Создание рабочей среды - для пользователей служб удаленных рабочих столов
Если вы используете кластер серверов служб удаленных рабочих столов, то предстоит определиться, как лучше поступить с профилями пользователей.
Иногда для обеспечении отказоустойчивой работы служб удаленного рабочего стола (Remote Desktop Services, RDS) желательно объединить нескольких серверов в ферму (кластер). Если не предпринимать никаких дополнительных мер, то пользователь, осуществляя вход в систему, будет иметь на каждом члене фермы свой уникальный локальный профиль. Под термином «профиль» подразумевается набор настроек ОС и созданных пользователем файлов, которые располагаются в его личном хранилище. Настройки обычно хранятся в реестре в ветке HKEY_CURRENT_USER (HCU), а файлы - в подпап-ках, расположенных по пути, на который указывает системная переменная %USERPROFILE% (по умолчанию для Windows Vista/7/2008 это %SYSTEMDRIVE%\USERS\ %USERNAME%.%USERDOMAIN%).
Собственно говоря, настройки реестра также представляют собой файл NTUSER.DAT, который хранится в вышеназванной папке и подгружается в реестр при его входе в систему, причем каждый пользователь имеет свой собственный раздел HCU. В статье используются терминология и названия политик, принятые в Windows Server 2008 R2. Большинство из них существуют и в Windows Server 2008, но немного с другими названиями по причине того, что службы терминалов (Terminal Services) были переименованы в Windows Server 2008 R2 в службы удаленных рабочих столов. В случае исключений будет сделана отдельная оговорка.
Это обычный профиль пользователя, хранящийся и использующийся на локальном компьютере. Предположим, вы используете кластер из нескольких серверов служб удаленного рабочего стола. Как уже говорилось выше, если не предпринимать никаких специальных действий, то будем иметь на каждом сервере такие локальные профили, причем не синхронизированные между собой. Это может быть не так уж плохо, если у вас хорошо обученные и послушные пользователи, которые работают с настройками «по умолчанию», сохраняют файлы в общие папки, а не на рабочий стол, используют программы, не требующие сохранения конфигурации. Но это редкость. А значит, будут возникать ситуации, когда пользователь сохранит что-то на одном сервере и потом не сможет найти это на другом, и тому подобные вещи. Кроме того, несмотря на отсутствие необходимости в предварительных настройках, сложность администрирования подобного рода решения весьма высока, особенно если придется выполнять резервное копирование пользовательских данных с каждого сервера.
Перемещаемые профили Хранятся обычно в общей сетевой папке и копируются на нужный сервер при входе пользователя в систему, как бы «следуя» за ним. По завершении сеанса работы изменения копируются обратно в сетевое расположение. Существует два варианта включения перемещаемого профиля: один служит только для входа через RDS, второй -для любого входа в систему. Настраиваются они либо через групповую политику (приоритетнее), либо в свойствах учетной записи пользователя. Нас сейчас интересует использование перемещаемого профиля для входа через службы RDS. Соответствующая настройка групповой политики (см. рис.) называется Set path for Remote Desktop Services Roaming User Profile (Задать путь для перемещаемого профиля пользователя служб удаленных рабочих столов) и находится в разделе Computer Configuration (Конфигурация компьютера) -> Policies (Политики) -> Administrative Templates (Административные шаблоны) -> Windows Components (Компоненты Windows) -> Remote Desktop Services (Службы удаленных рабочих столов) -> Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) -> Profiles (Профили).Аналогичная настройка в свойствах объекта «пользователь» находится во вкладке Remote Desktop Services Profile (Профиль служб удаленных рабочих столов). Для включения перемещаемых профилей нужно указать сетевую папку, которая будет использоваться в качестве «корневой» для всех пользователей. Будьте внимательны: в данном случае не нужно указывать переменную %USERNAME% (тогда как это рекомендуется при включении перемещаемых профилей на уровне всего сервера) - система сама создаст папку с именем %USERNAME%.%USERDOMAIN%.V2. Обратите внимание на «V2» в конце пути. Оно создается автоматически системами Windows Server 2008 и выше, так как профили пользователя начиная с Windows Vista несовместимы с более ранними версиями. При использовании одной и той же папки в качестве хранилища профилей для Windows Server 2003 и 2008 суффикс «V2» позволит их не смешивать. Если при создании перемещаемого профиля сетевое расположение недоступно, система выдаст ошибку и создаст локальный (при первом входе пользователя на сервер) либо будет использовать котированный профиль (если таковой имеется). Использование перемещаемых профилей решает проблему синхронизации пользовательского окружения на разных серверах. Их удобно использовать в унифицированных средах, когда все рабочие станции или серверы настроены одинаковым образом. Именно потому это решения редко встречается на локальных компьютерах пользователей, но рекомендуется на серверах RDS. Недостатком является то, что при увеличении объема данных замедляются вход пользователя в систему и загрузка сетевого интерфейса сервера. Кроме того, если не удалять котированные профили, то есть риск столкнуться с исчерпанием свободного места на диске.
Создание единого обязательного профиля
Для создания единого обязательного профиля пользователей сервера RDS нужно выполнить следующие действия:
Создать общую сетевую папку, где станет храниться будущий обязательный профиль. Для этой папки задать следующие права:
Доступ по сети (share permission). Контроль доступа будем осуществлять на уровне NTFS, поэтому тут можно указать «Все пользователи: чтение, запись» (Everyone: Read, Write).
Безопасность NTFS (security permission). Полный доступ для папки, подпапок и файлов группе Администраторов и SYSTEM. Доступ на чтение и выполнение (Read&Execute) для папки, подпапок и файлов тем пользователям, которые будут использовать профиль.
Установить группу Administrators как владельца (Owner) папки.
Создать в этой сетевой папке подпапку с любым именем и окончанием .V2 - в ней и будет храниться наш новый обязательный профиль. Например, Profile.V2.
Скопировать существующий профиль в эту папку, используя управление профилями сервера (Control Panel (Панель управления) -> System (Система) ->Advanced system settings (Дополнительные параметры системы) -> кнопка Settings (Параметры) в разделе User profiles (Профили пользователей) (см. рис. 2). Если вы используете Windows Server 2008 R2, то не сможете скопировать ничего, кроме профиля по умолчанию, так как для всех других вариантов кнопка Copy to... (Копировать...) будет неактивна. Создание преднастроенного профиля в этом случае становится более сложной задачей. Нажав кнопку Copy to..., выберите в качестве места назначения папку Profile.V2 и не забудьте ниже в разделе Permitted to use (Разрешить использовать) нажать кнопку Change (Изменить) и указать группу пользователей перемещаемого профиля. Не используйте для копирования проводник или файловый менеджер - это приведет потом к ошибкам.
Войти в папку Profile.V2, найти там файл NTUSER.DAT и переименовать его в NTUSER.MAN (в проводнике для этого потребуется включить отображение системных файлов).
Включить политику Set path for Remote Desktop Services Roaming User Profile в разделе Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Profiles. Указать в ней сетевой путь к папке Profiles.V2, созданной на шаге 2, только без окончания, например, \\servername\sharename\Profiles. ВАЖНО: не указывайте окончание .V2, оно добавляется автоматически!
В этом же разделе включить политику Use Mandatory Profiles On The RD Session Host Server (Использовать обязательные профили на сервере узла сеансов удаленных рабочих столов).
Рисунок 2. Управление профилями сервера
Обязательные профили Это преднастроенное пользовательское окружение, которое может быть изменено в процессе работы, но эти изменения не будут сохранены. Такой профиль удобно размещать в сетевом хранилище (индивидуальный для каждого сотрудника или один для всех), он станет копироваться при входе пользователя на сервер, но любые изменения будут потеряны при выходе из системы. Создать его проще всего из уже имеющегося локального или перемещаемого профиля. Для отого нужно переименовать файл NTUSER.DAT в NTUSER.MAN, после чего существующий профиль станет обязательным. Обратите внимание, что в случае перемещаемого профиля котированный локальный профиль будет не обязательным, а обычным, но реплицироваться в сетевое хранилище не будет. Однако, если речь идет о сотнях пользователей, подобный метод не очень эффективен. Использование обязательного профиля обеспечивает его минимальный и постоянный размер, отсутствие необходимости в синхронизации, но это не всегда удобно по ряду причин. Первая из них, как ни странно, в том, что он неизменяемый. Кроме того, существуют программы, которые требуют хранения и изменения пользовательских настроек. Плюс еще есть возможность сохранять файлы локально (в «Мои документы» или на «Рабочий стол»), которые будут потеряны при выходе. Как видите, несмотря на существование различных типов профиля, ни один из них не является подходящим для использования вместе с кластером серверов RDS.
К счастью, существует ряд политик, которые в сочетании с разными типами профилей позволяют достаточно гибко настраивать пользовательское окружение на серверах RDS.
