Roaming profili

Roaming profili omogućavaju da se određene mape i datoteke unutar korisničkog računa na lokalnom računalu sinkroniziraju, odnosno prebacuju u mapu na serveru. Tako se osigurava sigurnost korisničkih podataka i postavki u slučaju havarije lokalnog diska jer korisnik neće ostati bez podataka nego će njihova kopija ostati na serveru, a pretpostavljamo da se server sigurnosno pohranjuje, čime su podaci dodatno osigurani. Druga korisna upotreba roaming profila je kod korisnika koji nemaju svoje dedicirano računalo, već mogu raditi na bilo kojem računalu ili na više njih u organizaciji. Korisnik će s roaming profilom na svakom računalu na koje se prijavi imati svoje korisničko sučelje i sve dokumente iz profila.
Za razliku od Home foldera, gdje korisnik mora ručno prebacivati podatke metodom copy-paste, ovdje se sinkronizacija odvija neprimjetno u pozadini prilikom prijave korisnika na računalo i odjave. U roaming profile, osim postavki korisničkog sučelja, od važnijih stvari ulaze i mape My Documents, Desktop, postavke pisača…
Zbog sinkronizacije podataka između lokalnog računala i servera samo trajanje prijave ili odjave korisnika s roaming profilom trajat će nešto duže.

Pokazat ćemo kako stvoriti roaming profile i pridijeliti ih korisniku.
Podešavanje roaming profila vrlo je slično podešavanju Home foldera. Napravit ćemo jednu vršnu dijeljenu mapu imena roaming, a pojedinačne korisničke mape će se ispod vršne mape stvarati pri prvoj prijavi korisnika na računalo. Odredit ćemo dozvole Share i NTFS na vršnoj mapi, a niže mape nasljeđuju postavke ovisno o podešavanju na vršnoj mapi.

Roaming profili – Share dozvole
Na virtualnom serveru (Windows Server 2012 R2) na kojem radimo imamo samo jedan (sistemski) disk, pa ćemo mapu roaming profil stvoriti na njemu, ali u praksi preporučamo da ta mapa bude na zasebnom disku.
Stvorite jednu mapu imena roaming i podesite da je dostupna preko mreže. Iza imena dijeljene mape stavite znak $ kako bi mapa bila skrivena na mreži, roaming$.:

Desni klik na ime mape – Properties – Sharing – Advanced Sharing... – kvačica na Share this folder – Share name: "roaming$"

Roaming profiles – Share dozvole
Zatim ćemo podesiti prava pristupa za tu vršnu dijeljenu mapu tako da maknemo sve unaprijed definirane grupe i korisnike, te dodamo samo Authenticated Users kojima ćemo pridijeliti Change i Read prava.

Na prozoru Advanced Sharing kliknemo na tipku Permissions, selektiramo grupu Everyone i kliknemo Remove. Nakon toga kliknemo na Add... – Advanced... – Find Now. Tu pronađite grupu  Authenticated Users, označite je i kliknite na OK – OK – izaberite opcije Change i Read.

Umjesto grupe Authenticated Users postoje preporuke da se stvori i upotrijebi jedna posebna korisnička grupa u AD-u, samo za korisnike s roaming profilom. Tako se može još više osigurati sigurnost pristupa do svake pojedine korisničke mape. Kao i kod Home foldera, i ovdje se uglavnom preporuča grupi Authenticated Users dati Full Control prava, ali smatramo da za to nema potrebe i da je samo Change/Read sigurnije.

Roaming profili – NTFS dozvole
Podešavanje je slično Home folderima. Bitno je podesiti sigurnosne postavke tako da svaki korisnik ima pravo pristupa u svoju mapu, da je ne može obrisati, ali da može raditi sve u njoj, dodavati datoteke, brisati datoteke, stvarati mape, brisati mape... Treba osigurati da korisnik ima pravo pristupa samo svojoj mapi i da nema nikakvu mogućnost pristupa mapi nekog drugog korisnika.
Prvo napravimo desni klik na ime mape – Properties Security - Advanced. Klikom na Disable inheritance ulazimo u postavke za micanje nasljeđivanja prava s vršne mape. Pri tome imamo dvije opcije:
-    Convert inherited permissions into explicit permissions on this object
-    Remove all inherited permissions from this object.

Izabrat ćemo drugu opciju, pa ćemo nakon toga "od nule" podesiti prava. Izborom prve opcije bi nam ostala naslijeđena prava koja bi nakon toga podešavali.

Podesit ćemo dozvole za nekoliko korisnika/grupa: CREATOR OWNER, Authenticated Users, SYSTEM, Administrator.

Dozvole podešavamo za sve korisnike istim postupkom. Kako smo u prethodnom koraku maknuli sve korisnike i grupe, sad ih dodajemo jedan po jedan istim postupkom:
-    klik na Add Select a principal Advanced Find Now te pronađite i selektirajte korisnika ili grupu koje ćemo malo niže navesti i kliknite OK OK.

U prozoru u kojem vidimo sigurnosne postavke izabranog računa podesite za svaki od niže navedenih računa ili grupa:

CREATOR OWNER
Type: Allow
Applies to: Subfolders and files only
Advanced permissions: Full control

 

Authenticated Users
Type: Allow
Applies to: This folder only
Advanced permissions: Traverse folder / execute file, List folder / read data, Create folders / append data

 

SYSTEM:
Type: Allow
Applies to: This folder, subfolders and files
Advanced permissions: Full control

 

Administrator:
Type: Allow
Applies to: This folder only
Advanced permissions: Full control

Nakon što smo to podesili, zatvorimo prozor i potvrdimo postavke klikom na OKClose.

Roaming profili - korisnik
U zadnjem koraku idemo u konzolu "Active Directory Users and Computers" dodijeliti funkcionalnost korisničkog roaming profila. To radimo na kartici Profile gdje pod Profile path: upišemo putanju u obliku:

\\ime_servera\ime_dijeljene_mape\%username%

Za razliku od Home foldera, mape korisničkog roaming profila ne stvaraju se sve do trenutka dok se korisnik prvi put nakon stvaranja profila ne prijavi u domenu. Korisnik neće primijetiti ništa na svom računalu, jedino će mu prva prijava na računalo trajati nešto duže, možda i sve kasnije prijave, jer je potrebno neko vrijeme da se sinkroniziraju podaci lokalno i na serveru.

Korisnik se nakon toga može prijaviti na bilo koje domensko računalo i uvijek će imati svoje jednoznačno korisničko okruženje.

Za kraj ćemo samo navesti još dvije "sitnice". S obzirom na to da roaming profil, tj. sve korisnikove datoteke i postavke, ostaju lokalno na svakom računalu na koje se prijavi, možda ima nekih računala za koja to ne želite.
To se može riješiti preko Group Policyja stvaranjem jedne organizacijske jedinice u domeni u koju ćemo smjestiti takva računala, nad kojom ćemo primijeniti donja pravila:
Computer Configuration – Administrative Templates – System – User Profiles
Treba podesiti : Only allow local user profiles – Enabled

Druga situacija je kad želite iz sinkronizacije profila izbaciti neku mapu. Ovo može biti korisno za one koji za čitanje mailova koriste Thunderbird/IMAP,  jer Thunderbird sprema mailove na putanju:
C:\Users\ime_korisnika\AppData\roaming\Thunderbird\ImapMail\ime_imap_servera, a mapa roaming "ide" na server. Outlook, naprimjer, to pametnije rješava jer smješta svoje podatke u mapu Local koja ne ide u profil.

Količina podataka u toj mapi može prilično narasti, a kako u ozbiljnim organizacijama ne koristimo POP, već IMAP ili MAPI protokol, kopiju mailova ionako imamo na mail serveru, pa čemu trošiti i resurse u profilu.
Osim toga, u praksi može doći do generiranja nepotrebnih velikih tmp datoteka u toj mapi, što smo primijetili i za što nema rješenja jer na forumima se tvrdi da one nastaju baš zbog sinkronizacije roaming profila.

Kreiramo Group Policy i podešavamo u njemu:
User Configuration – Policies - Administrative Templates – System - User Profiles
"Exclude directories in roaming profile" – Enabled

U polje za upis mape upisujemo putanju do mape u relativnom obliku u odnosu na ime korisnika.

Npr. mapu:
C:\Users\ime_korisnika\AppData\roaming\Thunderbird\Profiles

upisat ćemo kao:
AppData\roaming\Thunderbird\Profiles

Tu možemo dodati i više mapa, s tim da ih odvajamo s ";" a taj znak mora biti i na kraju linije.

Npr. "AppData\roaming\Thunderbird\Profiles;Mapa2;Mapa3;"

Upisuje se bez navodnika.