Нам необходимо объединить управление данными и настройками пользователей Windows Vista и Windows XP. Требуется обрабатывать четыре типа, или класса, данных и настроек, именуемых «обычными данными», «обычными настройками», «локально доступными данными» и «нежелательными данными». К сожалению, Windows напрямую поддерживает управление только первыми двумя типами данных, поэтому многим компаниям трудно собрать весь механизм — некоторые компоненты отсутствуют.

Перенаправление хранилищ данных пользователя

Первый класс данных, который предстоит рассмотреть, — «обычные данные», которые могут находиться в стандартных хранилищах данных Windows, таких как папка Documents и рабочий стол. Для управления обычными данными и соответствия требованиям бизнеса можно использовать перенаправленные папки.

Перенаправленные папки — понятная, проверенная на практике технология Windows. Можно перенаправить выбранные папки оболочки (например, Documents, рабочий стол) в общие папки в сети, и результат будет совершенно прозрачен для пользователей. В основном перенаправление папки выполняется через групповую политику (User Configuration, Windows Settings, Folder Redirection). Следует использовать редактор групповой политики GPME на клиентской системе Vista для изменения параметров групповой политики перенаправления папки и настроить параметры, применяемые как к Vista, так и к XP.

Экран 1. Vista обеспечивает перенаправление 13 папок

XP поддерживает перенаправление только четырех папок, но в Vista их число увеличено до четырнадцати, как показано на экране 1. Настоятельно рекомендуется перенаправить папку Documents и рабочий стол, а также любые новые папки, которые перенаправляет Vista. Как будет отмечено ниже, можно перенаправить папку AppData, но использование перемещаемых профилей, как правило, предпочтительный вариант управления для AppData. Кроме школ и других организаций, в которых многочисленные пользователи должны иметь одинаковые меню «Пуск», мне никогда не приходилось наблюдать ситуации, когда имело бы смысл перенаправлять меню «Пуск».

В справочных файлах Microsoft документированы шаги по перенаправлению папок. Вместо того чтобы повторять это описание, сосредоточимся на итоговых рекомендациях. На вкладке Target политики перенаправления можно настроить следующие рекомендованные параметры политики.

  • Используйте режим перенаправления папок Basic вместо Advanced. В режиме Advanced можно перенаправлять папки в различные места в зависимости от членства в группах. На первый взгляд это очень удобно, но существуют другие, не столь многозначные параметры политики, поддерживающие инфраструктуру данных и настроек. Если нужно перенаправить пользователей на другие серверы, рекомендуется создать отдельные объекты GPO, отфильтрованные для каждой группы.
  • Для целевого местоположения папки каждого перенаправления выберите параметр Redirect to the following location и введите путь amespace\%username% foldername, где namespace — пространство имен DFS для данных и настроек пользователя, а foldername — имя перенаправляемой папки, например contoso.com users\%username%Documents. Процесс создания пространства имен DFS был описан в первой части статьи.

На вкладке Settings следует изменить почти все значения, установленные по умолчанию.

  • Снимите флажок Grant the user exclusive rights to Documents. Если этот флажок установлен, только пользователь имеет доступ к своим хранилищам данных. Как будет показано ниже, следует назначить корневой папке, расположенной над всеми папками пользователей, права в соответствии с корпоративной политикой информационной безопасности. Эти права должны наследоваться папками отдельных пользователей.
  • Снимите флажок Move the contents of Documents to the new location. Если флажок установлен, данные пользователя автоматически перемещаются после применения политики. Перемещение данных происходит при первой регистрации в системе и может занять много времени для больших папок. Нужно планировать, контролировать и управлять переносом данных пользователей в сетевые папки; на автоматическую операцию полагаться не следует.
  • Установите флажок Also apply redirection to Windows 2000, Windows 2000 Server, Windows XP, and Windows Server 2003 operating systems. В результате политики перенаправления папок применяются ко всем клиентам Windows. Этот флажок доступен только для папок, перенаправляемых в XP.

Перенаправление папок Favorites и мультимедиа в XP

В Vista можно использовать политики перенаправления папок для всех папок данных пользователей, но в XP эти политики нельзя применять для перенаправления таких папок, как Favorites, My Music и My Videos. Однако в XP для этих папок можно использовать перенаправление на основе реестра. Раздел HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders в реестре XP содержит параметры для каждой из папок. Значения параметров можно изменить, чтобы перенаправить папки в сетевые хранилища. Результирующее перенаправление идентично перенаправлению папок с использованием групповой политики.

Процедуру можно упростить. Существует административный шаблон групповой политики, который управляет перенаправлением папок на основе реестра, файл Registry-Redirection.adm. Загрузите файл в объект GPO, предназначенный для применения к пользователям XP. Рекомендуется применять перенаправление на основе реестра для папок Favorites, My Music, My Pictures и My Videos в XP, несмотря на возможность использования политик перенаправления для папки My Pictures в XP. Для клиентов Vista используйте обычные политики перенаправления папок.

При перенаправлении мультимедиа-папок XP такие приложения, как Apple iTunes и Windows Media Player (WMP), автоматически используют перенаправленную папку. Но как быть с пользователями, которые привыкли открывать My Documents и дважды щелкать на папке для доступа к мультимедиа? Для этих пользователей рекомендуется после переноса содержимого папок в сеть удалить вложенные папки из My Documents. Затем создайте ярлыки My Music, My Pictures и My Videos, указывающие на новое местоположение. Пользователи XP смогут воспользоваться этими ярлыками как визуальными ссылками для просмотра мультимедиа. Конечно, можно не перенаправлять часть этих папок в зависимости от принятого в компании подхода к управлению мультимедиа-папками пользователей.

Применяя политики перенаправления папок для всех хранилищ данных пользователей в Vista и комбинацию политик с перенаправлением папок и на основе реестра для XP, можно унифицировать способы работы пользователей с разными операционными системами. Независимо от места регистрации пользователя, он всегда сможет обращаться ко всем хранилищам данных.

Управление файлами Ntuser.dat и AppData с использованием перемещаемых профилей

После перенаправления всех пользовательских хранилищ данных и папки Favorites остаются два хранилища настроек: ветвь реестра и папка AppData — %userprofile% Application Data (в XP) и %userprofile%AppDataRoaming (в Vista). Этими хранилищами, именуемыми в данной статье «обычными настройками», лучше всего управлять с помощью перемещаемых профилей.

Во времена Windows NT 4.0 у перемещаемых профилей была неважная репутация. Даже в XXI веке многим организациям непросто работать с перемещаемыми профилями; особенно много проблем возникает из-за размера и синхронизации профилей. Однако при правильном управлении перемещаемые профили очень полезны.

Синхронизация профилей — весьма эффективная процедура. В начале и по завершении сеанса Windows сравнивает серверную копию профиля с копией в локальном кэше и синхронизирует только изменившиеся файлы. Однако если в папке Documents содержатся тысячи документов, то для поиска изменившихся файлов может потребоваться длительное время, и у пользователя возникает впечатление медленных процедур регистрации и завершения сеанса. Кроме того, на рабочем столе и в папке Documents может быть один или несколько больших файлов. Например, PST-файлы достигают огромных размеров. Временная метка PST-файла изменяется при каждом обращении к нему со стороны Microsoft Outlook, поэтому при завершении сеанса Windows рассматривает его как изменившийся файл, даже если информация в нем осталась прежней. В результате при завершении каждого сеанса PST-файлы копируются на сервер. Поэтому в большинстве случаев не следует относить рабочий стол и Documents к перемещаемым папкам.

Эти два примера показывают, какие трудности могут возникнуть, если подойти к перемещаемым профилям недостаточно продуманно. Важно исключить некоторые папки из перемещаемого материала. Перенаправленные папки автоматически исключаются из перемещения, поэтому, перенаправляя Documents, рабочий стол и другие папки, можно существенно уменьшить число файлов (особенно крупных) в перемещаемом профиле.

С помощью групповой политики можно исключить дополнительные папки из перемещений. Сделать это можно с использованием параметра групповой политики Exclude directories in roaming profiles, который находится в разделе User Configuration, Administrative Templates, System, User Profiles. Это пользовательские параметры, поэтому можно организовать иное перемещение папок на основе роли пользователя. Можно указать имена папок относительно профиля пользователя, такие как AppDataRoamingMicrosoftWindowsCookies. На экране 2 показан пример исключения папки Cookies в Vista и XP.

Экран 2. Исключение папки Cookies

В правильно построенной инфраструктуре данных и настроек перемещаемые профили используются как механизм для управления файлом реестра пользователя — файлом ntuser.dat в корне профиля. В этом файле содержится несколько важных параметров, которые влияют на взаимодействие пользователя с Windows, и управлять им абсолютно необходимо, чтобы выполнить требования к мобильности, готовности и устойчивости к отказам. Единственный практический способ удовлетворить требования к файлу реестра — перемещаемый профиль, даже если в профиле содержится всего один файл, ntuser.dat.

Также рекомендуется сделать перемещаемой папку AppData, в частности папку AppData Roaming в Vista и папку Application Data в XP. Папку AppData можно перенаправить, но, по моему опыту, многие неудачно составленные приложения плохо функционируют при перенаправленной папке AppData. Работа некоторых приложений нарушается, если AppData кэшируется в ноутбуке с использованием автономных файлов, и компьютер переключается между сетевым и автономным режимами. В конечном итоге AppData нужно перенаправить, но только после исчерпывающего тестирования всех приложений. Поэтому практический совет: использовать перемещаемые профили для управления AppData до тех пор, пока не появится возможность надежно перенаправить папку.

В Vista к папке, содержащей перемещаемый профиль пользователя, добавляется расширение .V2. Если задать путь к профилю пользователя как amespace\%username%profile, то профиль XP будет в папке Profile, а профиль Vista автоматически окажется в папке Profile.V2. Из-за существенных различий в структуре реестра и AppData невозможно объединить два хранилища параметров для пользователей Vista и XP. Они будут раздельными. Это еще одна веская причина, чтобы управлять перемещаемыми профилями только в этих двух хранилищах — любые другие хранилища в перемещаемом профиле будут дублированными и отдельными для профиля XP и Vista.

Если перемещаемый профиль пользователя содержит только файл реестра и папку AppData, то его размер очень невелик. В моем перегруженном файлами ноутбуке размер перемещаемого профиля составляет всего 40 Мбайт. В ходе синхронизации профиля приходится проверять меньше файлов и копировать меньше данных, поэтому процесс оказывается быстрым, эффективным и надежным.

Управление местонахождением нежелательных данных

Большинство компаний не управляют личными музыкальными коллекциями пользователей. Музыка — пример «нежелательных данных», на которые не распространяются требования безопасности, мобильности, готовности и устойчивости к отказам. В качестве нежелательных можно определить и другие типы данных: личные файлы пользователей, картинки или архивы электронной почты из почтовых ящиков, не относящихся к работе. У Microsoft нет решения для непосредственного управления данными этого типа. В Vista проще управлять классами нежелательных данных, если они соответствуют определенным мультимедиа-типам: папки Pictures, Music и Videos уже находятся в корне пользовательского профиля. Для других классов нежелательных данных (например, личных файлов) по-прежнему требуются обходные приемы.

Чтобы не сохранять нежелательные данные на сетевом сервере, необходимо сначала переместить данные. Например, папка My Music в XP является вложенной папкой My Documents. Поскольку папка My Documents будет перенаправлена, нужно переместить папку My Music. Создайте папку первого уровня под корнем профиля пользователя (например, %userprofile%Music) и переместите в нее данные.

Затем определите, как перенаправить приложения и пользователя в новое место. Мультимедиа-папку, такую как Music, можно перенаправить с помощью изменений реестра. Можно даже воспользоваться административным шаблоном групповой политики RegistryRedirection.adm для перенаправления на основе реестра. Достаточно направить папку My Music на пользовательскую папку (%userprofile%Music). Требуется помочь пользователю найти свою папку для нежелательных данных. Сделать это можно с помощью ярлыков, помещенных в прежнем месте хранения папки данных.

Повторите этот процесс для каждого класса нежелательных данных: создайте папку внутри пользовательского профиля, перенаправьте нужные приложения и предоставьте пользователям способ перейти к этой папке. Конечно, можно сочетать различные типы нежелательных данных в одной папке пользовательского профиля. Рекомендуется сформировать папку для личных файлов (%userprofile%Personal Files) и разместить в ней нежелательные данные, не связанные непосредственно с картинками, музыкой и видео.

После перемещения всех нежелательных данных в перенаправленные папки следует исключить нежелательные данные из перемещаемых профилей. Используйте упомянутый выше параметр групповой политики, чтобы исключить каждую папку нежелательных данных.

Управление данными с локальным доступом

Иногда можно хранить данные в сети, но скорость обращения к ним через сеть неприемлема. Например, компания создает видеофильмы для потоковой передачи через Web. Редактировать видеофайлы через сеть, как правило, нельзя. Большинство программ видеоредактирования нормально функционирует только с видеофайлами, сохраненными на дисках локальной системы. При этом компания должна управлять видеофайлами в соответствии с требованиями, изложенными выше, включая устойчивость к отказам, готовность и, возможно, даже мобильность.

Эти файлы должны размещаться в сети, но пользователям необходимо обращаться к ним с локального диска. Я называю такие данные «локально доступными» — это еще один класс данных, для которых у Microsoft нет идеального решения управления. Существует три подхода к локально доступным данным, у каждого из которых есть свои достоинства и недостатки.

Во-первых, такие данные можно переместить в перенаправленные папки и в папки в профиле пользователя. Пользователи обращаются к файлам в профиле пользователя локально. Они будут синхронизированы с сетью при завершении сеанса в процессе синхронизации перемещаемого профиля. Но если локально доступные данные велики, то для синхронизации потребуется очень много времени.

Во-вторых, можно хранить данные в перенаправленных папках, использовать автономные файлы и новый параметр групповой политики для клиентов Vista: Network Directories To Sync At Logon/Logoff Time Only. Политика находится в User Configuration, Administrative Templates, System, User Profiles (неинтуитивное местонахождение для параметров настройки автономных файлов). Для настройки политики используются сетевые пути к локально доступным данным, например amespace\%username% DocumentsStreamingVideoProjects. Клиенты Vista будут обращаться туда через локальный кэш, обеспечивая все преимущества локального доступа. К сожалению, как и в случае с перемещаемыми профилями, данные синхронизируются при завершении сеанса, и время может оказаться недопустимо длительным.

Третий подход — переместить данные из перенаправленных папок в профиль пользователя, но исключить папки из перемещений. Затем нужно подготовить другой механизм или архивировать данные в папках в подходящие места в сети в соответствии с настраиваемым расписанием. Например, компания, занимающаяся потоковой передачей видео, может создать папку для каждого пользователя (%userprofile%Streaming-VideoProjects) и исключить ее из перемещаемых профилей пользователей, а затем использовать плановую задачу для архивации папки на сетевой сервер раз в несколько дней. В наборе ресурсов администрирования Windows есть соответствующий сценарий, совместимый со всеми текущими версиями Windows. Сценарий можно выполнять при регистрации в системе или начальной загрузке компьютера либо как плановую задачу. Для синхронизации локального хранилища с сетевой папкой с заданной частотой (например, один раз в неделю) используется программа Robocopy. В первой части статьи была рекомендована папка Backups в DFS и физическом пространстве имен; эта папка специально предназначена для хранения сетевых копий файлов «локально доступного» класса данных.

Данные и настройки в дорогу

После того как данные и настройки пользователя перемещены на сетевые серверы, следует помнить, что пользователям ноутбуков нужно обращаться к данным и настройкам при отсутствии соединения с сетью. Благодаря перемещаемым профилям файл реестра пользователя и папка AppData доступны локально. Для всех данных в перенаправленных папках можно использовать автономные файлы для кэширования сетевых хранилищ данных с целью автономного доступа. В действительности клиенты Vista и XP автоматически кэшируют перенаправленные папки. Реализация автономных файлов зависит от многих обстоятельств. Ниже перечислены самые важные из них.

  • Vista и XP обеспечивают шифрование кэша автономных файлов, добавляя уровень безопасности для данных, с которыми пользователь работает в дороге.
  • Подумайте об отключении автоматического кэширования перенаправленных папок в настольных компьютерах. Вряд ли целесообразно кэшировать на компьютере в зале конференций перенаправленные папки каждого пользователя, который работал с ним.
  • По умолчанию в компьютерах XP просматриваются все файлы в автономных папках, чтобы обнаружить изменения и необходимость в синхронизации при завершении сеанса. Если в кэше находятся тысячи файлов, время проверки может быть очень длительным. В XP можно использовать другой алгоритм, чтобы следить за изменениями файлов, что существенно повышает эффективность синхронизации при завершении сеанса. С помощью групповой политики нужно отключить параметр Synchronize All Offline Files Before Logging Off, который находится в папках Administrative Templates, Network, Offline Files разделов User Configuration и Computer Configuration. Этот параметр подобен параметру Synchronize All Files Before Logging Off на вкладке Offline Files утилиты Folder Options панели управления. Данный подход уместен, когда автономные файлы используются в основном или исключительно для автономного доступа к пользовательским данным (в отличие от общих данных).
  • Подумайте об удалении списка блокированных типов файлов при использовании автономных файлов для кэширования данных пользователей. Более подробную информацию можно найти в статье Microsoft «Error message: 'Files of this type cannot be made available offline'».
  • Папки, перенаправленные с использованием реестра, не будут автоматически доступны в автономном режиме. Их можно «протолкнуть» в кэши пользователей с использованием параметра Administratively Assigned Offline Files из раздела User Configuration, Administrative Templates, Network, Offline Files.
  • Предоставьте пользователям XP возможность перехода в автономный режим при подключении через соединение с малой пропускной способностью. Если пользователь XP подключается к корпоративной сети через VPN, функция Offline Files может счесть линию связи достаточно хорошей и попытаться работать с сетевыми копиями кэшированных файлов. Может быть даже предпринята попытка синхронизации через VPN. Служба поддержки компании Microsoft (PSS) может предоставить инструмент командной строки Csccmd (csccmd.exe) для управления автономным режимом. С помощью ключа /DISCONNECT можно перевести пространство имен в автономный режим, чтобы пользователи работали с копией в локальном кэше. Подготовьте на настольном компьютере командный файл, после двойного щелчка на котором пользователь сможет остаться в автономном режиме, несмотря на наличие VPN-соединения. Пример командного файла:

csccmd /DISCONNECT:contoso.com
users\%username%documents
csccmd /DISCONNECT:»contoso.com
users\%username%desktop»

  • Функциональность и быстродействие Offline Files в Vista настолько лучше, чем в XP, что проблем с организацией автономного применения данных и настроек пользователей возникнуть не должно.

Верхушка айсберга

Инфраструктура управления данными и настройками пользователей может быть весьма непростой не только из-за сложности и своеобразия технологий, но и в силу необходимости творческого решения двух проблем (нежелательных данных и локальных данных), недостаточно поддерживаемых в Windows.

В документации Microsoft подробно описано применение отдельных технологий для управления настройками и данными пользователей. К сожалению, документация по работе с различными классами данных на предприятии очень скудная. Данная статья, я надеюсь, поможет избежать типичных проблем при реализации, а если потребуется дополнительная помощь, то настоятельно рекомендуется обратиться к главе 3 набора ресурсов администрирования Windows, которая содержит исчерпывающее руководство по инфраструктуре управления данными и настройками пользователей.

Дэн Холм (danh@intelliem.com) — директор консалтинговой службы Intelliem, которая организовывает консультации для предприятий, внедряющих SharePoint, Office, Windows и Active Directory