Методическая документация к лабораторной работе №3.
УПРАВЛЕНИЕ РАБОЧЕЙ СРЕДОЙ ПОЛЬЗОВАТЕЛЕЙ В СЕТЯХ НА ОСНОВЕ Windows NT Server.
Что такое рабочая среда пользователя?
Под рабочей средой пользователя сети на основе Windows NT Server в общем случае понимается совокупность параметров, которые определяют интерфейс и функциональность инструментария, доступного на конкретном компьютере, а также способ представления внешних ресурсов. В зависимости от типа операционной системы рабочая среда может являться атрибутом пользователя или компьютера. Например, Windows NT Workstation рабочая среда всегда является атрибутом пользователя, в Windows 3.х – атрибутом компьютера, а в Windows 95 возможны оба варианта. Если рабочая среда является атрибутом компьютера, то любой пользователь наследует ее на время работы сеанса работы с этим компьютером. Если рабочая среда является атрибутом пользователей, то она индивидуальна для каждого из них во время сеанса работы с одним и тем же компьютером.
В рамках данной статьи мы рассмотрим особенности управления рабочей средой пользователей сети, на сереверах которой установлена операционная система Windows NT Server 4.0, а на рабочих станциях - Windows NT Workstation 4.0 или Windows 95. В этих операционных системах рабочая среда пользователя целиком определяется в терминах профилей, системной политики и процедур регистрации в сети. Именно этим механизмам будет уделено основное внимание, но прежде чем приступить к обсуждению технических аспектов, необходимо решить, зачем вообще нужно управлять рабочей средой пользователей и что в данном случае подразумевается под управлением.
Зачем управлять рабочей средой?
С точки зрения пользователя, рабочая среда – это значки, расположенные на рабочем столе, меню, открывающееся по кнопке Start, подключенные сетевые диски, хранитель экрана, фоновый рисунок, языковые средства, а также возможность (или невозможность) выполнять определенные действия в отношении системы и, конечно, специфические параметры установленных приложений, в частности конфигурация системы или настройка браузера ресурсов. Очевидно, что рабочая среда, необходимая конкретному пользователю (или группе пользователей) для выполнения повседневных задач, требует некоторых квалифицированных трудозатрат на свое формирование. Как показывает практика, среднестатистический пользователь современной информационной системы не может самостоятельно решить это задачу. Зато известно, что тот же самый пользователь ив течение весьма непродолжительного времени может превратить свою рабочую среду в абсолютно нерабочую, если администратор не предпримет соответствующих мер. Таким образом, можно сформулировать основополагающие требования к рабочей среде пользователя, принимая во внимание то, что некоторые из этих требований могут оказаться неактуальными применительно к условиям существования конкретной организации:
§ начиная с первого сеанса работы с компьютером каждый пользователь должен получать заранее сформированную рабочую среду, соответствующую задачам, которые он выполняет в информационной системе;
§ рабочая среда должна быть атрибутом пользователя (в соответствии с приведенным выше определением);
§ одна и та же индивидуальная рабочая среда должна быть доступна пользователя вне зависимости от того, на каком компьютере она работает;
§ начиная очередной сеанс работы с компьютером, пользователь должен получать свою рабочую среду с учетом всех изменений, сделанных им в течение предыдущего сеанса работы;
§ администратор должен обладать возможностью сформировать рабочую стреду, отвечающую всем перечисленным требованиям, но ограничивающую возможности пользователя по ее изменению в соответствии с предусмотренными правами (включая полный запрет на внесение каких-либо изменений).
Что касается управления рабочей средой, то оно фактически сводится к осуществлению шагов, необходимых для удовлетворения изложенных выше требований. Формулировка задачи предельно проста. Остается только ответить на вопрос, вынесенный в название этой главы, - зачем вообще суетиться? Конечно, ответ на него в силу его очевидности для сетевых администраторов можно вообще не читать, но я не случайно решил уделить ему несколько строк.
Дело в том, что менеджер информационной системы (или, как сейчас принять говорить, IT-менеджер) зачастую оказывается безоружным, когда обозначенный вопрос ему задает административное руководство, чье понимание и поддержка в значительной степени определяют успех или неуспех развития информационных технологий в организации. Ясно, что для подобных случаев невредно запастись аргументами, уместными в кругу лиц, неискушенных в таинствах программного обеспечения. Так вот, оказывается, существует такое понятие, как совокупная стоимость владения информационными технологиями (сокращенно ТСО – Total Cost of Ownership). ТСО включаем в себя все прямые и косвенные затраты, связанные с использованием вычислительной техники: на планирование и внедрение информационной системы, на ее эксплуатацию и обслуживание, а также расходы, связанные с деятельностью конечных пользователей. На сегодняшний день есть уже несколько моделей и алгоритмов, позволяющих оценить совокупную стоимость владения детально; известны также и некоторые относительные показатели, определяющие пропорцию между различными видами затрат. В частности, косвенные затраты, связанные с деятельностью конечных пользователей, составляют 56%, затраты на управление информационной системой – 12%, а затраты на техническую поддержку конечных пользователей – 16% В сумме эти показатели составляют большую часть совокупной стоимости владения информационными технологиями.
Теперь, вооружившись понятием ТСО и принимая во внимание упомянутое соотношение затрат, можно легко ответить на поставленный вопрос: грамотная организация рабочей среды пользователей позволяет существенно снизить совокупную стоимость владения информационными технологиями.
Как уже было сказано, рабочая среда пользователя (применительно к Windows NT и Windows 95) формируется посредством профилей, процедур регистрации в сети и системной политики. Поэтому и основной материал статьи разделен на три части, в каждой из которых детально рассматривается соответствующий механизм и даются рекомендации по его использованию. Хочется также отметить, что разделы, посвященные системной политике и процедурам регистрации, не уместились в рамки этого номера журнала и будут опубликованы в следующем. Если в тексте встречается название “Windows NT”, это означает, что в данном контексте информация в равной мере относится как к Windows NT Workstation, так и к Windows NT Server.
Профили пользователей
Что такое профиль пользователя?
Профиль пользователя – это совокупность данных, описывающих индивидуальную рабочую среду. К этим данным прежде всего относяться все содержимое ветви реестра HKEY_CURRENT_USER, соответствующей пользователю. Там храниться практически все параметры установленных приложений и компонентов самой операционной системы, например параметры мыши, принтеров и цветовой гаммы. Кроме того, профиль содержит дополнительную информацию, описывающую рабочий стол, меню Start, последние несколько документов, с которыми работал пользователь, присоединенные внешние ресурсы и т.п. С точки зрения хранения данных, профиль представляет собой не один файл, а целую структуру каталогов на диске компьютера, которую мы подробно рассмотрим в следующем разделе.
СОСТАВ ПРОФИЛЯ
Корневой каталог профиля содержит несколько вложенных каталогов, каждый из которых описывает соответствующий компонент рабочей среды пользователя (некоторые из перечисленных каталогов имеют атрибут bidden, поэтому они не всегда отображаются в окне Проводника):
§ Application data. По умолчанию соответствует месту хранения различных вспомогательных данных для приложений, например словарей пользователя для программ проверки правописания;
§ Desktop. Содержит элементы рабочего стола (ярлыки, файлы и папки);
§ Favorites. Содержат ярлыки для тех информационных ресурсов, к которым пользователь обращается наиболее часто. Например, здесь хранится список избранных узлов Интернета, формируемый при работе с Internet Explorer;
§ NetHoot. Размещенные в этом каталоге объекты будут отображаться в окне Network Neighborhood наряду с перечнем компьютеров. Обычно администраторы не используют эту возможность, хотя для нее существует, по крайне мере, два очень полезных применения. Во-первых, в этом каталоге можно разместить ярлык для текстового документа со списком сетевых ресурсов. Таким образом, желая быстро отыскать в сети какой-либо ресурс, пользователь может щелкнуть по указанному документу прямо в окне Network Neighborhood и оперативно получить информацию о том, где в сети находится искомый ресурс. Во-вторых, можно разместить в этом каталоге ярлыки для тех серверов, к которым пользователь обращается наиболее активно. Это позволит логически сгруппировать серверы, физически принадлежащие к разным доменам или рабочим группам, что также упрощает поиск ресурсов в условиях сложной сети;
§ Personal. По умолчанию соответствует месту, где установленные приложения предлагают пользователю сохранять подготовленные им файлы или документы;
§ PrintHood. По сути, этот каталог похож на обсуждавшийся выше NetНood,только объекты, размещенные в нем, будут отображаться в окне Printers. С поправкой на то, что речь идет о принтерах, к тому каталогу применимы все рассуждения, относящиеся к каталогу NetHood;
§ Recent. Содержит ярлыки для последних нескольких документов, с которыми работал пользователь (эта информация соответствует пункту Document в меню Start);
§ SendTo. Содержит ярлыки для различных устройств, куда могут быть отправлены файлы, а так же ярлыки для приложений, посредством которых файлы могут быть открыты для последующей обработки. Ярлыки в этом каталоге соответствуют списку, который появляется при выборе пункта SendTo из контекстного меню файла. Пользователь или администратор имеет возможность расширить этот список, добавив в каталог SendTo соответствующий ярлык. Например, удобно разместить в каталоге SendTo ярлык для приложения Notepad, что позволит быстро открыть любой текстовый файл с помощью этого приложения;
§ Start Menu.Содержит каталоги и ярлыки, определяющие вид меню Start;
§ Templates. Каталог, в котором, казалось бы, по умолчанию должны сохраняться различные шаблоны. Однако на практике мне не удалось встретить ни одного приложения, которое использовало бы этот каталог.
Помимо вложенных каталогов корневой каталог профиля в общем случае содержит два очень важных файла: ntuser. dat и ntuser.dat.log (для Windows NT) или user. dat и user. da0 (для Windows 95). В файлах ntuser. dat и user.dat хранится информация, соответствующая ветви реестра HKEY_CURRENT_USER для Windows NT и Windows 95 соответственно. Фактически в редакторе реестров мы видим просто отображение информации из указанного файла. В свою очередь, файлы ntuser.dat.log и user. da0 хранят некоторые избыточные данные, гарантирующие возможность восстановление информации в случае какого-либо сбоя. Важно понимать, что несмотря на эквивалентную функциональность и расположение файлы ntuser. dat и user.dat принципиально отличаются друг от друга и абсолютно несовместимы вследствие разных форматов хранения реестра в Windows NT и Windows 95.
ЛОКАЛЬНЫЕ ПРОФИЛИ
Профили пользователей могут быть трёх типов: локальные (local), сетевые (roaming или server-based) и обязательные (mandatory), причём отличаются друг от друга только местом хранения и способом обработки операционной системой. Состав и структура всех типов профилей идентичны.
Локальные профили пользователей храняться на жёстком диске рабочей станции в каталоге %System-Root%\Profiles, где %System-Root% соответствуют каталогу, в которую установлена операционная система, например C:\WINNT40. Для всех пользователей, хотя бы однажды эксплуатировавших данный компьютер, внутри каталога %System-Root%\Profiles существует каталог с названием, которое соответствует сетевому имени пользователя, например %System-Root%\Profiles\Gromov. Этот каталог является корневым каталогом (и местом хранения) локального профиля пользователя на данном компьютера (рис.5). В течение сеанса работы с компьютером любые изменения рабочей среды, выполняемые пользователем, мгновенно записываются в локальный профиль (и только туда). Таким образом, только локальный профиль содержит актуальную информацию о рабочей среде, пока сеанс работы пользователя не окончен.
Рис. 5
После установки OC Windows 95 каталог %System-Root%\Profiles содержит только один вложенный каталог Default User, в котором храниться стандартный профиль. Часто (но не всегда) на его основе формируются новые профили для пользователей, ранее не эксплуатировавших данный компьютер. После установки Windows NT в каталоге %System-Root%\Profiles помимо Default User появляется ещё один каталог – All Users. Он, в свою очередь, содержит два вложенных каталога: Desktop и Start Menu. В них хранятся компоненты рабочей среды (объекты рабочего стола и ветви меню Start), наследуемые всеми пользователями данного компьютера наряду с их индивидуальной рабочей средой. В Windows 95 эта возможность не поддерживается.
СЕТЕВЫЕ ПРОФИЛИ
Сетевые профили по своему составу полностью эквивалентны локальным профилям, но располагаются не на рабочих станциях, а в разделяемых каталогах на серверах сети. Упрощённо механизм использования сетевых профилей можно описать следующим образом.
В момент регистрации пользователя на рабочей станции операционная система выясняет, что он имеет сетевой профиль, и на время сеанса работы создаёт соответствующий локальны профиль, который является точной копией сетевого. Все изменения рабочей среды во время сеанса мгновенно отражаются в локальном профиле. Когда пользователь завершает работу с компьютером, содержимое локального профиля (возможно, изменённое) сохраняется в том разделяемом каталоге, где хранится сетевой профиль. Таким образом, к началу следующего сеанса работы пользователь получит рабочую среду в том виде, в каком он её оставил в прошлый раз.
Ясно, что благодаря централизованному хранению сетевые профили позволяют пользователю получать одинаковую рабочую среду вне зависимости от того с каким компьютером он работает. Если пользователь постоянно эксплуатирует один и тот же компьютер, то назначать ему сетевой профиль не рационально. Если же пользователь в силу каких-либо причин регулярно работает на разных компьютерах, применение сетевого профиля оправдано. Однако иногда при использовании сетевых профилей могут возникать нежелательные побочные эффекты. Например, Internet Explorer 4.0 хранит свой кэш посещавшихся HTML-страниц внутри профиля пользователя (в отличие от предыдущих версий Internet Explorer, которые имели один кэш на всех пользователей и хранили его во временном каталоге на диске компьютера). Если не предпринять специальных мер, размер КЭШа за очень короткое время может достичь нескольких десятков мегабайт, которые постоянно будут “курсировать” между сервером и рабочей станцией пользователя в составе сетевого пользователя (в начале и в конце каждого сеанса работы).
Сетевые профили пользователей назначается администратором, причём для Windows NT и для Windows 95 это происходит по-разному. Если пользователь работает с компьютером, где установлена Windows NT, администратор должен создать разделяемый каталог, в котором будет храниться сетевой профиль. При этом профиль не обязательно должен располагаться непосредственно внутри разделяемого каталога – он может храниться на несколько уровней иерархией ниже. Условимся называть каталог, в котором хранится сетевой профиль, корневым каталогом сетевого профиля. Каждый пользователь должен иметь право на чтение и запись в корневой каталог своего сетевого профиля (но не должен иметь никаких прав на доступ к каталогам сетевых профилей других пользователей). Это естественное требование может сильно усложнить администрирование в условиях крупной сети. Поэтому если для пользователей предусмотрены личные каталоги, то лучшего места для размещения сетевого профиля не найти. Подробно личные каталоги будут рассмотрены во второй части статьи, а пока достаточно сказать, что личный каталог пользователя – это некоторый разделяемый каталог на сервере, выделенный ему для индивидуального использования, например \\SERVER\Gromov. Очевидно, что пользователь имеет право на чтение и запись в свой личный каталог. Администратор внутри личного каталога каждого пользователя может создать вложенный каталог с названием, который будет выступать в качестве корневого каталога сетевого профиля, например \\SERVER\Gromov\Profile (заметим, что в этом случае разделяемым каталогом является \\SERVER\Gromov, а не \\SERVER\Gromov\Profile).
Создав корневой каталог для сетевого профиля пользователя, администратор должен при помощи User Manager Domains отредактировать свойства бюджета пользователя, указав корневой каталог его сетевого профиля в нотации UNC, например \\SERVER\Gromov\Profile. Если в строке, указывающей путь к корневому каталогу, встречается фрагмент, идентичный сетевому имени пользователя (ничто не мешает администратору создать личные каталоги пользователей с названиями, соответствующими их сетевым именам), то для облегчения процедуры назначения профилей можно воспользоваться макроподстановкой вида %USERNAME%, автоматически заменяемой на имя пользователя. Тогда при необходимости назначить сетевые профили большому числу пользователей администратор просто выделяет соответствующую группу бюджетов и указывает путь к сетевому профилю сразу для всей группы, например \\SERVER\USERNAME\Profile. В этом случае для пользователя с сетевым именем эта строка будет интерпретироваться как \\SERVER\Gromov\Profile. Однако следует иметь в виду, что макроподстановка может встречаться в строке лишь однажды. Все последующие вхождения %USERNAME% будут игнорироваться (Рис. 6).
Рис.6
После того, как корневой каталог сетевого профиля создан и путь к нему указан в USER Manager for Domains, администратор может поместить созданный каталог ранее сформированный профиль для данного пользователя. В принципе, это действие не является обязательным, так как существуют механизмы, позволяющие различными способами наследовать стандартные профили в том случае, когда профили пользователей отсутствуют в тех местах, где операционная система рассчитывает их обнаружить. Более подробно эти механизмы будут рассмотрены ниже.
Назначение сетевого профиля для пользования на рабочих станциях под управлением происходит несколько иначе, чем для. В этом случае администратору не требуется создавать корневой каталог для сетевого профиля и указывать путь к нему. Вместо этого администратору достаточно указать в USER Manager for Domains путь к личному каталогу пользователя в нотации UNC, например \\SERVER\Gromov. Дело в том, что ОС Windows 95 автоматически считает личный каталог пользователя, указанный в USER Manager for Domains, местом хранения его сетевого профиля. Таким образом, применением сетевых профилей для пользователей Windows 95 непременно требует наличие у них личных каталогов, и наоборот – назначение пользователю личного каталога автоматически влечет за собой появление у него сетевого профиля (далее мы увидим, что эта схема допускает исключения).
ОБЯЗАТЕЛЬНЫЕ ПРОФИЛИ.
Обязательные профили – это разновидность сетевых профилей, отличающихся от последних тем, что пользователи не имеют возможности их модифицировать. Иными словами, основное отличие обязательного профиля от сетевого заключается в том, что ОС загружает назначенный администратором обязательный профиль пользователя в начале сеанса работы, но не сохраняет его по окончанию сеанса. Таким образом, все изменения, вносимые в профиль в течении сеанса работы, пропадают, и перед началом каждого последующего сеанса профиль пользователя соответствует своему первоначальному состоянию. Обычно один обязательный профиль назначается сразу целой групе пользователей, выполняющей на компьютере идентичные, строго регламентированные функции.
Обязательные профили назначаются также, как и сетевые. Единственное отличие состоит в том, что обязательный профиль не может быть сформирован через механизм наследования на основе стандартного профиля, т.е., назначив пользователю обязательный профиль администратор должен явно сформировать его и разместить в соответствующем каталоге.
Как же Windows 95 и Windows NT отличают обязательный профиль от сетевого? Очень просто – обязательный профиль имеет всего один отличительный признак: файлы имеются (для Windows NT и Windows 95 соответственно). Это означает, что администратор может превратить сетевой профиль в обязательный, просто переименовав указанный файл. Однако желательно также средствами Windows NT Server запретить пользователю изменять корневой каталог обязательного профиля, что бы он не мог вручную переименовать файлы, или модифицировать содержимое вложенных каталогов, например Desktop, Start Menu или Recent. Ясно, что использовать обязательные профили для ОС Windows 95, когда она загружает их из личных каталогов, практически бессмысленно. Во-первых, в этом случае весьма затруднительно ограничить доступ пользователя к содержимому профиля. Во-вторых, невозможно назначить один обязательный профиль сразу нескольким пользователям: придется копировать в каждый личный каталог, что сильно усложняет администрирование, уничтожая все преимущества использования профилей. В результате обязательные профили оказываются эффективные в среде Windows 95, когда она загружает профили на основе файлов соответствий (как было описано выше).