Flex Profile Kit 5

Korábban már említettem, hogy elkezdem a küzdelmet a Flex Profile Kit-el, és azt remélem, hogy ez a kis segédprogram megoldja a terminál szerver profilproblémáinkat. Mert abból van néhány. Mivel az architektúrát már ismertettem, egy problémaleltár következik, hogy aztán a Flexet tárgyalhassuk. Profil problémák:

  •  Nem teljesen roaming – az application data átirányítás nem megvalósított, így például a „Quick Launch” ikonok sem mozognak.
  •  Túlságosan roming – Ha a TS profil más telephelyen van, mint a TS farm, akkor sokáig tart a bejelentkezés. Váratlanul és hirtelen, furcsak ikonok „égnek bele” a profilba, amelyek aztán használhatatlanok egyik vagy másik farmban.
  •   Nagy a TS profil – legalább 2 MB, de könnyedé felhízik 15-re is. Afölé nem, mert kontrolláljuk
  •  Kontrollálni kell a profilok méretét – Gondolom mindenki ismeri a Proquota.exe processzt, amelynek az a feladata, hogy kordában tartsa a felhasználói profilok méretét. Ez annyi példányban indul el, ahány felhasználó belép egy TS-be, vagyis sok memóriát fogyaszt, ami vétek.
  •  Sérülékenyek a profilok – Gyakori tevékenysége a rendszergazdáinknak, hogy törölgetik a megsérült, homályos, kiderítetlen okok miatt nem működő TS profilokat
  •  Eltérő a funkciója a profiloknak az egyes TS farmokon – ez nem rendszerhiba, ez a mi szervezésünk, illetve szerves fejlődésünk eredménye.

 Ha csak ennyi gondunk lenne, már akkor is érdemes elgondolkodni valamilyen megoldáson. A problémák nagy részét a Flex Profile Kit megoldja, a maradékot pedig a beépített Windows eszközök (GPO, DFS) segítségével kiküszöbölhetők.

A Flex Profile Kit alapja egy aprócska módosításon átesett Office Profile Wizard nevű eszköz. Az eredeti profwiz.exe az Office 2003 Resource Kit része és az a feladata, hogy a felhasználók Office beállításának migrációját elősegítse. A módosítás összesen abból áll, hogy az új változat nem áll le, ha azt érzékeli, hogy egy vagy több Office komponens fut, egyéb vonatkozásban a funkcionalitása változatlan. Hogyan működik a profwiz? Nos, INI állományban megadhatunk neki regisztrációs kulcsokat, egyedi kulcsértékeket, fájlokat, mappákat stb. amelyket azután ő mind összecsomagol egyetlen OPS állományba. Ez eddig még nem túl izgalmas. Amitől viszont az lesz, az a következő ötlet: Készítsünk egy kötelező (Mandatory) profil-t, és állítsuk be a felhasználóknál ezt TS profilnak. Első bejelentkezéskor ezt töltik be a felhasználók. Kijelentkezéskor futtassuk le egy GPO logoff scriptjeként a profwiz.exe-t, amely az általunk előre összeállított és meghatározott registry kulcsokat, mappákat, file-okat OPS-be csomagolja és egy hálózati meghajtón elhelyezi. A második bejelentkezéskor pedig egy logon script a mandatory profil betöltése után az OPS-t kicsomagolja és a tartalmát a registry-ben, fájlrendszerben elhelyezi. Hopp! Az általunk definiált értékek érvényre jutnak és a felhasználói élmény egy „roaming profil”. Ügyes, ugye? Lássuk az előnyöket:

  •  A mandatory profil betöltése, mivel egy alapprofilról van szó, nagyon gyors.
  •  Csak a rendszergazda által kívánatosnak tartott beállítások „vándorolnak”, semmi más. Ezek betöltése és alkalmazása szintén nagyon gyors.
  •  A felhasználók kritkus beállításai (mappamegosztás, ikonok az asztalon, nyomtatók stb.) vándorolnak, míg a szerintünk feleslegesek (pl. háttér) nem.
  •  Mivel az ilyen profilnak semmi köze a Windows XP profiljához, ezért nem jön létre keveredés.
  •  A TS beállítások nagyon kevés helyet igényelnek a korábbi roaming TS profilokhoz képest. A Flex Profile kithez ráadásul tartozik egy Flex Framework is, amely képes az OPS-ek tömörítésére. A tényleges „profile” méret 30-34KB!
  •  Az OPS-be belecsomagolható az „Application folder” is, így van „Quick Launch”.
  •  Nincs szükség profil-monitorozásra. Ha nagyon kell, akkor kimentett OPS állományokból kiszűrhetők a nagyméretűek például egy diruse.exe futtatással. Ezzel értékes memóriát takaríthatunk meg.

Gondolom kíváncsiak vagytok, milyen lehet egy INI fájl. Hát tessék, itt van például az Windows és Internet Explorer beállítások mentéséhez használt:

 

[Header]

Version  = 11.0

Product  = Microsoft Office 11.0

 

# ******************** File/Folder Sections ************************

 [IncludeFolderTrees]

<Desktop>

<Favorites>

<AppData>Microsoft

<AppData>MicrosoftCLR Security Config

<AppData>MicrosoftSystemCertificates

<AppData>MicrosoftProtect

<AppData>MicrosoftCrypto

<AppData>MicrosoftCredentials

<AppData>MicrosoftCryptnetUrlCache

 

# *********************** Registry Sections *************************

 [IncludeRegistryTrees]

# Gerenic Explorer and Windows view settings

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerStreams

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerBitBucket

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIcons

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

HKCUSoftwareMicrosoftWindowsShell

HKCUSoftwareMicrosoftWindowsShellNoRoamBagMRU

HKCUSoftwareMicrosoftWindowsShellNoRoamBags

HKCUSoftwareMicrosoftInternet ExplorerToolbar

HKCUSoftwareMicrosoftInternet ExplorerDesktopComponents

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMenuOrder

 

# Mouse and Keyboard Settings

HKCUControl PanelMouse

HKCUControl PanelCursors

HKCUKeyboard Layout

HKCUControl PanelKeyboard

HKCUControl PanelDesktopWindowMetrics

 

# Passwords for Windows and IE

HKCUSoftwareMicrosoftProtected Storage System Provider

 

# Generic IE Settings

HKCUSoftwareMicrosoftInternet ExplorerToolbar

HKCUSoftwareMicrosoftInternet ExplorerDesktopComponents

HKCUSoftwareMicrosoftWindowsInternet ExplorerIntelliForms

HKCUSoftwareMicrosoftInternet ExplorerTypedURLs

 

# Printers

HKCUPrinters

 

# Certificates

HKCUSoftwareMicrosoftSystemCertificates

HKCUSoftwareMicrosoftWindows NTCurrentVersionEFS

HKCUSoftwareMicrosoftIdentities

HKCUSoftwareMicrosoftCryptography

 

[IncludeIndividualRegistryValues]

 # Screensaver Keys, enable by removing the leading hash (#)

# HKCUSoftwareControl PanelDesktopScreenSaverIsSecure

# HKCUSoftwareControl PanelDesktopScreenSaveTimeOut

# HKCUSoftwareControl PanelDesktopScreenSaveActive

# HKCUSoftwareControl PanelDesktopSCRNSAVE.EXE

 

# MUI

HKCUControl PanelDesktopMUILanguagePending

 

# Printers

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsDevice

 

[ExcludeRegistryTrees]

# Only SYSTEM has write access to this key – Root certificates do not work on windows 2003

# Distribute a Root certificate with group policies in Windows 2003

HKCUSoftwareMicrosoftSystemCertificatesRootProtectedRoots 

Ha pedig valaki hiányolja a Word beállításai, hát tessék: 

 

[Header]

Version  = 11.0

Product  = Microsoft Office 11.0

 

[IncludeRegistryTrees]

HKCUSoftwareMicrosoftOffice11.0Word

HKCUSoftwareMicrosoftOfficeWord

Az is rögtön látható, hogy mi a Flex hátránya: komoly türelemjáték letesztelni, hogy minden vándorol-e, amit szeretnénk, és mindent eldobunk-e, amit el kell dobnunk. Szerencsére a letölthető zip-ben van egy Regshot nevű eszközöcske, ami épp nekünk való. Lefényképezi a változtatás előtti registry állapotot, meg a változtatás utánit. így egyből kiderül, hogy milyen kulcsokat és értékeket kell felvenni az INI állományba. Nekem így sikerült az a beállítást vándorlóvá tenni, amely azt szabályozza, hogy a „My Computer”, a „Internet Explorer” és egyéb speciális ikonok kitehetők legyenek az asztalra. A [Header] szekcióban látható Microsoft Office 11 senkit ne zavarjon, erre a profwiz.exe-nek van szüksége, de a Flex Profile keretrendszer bármilyen szoftver beállításainak migrációjára alkalmas, beleértve akár az Office 2000 vagy Office XP-t, de akár az Adobe Acrobat-ot is.

Bár a 30-34K-s méret arra sarkallhatna, hogy legyen csupán egyetlen megosztás, ahol az OPS-eket tároljuk, én más megoldást választottam. Azt határzotam el, hogy a három telephely három TS farmjának külön-külön tárolom a beállításait, így az egyes TS farmok sajátosságai biztosan nem keverednek össze. Ehhez egy DFS trükkhöz folyamodtam. Létrehoztam egy DFS linket, amelyhez mindhárom telephelyről hozzárendeltem egy DFS targetet, majd a linken bebillentettem az „insite” tulajdonságot. Ennek az a hatása, hogy a DFS kliens nem fordul másik DFS targethez, ha a saját telephelyének targetje nem elérhető. Így az egyes targetek szeparáltak, azoknak saját nézetük van minden site-ban. (Az insite kapcsoló szintaxisa itt található.) Ezzel elértük, hogy bár az ADUC megfelelő tulajdonságlapján csupán egyszer definiáltuk a TS profilt, az minden telephelyen külön képződik és külön is használják a farmok.

Aki érdeklődik a Flex Profile Kit legújabb verziója iránt, az itt érheti el, természetesen teljesen ingyen. A Log*in consultants egyébként sok hasznos apróságot kínál a terminál szerverek menedzseléséhez, többek között saját fejlesztésű GPO sablonokat, „Set priority” funkció nélküli task managert. Jó keresgélést.

One Response to Flex Profile Kit 5

  1. Petrenyi Jozsef says:

    Tényleg ügyes. Nemcsak a termék, de az ötlet is. Szépen ágyaztátok bele a rendszeretekbe.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: