如何在单个 Windows 7 机器上管理数百名用户(和自定义配置文件)?

tag-icon tag-icon active-directory windows-7 user-profile
如何在单个 Windows 7 机器上管理数百名用户(和自定义配置文件)?

我们是一所小型学院,每个学生都分配有一个 Active Directory 帐户。我们有几个计算机实验室,其中的所有计算机都已加入域,学生可以登录任何计算机。在一个学期中,大多数学生都会登录大多数计算机。

过去,在 Windows XP 下,我们使用旧的复制配置文件功能以及名为 Deep Freeze 的产品来管理此问题,这样配置文件就可以有效地自动清理。许多学校已经成功地使用了这项技术很长时间。

不幸的是,Windows 7 破坏了这一切。我们无法再使用复制配置文件功能来为工作站准备模板配置文件。组策略可以用于设置机器,这是处理问题的官方方法。不幸的是,由于两个原因,这种方法效果不佳。首先,组策略对于设置配置文件调整并不那么友好。我们无法快速执行我们想要进行的更改,并且某些操作只能在运行 sysprep(这需要更频繁地重新映像整个操作系统)之前对机器进行。结果是我们最终得到的桌面体验不够完美。

我们可以解决第一个问题,但第二个问题是,所有组策略设置在与 Deep Freeze 结合使用时都会导致登录时间非常慢,因为每次登录时都必须重新应用几乎所有的 GP 调整。Windows 7 比 XP 改进的安全功能(即 UAC)让我可以放心地尝试一个没有 Deep Freeze 的学期……只是到每个学期结束时,我们仍然会在每台机器上拥有数百个用户配置文件帐户,而且这是在安装 Deep Freeze 之后更多的工作设置组策略以生成結果減少。

那么,有没有什么更好的方法来解决这个问题?

我们想要做一些事情,比如将文档库映射到网络共享,设置默认壁纸,在 IE 和 Safari 的书签工具栏中添加特定的快捷方式(我们部署 Safari 是因为我们有一个 1:1 iPod Touch 程序,并且还需要 iTunes),以及对这些公共工作站进行许多其他调整。我们希望能够快速完成这些工作,这样我们就可以对更改的结果获得良好的反馈,我们需要这样做,以便数百名用户能够使用他们的 Active Directory 凭据登录。我们过去曾尝试过漫游配置文件路径,但这也不是一个好选择。

目前我们的域控制器仍然运行 Server 2003,而且我们更愿意使用 CloneZilla 而不是 sysprep 来处理机器映像。

我也不愿意仅仅为了工作流程而使用组策略。当我们可以使用模板配置文件时,如果您发现想要更改的内容,您只需以正确的用户身份登录,进行更改,然后注销,下次更新机器时就会应用更改。现在我们必须寻找正确的 GP 设置(如果它存在的话)。以前只需五分钟就能完成的事情现在可能需要一个多小时才能完成。

答案1

您以前使用过组策略首选项吗?我们使用 GPP,它效果非常好。我们部署了大量设置,而且应用速度很快。GPP 的优点在于,它可用于设置默认值(例如默认主页),并且无需重新应用最初设置的值。您可以执行自定义注册表项、文件复制、映射驱动器/打印机、桌面背景等操作。几乎任何操作都可以。

其次,登录脚本与 GPP 结合也是不错的选择。您可能需要执行更复杂的事情(例如,我们需要在 excel 中加载办公插件),而脚本更适合。

我只是建议谷歌搜索“组策略偏好设置”。

还有一点我忘了,如果你想用软件来管理这个,你可能感兴趣的解决方案是一种叫做“用户虚拟化”的技术。以下两家公司有一款很受欢迎的产品。

  1. 应用
  2. RES 软件

答案2

您真正应该做的是部署 VDI,例如 Citrix XenDesktop。在典型配置中,每个用户都会获得一个虚拟机,该虚拟机在注销时会重置为原始状态。VM 映像通过“Provisioning Services”从一个主映像流式传输,这是您想要更改用户环境时唯一需要接触的东西。作为额外奖励,您可以轻松进行版本控制和回滚,因为主映像存储在多个版本中。如果不行,可以轻松进行更改并回滚。

尽管 Citrix 尝试实现 VDI,但实施 VDI 并非易事,需要一些时间。看起来很简单

答案3

我对这个很感兴趣,因为我为一所学校做咨询,并且已经确定了组策略。Server 2008 R2 和 Windows 7 客户端的组策略可以管理您提到的设置,如果登录时间很长,则可能是由于网络或服务器性能问题造成的,可以通过良好的网络和服务器设计来解决。

组策略有时似乎需要很长时间才能更改设置。

我发现了一些可以使其更快运行的方法。一种方法是创建一个 powershell 脚本,该脚本可以根据命令在登录服务器之间复制更改。另一种方法是创建一个脚本,强制在计算机上执行远程 gpupdate /force。因此,您可以进行更改,运行复制脚本,然后运行 ​​gpudate 脚本。然后用户重新启动或注销(取决于设置,有些需要重新启动或两次)。

我想知道您的网络共享是否能承受大量用户 Docs 目录对性能的影响?您是否有一位优秀的企业网络管理员,可以确保您的交换和路由设计可靠?我见过学校实验室有 60 台机器,里面挤满了试图观看 YouTube 的学生,通过 10/100 上行链路连接到核心网络。

Deep Freeze 听起来确实会对性能产生影响,我想知道 MS Steady State 是否更好?

答案4

您可以使用组策略。

借助 Windows 7 中提供的新 GPO,GPP(组策略首选项),您可以将设置设置为用户的默认设置,并让他们选择更改它。您可以推送打印机并将其设置为默认设置,将其选中为运行一次,此策略将仅应用一次,让最终用户可以更改其默认打印机。

您可以配置 IE 的设置,然后将其导入到组策略编辑器。

使用 GPP 设置默认壁纸、映射驱动器非常容易。

与 GPO 一样,偏好可以应用于系统或用户。

您可以从 Windows 7 和 Windows Server 2008 R2 中的任何 GPO 访问 GPP。如果您安装了客户端扩展(可在 Windows 更新中获得),则大多数 GPP 都可以在 Windows XP 上运行

相关内容