Perfis de roaming: logins simultâneos do mesmo usuário

Navegue suas respostas
7

Estou administrando um ambiente do Windows Server 2008 R2 que está usando perfis móveis e redirecionamento de pastas. As máquinas clientes estão executando o Windows 7. Devido à natureza do negócio, os usuários raramente efetuam logoff e frequentemente fazem logons em várias máquinas de uma só vez. Isso obviamente cria muitos problemas com os conflitos do "último escritor ganha" e cada sessão sobrescreve as alterações feitas em outra sessão.

Eu tentei métodos diferentes para reduzir os conflitos, mas ainda não tenho uma solução satisfatória. Eu estou usando o novo recurso de upload em segundo plano de perfis de usuário, mas como este artigo explica que realmente não resolve o problema: link . Também testei alguns softwares de terceiros, como o ProfileUnity, mas ainda tive alguns problemas com isso. E, é claro, sugeri que os usuários pudessem ser mais conscientes sobre o logoff quando deixassem o computador e antes de iniciar uma nova sessão. Mas a gerência disse que isso simplesmente não acontecerá e não funcionará para o nosso meio ambiente.

Então a questão é, algum de vocês tem experiência com esse problema? Você conhece alguma configuração ou aplicativos de terceiros que, pelo menos, minimizam os conflitos, mesmo que não os eliminem? Existe alguma maneira de fazê-lo para que o computador faça um logoff periódico e faça logon de forma transparente para o usuário?

    
por ThinkerIV 06.08.2011 / 16:23

7 respostas

5

Primeiro, não há nada de errado em usar perfis móveis, desde que sejam implementados corretamente. Só porque eles são um conceito antigo não os tornam menos úteis ou válidos no ambiente de TI de hoje. Perfis móveis não foram projetados com a intenção de um usuário por PC e um PC por usuário, eles foram projetados para o seu caso de uso exato, um ou muitos usuários que fazem logon em vários computadores (sejam estações de trabalho ou servidores de terminal). A intenção era dar ao usuário um ambiente consistente (área de trabalho, configurações de aplicativos, etc.), independentemente de qual computador eles fazem logon.

Em segundo lugar, a implementação de algum tipo de mecanismo de logoff automático não resolve o problema, pois não impede que um usuário tenha vários logons em vários computadores simultaneamente. O que impede um usuário de fazer logon em um computador ou TS às 9h e fazer logon em outro às 10h? Quando seu mecanismo de logoff automático entra em ação, você ainda terá o mesmo problema.

Em terceiro lugar, o redirecionamento de pastas pode ajudar a situação redirecionando algumas pastas para fora do perfil de roaming, mas isso não resolve o problema, porque nem todas as pastas de usuários podem ser redirecionadas. Existem componentes principais do perfil móvel (ntuser.dat, configurações do programa, etc.) que não podem ser redirecionados.

Em quarto lugar, não há uma configuração que registre um usuário de sua sessão com base em suas configurações de horário de logon. As duas configurações que têm a ver com o logoff e desconexão de um usuário com base em suas horas de logon as desconectam de compartilhamentos SMB, ele não faz logoff de sua sessão de desktop. Existem configurações para finalizar (fazer logoff) de uma sessão de usuário em um TS, com base em vários intervalos de tempo (inativo, ativo, desconectado).

Você tem, infelizmente, um problema técnico, causado por um problema comportamental, que não pode ser completamente resolvido com uma solução técnica. Aqui estão algumas sugestões que podem ajudar:

  1. Implemente o redirecionamento de pastas (como outras pessoas sugeriram) para pastas como Meus documentos, Área de trabalho, Menu Iniciar.

  2. Se os usuários estiverem fazendo logon nos Serviços de Terminal, implemente uma restrição de logon único via GPO. Isso impedirá que qualquer usuário tenha mais de uma sessão.

  3. Informe seus usuários sobre o desenvolvimento do hábito de fazer logoff antes de sair para o dia. Isto é considerado boa prática / etiqueta e deve ser encorajado e apoiado pela gerência. Se a gerência recusa a ideia, eles são em parte culpados se o problema persistir.

por 07.08.2011 / 01:51
2

O grande problema com os perfis de roaming é que eles foram projetados há muito tempo em meados dos anos 90 para um caso de uso específico: um PC por usuário e um usuário por PC. Nesse cenário, os perfis de roaming funcionam razoavelmente bem, mas se o cenário mudar, eles falharão (miseravelmente).

O problema do "último escritor ganha" causado por sessões simultâneas é muito bem conhecido no mundo dos servidores de terminal, onde tenho trabalhado por muitos anos. Por causa dos chamados silos, é muito comum que os usuários tenham mais de uma sessão simultânea.

O último escritor ganha problema não é realmente sobre os arquivos (que poderiam ser resolvidos pelo redirecionamento de pasta), mas sobre o hive do Registro HKCU, armazenado em um único arquivo, NTUSER.DAT. Esse arquivo é alterado em todas as sessões, por isso é sempre gravado quando uma sessão é desconectada, sobrescrevendo quaisquer versões existentes desse arquivo na rede.

Infelizmente, não há como resolver isso apenas com perfis de roaming. Por essa razão, os produtos de gerenciamento de perfil de terceiros são muito populares no mundo dos servidores Citrix / terminal. Eu ajudei a criar um desses produtos, que depois foi vendido para a Citrix e agora está junto com seus principais produtos XenApp e XenDesktop. Ele identifica as chaves alteradas no HKCU e as mescla na cópia do NTUSER.DAT que reside na rede.

Outros produtos comerciais resolvem o último escritor ganha o problema também. Receio não saber de nenhuma solução livre.

    
por 07.08.2011 / 00:04
1

O redirecionamento de pastas reduz a maior parte do problema, já que a maioria das gravações acontecem quase em tempo real, embora pela rede. Vi pessoas serem bloqueadas de seus documentos (específicos, não de pasta) porque se esqueceram de fechá-las.

Você pode, além disso, tentar fazer logoff se estiver ocioso (se você puder obter o buy-in da gerência, isso significa que seus usuários terão que salvar seu trabalho antes de sair, mas eles devem fazer isso de qualquer maneira). link

    
por 06.08.2011 / 17:33
1

Você pode usar um GPO para forçar o logoff do computador com base nas horas de logon. Isso apenas os afastaria após o horário comercial e não os registraria novamente.

Você poderia usar um GPO para empurrar um aplicativo de terceiros para todos os PCs, o que forçaria um logoff depois que um limite de tempo fosse passado; acho que há um protetor de tela que fará isso. Quando o protetor de tela é ativado após X minutos, o usuário será desconectado. Novamente, isso não será registrado novamente.

Em um ambiente de perfil móvel administrado, fiquei realmente insatisfeito com as velocidades de logon / logoff e com o tráfego de rede causados pelos perfis que sincronizavam os dados o tempo todo. Algumas pessoas armazenaram centenas de arquivos em seus desktops - totalmente desnecessários. Eu mudei a estrutura das coisas e fiz isso em vez disso:

  • Os usuários receberam atalhos em sua área de trabalho para pastas compartilhadas dedicadas em um servidor de arquivos
  • Mudei todos os dados deles (documentos / área de trabalho / etc) para essas pastas compartilhadas
  • Os usuários NÃO salvaram arquivos localmente em seu perfil

Isso resolveu os problemas que eu estava vendo porque seus perfis agora eram muito limpos e limpos, os logons eram muito rápidos e resolvi problemas com várias cópias de arquivos sendo abertas porque elas receberiam uma mensagem "o arquivo já está aberto" se tentou abrir um arquivo no servidor de arquivos a partir de um segundo PC. Isso também ajudou com alguns problemas de backups de arquivos que eu estava obtendo, porque eu tinha todos os meus dados importantes em um único servidor que eu poderia executar backups fora.

Por último, se você não estiver interessado em alterar a configuração do seu ambiente, precisará instruir seus usuários. De muitas maneiras, isso não me parece um problema que você precisa consertar. O ambiente está funcionando corretamente, os usuários simplesmente não estão cientes de como precisam fazer as coisas corretamente. Fale com a sua gerência e peça para ter uma aula de treinamento, organize uma palestra de 15 minutos sobre como salvar adequadamente e faça logoff das estações de trabalho. Não diga a eles que eles estão fazendo errado - apenas diga a eles que se eles fizerem as coisas do jeito que você está ensinando, eles terão menos problemas, e seus trabalhos serão mais fáceis e eficientes.

    
por 06.08.2011 / 18:10
1

Você pode ter um serviço do windows ou um exe enviado para cada máquina que monitora o processo wfica32.exe. E quando esse processo desaparecer da máquina devido ao suave roaming, bloqueie a estação de trabalho.

    
por 30.12.2011 / 00:12
0

Você deve dar uma olhada no UserLock , uma solução de software de terceiros que permite a você (entre outros recursos) impedir ou limitar o logon simultâneo (mesmo ID, mesma senha), por usuário, grupo de usuários ou Unidade Organizacional e por tipo de sessão (estação de trabalho, terminal, interativo, Serviços de Informações da Internet ou VPN / RAS).

As limitações podem ser definidas de maneira granular e podem variar de um usuário para outro, de um grupo para outro ou de uma unidade organizacional para outra.

Além disso, o UserLock permitirá que os usuários fechem remotamente uma sessão anterior a partir da nova estação de trabalho na qual ele / ela não tem permissão para efetuar logon devido à restrição de número máximo permitido.

    
por 11.08.2011 / 12:48
0

Uma solução para impedir logins de usuários simultâneos também pode ser obtida usando o LimitLogin, que não requer compras (ao contrário do UserLock). Pode não ter tantos recursos, mas é grátis.

Download e informações disponíveis em aqui na Microsoft TechNet:

Estamos pensando em implementar isso em um de nossos clientes devido a problemas semelhantes com os perfis de roaming.

    
por 05.03.2013 / 11:56

Tags

conexão com a internet no modo de recuperação do debian 6 Log de consulta lenta para apenas um banco de dados