Comment gérer des centaines d'utilisateurs (et des profils personnalisés) sur des machines Windows 7 individuelles?

Nous sommes une petite université, où chaque étudiant se voit attribuer un compte Active Directory. Nous avons quelques laboratoires informatiques où les machines sont toutes jointes au domaine et les étudiants peuvent se connecter à n'importe quelle machine. Au cours d'un semestre, la plupart des étudiants se connecteront à la plupart des machines.

Dans le passé, sous Windows XP, nous avons géré cela en utilisant l'ancienne fonctionnalité Copier le profil, ainsi qu'un produit appelé Deep Freeze, de sorte que les profils sont efficacement nettoyés automatiquement. De nombreuses écoles utilisent cette technique avec succès depuis longtemps.

Malheureusement, Windows 7 rompt tout cela. Nous ne pouvons plus utiliser la fonction Copier le profil pour préparer des profils de modèle pour les postes de travail. La stratégie de groupe peut fonctionner pour configurer les machines, et c'est la méthode officielle pour gérer le problème. Malheureusement, cela ne fonctionne pas aussi bien, pour deux raisons. Le premier est que la stratégie de groupe est loin d'être aussi conviviale pour la configuration des modifications de profil. Nous ne pouvons pas avancer aussi rapidement sur les modifications que nous voulons apporter, et certaines choses ne peuvent être effectuées sur la machine qu'avant d'exécuter sysprep (ce qui nécessiterait une ré-imagerie plus fréquente de l'ensemble du système d'exploitation). Le résultat est que nous nous retrouvons avec une expérience de bureau moins soignée.

Nous pourrions mordre la balle sur ce premier problème, mais le deuxième problème est que tous les paramètres de stratégie de groupe entraînent des temps de connexion incroyablement lents lorsqu'ils sont utilisés en conjonction avec Deep Freeze, car vous devez réappliquer presque tous les ajustements GP à chaque s'identifier. Les fonctionnalités de sécurité améliorées de Windows 7 sur XP (à savoir UAC) me permettent de me sentir à l'aise d'essayer un semestre sans Deep Freeze ... sauf que nous nous retrouverions toujours avec des centaines de comptes de profil utilisateur sur chaque machine d'ici la fin de chaque semestre, et c'est après avoir mis plus de travail pour mettre en place une politique de groupe pour produire un résultat diminué.

Y a-t-il donc des suggestions pour de meilleures façons d'aborder ce problème?

Nous voulons faire des choses comme mapper les bibliothèques de documents sur des partages réseau, définir un fond d'écran par défaut, ajouter des raccourcis spécifiques aux barres d'outils des signets dans IE et Safari (nous déployons safari car nous avons un programme iPod Touch 1: 1 et avons également besoin d'iTunes) et de nombreux autres ajustements à ces postes de travail publics. Nous voulons pouvoir le faire rapidement, où nous pouvons obtenir de bons commentaires sur les résultats d'un changement, et nous devons le faire pour que des centaines d'utilisateurs puissent se connecter avec leurs informations d'identification Active Directory. Nous avons emprunté le chemin du profil itinérant dans le passé, et ce n'est pas vraiment une bonne option non plus.

Actuellement, nos contrôleurs de domaine exécutent toujours Server 2003, et nous préférons également utiliser CloneZilla plutôt que sysprep pour gérer l'imagerie des machines.

Je suis également réticent à utiliser la stratégie de groupe simplement comme une question de flux de travail. Lorsque nous pouvions utiliser des profils de modèle, si vous trouviez quelque chose que vous vouliez changer, vous vous connectiez simplement en tant qu'utilisateur correct, le changiez, vous déconnectiez, et le changement serait appliqué la prochaine fois que nous mettrions à jour les machines. Maintenant, nous devons rechercher le bon paramètre GP, s'il existe même. Cela pouvait prendre plus d'une heure pour terminer ce qui était auparavant une tâche de cinq minutes.

Avez-vous déjà utilisé des préférences de stratégie de groupe? Nous utilisons GPP et cela fonctionne très bien. Nous avons une tonne de paramètres que nous déployons et cela s'applique rapidement. La bonne chose à propos de GPP, c'est qu'il peut être utilisé pour définir les valeurs par défaut (par exemple la page d'accueil par défaut) et NE PAS réappliquer une seule fois. Vous pouvez faire des choses comme des entrées de registre personnalisées, des copies de fichiers, des lecteurs / imprimantes mappés, des arrière-plans de bureau, etc. À peu près n'importe quoi.

Deuxièmement, les scripts de connexion compilés avec GPP sont une autre option intéressante. Il peut y avoir des choses plus complexes que vous devez faire (par exemple avec nous, nous devions charger un plugin Office dans Excel) pour lesquelles un script est mieux adapté.

Je suggérerais simplement Googleing "préférences de stratégie de groupe".

Encore une chose que j'ai oubliée, si vous voulez qu'un logiciel gère cela, la solution qui pourrait vous intéresser est une technologie appelée "User Virtualazation". Les deux sociétés suivantes ont un produit populaire.

1. AppSence
2. Logiciel RES

Ce que vous devez vraiment faire est de déployer VDI, par exemple Citrix XenDesktop. Dans la configuration typique, chaque utilisateur obtient une machine virtuelle qui est réinitialisée à un état vierge à la fermeture de session. L'image de machine virtuelle est diffusée via "Provisioning Services" à partir d'une seule image principale, qui est la seule chose que vous devez toucher lorsque vous souhaitez modifier l'environnement utilisateur. En prime, vous obtenez un versionnage et une restauration faciles car l'image principale est stockée dans plusieurs versions. Faites un changement et annulez facilement si cela ne fonctionne pas.

La mise en œuvre de VDI n'est pas triviale, cependant, et nécessite un certain temps, bien que Citrix essaie de le rendre simple .

Je suis curieux à propos de celui-ci car je fais du conseil pour une école et je me suis fixé une politique de groupe. La stratégie de groupe avec les clients Server 2008 R2 et Windows 7 peut gérer les paramètres que vous mentionnez, si les temps de connexion sont longs, cela peut être dû à des problèmes de performances du réseau ou du serveur qui peuvent être résolus avec une bonne conception de réseau et de serveur.

La stratégie de groupe peut parfois sembler longue à modifier le paramètre.

J'ai trouvé quelques éléments pour que cela fonctionne plus rapidement. L'une consiste à créer un script PowerShell qui réplique les modifications entre les serveurs d'ouverture de session sur commande. L'autre consiste à créer un script qui force un gpupdate / force distant sur les machines. Vous effectuez donc vos modifications, exécutez le script de réplication, puis exécutez le script gpudate. Ensuite, l'utilisateur redémarre ou se déconnecte (selon les paramètres, certains redémarrent ou deux).

Je me demande si vos partages réseau sont à la hauteur de l'impact sur les performances de nombreux répertoires Docs d'utilisateurs? Avez-vous un bon administrateur de réseau d'entreprise qui peut s'assurer que votre conception de commutation et de routage est solide? J'ai vu des laboratoires scolaires avec 60 machines, remplis d'étudiants essayant de regarder YouTube, sur une liaison montante 10/100 vers le réseau principal.

Deep Freeze semble certainement avoir des répercussions sur les performances, je me demande si MS Steady State est meilleur?

Vous pouvez utiliser des stratégies de groupe.

Avec le nouvel objet de stratégie de groupe disponible avec Windows 7, le GPP (préférence de stratégie de groupe), vous pouvez définir les paramètres par défaut pour un utilisateur et lui donner le choix de le modifier. Vous pouvez pousser l'imprimante et la définir par défaut, la vérifier comme exécutable une fois et cette stratégie ne s'appliquera qu'une seule fois, donnant à l'utilisateur final la possibilité de changer son imprimante par défaut.

Vous pouvez configurer les paramètres d'IE, puis les importer dans l'éditeur de stratégie de groupe.

La configuration du fond d'écran par défaut et le mappage du lecteur sont extrêmement faciles avec GPP.

Comme avec GPO, la préférence peut être appliquée à un système ou à un utilisateur.

Vous pouvez accéder au GPP à partir de n'importe quel GPO à partir d'un serveur Windows 7 et Windows 2008 R2. La plupart des GPP peuvent fonctionner sur Windows XP si vous avez installé l'extension côté client (disponible sur la mise à jour Windows)