Помогите пользователям не потерять данные
Большинство системных администраторов ни за что не поверят, что пользователи способны сами позаботиться о сохранности своих данных - легче поверить в существование Деда Мороза. В операционной системе Windows 2000 появилась новая функция - Folder Redirection (FD) (перенаправление каталога). С ее помощью некоторые важные каталоги пользователя - Application Data, Desktop, My Documents, а также подкаталоги Start Menu в каталоге Documents and Settings можно переместить с локального компьютера на сетевой диск сервера, а значит, обеспечить регулярное сохранение файлов.
Используя FD, можно быть уверенным, что резервная копия сохранена, и данным ничто не угрожает. Кроме того, включив функцию перенаправления каталога, администратор избавит мобильных пользователей от необходимости каждый раз при регистрации загружать свои рабочие документы и сбрасывать их на сервер, прежде чем отключиться от сети. Вместо этого, Windows 2000 при регистрации пользователя посылает некоторый указатель (pointer) на серверный каталог с файлами, что дополнительно ускоряет процесс регистрации и выхода из сети. (Во врезке «Folder Redirection против Offline Folders» поясняются отличия этих возможностей.) Кроме того, квотирование дискового пространства в этом случае будет фактически возложено на сервер - место хранения данных пользователя, что будет стимулировать последнего периодически чистить свои каталоги.
Недостаток FD состоит в том, что на сервере необходимо установить дополнительный объем дискового пространства. Кроме того, при отключении сервера пользователь не может получить доступ к своим файлам. Функция FD настраивается на сервере, однако не составит труда перенести указатели переназначения на другой сервер (или даже вернуться в начальное состояние - данные хранятся на локальном компьютере), когда первоначальный сервер хранения пользовательских данных переводится в профилактический режим. Если сервер отключается внезапно, то следует восстановить данные из архивной копии и изменить настройку указателей. Таким образом, пользователи смогут продолжить работу достаточно быстро, пусть даже и с несколько устаревшими данными.
Рекомендуемые методы работы
Лучшая методика использования функции FD - перенаправить на сервер только подкаталоги My Docu-ments. Вместе с тем, нет нужды переносить на сервер каталог My Pictures, размещенный внутри My Documents. Общий размер графических файлов в My Pictures может оказаться слишком большим для сервера. Я не нахожу никаких разумных оснований, для того чтобы перенаправлять на сервер другие каталоги. Придерживаясь этой рекомендации, можно обеспечить работу локальных приложений независимо от состояния сервера. Если нужно дополнительно защитить документы пользователя, следует размещать перенаправленные каталоги на сервере, на томах NTFS.
Настройка функции Folder Redirection для My Documents
Функция Folder Redirection - это характеристика групповой политики (Group Policy), следовательно, она реализована в Active Directory (AD). Перед тем как запустить программу настройки FD, необходимо создать новые родительские каталоги на каждом из серверов, на которых планируется размещать перенаправленные каталоги, и сделать их общедоступными сетевыми ресурсами. По умолчанию для вновь создаваемого каталога назначаются права общего доступа Full Control для группы Everyone; в этой установке можно ничего не менять, поскольку реальные права на каталоги будут определяться индивидуальной схемой прав конкретного пользователя. Тем не менее если есть веские основания запретить право Full Control, то, по крайней мере, следует сохранить для группы Everyone разрешение Modify.
Если переназначение каталогов осуществляется в рамках одного домена или одной организационной единицы (Organizational Unit, OU), то настройка параметров проводится при помощи оснастки Microsoft Management Console (MMC) Active Directory Users and Computers. Определяя Group Po-licy на уровне сайта, следует использовать MMC Active Directory Sites and Services. Однако обычно базовый набор политик устанавливается на уровне домена, а затем параметры подстраиваются на уровне отдельных OU, если в этом есть необходимость. Group Policy лучше задать на уровне домена еще и потому, что стандартная политика домена Default Domain Policy обеспечивает единое место для просмотра и редактирования политик (на уровне сайта аналога упомянутой стандартной политики нет). Но если архитектура сайтов организации предварительно уже выстроена, то применение Group Policy на уровне сайтов оправданно.
Итак, консоль MMC запущена. Раскройте контекстное меню домена, организационной единицы или сайта - того объекта, где расположены пользователи, для которых создается политика переназначения каталогов. Выберите Properties из контекстного меню, чтобы открыть диалоговое окно Properties.
Перейдите к вкладке Group Policy. Здесь можно добавить новую политику Folder Redirection для уже заданной политики либо создать новую - все зависит от того, как организована AD. Можно разместить все политики в одном объекте политик или хранить их в различных объектах. Выберите новый или существующий объект и щелкните Edit, чтобы открыть редактор политик Group Policy Editor (GPE). В окне User Configuration раскройте Windows Settings и выберите узел Folder Redi-rection.
Отделение каталога My Pictures от My Documents
Чтобы не перенаправлять содержимое My Pictures, нужно сначала отделить подкаталог My Pictures от корневого каталога My Documents. Иначе эти каталоги будут рассматриваться как единое целое.
Теперь нужно раскрыть My Docu-ments, щелкнуть правой кнопкой на каталоге My Pictures и в появившемся контекстном меню выбрать Properties. Откроется диалоговое окно My Pictures Properties. Вкладка Target показывает текущее местоположение каталога My Pictures; по умолчанию установлен флаг Follow the My Documents folder («следовать за каталогом My Documents»). Щелкните по стрелке справа от окошка Settings и выберите No administrative policy specified («административная политика не указана»). Щелкните ОК для отделения политики, накладываемой на My Pictures, от политики каталога My Documents.
Переназначение каталога My Documents
Откройте контекстное меню My Documents в окне GPE, выберите Properties и перейдите к вкладке Target. По умолчанию для этого каталога действует установка No administrative policy specified. Щелкните по стрелке справа от окошка Settings. На выбор будут предложены следующие возможности переназначения.
- Basic-Redirect everyone`s folder to the same location. Эта настройка перенаправляет каталог My Documents для всех пользователей выбранного контейнера (домена, OU) и устанавливает в качестве целевого сервера переназначения сервер, единый для всех остальных каталогов.
- Advanced-Specify locations for various user groups. Эта настройка перенаправляет каталог My Documents только для пользователей указанных групп, а в качестве целевого сервера могут выступать различные серверы в зависимости от выбранных каталогов.
В установке Basic все понятно: требуется только указать целевой каталог на сервере. Установка Advanced позволяет подойти к выбору целевого сервера, равно как и каталога, избирательно, основываясь на принадлежности пользователя к той или иной группе. Например, если администратор создал некую группу, в которую включил мобильных пользователей своей организации, установка Advanced дает возможность исключить этих пользователей из сферы влияния групповой политики перемещения каталогов на уровне OU. Реализовать установку Advanced сложнее, поэтому именно настройка Advanced выбрана для описания процесса конфигурации Folder Redirection. Если же выбрана установка Basic, то достаточно понять, как назначается целевой каталог.
Когда выбирается установка Advanced, на вкладке Target появляется секция Security Group Membership. Чтобы добавить группу пользователей в список, нужно щелкнуть Add. Откроется диалоговое окно Specify Group and Location, в котором можно выбрать группы и для каждой из них указать, где находится каталог.
Щелкните Browse в секции Security Group Membership - откроется диалоговое окно Select Group. Здесь нужно выбрать группу, которая подчиняется политике Folder Redirection, и щелкнуть ОК. Название группы появится в текстовом окне секции Security Group Membership.
В текстовом окне секции Target Folder Location следует набрать полное имя ресурса в формате Uniform Naming Convention (UNC), указав сетевой каталог, предназначенный для хранения перемещаемых каталогов. К этому UNC-пути добавьте переменную окружения %username%. Если не хочется запоминать полный путь, всегда можно щелкнуть Browse и выбрать нужный каталог, но в этом случае в текстовом окне Target Folder Location появится полный путь с буквой диска, а не UNC-путь. Следует удалить букву диска и дописать сетевой путь по правилам UNC. На Экране 1 показано, как переназначить размещение каталогов домена WESTERN в каталог Userdocs (корневой каталог) на сервере West для пользователей группы Accntg.
Экран 1. Указание выбора расположения перенаправленных каталогов на сервере. |
Повторите перечисленные шаги, добавляя новые группы пользователей. Можно переназначить каталог данной группы на свой собственный сервер или в свой целевой сетевой каталог либо же можно разместить все переназначаемые каталоги на одном общем сервере и общем сетевом каталоге. После того как все группы, участвующие в политике переназначения, добавлены, нужно перейти на вкладку Settings, чтобы сконфигурировать настройки групповой политики. На Экране 2 представлены рекомендуемые параметры настройки.
Экран 2. Рекомендуемые параметры настройки при перенаправлении My Documents. |
Если каталоги My Pictures и My Documents не были заранее «разделены», параметры секции My Pictures Preferences на этой вкладке будут недоступны. Всякий раз при перемещении My Documents вслед за ним последует и My Pictures.
Автоматическое создание пользовательских подкаталогов
В следующий раз, когда пользователь, к которому применяется созданная политика, зарегистрируется в сети, операционная система автоматически создаст подкаталог \%username% на целевом сервере и скопирует в него все имеющиеся документы пользователя. Сохраняя и открывая документы, ОС будет обращаться к каталогам целевого сервера.
Если требуется проверить, создан ли пользовательский каталог, нужно открыть контекстное меню My Documents на рабочем столе клиента и выбрать Properties. В окне Target в секции Folder Location будет отображен UNC-путь сетевого каталога (вместо привычного подкаталога в локальном каталоге Docu-ments and Settings). Можно также проверить целевой сервер, чтобы удостовериться, что для каждого зарегистрировавшегося пользователя группы создан свой каталог в соответствии с переменной окружения %username%.
Защита данных пользователя
Как уже отмечалось выше, функция Folder Redirection в состоянии обеспечить защиту личных данных пользователя: перенаправленные каталоги доступны только самому пользователю. Даже администратор системы получит отказ, если попытается открыть подкаталог пользователя. Каждый созданный целевой подкаталог по умолчанию имеет следующую систему разрешений:
- %username% (сам пользователь)—Full Control;
- Everyone—No Access;
- System—Full Control.
Лично я использую функцию Folder Redirection, чтобы иметь гарантию сохранности данных пользователя хотя бы на магнитном носителе. К числу других преимуществ относятся экономия дискового пространства на станции клиента и предоставление мобильным пользователям возможности быстро добираться до своих документов. Словом, функция Folder Redirection, несомненно, заслуживает внимания системных администраторов.
Кэти Ивенс - редактор Windows 2000 Magazine. Является соавтором более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу: kivens@win2000mag.com.
Folder Redirection против Offline Folders
Не следует путать Folder Redirection и функцию Offline Folders, также реализованную в Windows 2000. Folder Redirection использует механизм указателей для перемещения выбранных каталогов с локальной машины на сервер. Этот процесс проходит незаметно для пользователя. Folder Redirection с мобильными пользователями «не работает»: они теряют доступ к своим файлам при отключении от сети. В то же время функция Offline Folders копирует локальные каталоги. Файлы offline-каталогов присутствуют как на локальном компьютере, так и на сервере, пользователь лишь синхронизирует содержимое каталогов. В смысле обеспечения постоянного доступа к данным Offline Folders - прекрасное решение для мобильных пользователей.