Trong chuổi kiến thức về Windows server, thì domain server, home folder, user là một trong những tính năng để quản lý, phân quyền người dùng rất hiệu quả. Bài viết này mình chia sẽ về các khái niếm cũng như các bước cấu hình cơ bản, các bạn có thể theo dõi và làm theo

Home Folder và User Profile

Chuẩn bị:

Domain Controler, File Server (chung 1 máy): 2012may1 IP: 192.168.2.100/24

Member computer: 2012may2 IP: 192.168.2.101/24

Tạo OU CongTy

Tạo OU KeToan  -> Group KeToan chứa KT1, KT2.

Tạo OU NhanSu ->Group  NhanSu chứa NS1, NS2.

Trên File Server, mỗi user muốn lưu trữ dữ liệu thì ta nên cho mỗi user 1 folder riêng tương ứng với tên user đó để dễ quản lý, sau đó ta cấp quyền NTFS cho folder đó, rồi ta Map Network drive folder đó về computer của user. Vậy nếu có 100 user ta phải làm 100 lần như trên !!!!.

Windows cung cấp ta chức năng Home Folder.

Home Folder (HF) là 1 thuộc tính của domain user, cho phép tạo ra nơi lưu trữ dữ liệu của user trên File Server. Sau khi cấu hình Home Folder xong, hệ thống tự động  thực hiện:

+ Tạo Folder tương ứng với tên mỗi user.

+ Phân quyền NTFS Full Control cho user tương ứng.

+ Map Network Drive.

Các bước làm:

Bước 1: Tạo folder Data  trên File Server (2012may1) và share: Advance sharing ->Everyone ->Full Control  (bắt buộc). Qua Tab Security, remove group Users (để không ai vào được folder của người khác).

Bước 2: Cấu hình Home Folder

Mở dsa.msc -> Properties user KT1 -> tab Profile

Chọn Connect: để Map Netwrok Drive

To: ổ Z sẽ được Map từ folder Data\KT1. Ta phải khai báo đường dẫn mạng:

VD: \\192.168.2.100\Data\%username%

Biến: %username% là biến môi trường, trả về đúng với tên user mà ta đang thao tác.Biến này rất quan trọng khi chúng ta cấu hình nhiều user cùng lúc.

 

cấu hình Home Folder

Ta Apply  thì thấy biến %username% tự trả về KT1.

Khi cần tạo nhiều user thì nên làm các bước sau (Hoặc dùng phím CTRL để chọn nhiểu user)

Bước 1: tạo trước các user mẫu (template) (New -> user).

Bước 2: cấu hình thuộc  tính cho user mẫu

VD: Giả sử KT2 là user mẫu của OU KeToan, ta sẽ cấu hình các thuộc tính chung như sau

+ Cho KT2 vào group KeToan.

+ Khai báo thuộc tính : company, department (Phong Ke Toan) v.v

+ Cấu hình Home Folder: \\192.168.2.100\Data\%username%
+ v.v
Bước 3: Tạo mới user bằng cách Copy từ user mẫu

Tạo User từ User mẫu (template user)

 

Kiểm tra: Thấy user mới có các thuộc tính chung giống KT2.

Cấu hình tương tự cho NS1, NS2.

Kiểm tra: Folder Data có các folder  NS1, NS2, KT1, KT2

Properties folder NS1 -> Tab Security ta thấy User NS1: Full Control và Group “Users” : Read and Execute.

Logon NS1 thấy ổ đĩa mạng

Home Folder của user NS1

User Profile

User Profile là môi trường làm việc riêng của từng người dùng,  lưu trữ tất cả thông tin cấu hình của người dùng khi sử dụng máy tính.

User Profile bao gồm:

+ Những thiết lập trên desktop.

+ Document.

+ Picture, download, music, favourite.

+ Application Data : khi ta chạy các ứng dụng trên hệ thống, thì tất cả thông tin ta làm việc trên ứng dụng (các thiết lập, các cấu hình v.v) đó sẽ tự động lưu trên Profile (Application Data).

VD: cấu hình tài khoản mail outlook thì những thiết lập đó lưu trong Application Data.

+  v.v

Profile của user domain NS1

Mỗi user sẽ có 1 profile mà chỉ user đó sử dụng đúng máy tính nào đó thì mới lấy ra đúng thư mục tương ứng.

VD: Các bạn tự test trường hợp:

KT1 sử dụng máy: 2012may1 trên desktop tạo KT1.txt.  Khi KT1 logon trên 2012may2, thì  KT1.txt không xuất hiện trên desktop của máy 2012may2.

Loại Profile này gọi là Local User Profile.

Local Profile: người dùng chỉnh ở đâu thì phải về chính máy đó mới xuất hiện những tùy chỉnh của mình.

Nơi lưu trữ Local User Profile:

%SystemDrive%\Users\%UserName%

Trong đó %SystemDrive% là Volume gốc của OS hiện hành (C:, D:, vv…) còn %UserName% là tên “User logon name”.

Khi người dùng logon lần đầu tiên thì tự động trong folder Users hệ thống tạo ra folder tương ứng với user logon name của người dùng đó. Những tùy chỉnh của người dùng đều lưu trong folder đó.

Trong môi trường domain, các member computer có thêm local user profile ( máy DC không có).

Trong Folder User ta thấy tồn tại Folder Default ( folder này mặc định bị ẩn) và  Public (đây là folder All User trong các HDH cũ).

 

Profile: Default và Public

Khi user lần đầu tiên log on thì  máy tính sẽ tự động lấy thông tin trong  Default  và Public  để  phát sinh profile , như vậy Default chỉ tác động 1 lần duy nhất.

Lần thứ 2 log on thì máy tính sẽ lấy thông tin trong folder profile riêng của user và folder Public để tạo thành môi trường làm việc của user  khi log on.

VD:  Ta muốn có file NoiQuyCongTy.doc luôn có trên desktop của user thì chỉ cần copy file đó vào thư mục desktop của folder Default

 

Folder: Desktop trong Default

Còn đối với các user đã log on thì ta không tác động bằng Default mà phải ta dùng Public. Copy file đó vào Public Desktop.

Public Desktop

Vấn đề: Đặc trưng của hệ thống domain là người dùng có thể logon trên bất cứ máy tính nào là member domain. Mặc định Windows sử dụng local profile nên nếu dữ liệu user lưu trong profile thì khi logon trên máy khác chắc chắn sẽ không có.

Vẫn tình huống trên: Sếp muốn có file nội quy trên màn hình desktop, nếu có 100 máy ta phải copy vào folder Public Desktop trên tất cả các member domain !!!

Ta có nhu cầu: User đi tới đâu thì profile tương ứng đi theo đó (local profile không thể đáp ứng được)

Lúc này ta phải sử dụng loại Profile thứ 2 mà windows hỗ trợ: Roaming Profile. Để triển khai giải pháp này thì hệ thống phải là Domain Network.

Quá trình Roaming Profile

Lúc này, profile của các user sẽ được lưu trữ trên File Server, DC sẽ copy toàn bộ Profile của user  về máy tính mà user đang logon. Khi user log off thì nó sẽ tự động đem các thông tin mà user thay đổi ở Profile trong quá  trình làm việc đem về File Server. Quá trình này gọi là Synchronize (đồng bộ).

Triển khai Roaming Profile (RP)

Bước 1: Tại File Server (2012may1) tạo share Folder,  và share everyone : Full Control (Security để mặc định). Nếu xoa group users trong Security thì quá trình Synchronize khi user log off không thể truy xuất vào folder của user đó =>  Profile không có chỗ lưu trữ => mất Profile.

Windows sẽ tự động chỉnh quyền sao cho folder Profile của user nào thì chỉ user đó mới có quyền truy cập, kể cả Administrator cũng không có quyền vào.

Bước 2: tại giao diện ADUC  cấu hình Roaming Profile cho các user có nhu cầu.

Trên 2012may1

Tạo folder  RP rồi làm như bước 1.

Vào dsa.msc

Chọn các user có nhu cầu -> Properties -> Tab Profile (hoặc làm 1 user rồi sau đó copy cũng được)

Profile Path: nếu dòng này để trống thì mặc định dùng user profile. Ta muốn lưu profile vào folder RP thì khai báo

\\192.168.2.100\RP\%username%

 

Cấu hình Roaming Profile

Vậy là ta đã cấu hình xong

Cách test: KT1 logon tạo KT1.txt trên desktop, sau đó logoff rồi log on  máy khác.

Lưu ý:

Cấu hình RP chỉ nên dùng cho các user có nhu cầu, hay thay đổi vị trí làm việc. Khi triển khai đại trà thì nếu 100 user log on làm việc thì kết nối đến File Server để lấy Profile mà dung lượng Profile thì không nhỏ (ít cũng vài chục MB) dẫn đến tắc nghẽn hệ thống, chiếm hết băng thông (8h logon thì 10h mới làm việc được !!!).

Nếu user vửa log on trên win XP, vừa loggon tren win 7, 8 thì sẽ có 2 Profile (xuất hiện 2 folder trên File Server: folder KT1 và folder KT1.V2).

Vì mặc định Administrator không có quyền trong profile nên ta muốn truy cập ta phải làm như sau (nếu làm không đúng thì user sẽ bị mất profile):

Giả sử ta muốn vào Profile của NS1

Bước 1: Take Ownership

Propersties folder -> Tab Security -> Advanced

Take ownership folder chứa profile

Chọn: Continue

Phần Owner: chọn Change -> add tài khoản Administrator (hoặc add group Administrators) vào.

Check Replace owner on subcontainers and objects (để nó take ownership cho các đối tượng bên trong luôn)

-> Ok toàn bộ

Lúc này Administrator là owner mới còn User không có khả năng vào Profile của mình.

Bước 2: cấp quyền để User (NS1) truy cập, synchronize profile.

Properties Folder  NS1 -> Edit -> Add: NS1 cho quyền: Full Control

Trả lại quyền cho User

Ở cửa sổ Security -> Chọn tiếp Advanced

Để đảm bảo NS1 truy suất được tất cả đối tương bên trong ta check vào

Replace all child objects entries with inheritable permission entries from this subject -> Aplly

Sau đó ở phần Owner -> ta change owner lại cho NS1 rồi check tiếp vào 2 mục: Replace như hình ->Apply

Trả quyền Ownership cho NS1

Test:  NS1 log on trên 2012may1 tạo folder ” Owner”, sau đó log off rồi log on trên 2012may2. Nếu thấy folder “Owner” thì quá trình take Ownership và trả lại Ownership diễn ra thành công.