Profili di roaming: Logini simultanei dello stesso utente

Sto amministrando un ambiente Windows Server 2008 R2 che utilizza i profili di roaming e il reindirizzamento delle cartelle. Le macchine client sono in esecuzione con Windows 7. A causa della natura del business, gli utenti raramente si annullano e spesso hanno gli accessi in più macchine contemporaneamente. Ciò ovviamente crea molti problemi con i conflitti "vince l'ultimo scrittore" e each session sovrascrive le modifiche apportte in un'altra session.

Ho provato diversi methods per ridurre i conflitti, ma non ho ancora una soluzione soddisfacente. Sto usando la nuova funzionalità di caricamento di background dei profili utente, ma come spiega in questo articolo che in realtà non risolve il problema: http://blogs.sepago.de/helge/2009/04/02/microsoft-tackles-the- profili di scorrimento-guadagni-di-roaming-in-windows-7-server-2008-r2 / . Ho anche eseguito alcune prove di software di terze parti come ProfileUnity, ma ancora con alcune problematiche. E naturalmente ho suggerito che gli utenti potrebbero solo essere più coscienziosi di disconnettere quando lasciano il computer e prima di avviare una nuova session. Ma la direzione ha detto che ciò non accadrà e non functionrà per il nostro ambiente.

Quindi la domanda è, qualcuno di voi ha esperienza con questo problema? Conosci alcune impostazioni o app di terze parti che alless minimizzano i conflitti anche se non li elimini? C'è un modo per farlo in modo che il computer faccia un periodico annullamento e ricontrollati che sia trasparente all'utente?

  • Resource Monitor (resmon) in Windows Server 2008 R2
  • Transizione da GPO a GPP
  • Come posso registrare la Cipher SSL negoziata in Windows 2008 R2
  • Backup di Windows Server 2008 R2 - rimuove record chiusi
  • Il gpupdate di Windows 2008 R2 blocca il mio account utente
  • Come portre un account utente reindirizzato dal morto in Windows Server 2008 R2?
  • Spostare i siti web da IIS7 a IIS 7.5
  • Il registro degli events di applicazione continua a essere danneggiato
  • 7 Solutions collect form web for “Profili di roaming: Logini simultanei dello stesso utente”

    In primo luogo, non c'è niente di sbagliato nell'utilizzo dei profili di roaming finché vengono implementati correttamente. Solo perché sono un concetto più vecchio non li rende less utili o validi nell'odierno ambiente IT. I profili di roaming non sono stati progettati con l'intento di un utente per PC e un PC per utente, sono stati progettati per il tuo caso di utilizzo esatto, uno o molti utenti che accedono a più computer (siano essi workstation o server terminali). L'intento era quello di fornire all'utente un ambiente coerente (desktop, impostazioni delle applicazioni, ecc.) A prescindere dal computer a cui accedere.

    In secondo luogo, l'implementazione di un tipo di meccanismo automatico di disconnessione non risolve il problema in quanto non impedisce ad un utente di avere più account di accesso in più computer contemporaneamente. Cosa significa impedire a un utente di accedere a un computer oa TS alle 9.00 e di accedere ad un altro alle 10.00? Quando il tuo meccanismo di distriggerszione automatica calcia, avrai ancora lo stesso problema.

    In terzo luogo, il reindirizzamento della cartella può aiutare la situazione reindirizzando alcune cartelle dal profilo di roaming ma non risolve il problema perché non tutte le cartelle degli utenti possono essere reindirizzate. Ci sono componenti fondamentali del profilo di roaming (ntuser.dat, impostazioni del programma, ecc.) Che non possono essere reindirizzate.

    In quarto luogo, non esiste un'impostazione che registri un utente della propria session in base all'impostazione delle ore di accesso. Le due impostazioni che hanno a che fare con la disconnessione di un utente e la sconnessione della session in base alle ore di accesso vengono disconnesse dalle azioni SMB, non li registra dalla session desktop. Esistono impostazioni per terminare (disconnettersi) una session utente su un TS, in base a vari tempi (inattivo, attivo, disconnesso).

    Hai purtroppo un problema tecnico, causato da un problema comportmentale, che non può essere completamente risolto con una soluzione tecnica. Ecco alcuni suggerimenti che possono aiutare:

    1. Implementa reindirizzamento cartella (come altri hanno suggerito) per cartelle come My Documents, Desktop, Menu Start.

    2. Se i tuoi utenti accedono a Terminal Services, implementa una restrizione di accesso singolo tramite GPO. Ciò impedirà ad each utente di avere più di una session.

    3. Educare i tuoi utenti a sviluppare l'abitudine di uscire prima di partire per la giornata. Questa è considerata buona pratica / etichetta e dovrebbe essere incoraggiata e supportta dal management. Se la gestione si sforza all'idea, allora sono in parte colpa se il problema persiste.

    Il grande problema con i profili di roaming è che sono stati progettati molto tempo fa, a metà degli anni '90, per un caso specifico di utilizzo: un PC per utente e un utente per PC. In questo scenario i profili di roaming funzionano abbastanza bene, ma se lo scenario cambia, essi falliscono (miseramente).

    Il problema dell'ultimo scrittore guadagnato da sessioni concorrenti è ben noto nel mondo del server terminal where ho lavorato per molti anni. A causa dei cosiddetti silos è molto comune che gli utenti abbiano più di una session concorrente.

    L'ultimo scrittore vince il problema non è proprio sui file (che potrebbero essere risolti per reindirizzamento di cartelle) ma sull'hive del Registro di sistema HKCU, memorizzati in un unico file, NTUSER.DAT. Quel file viene modificato in each session, quindi viene scritto sempre indietro quando una session viene disconnesso, sovrascrivendo tutte le versioni esistenti di quel file nella networking.

    Purtroppo, non è ansible lavorare in questo modo solo con i profili di roaming. Per questo motivo i prodotti di gestione dei profili di terze parti sono molto popolari nel mondo del server Citrix / terminal. Ho contribuito a creare uno di questi prodotti che è stato successivamente venduto a Citrix ed è ora in bundle con i loro prodotti principali XenApp e XenDesktop. Identifica le chiavi modificate in HKCU e li unisce nella copia di NTUSER.DAT residente sulla networking.

    Altri prodotti commerciali risolvono anche l'ultimo scrittore vince il problema. Temo che non so di alcuna soluzione libera.

    Il reindirizzamento della cartella mitiga la maggior parte del problema in quanto la maggior parte delle scritture si verificano in un tempo quasi in tempo reale, anche se sulla networking. Ho visto che le persone sono bloccate dai loro documenti (specifici, non cartella) perché hanno dimenticato di chiuderli.

    Puoi anche provare a disconnetterti se inattivo (se puoi get l'acquisto della gestione, significa che gli utenti dovranno salvare il loro lavoro prima di partire, ma dovrebbero comunque farlo).
    http://t3chnot3s.blogspot.com/2011/04/logoff-idle-windows-sessions-via-screen.html

    È ansible utilizzare un object Criteri di gruppo per forzare il log off dal computer basato fuori ore di accesso. Questo li spingerà solo dopo le ore lavorative e non li riconnette.

    Potresti utilizzare un object Criteri di gruppo per spingere un'applicazione di terze parti a tutti i PC che avrebbe forzato una scadenza dopo un passaggio di tempo, penso che ci sia uno screensaver che lo farà. Quando lo screensaver viene triggersto dopo X minuti, l'utente verrà disconnesso. Ancora, questo non li riconnette.

    In un ambiente di profilo di roaming che ho somministrato, sono stato veramente insoddisfatto delle velocità di accesso / distriggerszione e del traffico di networking causati dai profili che sincronizzano i dati per tutto il tempo. Alcune persone hanno memorizzato centinaia di file sui loro desktop – totalmente inutili. Ho cambiato la struttura delle cose e ho fatto questo invece:

    • Gli utenti hanno ricevuto scorciatoie sul proprio desktop per le cartelle condivise dedicate su un file server
    • Ho spostato tutti i loro dati (documenti / desktop / etc) a quelle cartelle condivise
    • Gli utenti non wherevano salvare file localmente al loro profilo

    Questo ha risolto i problemi che stavo vedendo perché i loro profili erano ormai molto ordinati e puliti, gli attacchi erano veloci e ho risolto i problemi con più copie di file aperti perché avrebbero ottenuto un messaggio "file già aperto" se avessero aperto un file sul file server da un secondo PC. Questo ha anche aiutato con alcune emissioni di backup dei file che stavo ricevendo, perché avevo tutti i miei dati importnti su un singolo server che potrei eseguire i backup.

    Infine, se non sei interessato a modificare la configuration del tuo ambiente, devi educare i tuoi utenti. In molti modi, questo non mi colpisce come un problema che devi correggere. L'ambiente sta funzionando correttamente, gli utenti non sono semplicemente consapevoli di come devono fare le cose correttamente. Parlate alla vostra direzione e chiedete di tenere una class di allenamento, mettere insieme un colloquio di 15 minuti su come salvare correttamente e disconnettere le workstation. Non dite loro che stanno facendo il male – basta dire loro che se fanno le cose come stai insegnando, avranno less problemi e il loro lavoro sarà più facile e più efficiente.

    Si potrebbe avere un servizio di windows o un exe spinto a ciascuna macchina che controlla il process wfica32.exe. E quando questo process scompare dalla macchina a causa del roaming regolare, bloccare la workstation.

    Dovresti dare un'occhiata a UserLock , una soluzione software di terze parti che ti consente di impedire o limitare l'accesso simultaneo (stesso ID, la stessa password) per utente, gruppo di utenti o unità organizzativa e per tipo di session (workstation , terminal, interattivo, Internet Information Services o VPN / RAS).

    Le limitazioni possono essere impostate in modo granulare e possono variare da un utente all'altro, da un gruppo all'altro, o da un'unità organizzativa all'altra.

    Inoltre, UserLock permetterà agli utenti di chiudere in remoto una session precedente dalla nuova workstation sul quale non è consentito l'accesso per la limitazione massima consentita.

    Una soluzione per impedire l'accesso simultaneo degli utenti può anche essere ottenuta utilizzando LimitLogin che non richiede l'acquisto (a differenza di UserLock). Può non avere tante caratteristiche ma la sua libertà.

    Scarica e informazioni disponibili da qui in Microsoft TechNet:

    Stiamo considerando l'implementazione di questo in uno dei nostri clienti a causa di problemi simili con i profili di roaming.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.