Windows Server

Active Directory ile VDI User Profile Management – 2

Makalemin ilk bölümünde genel olarak VDI, Roaming Profile, User State Virtualization, Folder Redirection gibi kavramlardan bahsetmiş ve uygulama olarak ise Roaming User Profile için gerekli adımları listelemiş ve bu adımlardan ilk 3 tanesinin nasıl yapılacağını sizler ile paylaşmamıştım.

Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz.

Bölüm1

Bu bölümde ise kaldığımız yerden roaming user profile uygulamasına devam ediyoruz.

·         Farklı profil sürümlerinin desteklenmesi 

·         Roaming User Profiles için bir security group oluşturmak

·         Roaming user profiles için bir dosya paylaşımı hazırlamak

·         Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

·         Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

·         Roaming User Profiles için isteğe bağlı bilgisayar ayarları

·         Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

·         Test İşlemleri

İlk 3 adımı gerçekleştirmiş ve 4. Adım ile devam ediyoruz.

 

Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

Eğer Roaming User Profile ayarlarını GPO ile yönetmek istiyorsanız bir OU oluşturabilir ve buna şimdilik boş bir GPO bağlayabilirsiniz. Makalemin ilerleyen bölümlerinde bunun detaylarını paylaşıyor olacağım. Şimdilik GPO oluşturmayı paylaşacağım.

Hatırlarsanız makalemin ilk bölümünde Roaming User Profile için bir grup oluşturmuş ve ilgili kullanıcıları bu gruba eklemenizi tavsiye etmiştim, şimdi ise GPO kaynaklı benzer bir aksiyon alacağız, bir OU oluşturup bu kullanıcıları da bu OU altına taşıyacağız.

clip_image001

 

clip_image003

OU oluşturduktan sonra buna boş bir GPO bağlıyoruz.

clip_image004

GPO oluşturduktan sonra sağ tıklıyoruz ve link kısmını kaldırıyoruz.

clip_image005

Bu sayede artık yapacağımız GPO değişiklikleri biz tekrar bağlayana kadar geçerli olmayacaktır.

Şimdi GPO Security Filter bölümünü de aşağıdaki gibi güncelliyoruz.

clip_image007

Yaptığımız işin özeti, burada var olan “Authenticated users” grubunu kaldırıp, roaming için tanımlamış olduğumuz grubu eklemektir.

Bu adımı da tamamlamış olduk. GPO içeriğini Roaming Profile ince ayarlarında ayrıca anlatacağım. Ama anlatacağım GPO ayarlarının çalışması için bu alt yapının hazır olması gerekmektedir. Eğer GPO ile Roaming Profile için herhangi bir ayar değişikliği yapmayacaksanız bu bölümü atlayabilirsiniz.

Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

Bu bölümde ise AD üzerinde kullanıcıların profile yolu bilgisini tanımlayacağız. Bunun için ilgili kullanıcıyı bulup Profile Sekmesine aşağıdaki gibi yolu tanımlıyoruz;

\\fs1.cozumpar.local\UserProfiles$\%username%

clip_image008

Öncelikle burada dikkat etmeniz gereken bu kullanıcının her ortam için, yani kendi bilgisayarı veya bir terminal server – VDI ortamı için roaming kullanmasını istediğimden dolayı Profile sekmesini kullanıyorum. Bazı şirket ortamlarında şube yapısında kullanıcıların kendi bilgisayarlarına girerken Roaming Profile olmaması, yani local profil ile çalışmaları ancak RDS sunucularına bağlanırken belirli bir yerden profil çekmesini ve yine RDS den çıkarken bu profili güncellemesini veya tam tersi Mandatory Profile dediğimiz yöntem ile çıkışta bilgilerin kayıt edilmemesi için farklı bir sekme kullanıyoruz. Bu sekmenin ismi ise “Remote Desktop Services Profile”. Burada yapacağınız ayarlar lokal profile için geçerli olmayıp sadece RDS’ e erişim durumunda aktif olacaktır.

clip_image009

Yazım şekline dikkat ederseniz %username% gibi bir sonra ek kullanıyoruz ve uygula dedikten sonra aşağıdaki gibi aslında kullanıcı adına dönüyor.

clip_image010

Bunun temel sebebi, siz yüzlerce veya binlerce kişinin profil ayarlarının aynı anda değiştirmek istediğinizde size kolaylık sağlamak içindir.

clip_image011

Yukarıda gördüğünüz gibi istediğiniz kullanıcıları seçtikten sonra profile tabına yolu yazıp sonuna %username% demeniz herkesin klasörünün kendi hesap ismi ile ayrılacağını gösterir.

Roaming User Profiles için isteğe bağlı bilgisayar ayarları

Eğer kullanıcı bazlı değil de makine bazlı Roaming profile uygulamasını kullanmak istiyorsanız bu durumda GPO ile ilgili makinelere oturum açan kullanıcılar için bir yol belirtmemiz gerekmektedir. Yani sizin kullanıcılarınız aslında roaming profile kullanmayacak, ancak bazı makinelere logon olan kullanıcılar ki bu Terminal Server’ lar olabilir, giriş yaptıklarında arka planda bir havuz olduğu ve en uygun sunucu hangisi ise ondan oturum açacağı için bu makinelerde roaming profile kullanımı mantıklı olabilir. Böyle bir durum için yukarıda oluşturduğumuz GPO objesinin aşağıdaki gibi düzenliyoruz.

Computer Configuration – Administrative Templates – System – User Profiles  Bölümünde “Set roaming profile path for all users logging onto this computer” seçeneğine çift tıklıyoruz ve aşağıdaki gibi roaming user profile için ayarlanmış olan paylaşımın yolunu gösteriyoruz.

 

clip_image013

 

Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

Makalemin başında belirtmiş olduğum GPO objesini tekrar ilgili OU’ ya bağlayarak aşağıdaki bölümden temel anlamda yönetim sağlayabilirsiniz.

clip_image015

Eğer bu OU ya makine da koyarsanız ki özellikle RDS gibi Roaming Profile kullanılacak makineler, daha çok seçeneğiniz olacaktır. Yukarıdaki seçenekler sadece kullanıcı policy için geçerlidir. Ancak aşağıdaki seçenekler makineler için geçerlidir.

clip_image017

Örneğin Roaming User Profile uygulamadan önce kullanılacak bilgisayarların bulunduğu OU için aşağıdaki ayarları yapmanızı tavsiye ederim.

Computer Configuration > Policies > Administrative Templates > System > User Profiles

Altında “Add the Administrator security group to roaming users profiles” bölümüne “Enable” yapıyoruz. Bunun temel nedeni, bir kullanıcı bir bilgisayarda ilk defa oturum açtıktan sonraki ilk log off sırasınca profilini ortak dizine gönderecektir. İşte bu klasörün yöneticiler tarafından da görüntülenmesi için ACL değişikliği yapılmasını sağlar. Eğer bunu yapmadan RUP sürecine başlarsanız, bu GPO dan önceki profil dosyalarına admin hakları ile erişmeniz mümkün değildir. Eğer dosya sahipliğini alıp erişirseniz bu durumda ise kullanıcı profilini yükleyemez.

clip_image019

Hakan kullanıcısı için bu hakkımız yok ancak bu GPO’ yu istemci bir makineye uygular, sonra bu makinede RUP ayarları başka bir kullanıcı olan Serkan kullanıcısı ile giriş yaparsak sonuç aşağıdaki gibi olacaktır.

clip_image020

Bu adımı da tamamladıktan sonra test işlemlerine başlayabiliriz. Bu işlemleri makalemin bir sonraki bölümünde sizler ile paylaşıyor olacağım.

 

Kaynaklar

http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider

http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management

https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu