Roaming User Profiles Nasıl Yapılandırılır
Adından da anlayabileceğimiz gibi “Roaming User Profils”, kullanıcılarımızın organizasyon içindeki farklı bilgisayarlarda, aynı profil dosyaları ile oturum açabilmesine olanak sağlayan bir özelliktir. Yani kullanıcılarımız beş farklı bilgisayarda da oturum açsalar, aynı belgelerim klasörü, aynı kişisel ayarlar, desktop ve içeriği, gibi Profil tabanlı özellikleri kullanabiliyor olacaklardır.
Türkçe kelime karşılığı “Gezici Kullanıcı Profili” olan bu yapı, organizasyonumuz için oldukça kullanışlı olabileceği gibi, yanlış yapılandırmalar sonucunda tam bir kabusa da dönüşebilir. Bu nedenle piyasada özel durumlar dışında pek sık rastlayamıyoruz. Çünkü terminal sayısı fazla olan yapılarda network’e getirdiği yük gerçekten can sıkıcı olabiliyor. Makalenin ilerleyen bölümlerinde bunun nedenlerine değiniyor olacağız.
Bir kullanıcı oturum açtığında karşısına gelen masaüstü, kişisel ayarlar, belgelerim klasörü gibi aslında “Documents and Settings” altında, kullanıcı adı ile yer alan dizindeki tüm veriler o kullanıcının “Profil”i olarak adlandırılır. Normal şartlarda kullanıcı profilleri local disk üzerinde tutulduğu için, kullanıcı profil dosyaları sadece o bilgisayarda oturum açıldığında aynıdır. “Gezici Kullanıcı Profili” ise, profil dosyalarının merkezi bir sunucu üzerinden okunmasını ve her farklı bilgisayarda aynı profil ile oturum açabilmemizi sağlar.
Tabi bunun için yapmamız gereken birtakım ayarlar var. Öncelikle “Gezici Kullanıcı Profili”ni nasıl yapılandıracağımıza bakalım. Daha sonra böyle bir yapının sağlıklı ve hızlı çalışabilmesi için neler yapabileceğimize değinelim.
Her şeyden önce; bu yapı ciddi olarak kullanılmak isteniliyorsa, kesinlikle kullanıcı profilleri için ayrı bir sunucu yapılandırılmalıdır. Çok yapılan hatlardan birisi, önemli sunuculara ikinci bir disk takarak profil dosyalarının burada tutulması. Bu durum, belirli zamanlarda o sunucunun asıl görevini yerine getirmede zorluk yaşamasına neden olmaktadır. Çünkü “Gezici Kullanıcı Profili” oturum açma kapatma olayları kabaca şu şekilde işler.
Kullanıcı ilk kez gezici olarak oturum açtığında profil sunucusu üzerinde henüz hiçbir profil dosyası olmadığı için yerel diskteki profil dosyalarını kullanacaktır. Daha sonra kullanıcı oturumu kapattığında, yerel diskindeki profil dosyaları bizim tarafımızdan ayarlanan profil sunucusunda ilgili yere kopyalanır. Bu işlemin süresi, kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum kapanır.
Daha sonra kullanıcı ikinci kez oturum açmak istediğinde (bu herhangi bir bilgisayar olabilir) kullanıcıya ait olan profil dosyaları, profil sunucusu üzerinden yerel diske kopyalanır. Çünkü artık sunucuda duran bir profil vardır ve öncelik onundur. Bu işlem zamanı da kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum açılır ve kullanıcı dosyalar ile çalışmaya başlar. Bu sırada kullanıcı tarafından gerçekleştirilen tüm işlemler profil sunucusu üzerindeki dosyalarda değil, direk yerel diskimize indirilen kopya üzerinde gerçekleşir. (Bu nedenle çalışma esnasında hız normaldir ve networkte ekstra trafik yaratılmaz) Yani profil açıldıktan sonra profil sunucusu ile oturum açtığımız terminal arasında fazla bir trafik yoktur. Ama kullanıcı oturumu kapattığında tekrar yerel diskimizdeki profil dosyaları profil sunucusuna kopyalanarak eşitleme gerçekleşir. Bu şekilde her oturum açma ve kapatma esnasında, profil sunucusu ile terminal arasında bir trafik vardır.
İşte böyle çalışan bir yapıda sabah 20 – 30 terminalin aynı anda oturum açtığını düşünürseniz, profil dosyalarının duracağı sunucunun anlık yükünün fazla olacağını tahmin edebilirsiniz. Özellikle Ethernet kartı üzerinden geçecek veri miktarı oldukça fazla olacaktır. Bu nedenle profil dosyaları için ayrı bir sunucu olması kesinlikle tavsiye edilir. (File Server)
Bu makale içi hazırladığım örnek yapıda 1 DC, 1 File Server ve birkaç XP Pro terminal bulunuyor. Terminallerimiz etki alanına dahil edilmiş şekilde çalışıyorlar. Bu yapı “Gezici Kullanıcı Profili” olayını kavrayabilmemiz için yeterli.
Öncelikle file server üzerinde duracak olan profil dosyaları için kullanıcıların erişebileceği ve yazabileceği bir paylaşım yaratıyoruz. Bu paylaşım üzerinde izin verirken dikkatli olmak gerekir. Aksi durumlarda istemediğimiz kullanıcılar birbirlerinin dosyalarına erişebilir. Örneğin “Gezici” olarak yapılandırılacak hesapları bir güvenlik gurubuna dahil ederek, yalnızca bu guruba izin ataması yapmak daha akıllıca olur. Aşağıda görüldüğü gibi “Gezici” olarak oturum açacak kullanıcıları bir OU altında topladım ve onları “RProfile” güvenlik gurubuna üye yaptım. Böyle yaparak yönetim açısından da kolaylık sağlamış oldum. Resim-1.
Resim-1
File server üzerinde, NTFS dosya sistemi ile formatlanmış bir bölümde “Profiles” isimli bir klasör oluşturuyorum ve bu klasörü “Profiles$” adı ile paylaşıma açıyorum. Resim-2.
Resim-2
Klasörün sonuna $ işareti koyarak paylaşıma açıyorum ki bu klasör herkes tarafından görülemesin. Sonunda $ işareti olan paylaşımlar gizli paylaşımlardır. Çalıştır’a \ServerName
yazarak yada ağ bağlantılarım altından listelenebilecek paylaşımlar değillerdir. Küçük bir güvenlik önlemi diyebiliriz.
Yine Resim-2 de gördüğünüz gibi “Paylaşım İzinleri” kısmında default olarak gelen everyone gurubunu kaldırdım ve yerine “Gezici” olarak oturum açacak kullanıcılarımı üye yaptığım “RProfile” gurubu ekledim ve yalnızca bu guruba “Tam Denetim” verdim. Çünkü bu paylaşıma herkesin erişmesine gerek yok. Ayrıca “Administrators” gurubunu da “Tam Denetim” vererek buraya ekliyorum ki yönetici olarak müdahale edebilelim.
Aynı şekilde NTFS izinleri için de gerekli hakları vermeliyiz. Öncelikle üst dizinden gelecek izinleri devre dışı bırakıyorum. Aksi taktirde ilerleyen zamanlarda izin problemleri yaşanabiliyor. Bunun için “Profiles” klasöründe “Güvenlik” tabına geliyorum. “Gelişmiş” butonuna basarak gelişmiş güvenlik ayarlarını açıyorum. Burada “Üst nesneden alınabilir izinlerin bu nesneye ve tüm bağımlı nesnelere …” ile başlayan checkbox’ı boşaltıyorum ve uygula diyorum. Gelen pencerede “Kopyala” diyerek devam ediyorum. Çünkü administartors, creat owner ve system gurupları kalabilir. “Kopyala” diyerek onların kalmasını sağlıyorum. Resim-3.
Resim-3
Böylece “Profiles” klasörüne üstten izin yayılmasını engellemiş olduk. Şimdi tekrar “Güvenlik” tabını açıyoruz ve Users gurubunu siliyoruz. Yerine “RProfile” gurubunu ekliyoruz çünkü sadece gezici oturum açanların bu klasöre erişmelerini istiyorum. “RProfile” gurubuna “Değiştir” izni veriyoruz. Eğer “Tam Denetim” vermiş olsaydık kullanıcıların NTFS izinlerini değiştirme yetkileri olurdu. Buna hiç gerek yok. Diğer gurup (administrators, creat owner, system) izinleri olduğu gibi kalabilir.
Artık profillerimizi tutabileceğimiz bir dizinimiz var. Şimdi yapmamız gereken şey, Gezici olarak oturum açacak kullanıcılarımızın hesap özelliklerinde gerekli değişikliği yapmak. Ortamda domain olduğu için Active directory Users and Computers’ı açıyoruz ve ilgili kullanıcılarımızın olduğu OU ya geliyoruz. Her bir hesabın özelliklerinde tek tek bu işlemi yapmak yerine hepsini toplu olarak seçiyoruz ve “Özellikler” diyip “Profil” tabına geliyoruz. Bu işlem ile birden çok hesabı aynı anda yapılandırabiliyoruz. Profil tabında Profil Yolu kısmına \srvprofiles$%username% yazıyoruz ve “Tamam” diyerek kapatıyoruz. Resim-4
Resim-4
Verdiğimiz bu yolda SRV benim file serverımın ismi. Profiles$ oluşturduğumuz gizli paylaşımın ismi.(Dikkat edin $ işareti ile kullanıyoruz). %username% ‘i ise toplu olarak işlem yaptığımız için kullanıyoruz ve kullanıcı ismini temsil ediyor. Aksi taktirde her bir kullanıcı için tek tek girmek zorundaydık. (\srvprofiles$User1 \srvprofiles$User2 \srvprofiles$User3 gibi ..)
Bu işlemden sonra artık kullanıcılarımız Gezici olarak oturum açmaya hazır. Test için bir terminalin başına geçiyoruz ve User1 kullanıcısı ile oturum açıyoruz.
Önceden de söylediğimiz gibi, şu an için profil sunucumuzda herhangi bir profil dosyası yok. Onun için User1 kullanıcısı localde tanımlı profil klasörü ile oturum açacak. Ama ilk oturum kapanışında profil dosyaları sunucu üzerine kopyalanacak. Oturumu kapatıyoruz ve profil dosyalarımız sunucu üzerine kopyalanıyor.
Oturum açılışında profil dosyalarının sunucu üzerinden terminale kopyalanması işlemi, aşağıdaki pencere eşliğinde yapılıyor. Resim-5
Resim-5
Oturumu kapattığımızda ise profil dosyalarının tekrar sunucu üzerine kopyalanması işlemi sırasında bize aşağıdaki pencere eşlik ediyor. Resim-6
Resim-6
Oturum açtığımız User1 kullanıcısı ile belgelerim yada masa üstü gibi konumlarda yeni dosyalar, klasörler yaratın. Görünüm ayarları ile oynayın, çeşitli düzenlemeler yapın ve oturumu kapatın. Daha sonra başka bir terminalin başına geçin ve User1 kullanıcısı ile oturum açın. Aynı dosya ve ayarlar ile çalışabildiğinizi göreceksiniz.
User1 kullanıcısı açıkken \srvprofiles$ yazarak profils paylaşımına ulaşıp profil dosyalarını inceleyebilirsiniz.
Yeri gelmişken hatırlatmak istediğim bir noktada Outlook kullanımı. Gezici olarak yapılandırılan bir kullanıcıda, MS Outlook içinde tanımlı olan hesaplar ve depolanan mailler maalesef taşınmıyor. Çünkü profil gezicide olsa, Outlook pst dosyası hala ilk yapılandırılan bilgisayardaki profil içinde “Local Settings” altında tutuluyor. “Local Settings” taşınan bir klasör değil çünkü yerel ayarları içeriyor.
Eğer ki Outlook’u da gezici olarak kullanmak istersek yapmamız gereken; Outlook PST dosyalarını da sunucu üzerindeki herhangi bir paylaşım içerisinde tutmak ve Outlook’a paylaşımdaki bu PST dosyasını kullanmasını söylemek. Ama bu şekilde çalışan 20 kullanıcı outlook’u açıp search yaptığında sunucuda oluşacak yükü tahmin edebiliyorsunuzdur. Bu nedenle işin içinde Outlook ta varsa sağlam bir server şart.
Bu işlemlerden sonra kullanıcılarımızın profil dosyaları, sunucu üzerindeki “Profiles” dizininde tutuluyor. Bu dizindeki kullanıcılardan hiçbirisinin birbirinin klasörüne erişim yetkisi yok. (Hatta administrator kullanıcısının bile.)
En başta NTFS izinlerini vermiş olsak bile (ki öyle yaptık) profil dosyaları yaratılırken ilgili iziler yeniden düzenleniyor. Ancak administrator kullanıcısı klasörlerin sahipliğini alarak istediği işlemi yapabilir ki bu tavsiye edilen bir yöntem değildir. Sorunlara yol açmaktadır.
Kullanıcıların profil dosyaları üzerinde denetim sağlayabilmek için klasör sahipliğini almak yerine aşağıdaki GPO ayarını kullanmak doğru olandır. Resim-7.
Resim-7
Ancak bu policy’i uygulamadan önce bilmemiz gereken iki önemli nokta var.
Dikkat etmemiz gereken ilk nokta şu: Bu policy’i Profil sunucumuza yada DC makinemize değil direk Terminal bilgisayarlara uygulamalıyız. Çünkü gezici profil dosyalarının paylaşım izinleri, profil dosyaları ilk kez yaratılırken terminal bilgisayar tarafından belirlenir. Bu nedenle bu policy, gezici olarak oturum açan kullanıcıların kullandığı bilgisayar hesaplarının olduğu OU’ya uygulanmalıdır.
İkinci önemli nokta ise; bu policy önceden yaratılmış Profil dosyalarını etkilemez. Yani yeni yaratılacak Profillerde “administrators” gurubuna full hak gelecektir ama önceden yaratılmış Profil dosyaları için aynı durum söz konusu olmayacaktır. Çünkü ilk maddede de söylediğim gibi izinler Profil dosyası ilk yaratıldığı zaman belirlenir. Onun için bu policy önceden yaratılmış Profil dosyalarına etki etmez.
Administrator olarak bu iki noktaya dikkat edersek, kullanıcı profillerine erişimde sorun yaşamayız. Uygun olan, Profil dosyalarının duracağı paylaşım ilk yaratıldığında bu ayarın da etkinleştirilmesidir.
Gördüğünüz gibi Roaming Profile ayarları çok zahmetli değil. Ancak performans için dikkat etmemiz gereken bazı noktalar var. Şimdi bunlardan birkaç tanesine değinmek istiyorum.
İlk başta da söylediğim gibi kullanıcıların oturum açma ve kapatma olayları sırasındaki veri taşıma işlemi iyi analiz edilmeli ki networkte gereksiz trafik engellenebilsin.
Kullanıcıya gereksiz dosya kopyalama şansı vermemeliyiz. (mp3, video vs..). Bunu %100 engelleyebileceğimiz sağlıklı bir yöntem maalesef yok. (File server r2 bile olsa pek sağlıklı olmuyor) Onun yerine kapanışta çalışacak scriptler ile temizleme, kullanıcılar için file server üzerinde disk kotaları belirleme ve en önemlisi “Bakın kardeşim boşuna mp3 kopyalamayın çünkü düzenli olarak siliyoruz” gibi uyarılar daha etkili olacaktır. J . Aksi taktirde sunucu tam bir dosya çöplüğüne dönüşebilir.
Kullanıcıların gereksiz dosya kopyalamasının önüne geçemediğimiz sistemlerde yada belgelerim, desktop gibi klasörlerin boyutunun giderek arttığı durumlarda sizde fark edeceksiniz ki oturum açma ve kapatma işlemleri oldukça uzun sürecek. Bu sıkıcı durumdan kurtulmanın yolu ise “Folder Redirection” yani “Klasör Yönlendirme”
Burada amaç şu: Profil içindeki belirli klasörleri yine sunucu üzerindeki bir paylaşıma yönlendirmek ve orada tutulmasını sağlamak.
“Ama zaten gezici profil yapılandırarak bunu sağlamıştık” dediğinizi duyar gibiyim. Evet dediğiniz doğru ama burada durum biraz farklı. Hatırlarsanız Gezici profildeki dosyalar her oturum açılışında ve kapanışında terminal ile profil sunucusu arasında gidip geliyordu. Klasör yönlendirmede ise bu durum söz konusu değil. Ama bu seferde yapılan anlık işlemler ağ üzerinden gerçekleşecek, bu da olaya farklı bir boyut katacak. Daha iyi anlamak açısından şöyle bir örnek verelim:
Gezici olarak yapılandırılmış bir kullanıcının “Belgelerim” klasörünü sunucu üzerindeki başka bir paylaşıma yönlendiriyoruz. Bu durumda kullanıcı oturum açarken, Profil dosyaları sunucu üzerinden yerel diske kopyalanır ama “Belgelerim” klasörü kopyalanmaz. Çünkü onu yönlendirdik. Böylece oturum açma ve kapanma işlemi çok daha hızlı gerçekleşir.
Ama bu seferde şöyle bir durum söz konusudur: Belgelerim klasörü içindeki herhangi bir dosyaya erişmek istediğimizde bu işlem network üzerinden gerçekleşir. Her bir işlem için sunucuya gidilir ve ilgili dosya üzerinde işlem yapılır.
Toparlarsak, Klasör Yönlendirme ile birlikte kullanılan Gezici Profil özelliği oturum açma ve kapatma sırasındaki trafiği oldukça hafifletir ve bu işlemler çok çok daha hızlı gerçekleşir. Ama bununla birlikte yönlendirilen klasörler üzerinde yapılan işlemlerde, network üzerinden gerçekleşmesinin getirdiği bir yavaşlık durumu da söz konusudur. (Tabi bu durum network kalitesine göre değişir)
Bu özelliğin Gezici Porfil ile birlikte kullanılması hiçbir sorun oluşturmaz. Örnek olması açısından tüm kullanıcımızın Belgelerim klasörünü, sunucu üzerinde uygun izinleri vererek yarattığım “Folders” isimli paylaşıma yönlendiriyorum. Bunu yapmak için GPO kullanıyoruz. Bu ayar User bazlı olduğu için gezici olarak oturum açan kullanıcı hesaplarının bulunduğu OU ya uygulanmalıdır.
Bir hatırlatma yapalım. Oluşturacağımız bu paylaşım üzerinde kullanıcılara full hak verebilirsiniz çünkü yönlendirme işlemi sırasında her kullanıcı klasörü için izinler (ALC) yeniden oluşturuluyor ve birbirlerinin klasörlerini görme şansları olmuyor. Ama ben her zaman için doğru ve minimum izinlerin verilmesinden yanayım.
Gördüğünüz gibi yönlendirme işlemi yapabileceğimiz klasörler aşağıda listeleniyor. Zaten bu klasörler bir profil içinde en çok yer kaplayanlardır. Resim-8
Resim-8
Resim-8 penceresinde Belgelerim’e sağ tıklayıp Özellikler diyoruz ve açılan pencerede “Herkesin klasörünü aynı konuma yeniden yönlendir” seçiyoruz. Hedef klasör konumu olarak “Şu konuma yeniden yönlendir” veya size uygun olanı seçiyoruz. Kök yolu olarak açtığımız “Folders” isimli paylaşımı veriyoruz. Resim-9
Resim-9
Resim-9 ekranında Ayarlar kısmında eski içeriğin yeni konuma taşınması, bu ayar devre dışı bırakıldığında dosyaların geri alınması gibi birkaç özel ayar bulunuyor. Gerektiği taktirde düzenleyebilirsiniz.
Tamam dedikten sonra yönlendirme işlemi bitiyor. Yönlendirmenin gerçekleşmesi için birkaç logoff-logon yada restart gerekebiliyor. İşlem gerçekleştiğinde herhangi bir kullanıcı ile oturum açıp belgelerim klasörüne sağ tıklayıp özellikler deyin. Hedef olarak \SrvFolders yazdığını göreceksiniz. İlk oturum açma işlemi uzun sürebilir çünkü belgelerim klasörü içeriği yeni konumuna kopyalanacaktır. (Aksi bir ayar yapmadıysanız). Diğer oturum açılış ve kapanışları normal hızda gerçekleşecektir.
Son olarak Gezici olarak oturum açan kullanıcılarımız için uygulayabileceğimiz bazı GPO ayarları mevcut. Bu ayarları da planlamamıza göre yapılandırabiliriz. Bu GPO ayarları computer bazlı olduğu için, Gezici olarak oturum açacak kullanıcıların bilgisayar hesaplarının bulunduğu OU ya uygulanmalıdır. Ayarlar aşağıdaki bölümde bulunuyor. Resim-10
Resim-10
Ayarların üzerine tıkladığınızda sol kısımda hangi durumlarda kullanılabileceği gibi ayrıntılı açıklamaları mevcut.
Lütfen konu ile ilgili her türlü sorunuz için Forum bölümümüzü kullanın.
Gezici Profil ile ilgili bilgiler vermeye çalıştım. Bu yapıyı hayata geçirirken dikkat etmemiz gereken temel noktalar bunlar. Ama her yapıya göre de farklı durumlar söz konusu olabilir. Sonuç olarak Gezici Kullanıcı Profili iyi planlandıktan sonra uygulanması gereken bir özelliktir.
Serhat AKINCI – IT Professional