Active Directory ile VDI User Profile Management – 2
Makalemin ilk bölümünde genel olarak VDI, Roaming Profile, User State Virtualization, Folder Redirection gibi kavramlardan bahsetmiş ve uygulama olarak ise Roaming User Profile için gerekli adımları listelemiş ve bu adımlardan ilk 3 tanesinin nasıl yapılacağını sizler ile paylaşmamıştım.
Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz.
Bu bölümde ise kaldığımız yerden roaming user profile uygulamasına devam ediyoruz.
· Farklı profil sürümlerinin desteklenmesi
· Roaming User Profiles için bir security group oluşturmak
· Roaming user profiles için bir dosya paylaşımı hazırlamak
· Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak
· Roaming User Profiles ayarlarının kullanıcılar için tanımlanması
· Roaming User Profiles için isteğe bağlı bilgisayar ayarları
· Roaming User Profiles için tanımlanan GPO’ nun devreye alınması
· Test İşlemleri
İlk 3 adımı gerçekleştirmiş ve 4. Adım ile devam ediyoruz.
Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak
Eğer Roaming User Profile ayarlarını GPO ile yönetmek istiyorsanız bir OU oluşturabilir ve buna şimdilik boş bir GPO bağlayabilirsiniz. Makalemin ilerleyen bölümlerinde bunun detaylarını paylaşıyor olacağım. Şimdilik GPO oluşturmayı paylaşacağım.
Hatırlarsanız makalemin ilk bölümünde Roaming User Profile için bir grup oluşturmuş ve ilgili kullanıcıları bu gruba eklemenizi tavsiye etmiştim, şimdi ise GPO kaynaklı benzer bir aksiyon alacağız, bir OU oluşturup bu kullanıcıları da bu OU altına taşıyacağız.
OU oluşturduktan sonra buna boş bir GPO bağlıyoruz.
GPO oluşturduktan sonra sağ tıklıyoruz ve link kısmını kaldırıyoruz.
Bu sayede artık yapacağımız GPO değişiklikleri biz tekrar bağlayana kadar geçerli olmayacaktır.
Şimdi GPO Security Filter bölümünü de aşağıdaki gibi güncelliyoruz.
Yaptığımız işin özeti, burada var olan “Authenticated users” grubunu kaldırıp, roaming için tanımlamış olduğumuz grubu eklemektir.
Bu adımı da tamamlamış olduk. GPO içeriğini Roaming Profile ince ayarlarında ayrıca anlatacağım. Ama anlatacağım GPO ayarlarının çalışması için bu alt yapının hazır olması gerekmektedir. Eğer GPO ile Roaming Profile için herhangi bir ayar değişikliği yapmayacaksanız bu bölümü atlayabilirsiniz.
Roaming User Profiles ayarlarının kullanıcılar için tanımlanması
Bu bölümde ise AD üzerinde kullanıcıların profile yolu bilgisini tanımlayacağız. Bunun için ilgili kullanıcıyı bulup Profile Sekmesine aşağıdaki gibi yolu tanımlıyoruz;
\\fs1.cozumpar.local\UserProfiles$\%username%
Öncelikle burada dikkat etmeniz gereken bu kullanıcının her ortam için, yani kendi bilgisayarı veya bir terminal server – VDI ortamı için roaming kullanmasını istediğimden dolayı Profile sekmesini kullanıyorum. Bazı şirket ortamlarında şube yapısında kullanıcıların kendi bilgisayarlarına girerken Roaming Profile olmaması, yani local profil ile çalışmaları ancak RDS sunucularına bağlanırken belirli bir yerden profil çekmesini ve yine RDS den çıkarken bu profili güncellemesini veya tam tersi Mandatory Profile dediğimiz yöntem ile çıkışta bilgilerin kayıt edilmemesi için farklı bir sekme kullanıyoruz. Bu sekmenin ismi ise “Remote Desktop Services Profile”. Burada yapacağınız ayarlar lokal profile için geçerli olmayıp sadece RDS’ e erişim durumunda aktif olacaktır.
Yazım şekline dikkat ederseniz %username% gibi bir sonra ek kullanıyoruz ve uygula dedikten sonra aşağıdaki gibi aslında kullanıcı adına dönüyor.
Bunun temel sebebi, siz yüzlerce veya binlerce kişinin profil ayarlarının aynı anda değiştirmek istediğinizde size kolaylık sağlamak içindir.
Yukarıda gördüğünüz gibi istediğiniz kullanıcıları seçtikten sonra profile tabına yolu yazıp sonuna %username% demeniz herkesin klasörünün kendi hesap ismi ile ayrılacağını gösterir.
Roaming User Profiles için isteğe bağlı bilgisayar ayarları
Eğer kullanıcı bazlı değil de makine bazlı Roaming profile uygulamasını kullanmak istiyorsanız bu durumda GPO ile ilgili makinelere oturum açan kullanıcılar için bir yol belirtmemiz gerekmektedir. Yani sizin kullanıcılarınız aslında roaming profile kullanmayacak, ancak bazı makinelere logon olan kullanıcılar ki bu Terminal Server’ lar olabilir, giriş yaptıklarında arka planda bir havuz olduğu ve en uygun sunucu hangisi ise ondan oturum açacağı için bu makinelerde roaming profile kullanımı mantıklı olabilir. Böyle bir durum için yukarıda oluşturduğumuz GPO objesinin aşağıdaki gibi düzenliyoruz.
Computer Configuration – Administrative Templates – System – User Profiles Bölümünde “Set roaming profile path for all users logging onto this computer” seçeneğine çift tıklıyoruz ve aşağıdaki gibi roaming user profile için ayarlanmış olan paylaşımın yolunu gösteriyoruz.
Roaming User Profiles için tanımlanan GPO’ nun devreye alınması
Makalemin başında belirtmiş olduğum GPO objesini tekrar ilgili OU’ ya bağlayarak aşağıdaki bölümden temel anlamda yönetim sağlayabilirsiniz.
Eğer bu OU ya makine da koyarsanız ki özellikle RDS gibi Roaming Profile kullanılacak makineler, daha çok seçeneğiniz olacaktır. Yukarıdaki seçenekler sadece kullanıcı policy için geçerlidir. Ancak aşağıdaki seçenekler makineler için geçerlidir.
Örneğin Roaming User Profile uygulamadan önce kullanılacak bilgisayarların bulunduğu OU için aşağıdaki ayarları yapmanızı tavsiye ederim.
Computer Configuration > Policies > Administrative Templates > System > User Profiles
Altında “Add the Administrator security group to roaming users profiles” bölümüne “Enable” yapıyoruz. Bunun temel nedeni, bir kullanıcı bir bilgisayarda ilk defa oturum açtıktan sonraki ilk log off sırasınca profilini ortak dizine gönderecektir. İşte bu klasörün yöneticiler tarafından da görüntülenmesi için ACL değişikliği yapılmasını sağlar. Eğer bunu yapmadan RUP sürecine başlarsanız, bu GPO dan önceki profil dosyalarına admin hakları ile erişmeniz mümkün değildir. Eğer dosya sahipliğini alıp erişirseniz bu durumda ise kullanıcı profilini yükleyemez.
Hakan kullanıcısı için bu hakkımız yok ancak bu GPO’ yu istemci bir makineye uygular, sonra bu makinede RUP ayarları başka bir kullanıcı olan Serkan kullanıcısı ile giriş yaparsak sonuç aşağıdaki gibi olacaktır.
Bu adımı da tamamladıktan sonra test işlemlerine başlayabiliriz. Bu işlemleri makalemin bir sonraki bölümünde sizler ile paylaşıyor olacağım.
Kaynaklar
http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider
http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management
https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions