Управление пользовательскими данными и настройками
|
Автор: Вадим Стеркин aka Vadikan
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована: 03.07.2006 |
 Обзор В
данной статье, предназначенной для системных администраторов,
рассказывается о компонентах IntelliMirror – технологии управления
пользовательскими данными и настройками в Windows XP. Осуществляя
эффективное управление этими ключевыми элементами конфигурации
пользователей, предприятия могут снизить совокупную стоимость владения
компьютерами (TCO). На этой странице:
Устранение неполадок, связанных с перенаправлением папок
Процесс перенаправления папок происходит в пять этапов:
- При входе в систему определяется, какие папки подлежат перенаправлению в зависимости от изменения в политиках.
- Определяется конечное расположение для перенаправления и проверятся его доступность.
- Если папка не существует, она создается вместе с списками контроля доступа (ACL).
- Если папка существует, то проверяются списки контроля доступа и владелец.
- В случае необходимости содержимое перемещается.
В
случае, когда перенаправление папок не срабатывает, это означает, что
папки неверно сконфигурированы . Если Вы заранее создаете папки вместо
того, чтобы предоставить эту работу расширению перенаправления папок,
то не исключены следующие распространенные ошибки:
- Перенаправление в папку, для которой неверно настроены списки контроля доступа (ACL).
- Пользователь не является владельцем папки.
- Конечное расположение папки не существует.
Включение протоколирования
Помимо
записей в журнал событий приложений, можно получить и детальный отчет,
который поможет устранить неполадки в работе перенаправления папок.
Чтобы создать такой журнал, откройте редактор реестра и в разделе
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics, создайте
параметр REG_DWORD с именем FdeployDebugLevel и значением 0x0f. Файл с
отчетом будет располагаться в %windir%\debug\usermode\fdeploy.log.
Использование сценариев входа в систему для перенаправления папок
Несмотря
на то, что рекомендуется перенаправлять папки пользователей при помощи
групповых политик, можно достичь схожих результатов иными методами. Вы
можете задействовать сценарии входа в систему, чтобы задать в реестре
параметры пользовательских папок оболочки (User Shell Folders). Идя
таким путем, можно добиться базовой функциональности, схожей с
перенаправлением папок при помощи одноименного расширения групповых
политик.
Другой способ заключается в использовании системных
политик Windows NT 4.0, задающих параметры реестра. Однако, избрав этот
способ, Вы не сможете воспользоваться преимуществами групповых политик,
позволяющих задать пути к папкам. Например, невозможно будет
осуществить автоматическое перемещение файлов при изменении пути, так
как параметры реестра будут иметь приоритет.
Наверх страницы
Аспекты безопасности при настройке перенаправления папок
Создавая общий каталог для перенаправления, выдавайте доступ только тем пользователям, которым он необходим.
Поскольку
перенаправленные папки содержат документы пользователя, сертификаты EFS
и другую персональную информацию, необходимо как можно надежнее
защитить пользовательские данные. Ниже излагается общий подход:
- Доступ
к общему ресурсу должны иметь только пользователи, которым он
необходим. Создвайте группу безопасности для пользователей, чьи
перенаправленные папки хранятся в определенном общем каталоге, и
предоставляйте доступ к данному каталогу лишь этой группе. - Скрывайте
создаваемый общий ресурс, ставя символ $ в конце имени папки. Это
скроет общий каталог от случайного просмотра, сделав его невидимым в
сетевом окружении. - Давайте возможность системе создать папки
для пользователей. Предварительно создание папок имеет смысл лишь в том
случае, если Вам нужно дать на них особые разрешения. - Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 6. Разрешения NTFS для корневого каталога.
| Учетная запись | Минимальные требования к разрешениям | | Создатель/Владелец | Полный доступ (только подпапки и файлы) | | Администраторы | Разрешения отсутствуют | | Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) | | Все | Разрешения отсутствуют | | Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 7. Разрешения на общий доступ (SMB) к корневому каталогу.
| Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям | | Все | Полный доступ | Нет разрешений | | Группа безопасности пользователей, чьи данные будут храниться на сервер | Неприменимо | Полный доступ |
Таблица 8. Разрешения NTFS для каждой перенаправленной папки пользователя.
| Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям | | %Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) | | Локальная система (SYSTEM) | Полный доступ | Полный доступ | | Администраторы | Разрешения отсутствуют | Разрешения отсутствуют | | Все | Разрешения отсутствуют | Разрешения отсутствуют |
Используйте
Windows 2000 Server или более новые серверные операционные системы для
хранения общего каталога перенаправленных папок.
Перенаправляемые
папки пользователей содержат личную информацию, которая копируется с
клиентского компьютера на сервер и обратно. Поэтому очень важно
обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипулирование данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos.
Протокол защиты данных Kerberos является стандартом во всех изданиях
Windows 2000 Server и обеспечивает максимальный уровень безопасности
сетевых ресурсов. Kerberos производит проверку подлинности как клиента,
так и сервера, в то время как протокол NTLM ограничивается лишь
проверкой клиента. При использовании NTLM клиент не может установить
подлинность сервера, что является важным аспектом обмена персональными
данными между клиентом и сервером, как в случае с перенаправляемыми
папками. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает
более высокий уровень безопасности, чем NTLM. - IPSec.
Протокол безопасности IPSec предоставляет проверку подлинности на
уровне сети, а также целостность и шифрование данных. Таким образом,
перемещаемые данные: - Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол
аутентификации SMB (Server Message Block) поддерживает проверку
подлинности сообщений, что предотвращает атаки сообщений, а также атаки
типа «man-in-the-middle». Подписывание SMB осуществляет проверку
подлинности, помещая цифровую подпись в каждый блок сообщений SMB.
Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы
приступить к использованию подписывания SMB, Вам нужно включить или
затребовать его на SMB-клиенте и SMB-сервере. Примечание. За
преимущества подписывания SMB приходится расплачиваться
быстродействием. Несмотря на то, что работа протокола не требует затрат
сетевого трафика, процессорам сервера и клиента требуются
дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные.
Для
обеспечения максимальной безопасности используйте файловую систему NTFS
на серверах, задействованных для хранения перенаправленных папок. В
отличие от FAT, в NTFS можно использовать избирательные списки
управления доступом (DACL) и системные списки управления доступом
(SACL). При помощи этих списков можно контролировать, кому позволена
работа с файлами и какие события вызывают протоколирование действий,
произведенных с файлами.
Не рассчитывайте на EFS для шифрования пользовательских файлов во время их перемещения по сети.
Шифрование
файлов на удаленном сервере при помощи шифрованной файловой системы
(EFS) распространяется только на файлы, хранящиеся на диске. На данные,
передаваемые по сети, шифрование EFS не распространяется.
Исключением
являются случаи, когда Ваша система использует протокол безопасности
IPSec или протокол WebDAV (Web Distributed Authoring and Versioning).
Например, IPSec шифрует данные, переправляемые по протоколу TCP/IP. В
случае с WebDAV, если файл зашифрован до копирования или перемещения в
папку или на сервер WebDAV, он остается зашифрованным во время
перемещения и хранения на сервере.
Зашифруйте кэш автономных файлов.
Несмотря
на то, что автономные файлы по умолчанию защищены на NTFS томах при
помощи списков управления доступом, шифрование файлов увеличивает
уровень безопасности на локальном компьютере. По умолчанию кэшированные
файлы локального компьютера не зашифрованы. Как следствие, любые
шифрованные файлы, полученные из кэша сервера, окажутся
незашифрованными на локальной машине. В некоторых случаях это может
представлять угрозу безопасности.
Если шифрование включено, то
весь кэш автономных файлов автоматически шифруется. Это
распространяется как на существующие файлы, так и на файлы, добавленные
впоследствии. Включая шифрование кэшированных файлов, Вы шифруете файлы
локального компьютера, а не соответствующую им серверную копию.
Зашифровать кэш можно одним из двух способов:
- При помощи групповых политик, включив политику Шифровать кэш автономных файлов (Encrypt the Offline Files Cache) в разделе Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы (Computer Configuration\Administrative Templates\Network\Offline Files) редактора групповых политик.
- Вручную, выбрав в Проводнике из меню Сервис (Tools) пункт Свойства папки (Folder options), где перейти на вкладку Автономные файлы (Offline files) и установить флажок Шифровать автономные файлы для защиты данных (Encrypt offline files to secure data).
Примечание.
Шифрование автономных файлов доступно лишь в Windows XP и более поздних
операционных системах. На компьютере под управлением Windows 2000
зашифровать кэш невозможно.
Дополнительную информацию о шифровании автономных файлов можно найти в статье Как зашифровать автономные файлы How to Encrypt Offline Files (EN).
Предоставьте системе создание папок для каждого пользователя.
Чтобы
достичь оптимальной работы перенаправления папок, достаточно создать
лишь корневой каталог для хранения профилей на сервере, а далее дать
возможность системе создать папки для каждого пользователя.
Перенаправление папок автоматически создаст пользователям папки и
обеспечит необходимый уровень безопасности.
Если Вам
совершенно необходимо создавать пользовательские папки самостоятельно,
убедитесь, что Вы даете правильные разрешения. Также обратите внимание,
что при создании папок Вам нужно снять флажок Предоставить права монопольного доступа к папке (Grant the user exclusive rights to My Documents) на вкладке Параметры (Settings)
диалогового окна свойств папки. Если Вы не снимите флажок,
перенаправление папок сначала проверит заранее созданную папку, чтобы
убедиться, что пользователь является ее владельцем. Если папка была
создана администратором, то она не пройдет эту проверку, и
перенаправление будет прервано. В таком случае в журнал событий
приложений будет внесена следующая запись:
Тип: Ошибка
Источник: Folder Redirection
Категория: Отсутствует
Код (ID): 101
Дата: Дата
Время: Время
Пользователь: имя_домена\имя_пользователя.
Компьютер: имя_компьютера
Описание:
Не удалось выполнить перенаправление папки . Не удалось создать новые
каталоги для перенаправленной папки. Эта папка была настроена на
перенаправление в \\имя_компьютера\общая_папка_для_перенаправления,
конечный развернутый путь
\\имя_компьютера\общая_папка_для_перенаправления. Произошла следующая
ошибка: Этот код защиты не может соответствовать владельцу объекта.
Настоятельно
рекомендуется не создавать папки для пользователей заранее, а
предоставить эту работу технологии перенаправления папок.
Осуществляя перенаправление в домашнюю папку пользователя, убедитесь, что для нее установлены правильные разрешения.
Операционная
система Windows XP позволяет Вам произвести перенаправление папки «Мои
документы» в домашнюю папку пользователя. При перенаправлении в
домашнюю папку стандартная проверка безопасности не производится. Иными
словами, не проверяются существующие разрешения для папки, и то,
является ли пользователь ее владельцем. Поскольку это домашняя папка
пользователя, предполагается, что разрешения на нее уже заданы
правильно.
Производя перенаправление в домашнюю папку, убедитесь, что для нее заданы правильные разрешения.
Наверх страницы
Советы и рекомендации по настройке перенаправления папок
Чтобы
достичь максимального эффекта от перенаправления папок, важно
ознакомиться со всей документацией и тщательно спланировать внедрение,
особенно в отношении групповых политик.
Посетив веб-узел Обслуживание Windows 2000 Server Windows 2000 Management Services (EN), Вы сможете подробнее узнать о том, как спроектированы групповые политики и перенаправление папок в Windows 2000.
Не
перенаправляйте папку «Мои документы» в домашнюю папку, за исключением
тех случаев, когда в организации уже развернуты домашние папки.
Операционная
система Windows XP позволяет перенаправить папку «Мои документы» в
домашнюю папку пользователя. Это функциональность предназначена для
организаций, использующих старую структуру домашних папок и желающих
перейти на новую схему, сохраняя совместимость с существующей
структурой. Вам следует использовать эту функцию только в случае, если
домашние папки уже развернуты в Вашей организации.
Предоставьте системе создание папок для каждого пользователя.
Чтобы
достичь оптимальной работы перенаправления папок, достаточно создать
лишь корневой каталог на сервере, а далее дать возможность системе
создать папки для каждого пользователя. Если Вам совершенно необходимо
создавать пользовательские папки самостоятельно, убедитесь, что Вы
даете правильные разрешения. Подробнее о требуемых разрешениях Вы
можете прочесть разделе Аспекты безопасности при настройке перенаправления папок.
Аспекты удаления групповой политки.
Вы должны иметь четкое представление о том, что происходит с перенаправленными папками при удалении групповой политики.
Вы можете сконфигурировать удаление политики в свойствах папки, как показано на Рисунке 2 ниже. Чтобы получить доступ к этим настройкам, нужно перейти в раздел оснастки групповых политик Конфигурация пользователя\Конфигурация Windows (User Configuration\Windows Settings) и, сделав правый щелчок мышью на Перенаправление папки (Folder Redirection), выбрать из контекстного меню Свойства (Properties) (подробнее смотрите в разделе Как настроить перенаправление папок).
Рисунок 2. Конфигурирование удаления политики в свойствах папки.
Увеличить изображение.
В Таблицу 9
сведена информация о том, что произойдет с перенаправленными папками и
их содержимым, если к ним больше не будет применяться объект групповой
политики.
Таблица 9. Сводка параметров в свойствах папки для перенаправленных папок.
| Параметр Перемещение содержимого специальной папки в новое место | Параметр Удаление политики | Результаты удаления политики: | | Включен | После
удаления политики перенаправить папку обратно в локальный профиль
пользователя (Redirect the folder back to the user profile location
when policy is removed.). | - Специальная папка вернется в размещение профиля пользователя.
- Содержимое будет скопировано (не перемещено) обратно в размещение профиля пользователя.
- Содержимое не будет удалено из размещения перенаправленной папки.
- Пользователь будет иметь доступ к содержимому, но только на локальном компьютере.
| | Выключен | После
удаления политики перенаправить папку обратно в локальный профиль
пользователя (Redirect the folder back to the user profile location
when policy is removed). | - Специальная папка вернется в размещение профиля пользователя.
Примечание.
В этом случае содержимое папки не копируется и не перемещается в
расположение профиля пользователя. Как следствие, пользователь больше
не видит содержимое. | | Или Включен или Выключен | При удалении политики папка останется в новом расположении (Leave the folder in the new location when policy is removed). | - Специальная папка остается в перенаправленном месте.
- Ее содержимое остается в перенаправленном месте.
- Пользователь продолжает сохранять доступ к содержимому перенаправленной папки.
|
Внимание! Если на вкладке Размещение (Target) диалогового окна свойств папки выбран параметр Административная политика не указана (No Administrative policy specified), то папка не будет перенаправлена в локальный профиль. Этот параметр означает, что перенаправление папки не задано и, если она ранее была перенаправлена, то перенаправление в предыдущее расположение будет продолжаться. Если Вы хотите вернуть папку в локальный профиль, следует выбрать параметр Перенаправлять в место, определяемое локальным профилем (Redirect to the local user profile).
Используйте автономные файлы на общем сетевом каталоге, хранящем данные пользователей.
Это
особенно удобно пользователям портативных компьютеров. В частности,
перенаправление папок любого типа следует совмещать с использованием
автономных файлов.
В Таблице 10 приведены рекомендуемые настройки автономных файлов.
Таблица 10. Рекомендуемые настройки автономных файлов
| Перенаправленная папка | Рекомендуемая настройка автономных файлов | | Мои документы | Автоматическое
кэширование документов (или кэширование вручную, если необходимо
предоставить пользователям возможность делать файлы и папки доступными
для автономной работы вручную) | | Мои Рисунки | Автоматическое
кэширование документов (или кэширование вручную, если необходимо
предоставить пользователям возможность делать файлы и папки доступными
для автономной работы вручную) | | Application Data | Автоматическое кэширование программ. | | Рабочий стол | Автоматическое кэширование программ, если папка «Рабочий стол» доступна только для чтения. |
Всегда включайте политику «Синхронизация всех автономных файлов перед выходом из системы».
Включение
этой политики обеспечивает полную синхронизацию автномных файлов, а
также доступность всех пользовательских файлов перенаправленной папки
для автономной работы. Если не включить эту политику, система будет
проводить только быструю синхронизацию, кэшируя только недавние файлы.
Перемещайте папку «Мои рисунки» вслед за папкой «Мои документы».
Рекомендуется
настроить следование папки «Мои рисунки» за папкой «Мои документы»,
если только у вас нет веских причин для отказа от такой практики
(например, ограниченное дисковое пространство на сервере).
Всегда старайтесь использовать настройки перенаправления папок по умолчанию.
Если
на сервере, хранящем перемещаемые профили, включены автономные файлы,
то перенаправленные папки обеспечат синхронизацию автономных файлов при
входе и перед выходом из системы.
Когда сетевой ресурс
недоступен, автономные файлы продолжают считать его недоступным до тех
пор, пока кэш не синхронизирован вручную. Перемещаемые профили не будут
синхронизированы с сервером, пока он считается недоступным для
автономных файлов. Если Вы используете автономные файлы в сочетании с
перенаправлением папок и перемещаемыми профилями, то для наилучшей
производительности следует включить политику синхронизации файлов перед
выходом из системы.
Не запускайте более одной копии Outlook 2000, если включено перенаправление папки Application Data.
Если
пользователь, у которого включено перемещение папки Application Data,
запустит несколько копий Outlook 2000 на разных машинах, его
электронные письма будут медленно открываться. Outlook 2000 постоянно
использует файл outcmd.dat, хранящий настройки панелей (например, их
расположение). Когда вторая копия программы обратится к этому файлу,
она не получит доступа, т.к. файл окажется заблокирован первой копией.
Вторая копия Outlook 2000 будет продолжать постоянные попытки обращения
к файлу outcmd.dat, результатом чего станут задержки при открытии
писем, ответах на письма и т.п.
Примечание. Программы
Outlook 2002 и Outlook 2003 не блокируют файл outcmd.dat, т.е. проблема
может возникнуть только в том случае, если на одной из машин запущен
Outlook 2000.
Наверх страницы
Связанные технологии: автономные файлы и диспетчер синхронизации
В этой секции описаны технологии, дополняющие перенаправление папок.
Автономные файлы
Автономные
файлы, впервые представленные в Windows 2000, являются технологией,
дополняющей перенаправление папок. Автономные файлы позволяют
отключенным от сети пользователям работать так, как если бы они были
подключены к сети. При работе в автономном режиме файлы и папки
отображаются в том же каталоге, что и при наличии сетевого подключения.
Иными словами, все выглядит так же, как будто файлы действительно
находятся на удаленном сервере. Это дает пользователям возможность
редактирования файлов в автономном режиме. Синхронизация автономных
файлов с сетевым каталогом происходит при следующем подключении к сети.
Как
было сказано выше, автономные файлы позволяют работать с копиями
серверных файлов даже в отсутствие сетевого подключения. Если в Вашей
организации есть мобильные пользователи с портативными компьютерами,
они в полной мере оценят удобство автономных файлов. Данная технология
позволит таким пользователям работать со своими документами в
автономном режиме, а также проследит за тем, чтобы пользователи всегда
работали с текущей версией сетевых файлов. Автономные файлы кэшируют
данные на локальном компьютере, чтобы сделать их доступными в
отсутствие сетевого соединения. Пользователи могут открывать и
редактировать кэшированные файлы, не нуждаясь в сетевом подключении.
Кэш представляет собой часть дискового пространства, к которой
компьютер обращается, когда он не подключен к сети. Вид общих сетевых
каталогов, доступных для автономной работы, всегда остается неизменным
даже при разрыве или намеренном отключении сетевого соединения.
Пользователи могут спокойно продолжать работу, как будто они подключены
к сети. При этом сохраняются все имеющиеся разрешения на файлы или
папки. При восстановлении сетевого подключения происходит синхронизация
всех изменений, произведенных за время автономной работы.
Если
два пользователя редактируют один и тот же файл, каждый из них может
сохранить на сервере свою версию файла, версию другого пользователя или
обе версии.
Общие папки и файлы можно сделать доступными
автономно в сети компьютеров под управлением Windows XP. Вы также
можете сделать файлы доступными с любого компьютера, осуществляющего
общий доступ при помощи службы совместного доступа к файлам и принтерам
(File and Printer Sharing), основанной на технологии SMB (блок
сообщений сервера). Компьютеры могут работать под управлением Windows
2000, Windows 95, Windows 98 и Windows NT 4.0.
Примечание. Технология автономных файлов недоступна в сетях Novell Netware.
Настраивая
общий каталог, Вы можете выбрать вариант автоматического перевода всех
файлов в автономное состояние или предоставить пользователю возможность
самому помечать файлы для автономной работы.
Технология
автономных файлов является абсолютно независимой, т.е. ее не
обязательно сочетать с перенаправлением папок или конфигурировать общие
сетевые ресурсы. Однако в связке эти технологии работают отлично.
Например, если ярлык к файлу доступен автономно, то и сам файл доступен
в автономном режиме. А вот если ярлык указывает на папку, она не будет
доступна без подключения к сети. Если задействовать перенаправление
папок в связке с автономными файлами, то и ярлык, и папка будут
доступны в автономном режиме.
В режиме кэширования вручную
пользователи сами выбирают файлы, с которыми они желают работать
автономно. Для папок, содержащих документы пользователя, рекомендуется
включить автоматическое кэширование. В таком случае открываемые файлы
будут автоматически загружены из сети и станут доступными для
автономной работы. Старые копии файлов автоматически удаляются,
освобождая место для новых и недавно использовавшихся файлов.
Автоматическое кэширование программ используется для папок с атрибутом
«Только чтение» или для приложений, запускаемых только с сетевых
ресурсов. Чтобы обеспечить правильность общего доступа, всегда
открывается серверная копия файла.
Диспетчер синхронизации
Пользователи,
работающие с автономными файлами и папками, могут производить
синхронизацию всех сетевых ресурсов при помощи диспетчера
синхронизации. Его можно настроить на автоматическую синхронизацию всех
или отдельных ресурсов. Например, пользователи могут настроить
синхронизацию избранных файлов и папок при каждом входе в систему и
выходе из нее. Диспетчер синхронизации быстро сканирует систему на
предмет изменений, и если таковые обнаружены, автоматически обновляет
ресурсы. Процесс синхронизации значительно ускоряется за счет
обновления лишь измененных данных.
Наверх страницы
Распространенные сценарии использования технологий IntelliMirror
В
этой секции рассматриваются примерные сценарии управлениями
пользовательскими данными и настройками, иллюстрирующие практическое
применение технологий IntelliMirror.
В сценариях
рассматривается типичный компьютер пользователя в распространенных
ситуациях, которые возникают на предприятии. Каждый сценарий
демонстрирует, как организации могут извлечь выгоду из использования
IntelliMirror для сокращения времени и усилий, требуемых на
обслуживание компьютерной среды. Сценарии можно рассматривать по
отдельности или как часть общей картины на предприятии.
Новый работник
Настройка
компьютера для нового работника всегда отнимает немало времени и
является одной из наиболее важных задач работы ИТ отдела. В
организации, использующей IntelliMirror, новый работник просто входит в
систему на новом компьютере и находит все нужные ярлыки и документы на
рабочем столе. Это могут быть ярлыки к часто используемым файлам,
ссылкам на веб-страницы и папкам, которыми пользуются все служащие
(например, ярлыки к справочникам, корпоративным документам, общим
папкам отдела и т.д.). Настройки рабочего стола, параметры приложений,
настройки подключения к сети Интернет и т. п. уже сконфигурированы в
соответствии со стандартами организации. Следовательно, если
пользователю потребуется помощь, работники службы поддержки будут знать
исходную конфигурацию пользователя.
В данном примере
пользователь получает профиль, заранее сконфигурированный специально
для новых работников. Вначале администратор настроил компьютер в
соответствии со стандартами организации. Затем при помощи утилиты
Профили пользователей (User Profiles), встроенной в элемент панели
управления Система (System), администратор скопировал профиль
пользователя в папку Default User, расположенную в общем сетевом
каталоге Netlogon контроллера домена. При первом входе нового
пользователя в систему Windows копирует профиль на локальный компьютер
и использует его как основу для профиля нового работника. Помимо
конфигурации профиля администратор применил групповые политики, чтобы
перенаправить пользовательскую папку «Мои документы» на сетевой ресурс
и обеспечить регулярное резервное копирование и надежное хранение
данных на сервере.
Пользователь портативного компьютера
Находясь
на работе, пользователь портативного компьютера создает несколько
документов и сохраняет их в папке «Мои документы». Затем работник
выходит из системы, отключает портативный компьютер от сети и едет с
ним домой. Находясь дома и не подключаясь к сети, пользователь
продолжает работу над документами, сохраненными ранее в папке «Мои
документы».
Спустя некоторое время служащий возвращается в
офис и выходит в сеть. Поскольку пользователь работал автономно,
система отображает диалоговое окно, уведомляющее, что данные в папке
«Мои документы» изменились, и происходит синхронизация с сервером.
В
этом сценарии пользовательская папка «Мои документы» перенаправлена на
сетевой ресурс. Пользователь видит, как документы сохраняются на
сервере, а чтобы с ними можно было работать автономно, одновременно
производится еще и незаметное сохранение в локальном кэше (поскольку
сетевая папка была настроена для автономного доступа). С точки зрения
пользователя, процесс ничем не отличается от сохранения документов на
локальном диске.
Как только пользователь вновь подключается к
сети, IntelliMirror пытается соединиться с сетевым ресурсом, на котором
хранятся перенаправленные папки. Соединившись, IntelliMirror сравнивает
содержимое локальной папки с сетевой копией. В данном примере
пользователь произвел изменения в локальной копии. IntelliMirror
замечает изменения и предлагает пользователю обновить документы,
хранящиеся в сети.
Замена компьютера
Компьютер
служащего неожиданно прекращает работу из-за полного отказа аппаратного
обеспечения. Пользователь звонит в службу поддержки и через 20 минут
получает новый компьютер, на который установлена лишь Windows XP.
Работник самостоятельно подключает периферию и сетевые кабели, включает
компьютер и входит в сеть. Войдя в систему, служащий видит точно такой
же рабочий стол, какой у него был на неисправном компьютере. Фоновым
рисунком рабочего стола является любимая картинка пользователя, а
оформление Windows настроено в соответствии с его предпочтениями. Все
ярлыки к папкам и файлам, а также Избранное Internet Explorer находятся
на своих местах. Но самое главное - сохранились все файлы и документы
рабо
Источник: http://www.oszone.net/print/3955/ | 
