Профили в Windows
 

Добрый всем день! Совсем недавно у меня появилась идея и вместе с идеей появлиась куча вопросов. Эта идея показала, какая же все таки брешь в знаниях Windows у меня имеется. Начал искать в интернете, вопросов по этоим темам изучается море, но все отрывочно и кусками, то даются ссылки на англ. языки, которые 90 % пользователей задающиеся этим вопросом просто закрывают.
ПРоблема собвстенно в профилях Windows, что они из себя представляют и выходы из ситуаций, в случае краха системы ( домена ).
Нигде нет централизованного ответа, на эти вопросы. ПРосто представим ситуацию, что бы было лечге все понять, у нас в организации совсем не так, как я опишу, но я хотел бы понять решения следующих вопросов имея следующие железяки:
1. Контроллер домена. Слабая машинка на которой поднята роль DC, AD. Допустим, что имеется резервный контроллер домена, хотя его может и не быть, в данной ситуации это не столь важно.
2. Терминальный сервер. Со всеми вытекающими: TS, IIS, вероятоно еще File Server.
3. Хранилище данных. Какое нибудь NAS устройство, с горячей заменой дисков. ЛИбо без него.
И так возникшие вопросы:
1. Что такое собственно профиль? Как я понимаю, это папка с файлами, хранящая данные о пользователе и его пользовательские настройки. Где он располагается при имеющемся выще оборудовании?
2. Что такое терминальный профиль? Можно ли терминальный профиль совместить с локальным?
3. При использвании тонких клиентов, загружаемый профиль пользователя является перемещаемым, он же терминальный, можно ли его разместить на хранилище?
4. Что будет с профилями локальными / терминальными, что одно и тоже в случае с тонким клиентом , если упадет контроллер домена ? Есть ли возможность при создании нового DC, AD и тд, подключить уже имеющиеся терминальные/локальные профили находящиеся например на хранилище?
5. МОжно ли сделать так(вопрос 2), что бы пользователь с обычноко ПК ( не тонкий клиент ) включая свою машинку, видел профиль, как будто бы локальный, но на самом деле он находится на хранилище, и при последующем подключении к терминалу видел опять же этот же профиль ?
6. МОжно ли ограничить пользователя местом на жестком диске, а так же пространство , котрое он может видеть своими глазами только лишь своим профилем? ( Пример: терминальный профиль, зайдя через папку открыть в 1с, может увидеть файлы баз 1с, этого надо избежать , до сих пор этого не требовалось).
7. Как сделайть единый профиль для груббы лиц, например профиль бухгалтер. Появился новый работник бухгалтер, для него уже имеется профиль, со всеми настройками и прописанными принтерами, базами, сетевыми папками.
8. В профиле пользователя(перемещаемом/локальном/терминальном) есть ли возможность, заранее, до входа пользователя в систему прописать ему все сетевые папки с документами , находящиеся на другом сетевом хранилище ?

Собственно это только базовые вопросы, которых по 1 в интеренте задают сотни людей. Хотелось бы все это обобщить.
Заранее спасибо за ответы.

NTUSER.DAT
я думаю да, т.к. разница только в способе доступа к серверу + когда я захожу на свой сервер по RDP, то у меня теже обои что и локально :)
ничего не будет. вроде он не зависит от наличия КД.
у меня иногда возникает проблема в работе у пользователей. захожу собой, удаляю профиль (сохранив документы) - захожу заново пользователем.
Создаётся новый профиль. Если мне нужно вернуть старые настройки рабочего стола - возвращаю (из под своей учётки) ранее сохранённый NTUSER.DAT.
Профили приложений хранятся в других местах.
Перемещаемый ?
через права NTFS + http://forum.oszone.net/thread-190786.html
групповые политики.
см. пункт 7
самое главное забыл, админы делятся на три группы:
1) которые не делают бекап.
2) которые делают бекап.
3) которые делают дополнительный бекап (я сам раз напоролся, когда файл бекап "сломался") это я от себя добавил :)

+ запись в реестре HKU\ & HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
размещается на каждой машине, куда логонился этот пользотель.
в случае перемещаемых профилей - ещё и там где собственно корень хранения профилей.
это профиль пользователя терминальных серверов.
вопрос не понятен, что значит совместить?
нужно.
создастся новый профиль, потому что у нового пользотеля, даже с таким же именем, будет другой SID в другом домене. это если у вас 1 КД, если более одного - ничего не произойдёт.
да, это перемещаемый профиль.
местом можно - квоты.
что бы избежать этого используйте SQL, потому что имея права на файлы (а иначе 1С файловая работать не будет), пользователь может их скопировать/отредактировать.
ну или Remote Apps/Citrix, это несколько усложнит процесс.
насколько я знаю профиль на группы не делается.
используется групповая политика для всего что вы написали.
да, групповые политики.

книжка "Администрирование Windows Server" отвечает на них более чем полностью.

кстати, а как такая идея:
настроить профиль на компе, "скопировать" его на хранилище.
а потом политиками копировать в профиль All Users.
Ну и указать, что политику применять один раз.

и что это даст? =)

Так это все понятно, политики нашел. Теперь такой вопрос остается все же не закрытым:
с обычной машинки получается можно зайти на комп под пользователем, профиль которого будет находиться на удаленном хранилище, соответственно однозначно, на локально ПК все равно создастся кэшируемый профиль этого юзера, который можно так жэе удалить посредством политики , после завершения сеанса, правильно я думаю ? Что бы на диске С в папке пользователи не было ни 1 учетной записи помимо All Users. - все это нгазывается перемещаемый профиль. Далее, пользователь заходит на терминал под этой же учетной записью естественно и прописанный в профиле терминалов профиль он увидит тот же самый что и как бы "ЛОКАЛЬНЫЙ" , который он увидел изначально. Чем это поможет - единое хранение документов и конфигурации профилей каждогол юзера.
Посредством групповых политик можно настроить принтеры и т.д. это понятно.
Но вот восстановить профиль после падения домена получается нельзя, не имея Backup?

ФАйл ntuser.dat содежит все параметры профиля ? ТАкие как разрешение рабочаего стола и тд ? так ведь. Следовательно можно просто бакапить ntuser.dat каждого профиля, отобрав их по маске. *.dat верно ?

имею ввиду иметь 1 профиль на 1 юзера, как терминальный так и локальный, находящийся на удаленном хранилище и имеющий одну и ту же квоту. Все операции которые профиль делает в профиле локальном ( перемещаемом) отображаются и на терминальном профиле. Т.е. 1 профиль на 1 юзера.


А где же регистрируются временные файлы и папки программ используемые пользователем, например таких как Office, 1c, IE и тд.... И имеет ли смысл ставить на терминальный сервер office и разделять его по юзерам, если можно локально на каждую машинку установить office, а так как профиль один и тот же, то через терминал использовать только те программы, которые ресурсоемки по сетевой нагрузке, например 1с8 и почта.

а то что пользователь при входе в систему будет иметь эти настройки. только я ошибся, не All Users, a Defaul User - настройки, который назначаются всем при первом входе.
нельзя.
в основном настройки рабочего стола. возможно и такие настройки как "Пуск" тоже, но я не проверял.
ну да, по идее, но на практике не проверял.

для информации:
если переименовать NTUSER.DAT в NTUSER.MAN то пользователь не сможет изменить настройки.
Это называется обязательный профиль.

Если профиль будет на хранилище, а backup имеется ввиду контроллера домена. Т.е если его не будет, то профиль мертвый. Нужно только зайти на профиль под доменной учетной записью например domain\user ввести пароль и копирнуть всю инфу в новый профиль. Жаль, а я думал , что профильуниверсальный , оказывается имеет свои SID имена, как было сказано выше.

NTUSER.DAT не привязывается к домену. Т.е. я могу его вообще другому пользователю подложить. В теории так. на практике протестирую.это есть тока у объектов AD, профиль не объект AD.

Утилиты аля ProfWiz эту проблему смогут решить.

Вскоре начну заморачиваться с профилями. Это очень нужно, поскольку растет кол-во пользователей на глазах, и это очень удобно и безопасно.)
ТОлько вот по посту №6 еще остались не решеные вопросы.

странных подход.
мы вот не заботимся о профилях, нас больше интересует служебная информация.
ресурсы, с которыми работают пользователи, а если сломалась винда - перезаливаем.

тут дело немного в другом, тонкие клиенты грядут!!! и нужно подготовиться! :)
А винду мне лечге переустановить и подключить профиль пользователя.

Собственно вопрос, эти политики желательно применять для всех контейнеров??? А исключения можно делать через фильтр VMI?

И конкретно по политикам??? Та что последняя я так понимаю просто указывается огбласть на каком либо сетевом ресурсе, в котором будут создаваться профили под названиями учетных записей ?

ТА что предпоследняя обязует кэшировать профили, но работа будем фактически с перемещаемого профиля на сетевом хранилище ?

И последнее, как защитить сетевое хранилище с указанной областью ля соранения профилей от посягательст третих лиц? просто задать параматр безопасности на каждом вновь созданном профиле, указав разрешения доступа конкретному профилю ?? А если хранилище не поддерживает AD Users ?