Como gerenciar centenas de usuários (e perfis personalizados) em máquinas Windows 7 individuais?

8

Somos uma pequena faculdade, onde cada aluno recebe uma conta do Active Directory. Temos alguns laboratórios de informática onde todas as máquinas estão associadas ao domínio e os alunos podem fazer login em qualquer máquina. Ao longo de um semestre, a maioria dos estudantes fará login na maioria das máquinas.

No passado, no Windows XP, gerenciamos isso usando a funcionalidade antiga Copiar perfil, juntamente com um produto chamado Deep Freeze, para que os perfis sejam efetivamente limpos automaticamente. Muitas escolas usam essa técnica com sucesso há muito tempo.

Infelizmente, o Windows 7 quebra tudo isso. Não podemos mais usar o recurso Copiar perfil para preparar perfis de modelo para as estações de trabalho. A Diretiva de Grupo pode funcionar para configurar as máquinas, e este é o método oficial para lidar com o problema. Infelizmente, isso não funciona tão bem, por duas razões. A primeira é que a Diretiva de Grupo não é nem de longe tão amigável para configurar os ajustes de perfil. Não podemos avançar tão rapidamente nas alterações que queremos fazer, e algumas coisas só podem ser feitas na máquina antes da execução do sysprep (o que exigiria uma nova geração de imagens mais frequentes de todo o sistema operacional). O resultado é que acabamos com uma experiência de desktop menos polida.

Poderíamos deixar de lado o primeiro problema, mas o segundo problema é que todas as configurações de política de grupo resultam em tempos de login incrivelmente lentos quando usados ​​em conjunto com o Deep Freeze, porque é necessário reaplicar quase todos os ajustes de GP a cada Conecte-se. Os recursos de segurança aprimorados do Windows 7 em relação ao XP (ou seja, o UAC) permitem que eu me sinta confortável tentando um semestre sem o Deep Freeze ... exceto que ainda teríamos centenas de contas de perfil de usuário em cada máquina até o final de cada semestre, e isso é depois de colocar mais trabalho para configurar a política de grupo para produzir um resultado reduzido.

Então, existem sugestões para melhores maneiras de abordar esse problema?

Queremos fazer coisas como mapear as bibliotecas de documentos para compartilhamentos de rede, definir um papel de parede padrão, adicionar atalhos específicos às barras de ferramentas de marcadores no IE e Safari (implementamos o safari porque temos um programa iPod Touch 1: 1 e também precisamos do iTunes) , e muitos outros ajustes nessas estações de trabalho públicas. Queremos poder fazer isso rapidamente, onde podemos obter bons comentários sobre os resultados de uma alteração e precisamos fazer isso para que centenas de usuários possam efetuar logon com suas credenciais do Active Directory. Nós seguimos o caminho do perfil móvel no passado, e isso também não é realmente uma boa opção.

Atualmente, nossos controladores de domínio ainda estão executando o Server 2003, e também preferimos usar o CloneZilla do que o sysprep para manipular a criação de imagens das máquinas.

Também reluto em usar a política de grupo simplesmente como uma questão de fluxo de trabalho. Quando poderíamos usar perfis de modelo, se você encontrasse algo que desejava alterar, basta fazer login como usuário correto, alterá-lo, sair e a alteração será aplicada na próxima vez em que atualizarmos as máquinas. Agora temos que procurar a configuração correta do GP, se ela existir. Pode levar mais de uma hora para concluir o que costumava ser uma coisa de cinco minutos.

Joel Coel
fonte
1
O que você considera um login "lento"? Eu trabalho em uma faculdade no Reino Unido, onde atualmente trabalhamos no planejamento de uma migração do w7 e estamos usando perfis obrigatórios para estudantes, em roaming para funcionários e nada como congelar profundamente e obter tempos de login aceitáveis ​​para nós (cerca de 30 segundos para a equipe, onde o perfil já existe e não está sendo criado como parte do processo de login). Quanto aos perfis deixados para trás nas máquinas, há uma configuração de GPO para arrumar perfis não utilizados, se isso ajudar.
precisa
Talvez eu precise ler os perfis obrigatórios, se isso me permitir fazer parte do que estou perdendo agora. Não tenho certeza de como você está avaliando o tempo de login, mas no momento é geralmente muito rápido. Até agora, nosso teste mostrou que tempos muito mais lentos precisam aplicar alterações do GP versus carregar apenas um perfil no disco.
Joel Coel
Além disso, mesmo com a limpeza de perfis inativos, ainda teríamos algumas máquinas com mais de 400 perfis ao mesmo tempo, e não vejo como é uma boa ideia.
Joel Coel
Devo dizer que não vi problemas em ter perfis ativos armazenados em cache nas máquinas - números semelhantes aos seus. Onde existe um perfil na rede, seja como perfil móvel ou obrigatório, o desempenho é bom para nós. Para contas da equipe em seu primeiro login (por exemplo, onde o perfil de roaming é gerado pela primeira vez (e espero que apenas) no domínio (não na máquina), sim, é muito lento, mas isso ocorre ocasionalmente apenas para a equipe e é um problema para as contas dos alunos
Rob Moir
1
A propósito, não estou tentando criticar meus comentários, mas estou realmente muito interessado em saber como outros estabelecimentos de ensino estão fazendo as coisas, caso haja uma reviravolta que perdemos. Além disso, você está ciente de edugeek? www.edugeek.net
Rob Moir

Respostas:

2

Você já usou preferências de diretiva de grupo antes? Usamos GPP e funciona fantástico. Temos uma tonelada de configurações que implantamos e ela se aplica rapidamente. O bom do GPP é que ele pode ser usado para definir padrões (por exemplo, a página inicial padrão) e NÃO reaplicar as opções definidas inicialmente. Você pode fazer coisas como entradas personalizadas de registro, cópias de arquivos, unidades / impressoras mapeadas, planos de fundo da área de trabalho, etc. Praticamente qualquer coisa.

Em segundo lugar, os scripts de login combinados com o GPP são outra boa opção. Pode haver coisas mais complexas que você precisa fazer (por exemplo, precisamos carregar um plug-in de escritório no excel.) Para o qual um script é mais adequado.

Eu simplesmente sugeriria "preferências de política de grupo" do Google.

Mais uma coisa que eu esqueci, se você deseja que o software gerencie isso, a solução na qual você pode estar interessado é em uma tecnologia chamada "User Virtualazation". As duas empresas a seguir têm um produto popular.

  1. AppSence
  2. RES Software
Eric C. Singer
fonte
1

O que você realmente deve fazer é implantar o VDI, por exemplo, Citrix XenDesktop. Na configuração típica, cada usuário obtém uma máquina virtual que é redefinida para um estado intocado no logoff. A imagem da VM está sendo transmitida por meio de "Serviços de provisionamento" a partir de uma única imagem principal, que é a única coisa que você precisa tocar quando deseja alterar o ambiente do usuário. Como bônus, você obtém versões e reversões fáceis, porque a imagem principal é armazenada em várias versões. Faça uma alteração e retroceda facilmente se não der certo.

A implementação do VDI não é trivial e precisa de algum tempo, embora o Citrix tente torná-lo simples .

Helge Klein
fonte
0

Estou curioso sobre isso, como faço consultoria para uma escola e decidi a política de grupo. A Diretiva de Grupo com os clientes Server 2008 R2 e Windows 7 pode gerenciar as configurações mencionadas. Se o tempo de logon for longo, é possível que isso ocorra devido a problemas de desempenho da rede ou do servidor que podem ser corrigidos com um bom design de rede e servidor.

Às vezes, a diretiva de grupo pode levar muito tempo para alterar a configuração.

Encontrei algumas coisas para fazer isso funcionar mais rápido. Uma é criar um script do PowerShell que replique as alterações entre os servidores de logon sob comando. O outro é criar um script que force um gpupdate / force remoto nas máquinas. Então você faz as alterações, executa o script de replicação e, em seguida, o script gpudate. Em seguida, o usuário reinicia ou efetua logoff (dependendo das configurações, algumas são reiniciadas ou duas).

Gostaria de saber se seus compartilhamentos de rede são compatíveis com o impacto no desempenho de muitos usuários. Diretórios de documentos? Você tem um bom administrador de rede corporativa que pode garantir que seu design de comutação e roteamento seja sólido? Vi laboratórios escolares com 60 máquinas, cheias de alunos tentando assistir ao youtube, em um link ascendente 10/100 à rede principal.

O Deep Freeze certamente parece que poderia ter implicações no desempenho, estou me perguntando se o MS Steady State é melhor?

vai
fonte
1
MS estado estacionário não está disponível para o Windows 7.
Joel Coel
Além disso, gostaria de esclarecer como você usa a diretiva de grupo. Nossa experiência é que o GP funciona bem e é rápido o suficiente ... mas apenas desde que você adote uma abordagem minimalista das configurações: defina uma configuração apenas para as coisas que você precisa e deixe o resto por fazer. Se você tiver muitos ajustes (o que queremos fazer), pode ficar muito lento. Além disso, procuramos apenas definir padrões e não aplicar as configurações. Muitas configurações de GP impedem o usuário de fazer alterações, e realmente nos preocupamos apenas com o estado inicial de cada perfil.
Joel Coel
O que desacelera a diretiva de grupo geralmente está relacionado a erros de permissão (como um mapeamento de unidade para o qual o usuário não tem permissão). Eles são facilmente resolvidos com a segmentação no nível do item. Outra opção é usar o processamento de forma assíncrona (se você puder).
pauska
0

Você pode usar diretivas de grupo.

Com o novo GPO disponível no Windows 7, o GPP (preferência de diretiva de grupo) pode ser definido como padrão para um usuário e dar a opção de alterá-lo. Você pode enviar a impressora por push e configurá-la por padrão, verificá-la como executada uma vez e esta política será aplicada apenas uma vez, dando ao usuário final a possibilidade de alterar sua impressora padrão.

Você pode definir as configurações do IE e importá-las para o editor de diretivas de grupo.

Configurando o papel de parede padrão, a unidade de mapeamento é extremamente fácil com o GPP.

Assim como no GPO, a preferência pode ser aplicada a um sistema ou usuário.

Você pode acessar o GPP de qualquer GPO a partir do Windows 7 e do Windows Server 2008 R2. A maior parte do GPP pode funcionar no Windows XP se você tiver a extensão do lado do cliente instalada (disponível na atualização do Windows)

Levesquejfrancois
fonte