¿Cómo administrar cientos de usuarios (y perfiles personalizados) en máquinas individuales con Windows 7?

Somos una universidad pequeña, donde a cada estudiante se le asigna una cuenta de Active Directory. Tenemos un par de laboratorios de computadoras donde todas las máquinas están unidas al dominio y los estudiantes pueden iniciar sesión en cualquier máquina. En el transcurso de un semestre, la mayoría de los estudiantes iniciarán sesión en la mayoría de las máquinas.

En el pasado, bajo Windows XP, lo hemos logrado usando la antigua funcionalidad Copiar perfil, junto con un producto llamado Deep Freeze, de modo que los perfiles se limpian efectivamente de manera automática. Muchas escuelas han usado esta técnica con éxito durante mucho tiempo.

Desafortunadamente, Windows 7 rompe todo esto. Ya no podemos usar la función Copiar perfil para preparar perfiles de plantilla para las estaciones de trabajo. La directiva de grupo podría funcionar para configurar las máquinas, y este es el método oficial para manejar el problema. Desafortunadamente, esto no funciona tan bien, por dos razones. La primera es que la directiva de grupo no es tan amigable para configurar los ajustes de perfil. No podemos avanzar tan rápido en los cambios que queremos hacer, y algunas cosas solo se pueden hacer en la máquina antes de ejecutar sysprep (lo que requeriría una reimagen más frecuente de todo el sistema operativo). El resultado es que terminamos con una experiencia de escritorio menos pulida.

Podríamos morder la viñeta en el primer problema, pero el segundo problema es que todas las configuraciones de directiva de grupo resultan en tiempos de inicio de sesión increíblemente lentos cuando se usan junto con Deep Freeze, porque tienes que volver a aplicar casi todos los ajustes de GP con cada iniciar sesión. Las funciones de seguridad mejoradas de Windows 7 sobre XP (es decir, UAC) me permiten sentirme cómodo probando un semestre sin Deep Freeze ... excepto que todavía terminaríamos con cientos de cuentas de perfil de usuario en cada máquina al final de cada semestre, y eso es después de trabajar más para configurar la política de grupo para producir un resultado disminuido.

Entonces, ¿hay alguna sugerencia sobre mejores formas de abordar este problema?

Queremos hacer cosas como asignar las bibliotecas de documentos a recursos compartidos de red, establecer un fondo de pantalla predeterminado, agregar accesos directos específicos a las barras de herramientas de marcadores en IE y Safari (implementamos safari porque tenemos un programa iPod Touch 1: 1 y también necesitamos iTunes) , y muchos otros ajustes a estas estaciones de trabajo públicas. Queremos poder hacerlo rápidamente, donde podamos obtener buenos comentarios sobre los resultados de un cambio, y debemos hacerlo para que cientos de usuarios puedan iniciar sesión con sus credenciales de Active Directory. Hemos recorrido el camino del perfil móvil en el pasado, y esa tampoco es una buena opción.

Actualmente, nuestros controladores de dominio todavía ejecutan Server 2003, y también preferimos usar CloneZilla que sysprep para manejar las imágenes de las máquinas.

También soy reacio a usar la política de grupo simplemente como una cuestión de flujo de trabajo. Cuando pudimos usar perfiles de plantilla, si encuentra algo que desea cambiar, simplemente inició sesión como el usuario correcto, lo cambió, cerró la sesión y el cambio se aplicará la próxima vez que actualicemos las máquinas. Ahora tenemos que buscar la configuración correcta de GP, si es que existe. Podría llevar más de una hora completar lo que solía ser una cosa de cinco minutos.

¿Ha utilizado las preferencias de política de grupo anteriormente? Usamos GPP y funciona fantástico. Tenemos una TONELADA de configuraciones que implementamos y se aplica rápidamente. Lo bueno de GPP es que se puede usar para establecer valores predeterminados (por ejemplo, la página de inicio predeterminada) y NO volver a aplicar las configuraciones establecidas inicialmente. Puede hacer cosas como entradas de registro personalizadas, copias de archivos, unidades / impresoras asignadas, fondos de escritorio, etc. Casi cualquier cosa.

En segundo lugar, los scripts de inicio de sesión combinados con GPP son otra buena opción. Puede haber cosas más complejas que debe hacer (por ejemplo, con nosotros, necesitamos cargar un complemento de oficina en Excel) para las que un script es más adecuado.

Simplemente sugeriría Googleing "preferencias de política de grupo".

Un poco más que olvidé, si desea que el software gestione esto, la solución que le puede interesar es una tecnología llamada "Virtudización del usuario". Las siguientes dos compañías tienen un producto popular.

1. AppSence
2. Software RES

Lo que realmente debe hacer es implementar VDI, por ejemplo, Citrix XenDesktop. En la configuración típica, cada usuario obtiene una máquina virtual que se restablece a un estado prístino al cerrar sesión. La imagen de VM se transmite a través de "Provisioning Services" desde una sola imagen maestra, que es lo único que debe tocar cuando desea cambiar el entorno del usuario. Como beneficio adicional, obtiene versiones y reversiones fáciles porque la imagen maestra se almacena en varias versiones. Realice un cambio y retroceda fácilmente si no funciona.

Sin embargo, implementar VDI no es trivial y necesita algo de tiempo, aunque Citrix intenta que parezca simple .

Tengo curiosidad acerca de esto, ya que consulto una escuela y me he decidido por la política de grupo. La directiva de grupo con los clientes de Server 2008 R2 y Windows 7 puede administrar la configuración que menciona, si los tiempos de inicio de sesión son largos, posiblemente se deba a problemas de rendimiento de la red o del servidor que se pueden solucionar con un buen diseño de red y servidor.

La política de grupo a veces puede parecer que lleva mucho tiempo cambiar la configuración.

He encontrado algunas cosas para que esto funcione más rápido. Una es crear un script de PowerShell que replica los cambios entre los servidores de inicio de sesión en el comando. El otro es crear un script que fuerce un gpupdate / force remoto en las máquinas. Entonces realiza los cambios, ejecuta el script de replicación y luego ejecuta el script gpudate. Luego, el usuario reinicia o cierra sesión (dependiendo de la configuración, algunos reinician o dos).

Me pregunto si sus recursos compartidos de red están a la altura del impacto en el rendimiento de muchos directorios de Docs de usuarios. ¿Tiene un buen administrador de red empresarial que pueda asegurarse de que su diseño de conmutación y enrutamiento sea sólido? He visto laboratorios escolares con 60 máquinas, llenas de estudiantes que intentan ver youtube, en un enlace ascendente 10/100 a la red central.

Deep Freeze ciertamente parece que podría tener implicaciones de rendimiento, me pregunto si MS Steady State es mejor.

Puede usar las políticas de grupo.

Con el nuevo GPO disponible con Windows 7, el GPP (preferencia de política de grupo) puede establecer la configuración predeterminada para un usuario y darles la opción de cambiarlo. Puede presionar la impresora y configurarla de manera predeterminada, verifíquela como una sola vez y esta política solo se aplicará una vez, lo que brinda al usuario final la posibilidad de cambiar su impresora predeterminada.

Puede configurar los ajustes para IE y luego importarlos al editor de políticas de grupo.

Configurar el fondo de pantalla predeterminado, la unidad de mapeo es extremadamente fácil con GPP.

Al igual que con GPO, la preferencia se puede aplicar a un sistema o un usuario.

Puede acceder a GPP desde cualquier GPO desde Windows 7 y Windows Server 2008 R2. La mayoría de GPP puede funcionar en Windows XP si tiene instalada la extensión del lado del Cliente (disponible en la actualización de Windows)