Организация видов профилей в SAMBA

Здравствуйте  дорогие читатели!

В настоящее время довольно часто  организуют домен, работающий на основе открытого программного обеспечения – Samba и поэтому проблема организации видов профилей в доменной сети имеет довольно высокий приоритет.

Информация, представленная в этой публикации актуальна для работающих или начинающих администраторов небольших организаций, которые в виду недостатка средств на лицензионную Windows 200x Server, хотят организовать доменную сеть. Сегодня мы не будем говорить о создании домена, а рассмотрим вопрос видов профилей, которые вы сможете организовать в своей сети  при настройке домена на основе Samba.

Что же такое профиль? Попытаемся сформулировать определение профиля, профиль – это контейнер в котором сохраняются настройки, а также данные рабочей области пользователя, в частности папка Рабочий стол, Мои документы, Избранное и многое другое. В операционной системе профиль – это папка, владельцем которой является конкретный пользователь и в ней содержатся все выше перечисленные данные.

В данной публикации мы не будем представлять структуру профиля, её Вы сможете посмотреть по следующему адресу: technet.microsoft.com/en-us/library/cc766489(WS.10).aspx

При работе Samba в качестве контроллера домена на клиентских машинах можно организовать три вида профилей, у каждого есть свои недостатки и преимущества, которые рассмотрены далее по тексту:

1. Локальный
2. Перемещаемый
3. Обязательный

В данном описании мы будем подразумевать под словосочетанием Рабочая станция или Рабочее место = Клиентский компьютер, Система = ОС Windows.

Локальный профиль – это единственный тип профиля, который, даже если Вы будите использовать другой тип профиля, создаётся на рабочей станции. Локальный профиль используется в том случае, если пользователь имеет постоянное рабочее место, так как все данные и настройки рабочей области пользователя хранятся на конкретной машине и не могут быть перемещены. Основными свойствами данного типа профиля являются: быстрая загрузка рабочей станции и его может использовать только один пользователь. Локальный тип профиля может быть использован, даже если пользователь не имеет постоянного рабочего места, данный вариант мы рассмотрим ниже.

Перемещаемый  профиль используется, когда пользователь не имеет постоянного рабочего места. Первоначально профиль пользователя отсутствует, при заходе в систему создаётся локальный профиль из профиля по умолчанию, далее при выходе пользователя из системы локальный профиль синхронизируется с профилем на сервере, а так как профиль на сервер отсутствует, то на сервере создаётся полная копия локального профиля. При дальнейшем входе или выходе из системы будут синхронизироваться только те файлы, которые отсутствуют в профиле, хранящемся на рабочей станции или сервере, в зависимости от того выполняет пользователь вход или выход из системы. При перемещении пользователя на другое рабочее место, операция, описанная выше, повторяется, за тем исключением, что на сервере профиль уже существует и поэтому при входе пользователя, локальный профиль будет синхронизироваться с профилем хранящемся на сервере. Очевидным недостатком данного профиля является большой создаваемый поток трафика в сети и долгая загрузка компьютера, это при условии, что пользователь хранит большие объёмы информации в своём профиле, как обойти эту проблему будет описано ниже.

Важно!

При аварийном отключении компьютера обратная синхронизация данных профиля не осуществляется. В связи с этим локальный профиль может хранить более свежие данные пользователя, чем его профиль на сервере. По этой причине рекомендуется после аварийного завершения работы компьютера осуществить процедуру регистрации и завершения сеанса на этом компьютере для синхронизации данных профиля с сервером.

Обязательный  профиль это тот же перемещаемый, только при выходе из системы он не синхронизируется с профилем, хранящемся на сервер, а при заходе в систему профиль, хранимый на сервере, перезаписывает локальный профиль. Порядок создания обязательного профиля описан ниже. Основным свойством данного профиля является то, что его может использовать большое количество пользователей и поэтому очевидным местом его применения являются школы, институты, компьютерные клубы.

Для решения стандартных проблем  перемещаемого (размер профиля и в следствие долгий вход и выход из системы) и локального профилей (хранение данных только на одном компьютере, т.е отсутствие мобильности пользователя) необходимо модифицировать настройку таким образом, чтобы стандартные папки, которые использует пользователь – Мои документы и Рабочий стол подключались в виде сетевого диска, таким образом мы сможем придать локальному профилю мобильность, так как все данные хранятся на сервере и подключаются в виде сетевого диска вне зависимости от рабочего места, а при использовании в перемещаемом профиле это даст возможность исключить из синхронизации папки в которых чаще всего хранятся большие объёмы данных, т.е уменьшится размер перемещаемого профиля и соответственно исчезнет проблема длительного входа и выхода из системы.

Как настроить тот или вид профиля  будет рассмотрено ниже. Хотелось бы сделать уточнение по поводу применения политик на клиентской машине: этот вопрос не входит в данную публикацию, поэтому все применения политик делались в ручную.

Организация локального профиля.

1. В smb.conf параметры `logon path`  и `logon home` оставляем пустыми, т.е:

logon path=
logon home=

2. Через политики на компьютере задаём использовать только локальный профиль:

Local Computer Policy -> Computer Configuration -> Administrative Templates -> System -> User Profiles -> Only  allow local profiles

Организация перемещаемого профиля.

В smb.conf значение параметра `logon path` будет содержать путь к папке на сервере, в которой будут храниться профили. При этом путь как папке имеет вид: \\server\path

mkdir /usr/srv/samba/profiles
chown root:wheel /usr/srv/samba/profiles
chmod 1777 /usr/srv/samba/profiles

в smb.conf записываем

logon path=\\%L\Profiles\%U
logon home=
[Profiles]
path=/usr/srv/samba/profiles
browseable=no
write list=AIP\%U
create mask=0600
directory mask=0700

Организация обязательного профиля.

Организуется точно также как и перемещаемый, но только прежде чем организовать обязательный профиль необходимо войти пользователем в систему, далее выйти из системы и на сервере в папке, где хранятся перемещаемые профили, в профиле пользователя переименовать файл NTUSER.DAT в NTUSER.MAN.

Организация перемещаемого/локального профиля с исключением папки Мои документы из профиля и подключение её как сетевой диск.

1. Создаём конфигурацию в Samba для перемещаемого/локального профиля (см. пункты выше).
2. Создаём каталог на сервер, который будет хранить документы пользователя

mkdir /usr/srv/samba/homefolders
chown root:wheel /usr/srv/samba/homefolders
chmod 1777 /usr/srv/samba/homefolders

в smb.conf записываем:

[Homefolders]
path=/usr/srv/samba/homefolders
browseable=no
write list=AIP\%U
create mask=0600
directory mask=0700

в smb.conf записываем:

logon script=%L.bat %U

3. В каталоге netlogon создаём скрипт, имя которого соответствует параметру `%L`, следующего содержания:

@echo off;
rem Синхронизация времени
net time \\fserver1\ /SET
rem Создание папки  Мои документы  на сервере
rem если она отсутствует
rem Для пользователя GUEST данная команда  не действует,  так как у
rem него обязательный  профиль
if [%1] NEQ [guest] (
if not exist \\fserver1\Homefolders\%1\Documents (
mkdir \\fserver1\Homefolders\%1\Documents
)
net use Y: \\fserver1\Homefolders\%1\Documents
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Personal" /d "Y:" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "My Music" /d "Y:" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "My Pictures" /d "Y:" /f
)

4. Для того чтобы использовать индивидуальные logon script при заданном уже параметре logon script необходимо в конце секции [global] вставить следующую конструкцию:

include =/usr/srv/samba/smb.%U.conf

где %U – имя пользователя, подставляется автоматически

в подключаемом файле пишем:

[global]
logon script=username.bat

где username – имя пользователя

5. Через групповые политики указываем папки, которые будут исключены из профиля, в случае, если он является перемещаемым:

Local Computer Policy -> Users Configuration -> Administrative Templates -> System -> User Profiles ->  Exclude folders from roaming profile

В качестве разделителя  используется точка с запятой (;).

Автор: Ивченко Максим (sysatrium)

По материалам: