1. Заглиблюємося в процес обробки профілів користувачів
2. Що таке профіль користувача
3. створення профілю
4. Управління обробкою профілів користувачів
5. Керівництво по боротьбі з неполадками

Заглиблюємося в процес обробки профілів користувачів

Якщо запитати у адміністраторів систем Windows, що створює найбільші труднощі в їх роботі, багато хто пригадає про проблеми, пов'язані з профілями користувачів. Якщо ж говорити про переміщувані (roaming) профілях, то труднощі виникають у 80-90% адміністраторів. Незважаючи на всі зусилля, що вживаються Microsoft при випуску кожної версії Windows, призначені для користувача профілі все ще залишаються слабким місцем системи. Давайте подивимося, як, за задумом розробників, повинні функціонувати призначені для користувача профілі, а також що відбувається при створенні профілю і при його записи на сервер. Тоді стане ясно, які проблеми можуть виникнути при виконанні цих дій і яким чином їх можна уникнути.

Що таке профіль користувача

Призначений для користувача профіль являє собою безліч файлів і папок, в яких Windows зберігає персональні настройки користувача. Так, складовими частинами профілю є налаштування Microsoft Outlook і всі ярлики, розміщені користувачем на робочому столі. Взагалі в профілі зберігаються всі призначені для користувача настройки Windows і додатків, з якими працює користувач.

Переміщуваний профіль користувача, як випливає з його назви, застосовується на будь-якій робочій станції, з якої даний користувач реєструється в мережі. Для цього Windows копіює локальний профіль користувача в спеціальний загальний каталог на сервері кожен раз при завершенні користувачем сеансу роботи в мережі. Якщо у користувача немає переміщуваного профілю, то при реєстрації в мережі з різних робочих станцій він може мати різні настройки робочого столу. Тому якщо в мережі користувачі часто реєструються з різних робочих станцій і при цьому повинні мати на них одні й ті ж настройки, слід налаштувати переміщувані профілі. Щоб зробити локальний профіль користувача переміщуються, в Windows 2000 і пізніших версіях досить змінити об'єкт користувача в Active Directory і вказати шлях розділяється каталогу на сервері для зберігання переміщуваних профілів в нотації UNC (наприклад, s3gpo1profilesdarren, см. Екран 1). Після вказівки шляху в об'єкті користувача система зберігає профіль на сервері при наступному завершенні сеансу.

Обов'язковий профіль користувача являє собою різновид переміщуваного профілю. Обов'язковий профіль гарантує, що кожен користувач в даному середовищі має однаковий профіль. Є два різновиди обов'язкового профілю - звичайний і примусовий (super mandatory profile). Звичайний обов'язковий профіль не дозволяє користувачам змінювати налаштування додатків, але при цьому допускає створення нових ярликів на робочому столі і збереження документів в папці «Мої документи». Примусовий обов'язковий профіль не дозволяє вносити будь б то не було зміни в налаштування. Обов'язкові профілі зазвичай застосовуються в тих випадках, коли необхідний строгий контроль над діями користувачів.

Незалежно від виду призначеного для користувача профілю, слід пам'ятати, що користувач завжди працює з локальною копією профілю, що розміщується в папці \% systemroot% documents and settings \% username% (або% systemroot% profiles \% username% в Windows NT 4.0). Навіть якщо користувач має переміщуваний профіль, при реєстрації в системі робоча станція створює локальну копію профілю, і всі наступні зміни, які виконує користувач під час сеансу, зберігаються в локальній папці. Запис змін в переміщуваний профіль користувача на сервері відбувається при завершенні сеансу, але за замовчуванням на робочої станції локальна копія профілю користувача зберігається. Таким чином, якщо переміщуваний профіль не змінився і користувач повторно реєструється на тій же робочій станції, робота відбувається із збереженою локальної копією профілю без повторного завантаження з сервера. Механізм цього процесу буде розглянуто нижче.

Тепер давайте подивимося, як відбувається обробка профілю користувача системою. Як вже було сказано вище, в профілі зберігаються різні призначені для користувача настройки, а також ярлики. Ім'я каталогу, в якому зберігаються профілі, говорить сама за себе - documents and settings. У розділі документів можуть зберігатися різні файли - ярлики, документи Word, тимчасові файли Internet, конфігураційні файли додатків і т. П. Якщо поглянути на профіль звичайного користувача через Windows Explorer, ми побачимо структуру, подібну зображеною на екрані 2 .

Як показано на екрані 2, призначені для користувача дані в профілі користувача зберігаються всього в декількох папках. Так, в папці «Мої документи» зберігаються документи користувача, створені в Microsoft Word та інших додатках. У папці «Робочий стіл» містяться елементи, які відображаються на робочому столі користувача. В папці Application Data містяться конфігураційні файли додатків. Наприклад, Microsoft Outlook зберігає в цьому каталозі задані користувачем настройки. Деякі папки від користувача приховані. Так, ряд папок, показаних на екрані 2, такі як Application Data і Local Settings, не призначені для безпосереднього перегляду користувачем і приховані (їх значки відзначені більш бляклим кольором).

Розділ налаштувань профілю користувача зберігається в файлі ntuser.dat в папці користувача, як показано на тому ж екрані 2. Його вміст можна переглянути за допомогою редактора реєстру в галузі HKEY_CURRENT_USER. Вміст цієї гілки завантажується в реєстр при реєстрації користувача в системі. Всі зміни налаштувань, зроблені користувачем під час сеансу роботи, такі як зміна шпалер на робочому столі або зміна налаштувань Outlook, записуються Windows саме в цю галузь реєстру і зберігаються в файлі ntuser.dat. Тут доречно зазначити, що при необхідності перегляду налаштувань іншого користувача, не почав сеанс роботи Windows, можна завантажити відповідний файл в редактор реєстру в якості тимчасової гілки за допомогою команди Файл / Завантажити гілка в редакторі реєстру (regedit.exe в Windows XP і 2003, regedt32 .exe в Windows 2000).

Зверніть увагу, що обов'язкові профілі використовують відмінну від описаної раніше систему іменування елементів. Як правило, звичайний обов'язковий профіль - це той профіль, в якому файл ntuser.dat перейменований в ntuser.man. Примусовий обов'язковий профіль являє собою переміщуваний профіль, в якому повне ім'я файлу конфігурації має розширення .man. Так, переміщуваний профіль, розміщений в папці serverprofilesstdprofile.man, вказує на примусовий обов'язковий профіль.

створення профілю

Що ж відбувається при створенні профілю? На перший погляд все дуже просто: якщо користувач реєструється в мережі зі своєї робочої станції Windows вперше і не має профілю, кешованого на даній робочій станції або переміщуваного на сервері, Windows створює для цього користувача профіль за замовчуванням. Насправді все трохи складніше. Розглянемо послідовно процес створення профілю користувача - це допоможе зрозуміти причини можливих проблем. Відзначимо, що існують деякі відмінності обробки профілів користувачів в різних версіях Windows; в цій статті обробка профілів операційною системою розглядається на прикладі Windows XP. Розглянемо ситуацію, коли користувач домену AD, для якого є переміщуваний профіль, вперше реєструється в мережі на даній робочій станції.

• При відпрацюванні реєстрації в мережі Windows в першу чергу перевіряє обліковий запис AD на предмет існування шляху переміщуваного профілю.
• Далі виконується ping до зазначеної загальнодоступному місці на сервері для перевірки швидкості з'єднання. Якщо виявлено повільне з'єднання, операційна система використовує альтернативний спосіб завантаження профілю. Поріг повільного з'єднання визначається груповою політикою і за замовчуванням дорівнює 500 Кбіт / с.
• Коли Windows з'ясовує, що використовується швидке з'єднання, Windows перевіряє дозволу NTFS папки переміщуваного профілю, щоб переконатися, що власником є ​​реєструється в мережі користувач або член групи локальних адміністраторів. Ця перевірка була додана в XP SP1 і Windows 2000 SP4, щоб переконатися, що якийсь зловмисник не створив підмінний переміщуваний профіль, який може бути завантажений користувачем випадково.
• У разі коли перевірка кроку 3 виконана успішно, Windows перевіряє загальну папку на наявність профілів, а сервер - на наявність файлів ntuser.dat або ntuser.man (для обов'язкового профілю). Якщо таких файлів немає, як в тому випадку, якщо користувач реєструється вперше, Windows переходить до наступного кроку.
• Система визначає наявність кешованої копії профілю користувача в папці C: documents and settings. При цьому Windows звертається не до файлової системи, а перевіряє записи в реєстрі. Всі легітимні профілі користувачів, кешувального на робочої станції, реєструються в розділі системного реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList. У розділі ProfileList для кожного користувача, що має локальну кешовану копію профілю, створюється підрозділ з унікальним ідентифікатором SID, визначальним даного користувача. У цьому підрозділі зберігається назва папки з профілем, шлях переміщуваного профілю, а також інформація про статус профілю і про час останніх зроблених змін.
• Якщо Windows не знаходить ні переміщуваного, ні локального профілю, то у відповідному розділі системного реєстру створюється новий підрозділ і формується локальний профіль в папці Documents and Settings.
• Далі Windows призначає користувачеві новий профіль за замовчуванням. Профіль за замовчуванням можна визначити одним із двох способів. Можна розмістити профіль користувача за замовчуванням в загальнодоступному місці Netlogon на контролері домену AD, etlogondefault user. При створенні нового профілю користувача Windows звертається в першу чергу саме в цю загальну папку. Якщо в цій папці профіль відсутня, Windows використовує локальний профіль за замовчуванням, розміщений на робочої станції в папці \% system root% documents and settingsdefault user. Якщо ви хочете задати профіль за замовчуванням, він повинен бути повним, тобто містити файл ntuser.dat і включати в себе всі папки, які Windows розраховує знайти в профілі користувача. З точки зору простоти управління профіль за замовчуванням рекомендується розмістити в загальній папці Netlogon, хоча, звичайно, можна сформувати профіль за замовчуванням і в образі стандартної мережевої робочої станції.
• Визначивши правильний шлях для профілю користувача за замовчуванням, Windows копіює вміст цієї папки в локальну папку користувача в Documents and Settings. При цьому Windows встановлює налаштування безпеки файлової системи таким чином, що до папки \% systemroot% documents and settings \% username% повний доступ мають тільки даний користувач і члени локальної групи "Адміністратори". Оскільки файл ntuser.dat є галузь реєстру, з якою пов'язані відповідні дозволи системи безпеки, то, коли система виконує копіювання даного файлу з профілю користувача за замовчуванням, дозволи на розділи реєстру в даній галузі встановлюються такі ж, як для файлів профілю користувача. Таким чином, правами доступу до налаштувань в цьому профілі володіють тільки сам користувач і локальні адміністратори. Даний факт важливо брати до уваги, так як з цієї причини виявляється марним копіювати файл ntuser.dat і передавати від одного користувача до іншого. Навіть якщо поміняти дозволу на файли, дозволу в реєстрі все одно будуть вказувати на вихідного користувача, якому належав файл. З такої ситуації існує два виходи: в додатку System панелі управління Windows вибрати закладку Advanced, в групі User Profiles користувачів натиснути кнопку Settings і в діалоговому вікні, зображеному на екрані 3, скористатися кнопкою Copy to або ж задіяти утиліту moveuser.exe, що входить до складу Microsoft Windows 2000, Resource Kit.

Створений профіль користувача не буде скопійований на сервер до тих пір, поки користувач не вийде з системи. При завершенні сеансу Windows спочатку перевіряє, які елементи профілю не є переміщуваними. За замовчуванням переміщуються не є настройки, що зберігаються в папках History, Local Settings, Temp, і Temporary Internet Files, так що вміст цих папок на сервер не копіюється. У цю групу потрапляють кеш Internet Explorer, тимчасові файли і автономні сховища Outlook (файли .ost). Список папок, які не зберігаються для переміщуваного профілю, можна вказати в політиці Administrative Template об'єкта групових політик. Ця політика розміщується в папці User ConfigurationAdministrative TemplatesSystemUser ProfilesExclude Directories переміщуваного профілю користувача.

У порівнянні з NT 4.0, в Windows 2000 значно вдосконалений алгоритм збереження змін в переміщуваний профіль користувача при завершенні сеансу. В NT 4.0 при завершенні сеансу система виконувала копіювання всіх файлів профілю користувача на сервер незалежно від того, змінювалися вони чи ні. Починаючи з Windows 2000 система порівнює дату і час створення файлів в локальному і переміщуваний профілях користувачів та при завершенні сеансу виконує копіювання тільки тих файлів, які потребують оновлення. Це дозволяє значно прискорити процедуру завершення сеансу і знизити мережевий трафік в порівнянні з NT 4.0. Аналогічним чином оптимізований процес копіювання файлів переміщуваного профілю користувача при реєстрації користувача в мережі з робочої станції, на якій вже є його кешированний профіль.

Управління обробкою профілів користувачів

Деякі настройки роботи профілів користувачів в мережі можна змінити. Як уже зазначалося, групові політики дозволяють вказати, які з папок профілю є переміщуваними, а які - ні. Можна змінити політики, що визначають реакцію системи в разі використання повільного з'єднання для копіювання переміщуваного профілю із загальної папки профілів. Windows по-іншому здійснює обробку переміщуваних профілів і групових політик в разі використання повільного з'єднання. Так, для повільного з'єднання Windows не виконує копіювання переміщуваного профілю із загальної папки на сервері, замість цього використовується кешована локальна копія профілю. При необхідності можна змінити це заданий за замовчуванням поведінку Windows. Наприклад, при включенні політики Prompt User When Slow Link Is Detected (запитувати користувача за виявлення повільної мережі) користувач при реєстрації через повільне з'єднання буде отримувати запит, дочекатися копіювання переміщуваного профілю користувача або продовжити роботу з кешованої копією профілю. Можна також змінити політику Logs User Off When Roaming Profile Fails таким чином, щоб заблокувати надходження реєстрацію в мережі при неможливості завантаження переміщуваного профілю.

Групові політики дозволяють змінювати інші аспекти обробки системою профілів користувачів. Наприклад, якщо необхідно видаляти кешовану локальну копію переміщуваного профілю користувача при завершенні сеансу роботи, можна включити політику Delete Cached Copies of Roaming Profiles ( «Видаляти з кешу копії переміщуваного профілю») в розділі, описаному раніше. Це зручно зробити в середовищі з використанням термінальних серверів Windows, коли на одній і тій же робочій станції може працювати безліч користувачів і накопичення в кеші великої кількості профілів користувачів буде приводити до невиправданого витрачання дискового простору.

Можна встановити квоту на розмір профілю користувача. Слід пам'ятати про те, що профіль користувача може містити й інші файли, крім призначених для користувача налаштувань, причому деякі з цих файлів можуть виявитися досить великими. Якщо розмір цих файлів виявиться великий, вони будуть займати дуже багато місця в загальній папці на сервері, а реєстрація користувача в мережі і завершення роботи будуть вимагати занадто багато часу. У деяких випадках за допомогою квотування має сенс обмежити можливості користувачів в частині включення в профіль дуже великих файлів. Квота профілю встановлюється в GPO в розділі User ConfigurationAdministrative TemplatesSystemUser ProfilesLimit Profile Size. При цьому квотування слід застосовувати обережно, так як в деяких випадках збільшення розмірів профілю є виправданим, а обмеження розміру може перешкодити співробітникам виконувати свої прямі службові обов'язки.

Керівництво по боротьбі з неполадками

Мені доводилося стикатися з різними типами проблем, пов'язаних з профілями користувачів, і, як показує практика, застосування переміщуваних профілів погіршує становище. Але є деякі правила і утиліти, використання яких може допомогти у вирішенні проблем, що виникають в мережі.

Перш за все необходимо усвідоміті, что відбувається з профілем користувача в Незвичайна условиях. Например, что если для користувача завдань переміщуваній Профіль, на РОБОЧОЇ станції его локальна копія відсутній, а система Windows не может отріматі доступ до переміщуваного профілю на сервері? У Windows 2000 і XP система створює локальний тимчасовий профіль на основі профілю користувача за замовчуванням в папці \% systemroot% documents and settings emp, так що користувач може продовжити роботу. По завершенні сеансу система просто видаляє тимчасовий профіль, так що всі зроблені користувачем зміни налаштувань будуть втрачені.

Розглянемо іншу поширену ситуацію. Що якщо на робочій станції реєструються два користувача під одним і тим же ім'ям - чи відбудеться в цьому випадку заміна одного профілю іншим? Ні, не відбудеться, хоча причина цього неочевидна. Потрібно пам'ятати про те, що кожна кешувального локальна копія профілю реєструється в реєстрі з ідентифікатором SID користувача, що дозволяє запобігти перезапис локальної копії профілю. Але де ж система зберігає дублюючий профіль? Насправді Windows додає до імені користувача назва домену або робочої групи. Припустимо, на робочої станції workstationA вже зареєстрований локальний користувач jsmith з відповідним локальним профілем в папці \% systemroot% documents and settingsjsmith. Тоді при реєстрації користувача jsmith з домену AD mycompany.com (NetBIOS - ім'я домену mycompany) Windows створить профіль в папці \% systemroot% documents and settingsjsmithmycompany. Це не дуже зручно, зате дозволяє уникнути плутанини.

Майже у всіх мережах я стикався з однієї і тієї ж проблемою, гідне рішення якої поки не знайдено. Іноді при завершенні сеансу користувача система не виробляє повне вивантаження профілю на сервер. Один з виконуються на робочій станції процесів тримає гілку реєстру ntuser.dat, що не дозволяє повністю вивантажити профіль. Це може привести до негативних наслідків для робочої станції, оскільки зроблені користувачем зміни в ntuser.dat чи не копіюються в переміщуваний профіль користувача або Windows не може видалити локальну копію профілю, якщо у вас обраний такий варіант. Деякі адміністратори використовують утиліту delprof.exe з Resource Kit для видалення кешованих локальних копій профілю. У тих випадках, коли файл ntuser.dat заблокований, ця утиліта не може видалити локальний профіль. Єдиним простим рішенням у даній ситуації є перезавантаження робочої станції, при якій відбувається зняття всіх блокувань з реєстру. Правда, в деяких ситуаціях таке рішення небажано. У Windows XP Microsoft надає можливість збільшити число спроб збереження профілю користувачів на сервері. Це робиться за допомогою політики Computer ConfigurationAdministrative TemplatesSystemUser ProfilesMaximum retries, яка визначає допустиму кількість спроб збереження і оновлення профілю користувача, - в деяких мережах зміна цієї політики дозволяє частково вирішити проблему.

Якщо не виходить розібратися, що відбувається з профілями користувачів в мережі, я б порадив включити детальний журнал userenv. Файл userenv.log знаходиться на будь-якій робочій станції Windows 2000, XP і Windows 2003 в папці \% systemroot% debugusermode. Процедура включення докладного журналу для профілів користувачів і групових політик описана в статті Microsoft «How to Enable User Environment Debug Logging in Retail Builds of Windows» ( com/?kbid=221833> http://support.microsoft.com/?kbid=221833 ). Деталізований журнал дій, які виконуються при завантаженні і вивантаженні профілю, може допомогти при усуненні проблем, що виникають з профілями користувачів.

У порівнянні з Windows NT 4.0, обробка профілів користувачів зазнала значних змін. Розуміння механізму використання профілів може допомогти в запобіганні та вирішенні відповідного класу проблем. Зазвичай у разі ускладнень з профілями користувачів адміністратор просто видаляє профіль, і користувач змушений починати налаштовувати все заново, а в результаті витрачається час і користувача, і в кінцевому рахунку адміністратора. Застосування описаних в цій статті прийомів і інструментів, особливо ведення і аналіз протоколів userenv, допоможе локалізувати проблеми і уникнути необхідності застосування радикальних засобів.

Даррен Мар-Еліа - редактор журналу Windows & NET Magazine. З ним можна зв'язатися за адресою: [email protected]