPO disponível no Windows 7, o GPP (preferência de diretiva de grupo) pode ser definido como padrão para um usuário e dar a opção de alterá-lo. Você pode enviar a impressora por push e configurá-la por padrão, verificá-la como executada uma vez e esta política será aplicada apenas uma vez, dando ao usuário final a possibilidade de alterar sua impressora padrão.

Você pode definir as configurações do IE e importá-las para o editor de diretivas de grupo.

Configurando o papel de parede padrão, a unidade de mapeamento é extremamente fácil com o GPP.

Assim como no GPO, a preferência pode ser aplicada a um sistema ou usuário.

Você pode acessar o GPP de qualquer GPO a partir do Windows 7 e do Windows Server 2008 R2. A maior parte do GPP pode funcionar no Windows XP se você tiver a extensão do lado do cliente instalada (disponível na atualização do Windows)