Wie verwalte ich Hunderte von Benutzern (und benutzerdefinierten Profilen) auf einzelnen Windows 7-Computern?

Wir sind ein kleines College, in dem jedem Schüler ein Active Directory-Konto zugewiesen wird. Wir haben ein paar Computerlabors, in denen alle Computer der Domäne zugeordnet sind und die Schüler sich bei jedem Computer anmelden können. Im Laufe eines Semesters melden sich die meisten Studenten an den meisten Maschinen an.

In der Vergangenheit haben wir dies unter Windows XP mithilfe der alten Funktion zum Kopieren von Profilen zusammen mit einem Produkt namens Deep Freeze verwaltet, sodass Profile effektiv automatisch bereinigt werden. Viele Schulen setzen diese Technik schon lange erfolgreich ein.

Leider bricht Windows 7 all dies. Wir können die Funktion "Profil kopieren" nicht mehr verwenden, um Vorlagenprofile für die Workstations vorzubereiten. Gruppenrichtlinien können zum Einrichten der Maschinen verwendet werden. Dies ist die offizielle Methode zur Behandlung des Problems. Leider funktioniert dies aus zwei Gründen nicht so gut. Das erste ist, dass Gruppenrichtlinien beim Einrichten der Profiloptimierungen nicht annähernd so freundlich sind. Wir können Änderungen, die wir vornehmen möchten, nicht so schnell ausführen, und einige Dinge können nur auf dem Computer ausgeführt werden, bevor sysprep ausgeführt wird (was eine häufigere Neuabbildung des gesamten Betriebssystems erfordern würde). Das Ergebnis ist, dass wir am Ende ein weniger ausgefeiltes Desktop-Erlebnis haben.

Bei diesem ersten Problem könnten wir die Kugel beißen, aber das zweite Problem ist, dass alle Gruppenrichtlinieneinstellungen in Verbindung mit Deep Freeze zu unglaublich langsamen Anmeldezeiten führen, da Sie fast alle GP-Optimierungen bei jedem erneut anwenden müssen Anmeldung. Die verbesserten Sicherheitsfunktionen von Windows 7 gegenüber XP (nämlich UAC) ermöglichen es mir, ein Semester ohne Deep Freeze zu versuchen ... außer dass wir am Ende jedes Semesters immer noch Hunderte von Benutzerprofilkonten auf jedem Computer haben würden Das ist, nachdem mehr Arbeit investiert wurde , um Gruppenrichtlinien einzurichten, die zu einem verminderten Ergebnis führen.

Gibt es also Vorschläge für bessere Wege, um dieses Problem anzugehen?

Wir möchten beispielsweise die Dokumentbibliotheken Netzwerkfreigaben zuordnen, ein Standard-Hintergrundbild festlegen und bestimmte Verknüpfungen zu den Lesezeichen-Symbolleisten in IE und Safari hinzufügen (wir stellen Safari bereit, da wir ein 1: 1-iPod Touch-Programm haben und auch iTunes benötigen). und viele andere Verbesserungen an diesen öffentlichen Arbeitsplätzen. Wir möchten in der Lage sein, dies schnell zu tun, um ein gutes Feedback zu den Ergebnissen einer Änderung zu erhalten, und wir müssen dies tun, damit sich Hunderte von Benutzern mit ihren Active Directory-Anmeldeinformationen anmelden können. Wir sind in der Vergangenheit den Weg des Roaming-Profils gegangen, und das ist auch keine gute Option.

Derzeit wird auf unseren Domänencontrollern immer noch Server 2003 ausgeführt, und wir verwenden CloneZilla viel lieber als Sysprep, um das Imaging der Computer zu verwalten.

Ich zögere auch, Gruppenrichtlinien nur als Frage des Workflows zu verwenden. Wenn wir Vorlagenprofile verwenden konnten und etwas gefunden haben, das Sie ändern möchten, haben Sie sich einfach als der richtige Benutzer angemeldet, es geändert, sich abgemeldet und die Änderung wird beim nächsten Aktualisieren der Computer angewendet. Jetzt müssen wir die richtige GP-Einstellung suchen, falls sie überhaupt existiert. Es könnte mehr als eine Stunde dauern, bis eine fünfminütige Sache erledigt war.

Haben Sie bereits Gruppenrichtlinieneinstellungen verwendet? Wir verwenden GPP und es funktioniert fantastisch. Wir haben eine TONNE von Einstellungen, die wir bereitstellen und die schnell angewendet werden. Das Schöne an GPP ist, dass damit Standardeinstellungen festgelegt werden können (z. B. die Standardhomepage) und die ursprünglich festgelegten Einstellungen NICHT erneut angewendet werden können. Sie können beispielsweise benutzerdefinierte Registrierungseinträge, Dateikopien, zugeordnete Laufwerke / Drucker, Desktop-Hintergründe usw. ausführen.

Zweitens sind mit GPP kombinierte Anmeldeskripte eine weitere gute Option. Möglicherweise müssen Sie komplexere Dinge tun (zum Beispiel mussten wir bei uns ein Office-Plugin in Excel laden), für die ein Skript besser geeignet ist.

Ich würde einfach Googleing "Gruppenrichtlinieneinstellungen" vorschlagen.

Ein weiteres bisschen, das ich vergessen habe, wenn Sie möchten, dass Software dies verwaltet, ist die Lösung, an der Sie interessiert sein könnten, eine Technologie namens "User Virtualazation". Die folgenden zwei Unternehmen haben ein beliebtes Produkt.

1. AppSence
2. RES Software

Was Sie wirklich tun sollten, ist die Bereitstellung von VDI, z. B. Citrix XenDesktop. In der typischen Konfiguration erhält jeder Benutzer eine virtuelle Maschine, die beim Abmelden auf einen ursprünglichen Zustand zurückgesetzt wird. Das VM-Image wird über "Provisioning Services" von einem einzigen Master-Image gestreamt. Dies ist das einzige, was Sie berühren müssen, wenn Sie die Benutzerumgebung ändern möchten. Als Bonus erhalten Sie eine einfache Versionierung und ein Rollback, da das Master-Image in mehreren Versionen gespeichert ist. Nehmen Sie eine Änderung vor und rollen Sie einfach zurück, wenn es nicht funktioniert.

Die Implementierung von VDI ist jedoch nicht trivial und benötigt einige Zeit, obwohl Citrix versucht, es einfach aussehen zu lassen .

Ich bin neugierig auf diese, da ich für eine Schule berate und mich für Gruppenrichtlinien entschieden habe. Gruppenrichtlinien mit Server 2008 R2- und Windows 7-Clients können die von Ihnen genannten Einstellungen verwalten. Wenn die Anmeldezeiten lang sind, liegt dies möglicherweise an Netzwerk- oder Serverleistungsproblemen, die mit einem guten Netzwerk- und Serverdesign behoben werden können.

Gruppenrichtlinien können manchmal den Anschein erwecken, dass das Ändern der Einstellung lange dauert.

Ich habe ein paar Dinge gefunden, damit dies schneller funktioniert. Eine besteht darin, ein Powershell-Skript zu erstellen, das Änderungen zwischen Anmeldeservern auf Befehl repliziert. Das andere besteht darin, ein Skript zu erstellen, das ein entferntes gpupdate / force auf Computern erzwingt. Sie nehmen also Ihre Änderungen vor, führen das Replikationsskript aus und führen dann das gpudate-Skript aus. Anschließend führt der Benutzer einen Neustart durch oder meldet sich ab (abhängig von den Einstellungen führen einige einen oder zwei Neustarts durch).

Ich frage mich, ob Ihre Netzwerkfreigaben den Auswirkungen vieler Benutzer-Docs-Verzeichnisse auf die Leistung entsprechen. Haben Sie einen guten Netzwerkadministrator für Unternehmen, der sicherstellen kann, dass Ihr Switching- und Routing-Design solide ist? Ich habe Schullabore mit 60 Maschinen gesehen, die mit Schülern gefüllt sind, die versuchen, YouTube auf einem 10/100-Uplink zum Kernnetzwerk anzusehen.

Deep Freeze klingt sicherlich so, als könnte es Auswirkungen auf die Leistung haben. Ich frage mich, ob MS Steady State besser ist.

Sie können Gruppenrichtlinien verwenden.

Mit dem neuen Gruppenrichtlinienobjekt, das unter Windows 7 verfügbar ist, dem Gruppenrichtlinienobjekt (Gruppenrichtlinieneinstellung), können Sie Einstellungen als Standard für einen Benutzer festlegen und ihm die Möglichkeit geben, diese zu ändern. Sie können den Drucker pushen und standardmäßig festlegen. Aktivieren Sie ihn als einmal ausgeführt. Diese Richtlinie gilt nur einmal, sodass der Endbenutzer die Möglichkeit hat, seinen Standarddrucker zu ändern.

Sie können Einstellungen für den IE konfigurieren und diese dann in den Gruppenrichtlinien-Editor importieren.

Das Einrichten des Standard-Hintergrundbilds und das Zuordnen von Laufwerken sind mit GPP extrem einfach.

Wie beim Gruppenrichtlinienobjekt kann die Präferenz auf ein System oder einen Benutzer angewendet werden.

Sie können von jedem Gruppenrichtlinienobjekt aus über Windows 7 und Windows Server 2008 R2 auf GPP zugreifen. Die meisten GPPs können unter Windows XP verwendet werden, wenn die clientseitige Erweiterung installiert ist (verfügbar unter Windows Update).