【AD用户设置系列一】让IT省心省力的漫游配置文件

系列导读:

本系列文章短小精悍,通过设置企业中AD用户帐户的配置文件来满足企业用户的业务需求。

 

[一]

 

今天要和大家分享的是如何使用设置用户的漫游配置文件,让用户不管使用哪一台电脑登陆域,都能够有一致性的桌面环境。

 

当每个用户在登陆到电脑的时候,其实都会在C盘(系统盘)根目录中有一个名字叫的“用户”这个文件夹中创建一个和自己用户名相同的文件夹,比如:“administrator”,这个文件夹实际上就是用来存放Windows Server 2008 R2 系统中的管理员帐户的一些配置文件的,比如“桌面”、“联系人”、“我的文档”、“收藏夹”、“我的图片”等个人资料(profile)的配置(如果你的电脑系统时以前的windows server 2003 或者是 XP的话,这个放在C盘根目录的文件夹就会是 “Documents and Setings” 。vitsa 以后叫做“users”)。

 

java ad域用户lockouttime_重定向

 

可是这样会有个问题:当用户在不同电脑登陆时,这些电脑的本地磁盘中都会出现一份 用户配置文件(profile),并且是互不相干的。所有用户在某台电脑桌面上放的东西在另外一台可能就不会有,这样就很不方便。

 

我们可以想一个办法解决上述问题:集中把这些用户的配置文件(profiles)放在一个共享文件夹上,这种办法我们启个名字叫“ 漫游配置文件”。

 

做法:

 

1、 在服务器上创建一个共享文件夹,比方叫“profiles”,共享权限中添加“everyone”用户并设置为可以修改的权限,注意NTFS权限只需要有SYSTEM用户并给予完全控制就可以了;

 

java ad域用户lockouttime_运维_02

java ad域用户lockouttime_运维_03

 

2、 针对“Active Directory用户和计算机”中的用户属性中的“配置文件”进行设置。比方说:针对“user3”这个用户做配置,我们就可以双击user3这个用户打开“属性”,选择“配置文件”并在里面的“用户配置文件”的“配置文件路径”中设置刚刚共享的UNC路径\\WIN-2008DC\profiles\%username% (其中%username%是一个变量,代表用户名,确定后再重新看用户配置文件的属性就会发现名字已经变成user3)。这样user3这个用户的profile就会放在\\WIN-2008DC\profiles\user3 这个共享目录上;

 

java ad域用户lockouttime_ldap_04

java ad域用户lockouttime_配置文件_05

 

3、 注销当前管理员账户并使用user3在客户端电脑登录域,此时user3所在的客户端电脑会去服务器上的共享目录中下载user3的配置文件。但这时在服务器上并没有user3的配置文件,所以这时user3会在本地磁盘创建一个本地配置文件。

 

为了让服务器上的共享目录中出现user3的配置文件,我们注销user3,此时user3所在的客户端电脑会向服务器上传刚刚创建的本地配置文件。

 

java ad域用户lockouttime_ldap_06

 

并且,如果我们使用其他用户是不能访问user3的profile的,因为只有user3才是所有者,所以我们拿管理员也访问不到,除非去夺取所有权。

 

java ad域用户lockouttime_配置文件_07

 

所以,咱们再次使用user3登陆并查看自己的profile 是可以看到里面的“桌面”等等配置都有了。

 

java ad域用户lockouttime_ldap_08

 

实用真言:

 

这样设置了以后,不管企业用户在哪一台电脑上登陆都会从服务器的共享文件夹中把自己的所有桌面配置下载下来,当用户注销的时候再把自己修改过的配置上传到服务器的共享文件夹中。

 

如此一来,就保障了企业活动目录环境中的用户无论在哪一台电脑都可以有相同的桌面设置。除了位用户带来了极大的方便之外呢,对于 IT 人员来说:用户配置文件就可以集中管理了而且备份也十分方便。

【AD用户设置系列二】批量修改漫游配置文件路径

系列导读:

本系列文章短小精悍,通过设置企业中AD用户帐户的配置文件来满足企业用户的业务需求。

[二]

一次要改变大量的用户配置文件路径是非常累的事,因此今天和大家分享如何通过命令行工具来批量修改用户配置文件的路径。

前面跟大家介绍了如何设置漫游配置文件,做法是需要在“Active Dircetory 用户和计算机”工具中找到用户然后右击用户选择属性中的“配置文件”并在“配置文件路径”后填写提前在服务器上设置好的共享文件夹的UNC路径。

java ad域用户lockouttime_ldap_09

这样的方法确实可以给“用户配置文件管理”这项工作内容带来很大的方便。但是,如果有1万个用户需要做漫游配置的话,我们就要做1万次。或者是我们已经设置好了,有一天公司因为更换存储员工配置文件的服务器,需要把所有做了漫游配置的员工的配置文件路径修改成新的UNC路径,一个一个改,那也是一件很累人的事情。

所以,咱们需要一个让IT人员减负的方法来做这件事。

做法: 使用命令行下的工具 dsquery +dsmod  来实现批量设置或修改。

1 、查询用户的命令行工具 dsquery :

打开命令提示符,输入:dsquery user "OU=_Demo,DC=itechy,DC=org"

 

注释:通过以上命令可以找到在“itechy.org”这个域中的“_Demo”的OU中有三个用户“user1”、“user2”、“user3”(命令中的"OU=_Demo,DC=itechy,DC=org"表示LDAP路径,dsquery是查询AD的一条命令);

执行结果如下:

java ad域用户lockouttime_服务器_10

2 、修改用户配置的命令行工具 dsmod :

在命令提示符中输入:dsmod user "CN=user1,CN=_Demo,DC=itechy,DC=org" -profile \\WIN-2008FILESRV\profies\$username$

 

注释:通过以上命令就可以将“itechy.org”域中“_Demo”OU中的用户“user1”的漫游配置路径从原来的“\\WIN-2008DC\profies\user3” 修改成“\\WIN-2008FILESRV\profies\$username$”(其中$username$是代表用户的变量),

“-profile” 这个参数就是用来设置新的配置文件路径的;

执行结果如下:

java ad域用户lockouttime_运维_11

再次打开“Active Dircetory 用户和计算机”工具察看user3的配置文件路径会发现已经被咱们成功修改了。

java ad域用户lockouttime_运维_12

3 、批量设置或修改用户的配置文件命令 dsquery +dsmod 组合使用:

说明:这里我们可以使用管道符 连接前面的查询命令“dsquery user "OU=_Demo,DC=itechy,DC=org"”和后面的修改命令“dsmod user –profile \\WIN-2008FILESRV\profiles\$username$”来达到批量修改漫游用户配置文件的目的。

 

命令写法如下:

  \\WIN-2008FILESRV\profiles\$username$

 

注释:通过管道符号(|)前面的命令dsquery我就把“itechy.org”域中“_Demo”OU里的所有用户的位置都抓出来并且给管道符号(|)后面的命令dsmod来修改,这样就实现了批量修改漫游用户配置文件路径的目的。

执行结果如下:

java ad域用户lockouttime_服务器_13

改完之后我们可以再次查看AD中用户的配置文件路径,并且他们都被统一修改成

“\\WIN-2008FILESRV\profiles\用户名” 这个样子了:

java ad域用户lockouttime_重定向_14

java ad域用户lockouttime_ldap_15

java ad域用户lockouttime_配置文件_16

总结:当大家以后再工作中需要大量的设置或者是大量的修改用户的配置文件的时候就可以使用 dsquery |dsmod  这两条命令结合的方式便捷的实现了。

【AD用户配置系列三】文件夹重定向为用户登录与注销加速

在前面两篇文章中( 让IT省心省力的漫游配置文件 和 批量修改漫游配置文件路径),跟大家介绍了漫游配置文件在企业IT基础环境管理中的使用方法。通过漫游配置文件实现了用户配置文件的集中管理:这对企业IT部门来说,大大了简化了用户数据资料的管理步骤,尤其减少了在每次系统版本更新和平台迁移时的工作量;对于企业员工来说,也提高了重要业务资料的可靠性,减少了意外加班的几率,让每天的工作更轻松;对于企业管理层来说,节约了企业管理成本的同时,减少了不必要的人员管理开支;对于企业客户和合作伙伴来说,感受到了一流的企业品质关键[可靠、高效]。

凡事有利必有弊,在漫游配置文件带来上面成果的同时,也会带来下面的问题:

当用户的漫游配置文件数据量太大时,会造成登录和注销的速度变得很慢。

解决办法: 文件夹重定向

实现步骤:

首先,前面已经为用户user1设置好漫游配置文件。其漫游配置文件路径如 图 1 所示,

\\WIN-2008FILESRV\profiles\user1 。

java ad域用户lockouttime_配置文件_17

图 1

User1  的漫游配置文件路径

当user1登录到系统中时,会从这个UNC路径(\\WIN-2008FILESRV\profiles\user1)下载存储在远端属于自己的配置文件到本地系统中;当user1从系统中注销时,会上传本地得数据资料到此UNC路径(\\WIN-2008FILESRV\profiles\user1)所指的远端服务器中。

这种情况下,如果用户在自己的桌面上放一个很大的文件(比如:100G),会造成这个用户登录和注销都很慢。因为,注销时:他需要将整个配置文件(包括桌面上100G的文件)上传到文件服务器(登陆时,则需要下载)。

下面我们就通过文件夹重定向的方式来解决这个问题:

A、 打开 管理工具中的 组策略管理器。

B、 鼠标右击OU ” _Demo”(假设所有的漫游配置用户都在此OU中),选择新建GPO并链接在此处。输入 Folder Redirection  为新GPO的名字。

java ad域用户lockouttime_重定向_18

图 2

为OU “_demo” 新建GPO

C、 鼠标右击GPO”  Folder Redirection”进行编辑。

java ad域用户lockouttime_重定向_19

图 3

编辑GPO Folder Redirection

D、 依次展开 用户配置 - 策略-windows 设置- 文件夹重定向,如下图:

java ad域用户lockouttime_配置文件_20

图 4

文件夹重定向

E、 过去windows server 2003中只有桌面、我的文档、[开始]菜单、AppData(应用程序目录)这四个可重定向的目录,现在又多了收藏夹、音乐、下载、链接等可重定向的目录来加强重定向的应用。为了实现重定向,我们需要准备一个共享文件夹:

打开C盘,创建文件夹 Documents。同时,将其共享,共享权限设置为Everyone 可以修改,NTFS权限设置为System用户完全控制。如下图:

java ad域用户lockouttime_ldap_21

图 5

Documents的共享权限

java ad域用户lockouttime_服务器_22

图 6

Documents的NTFS权限

  组策略管理编辑器  中,鼠标右击   文档 选择   属性。来设置文件夹重定向,你可以有两种不同的设置方式:

  基本(将每个人的文件夹重定向到一个位置) 并设置根路径为: \\WIN-2008FILESRV\Documents

java ad域用户lockouttime_服务器_23

图 7

为文档设置基本的重定向属性

[ 注意:如此一来,每个用户的文档就会被重定向到 \\WIN-2008FILESRV\Documents\%username%\Documents 中,这样就可以将所有用户的文档集中在一起管理。]

  高级(为不同的用户组指定位置)

java ad域用户lockouttime_重定向_24

图 8

为文档设置高级重定向属性

[ 注意:如此一来,不同用户组的用户的文件夹会被定向到不同的共享文件夹中做管理,如ITmembers组的成员user1的文档会被重定向到\\WIN-2008FILESRV\IT\user1\Documents 目录中]

G、 这里我选择 基本的方式来做演示,选择 确定。确认对话框中,选择   是。

java ad域用户lockouttime_运维_25

图 9

确认对话框

验证:我们使用user1来做验证,看看user1的文档是否已经被重定向。

A、使用user1登录

java ad域用户lockouttime_服务器_26

图 10

User1登录

  开始 开打 资源管理器。

java ad域用户lockouttime_运维_27

图 11

打开资源管理器

  文档 选择   属性。

java ad域用户lockouttime_配置文件_28

图 12

鼠标右击文档属性

D、可以看到此时文档的位置已经被重定向到了 \\WIN-2008FILESRV\Documents\user1\Documents

java ad域用户lockouttime_配置文件_29

图 13

User1重定向后的文档位置

 

总结:这样设置之后,被重定向的文件夹不再是一个普通的文件夹了而是一个指向文件服务器的路径。以后用户再进行登录或注销时,就不需要将其中的数据文件再下载或者上传了。漫游用户登录和注销的速度慢的问题也就迎刃而解了。