8 votes

ThinkerIV avatar

Profils itinérants : Connexions simultanées du même utilisateur

Demandé el 6 de Août, 2011
Quand la question a-t-elle été
21543 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je gère un environnement Windows Server 2008 R2 qui utilise des profils itinérants et une redirection de dossiers. Les machines clientes fonctionnent sous Windows 7. En raison de la nature de l'activité, les utilisateurs se déconnectent rarement et ont fréquemment des connexions ouvertes sur plusieurs machines en même temps. Cela crée évidemment de nombreux problèmes de conflits de type "le dernier fichier enregistré l'emporte" et chaque session écrasant les modifications apportées dans une autre session.

J'ai essayé différentes méthodes pour réduire les conflits, mais je n'ai toujours pas trouvé de solution satisfaisante. J'utilise la nouvelle fonctionnalité d'envoi en arrière-plan des profils utilisateur, mais comme l'explique cet article, cela ne résout pas vraiment le problème : http://blogs.sepago.de/helge/2009/04/02/microsoft-tackles-the-last-writer-wins-problem-of-roaming-profiles-in-windows-7-server-2008-r2/. J'ai également effectué quelques essais avec des logiciels tiers tels que ProfileUnity, mais j'ai encore rencontré des problèmes. Et bien sûr, j'ai suggéré que les utilisateurs pourraient simplement être plus consciencieux en se déconnectant lorsqu'ils quittent leur ordinateur et avant de démarrer une nouvelle session. Mais la direction a déclaré que cela n'arriverait tout simplement pas et ne fonctionnerait pas dans notre environnement.

La question est donc la suivante : avez-vous de l'expérience avec ce problème? Connaissez-vous des paramètres ou des applications tierces qui permettent au moins de réduire les conflits même s'ils ne sont pas éliminés complètement? Existe-t-il un moyen de faire en sorte que l'ordinateur se déconnecte et se reconnecte périodiquement de manière transparente pour l'utilisateur?

Demandé el 6 de Août, 2011 par ThinkerIV

Réponses

Trop de publicités?

6voto

joeqwerty avatar
joeqwerty Points 106914

Tout d'abord, il n'y a rien de mal à utiliser des profils itinérants tant qu'ils sont implémentés correctement. Le fait qu'il s'agisse d'un concept plus ancien ne les rend pas moins utiles ou valides dans l'environnement informatique d'aujourd'hui. Les profils itinérants n'ont pas été conçus avec l'intention d'un utilisateur par PC et d'un PC par utilisateur, ils ont été conçus pour votre cas d'utilisation exact, un ou plusieurs utilisateurs qui se connectent à plusieurs ordinateurs (qu'il s'agisse de postes de travail ou de serveurs de terminal). L'intention était de donner à l'utilisateur un environnement cohérent (bureau, paramètres d'application, etc.) quel que soit l'ordinateur sur lequel il se connecte.

Deuxièmement, mettre en place un mécanisme de déconnexion automatique ne résout pas votre problème car cela n'empêche pas un utilisateur d'avoir plusieurs connexions sur plusieurs ordinateurs simultanément. Qu'empêche un utilisateur de se connecter à un ordinateur ou à un TS à 9h00 et de se connecter à un autre à 10h00? Lorsque votre mécanisme de déconnexion automatique entre en jeu, vous aurez toujours le même problème.

Troisièmement, la redirection de dossiers peut aider la situation en redirigeant certains dossiers en dehors du profil itinérant, mais cela ne résout pas le problème car tous les dossiers des utilisateurs ne peuvent pas être redirigés. Il y a des composants essentiels du profil itinérant (ntuser.dat, paramètres de programme, etc.) qui ne peuvent pas être redirigés.

Quatrièmement, il n'existe pas de paramètre qui déconnectera un utilisateur de sa session en fonction de ses heures de connexion. Les deux paramètres liés à la déconnexion d'un utilisateur et à la déconnexion de leur session en fonction de leurs heures de connexion les déconnectent des partages SMB, cela ne les déconnecte pas de leur session de bureau. Il existe des paramètres pour terminer (déconnecter) une session utilisateur sur un TS, en fonction de divers timings (inactivité, activité, déconnecté).

Vous avez, malheureusement, un problème technique, causé par un problème comportemental, qui ne peut pas être complètement résolu avec une solution technique. Voici quelques suggestions qui pourraient aider:

  1. Mettre en place une redirection de dossiers (comme d'autres l'ont suggéré) pour des dossiers tels que Mes documents, Bureau, Menu Démarrer.

  2. Si vos utilisateurs se connectent aux services de terminal, mettez en place une restriction de connexion unique via une GPO. Cela empêchera tout utilisateur d'avoir plus d'une session.

  3. Éduquez vos utilisateurs afin de développer l'habitude de se déconnecter avant de partir pour la journée. Cela est considéré comme une bonne pratique/de l'étiquette et devrait être encouragé et soutenu par la direction. Si la direction rechigne à l'idée, alors elle est en partie responsable si le problème persiste.

Répondu el 7 de Août, 2011 par joeqwerty (106914 Points )

2voto

number5 avatar
number5 Points 3749

Le gros problème avec les profils itinérants est qu'ils ont été conçus il y a longtemps, au milieu des années 90, pour un cas d'utilisation spécifique : un PC par utilisateur et un utilisateur par PC. Dans ce scénario, les profils itinérants fonctionnent raisonnablement bien, mais s'ils changent, ils échouent (misérablement).

Le problème du "dernier qui écrit gagne" causé par les sessions concurrentes est très bien connu dans le monde des serveurs de terminaux où j'ai travaillé pendant de nombreuses années. En raison des prétendus silos, il est très courant là-bas que les utilisateurs aient plus d'une session concurrente.

Le problème du dernier qui écrit gagne concerne en réalité plus les fichiers (ce qui pourrait être résolu par redirection de dossiers) mais la ruche de registre HKCU, stockée dans un seul fichier, NTUSER.DAT. Ce fichier est modifié à chaque session, donc il est toujours réécrit lorsque la session est déconnectée, écrasant toutes les versions existantes de ce fichier sur le réseau.

Malheureusement, il n'y a pas de moyen de contourner cela avec les profils itinérants seuls. C'est justement pour cette raison que les produits de gestion de profils tiers sont très populaires dans le monde de Citrix / des serveurs de terminaux. J'ai aidé à créer un tel produit qui a ensuite été vendu à Citrix et est désormais inclus dans leurs principaux produits XenApp et XenDesktop. Il identifie les clés modifiées dans HKCU et les fusionne dans la copie de NTUSER.DAT stockée sur le réseau.

D'autres produits commerciaux résolvent également le problème du dernier qui écrit gagne. Je crains de ne pas connaître de solution gratuite.

Répondu el 7 de Août, 2011 par number5 (3749 Points )

1voto

84104 avatar
84104 Points 12538

La redirection de dossier atténue la plupart du problème car la plupart des écritures se font en temps réel, bien que sur le réseau. J'ai vu des gens se faire verrouiller leurs documents (spécifiques, pas des dossiers) parce qu'ils ont oublié de les fermer.

En outre, vous pouvez essayer de vous déconnecter si vous êtes inactif (si vous obtenez l'approbation de la direction, cela signifie que vos utilisateurs devront sauvegarder leur travail avant de partir, mais ils devraient le faire de toute façon).
http://t3chnot3s.blogspot.com/2011/04/logoff-idle-windows-sessions-via-screen.html

Répondu el 6 de Août, 2011 par 84104 (12538 Points )

1voto

jlehtinen avatar
jlehtinen Points 1958

Vous pourriez utiliser un GPO pour forcer la déconnexion de l'ordinateur en fonction des heures de connexion. Cela les déconnecterait uniquement après les heures de bureau et ne les reconnecterait pas.

Vous pourriez utiliser un GPO pour pousser une application tierce sur tous les PC qui forcerait une déconnexion après un certain laps de temps, je pense qu'il existe un économiseur d'écran qui le fait. Lorsque l'économiseur d'écran est activé après X minutes, l'utilisateur sera déconnecté. Encore une fois, cela ne les reconnectera pas.

Dans un environnement de profil itinérant que j'administrais, j'étais VRAIMENT mécontent de la vitesse de connexion/déconnexion et du trafic réseau causé par la synchronisation des profils. Certaines personnes stockaient des centaines de fichiers sur leur bureau - totalement inutile. J'ai changé la structure des choses et j'ai fait ceci à la place:

  • Les utilisateurs avaient des raccourcis sur leur bureau vers des dossiers partagés dédiés sur un serveur de fichiers
  • J'ai déplacé toutes leurs données (documents/bureau/etc) vers ces dossiers partagés
  • Les utilisateurs ne devaient PAS enregistrer de fichiers localement dans leur profil

Cela a résolu les problèmes que je rencontrais car leurs profils étaient maintenant très propres et bien rangés, les connexions étaient très rapides, et j'ai résolu les problèmes de copies multiples de fichiers ouverts car ils recevaient un message "le fichier est déjà ouvert" s'ils essayaient d'ouvrir un fichier sur le serveur de fichiers à partir d'un deuxième PC. Cela a également aidé avec certains problèmes de sauvegarde de fichiers que j'avais, car j'avais toutes mes données importantes sur un seul serveur à partir duquel je pouvais faire des sauvegardes.

Enfin, si vous ne souhaitez pas modifier la configuration de votre environnement, vous devez sensibiliser vos utilisateurs. À bien des égards, cela ne me semble pas être un problème que vous devez résoudre. L'environnement fonctionne correctement, les utilisateurs ne sont tout simplement pas conscients de la manière dont ils doivent faire les choses correctement. Parlez à votre direction et demandez à ce qu'une formation soit organisée, préparez un exposé de 15 minutes sur la manière adéquate d'enregistrer et de se déconnecter des postes de travail. Ne leur dites pas qu'ils font quelque chose de mal - dites-leur simplement que s'ils font les choses comme vous le leur enseignez, ils auront moins de problèmes et leur travail sera plus facile et plus efficace.

Répondu el 6 de Août, 2011 par jlehtinen (1958 Points )

0 votes

Avatar de joeqwerty

Vous ne pouvez pas utiliser un GPO pour forcer l'utilisateur à se déconnecter en fonction de ses heures de connexion car ce n'est pas ce que ce paramètre fait.

Commenté el 7 de Août, 2011 par joeqwerty

0 votes

Avatar de jlehtinen

Je pourrais jurer avoir déjà utilisé cette politique pour forcer la déconnexion auparavant, mais c'était sous Server 2k3. Est-ce que cela a changé, ou est-ce que je me trompe de chose? Je suppose que même si vous avez des problèmes avec l'utilisation de la politique de sécurité des heures de connexion intégrées, vous pourriez toujours déployer une GPO qui exécute un script de déconnexion basé sur un horaire.

Commenté el 7 de Août, 2011 par jlehtinen

1 votes

Avatar de joeqwerty

Peut-être que vous pensez aux paramètres pour mettre fin (se déconnecter) à un utilisateur TS en fonction du temps actif, inactif ou déconnecté.

Commenté el 7 de Août, 2011 par joeqwerty

1voto

Jay Ehlen avatar
Jay Ehlen Points 11

Vous pourriez avoir un service Windows ou exe poussé sur chaque machine qui surveille le processus wfica32.exe. Et lorsque ce processus disparaît de la machine en raison d'un roaming en douceur, verrouillez la station de travail.

Répondu el 30 de Décembre, 2011 par Jay Ehlen (11 Points )

0 votes

Avatar de Bernie White

Cela ne répond pas à la question. Vous devriez fournir une réponse qui spécifie comment prévenir les conflits ou forcer la mise à jour des fichiers même lorsque l'utilisateur verrouille la workstation au lieu de se déconnecter.

Commenté el 5 de Novembre, 2012 par Bernie White

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X