Windows Server 2012 R2: Roaming User Profiles

Come già anticipato nel precedente articolo Windows Server 2012 R2: Folder Redirection, la sicurezza dei dati aziendali è uno degli aspetti che maggiormente preoccupa gli IT.

Riprendiamo i concetti che stanno alla base delle due soluzioni.

Folder Redirection: Viene utilizzata per memorizzare i dati dell’utente all’interno di cartelle condivise centralizzate su server. La scelta delle cartelle da centralizzare dipende dalle singole esigenze. Generalmente si dà priorità alla cartella “Documenti”. Quindi i dati dell’utente non risiedono sul PC ma su uno o più Server. La conseguenza pratica è quella di poter eseguire un unico backup centralizzato. Questo si traduce in finestre di backup più brevi, minor traffico sulla rete e politiche di sicurezza più semplici.

Roaming User Profiles: A differenza della soluzione precedente, in questo caso, l’intero profilo utente è memorizzato in una cartella condivisa centralizzata. Il profilo, quindi, è sganciato dal singolo PC. Tutte le impostazioni applicate al profilo sono “replicate” su ogni singolo PC a cui l’utente accede, di conseguenza l’utente avrà una migliore esperienza d’utilizzo in quanto ritroverà il proprio Desktop, i propri files, le proprie impostazioni su ogni PC. Rispetto al Folder Redirection, implementare il Roaming User Profiles risulta più complesso in tutte quelle situazioni in cui ci sia coesistenza di differenti Sistemi Operativi Client (Windows 7, Windows 8, Windows 8.1, Windows 10).

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio: testerlab.local

Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Unità Organizzativa: OU-02
Gruppo di Sicurezza: Gruppo_Roaming_Profiles
Utenti: ut03

Quasi sicuramente una infrastruttura esistente sarà formata da client con  sistemi operativi differenti. Affinché tutto funzioni regolarmente è necessario applicare gli aggiornamenti indicati nelle seguenti KB.

KB2887239 – Incompatibility between Windows 8 roaming user profiles and roaming profiles in other versions of Windows
KB2890783 – Incompatibility between Windows 8.1 roaming user profiles and those in earlier versions of Windows
Update for Windows 8.1 for x64-based Systems (KB2887595)
Update for Windows Server 2012 R2 (KB2887595)

Sarà inoltre necessario applicare la seguente chiave al registro di sistema di Client e Server:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters\UseProfilePathExtensionVersion

– DWORD con valore 1

Creazione Gruppo di Sicurezza
Per gestire gli accessi alla cartella condivisa che conterrà i dati degli utenti utilizziamo un Gruppo di Sicurezza. Questo ci permetterà di utilizzare permessi di accesso più restrittivi. Selezioniamo l’ambito di applicazione della Group Policy, nel nostro caso l’Unità Organizzativa (OU) precedentemente creata OU-02. Dal menu a discesa selezioniamo “Nuovo” > “Gruppo”. Indichiamo il nome e premiamo “OK”.
ro_pr-01

Il gruppo appena aggiunto dovrà essere popolato con gli utenti a cui vorremo dare la possibilità di utilizzare il Roaming Profiles.
ro_pr-03

Nell’esempio il gruppo “Gruppo_Roaming_Profiles” è composto dall’utente “Ut03”. Utente che sarà aggiunto all’interno dell’Unità Organizzativa “OU-02”.
ro_pr-02

Creazione cartella condivisa
La fase successiva è quella di creare lo spazio disco per la memorizzazione dei dati utenti. Per questa attività utilizzerò Server Manager che offre una visione di insieme delle risorse disponibili.

Selezionare “Condivisioni” e nell’ambito delle attività “Nuova condivisione”.
ro_pr-05

Scegliere “Condivisione SMB – rapida” e premere “Avanti”. Successivamente selezionare lo storage tra quelli disponibili.
fo_re-08
fo_re-09

Nella schermata successiva indicare il nome della condivisione ed una eventuale descrizione. Per evitare che la cartella condivisa sia visibile a tutti aggiungere il carattere $ alla fine del nome. Nell’esempio il nome utilizzato è “PUtenti$“.
Eliminare il flag “Consenti memorizzazione nella cache della condivisione” se non ci sono utenti che lavorano in modalità offline.
ro_pr-06
fo_re-11

Come già detto in precedenza andremo a personalizzare la sicurezza della cartella condivisa appena creata.
Premere il pulsante “Personalizza autorizzazioni”, nella pagina seguente premere il pulsante “Disabilità ereditarietà” e confermare la scelta.
ro_pr-04
ro_pr-05
ro_pr-06

Alla fine, come evidenziato nella seguente screen non avremo nessuna eredità.
ro_pr-07

A questo punto andiamo ad impostare le autorizzazioni corrette eliminando dall’elenco delle entità il gruppo Users ed aggiungendo il Gruppo di Sicurezza precedentemente creato (Gruppo_Roaming_Profiles). Per completare l’attività premere il tasto “Ok”.

Aggiungere ed assegnare al Gruppo di Sicurezza le seguenti autorizzazioni:
– Visualizza contenuto cartella/Lettura dati
– Creazione cartelle/Aggiunta dati

Per visualizzare le autorizzazioni speciali è necessario premere sul link “Mostra autorizzazioni avanzate“.
ro_pr-08
ro_pr-09

Dopo aver modificato le autorizzazioni completiamo il wizard per la creazione della cartella condivisa.
ro_pr-10

Rispetto alla funzionalità del Folder Redirection, il Roaming User Profiles presenta alcune differenze di applicazione:
A livello UTENTE, possiamo impostare il puntamento alla cartella condivisa andando ad indicare il percorso UNC nella scheda “Profilo”.
A livello COMPUTER possiamo indicare il percorso attraverso una Group Policy.

L’utilizzo della Group Policy va a sovrascrivere (quindi ha precedenza) rispetto all’eventuale impostazione applicata a livello Active Directory.

Impostazione UTENTE – Active Directory
Nel profilo utente andare nella scheda “Profilo”, aggiungere il percorso UNC e premer “OK”. La variabile d’ambiente %username% permette di aggiungere il nome utente alla fine del percorso UNC.

ro_pr-11

Impostazione COMPUTER – Group Policy
Selezioniamo l’Unità Organizzativa (OU-02) e creiamo un oggetto Criterio di gruppo. Indichiamo il nome e premiamo il pulsante “Ok”. Nel nostro caso, il nome scelto è “Roaming Profiles“.
ro_pr-12

Di default il filtro di sicurezza della Group Policy è impostata su Authenticated Users. Noi vogliamo restringere il campo di applicazione al Gruppo di Sicurezza creato in precedenza. Sarà dunque questa la prima modifica che andremo ad effettuare.
ro_pr-14ro_pr-15

Modifichiamo il criterio precedentemente creato.
In particolare, per la nostra attività, ci concentreremo su:
> Configurazione computer
>> Criteri
>>> Modelli amministrativi
>>>> Sistema
>>>>> Profili Utente
ro_pr-17ro_pr-18

Il Percorso UNC è quello visto in precedenza, ovvero “\\DC-01.testerlab.local\PUtenti$\%username%”. Per forzare l’applicazione della nuova Group Policy possiamo eseguire un GPUpdate /force.

Approfondimenti
GPUpdate
GPResult
Deploy Folder Redirection with Offline Files
Deploy Roaming User Profiles
Percorso UNC?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *