Gezici Kullanıcı Profili Nasıl Yapılandırılır?

29.01.2008 | 23:00 Dokümanlar , Windows , Windows Server 3 Yorum

Gezici Kullanıcı Profili NedirAdından da anlayabileceğimiz gibi “Roaming User Profiles – Gezici Kullanıcı Profilleri“, kullanıcılarımızın organizasyon içindeki farklı bilgisayarlarda, aynı profil dosyaları ile oturum açabilmesine olanak sağlayan bir özelliktir. Yani kullanıcılarımız beş farklı bilgisayarda da oturum açsalar, aynı belgelerim klasörü, aynı kişisel ayarlar, masaüstü ve içerik gibi Profil tabanlı özellikleri kullanabiliyor olacaklardır.

Gezici Kullanıcı Profili Nedir?

Roaming User Profile yani Türkçe kelime karşılığı “Gezici Kullanıcı Profili” olan bu teknoloji, organizasyonumuz için oldukça kullanışlı olabileceği gibi yanlış yapılandırmalar sonucunda tam bir kabusa da dönüşebilir. Bu nedenle piyasada özel durumlar dışında pek sık rastlayamıyoruz. Çünkü terminal sayısı fazla olan yapılarda ağa getirdiği yük gerçekten can sıkıcı olabiliyor. Makalenin ilerleyen bölümlerinde bunun nedenlerine de değineceğiz.

Bir kullanıcı PC’de oturum açtığında karşısına gelen masaüstü, kişisel ayarlar, belgelerim klasörü gibi aslında “Documents and Settings” altında kullanıcı adı ile yer alan dizindeki tüm veriler o kullanıcının “Profil“i olarak adlandırılır. Normal şartlarda kullanıcı profilleri yerel disk üzerinde tutulduğu için profil dosyaları da sadece o bilgisayarda oturum açıldığında aynıdır. “Gezici Kullanıcı Profili” ise profil dosyalarının merkezi bir sunucu üzerinden okunmasını ve her farklı bilgisayarda aynı profil ile oturum açılabilmesini sağlar. Bu teknolojide kullanıcıların profil dosyaları merkezi sunucular üzerinde depolanır.

Öncelikle “Gezici Kullanıcı Profili”ni nasıl yapılandıracağımıza bakalım. Daha sonra böyle bir yapının sağlıklı ve hızlı çalışabilmesi için neler yapabileceğimize değinelim.

Gezici Kullanıcı Profili Nasıl Çalışır?

Her şeyden önce bu yapı ciddi olarak kullanılmak isteniliyorsa kesinlikle kullanıcı profilleri için ayrı bir sunucu yapılandırılmalıdır. Çok yapılan hatlardan birisi de önemli sunuculara ikinci disk takarak profil dosyalarının burada tutulmasıdır. Bu durum, belirli zamanlarda o sunucunun asıl görevini yerine getirmede zorluk yaşamasına neden olabilir. Çünkü “Gezici Kullanıcı Profili” oturum açma kapatma olayları kabaca şu şekilde işler:

Kullanıcı ilk kez gezici olarak oturum açtığında profil sunucusu üzerinde henüz hiçbir profil dosyası olmadığı için yerel diskteki profil dosyalarını kullanacaktır. Daha sonra kullanıcı oturumu kapattığında, yerel diskindeki profil dosyaları bizim tarafımızdan ayarlanan profil sunucusunda ilgili yere kopyalanır. Bu işlemin süresi, kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum kapanma işlemi tamamlanır.

Daha sonra kullanıcı ikinci kez oturum açmak istediğinde (bu herhangi bir bilgisayar olabilir) kullanıcıya ait olan profil dosyaları, profil sunucusu üzerinden önce yerel diske kopyalanır. Çünkü artık sunucuda duran bir profil vardır ve öncelik onundur. Bu işlem zamanı da kopyalanacak profil verilerinin boyutuna göre farklılık gösterir. Kopyalama işlemi bittikten sonra oturum açılır ve kullanıcı dosyalar ile çalışmaya başlar. Bu sırada kullanıcı tarafından gerçekleştirilen tüm işlemler profil sunucusu üzerindeki dosyalarda değil, direk yerel diskimize indirilen kopya üzerinde gerçekleşir. (Bu nedenle çalışma esnasında hız normaldir ve networkte ekstra trafik yaratılmaz) Yani profil açıldıktan sonra profil sunucusu ile oturum açtığımız terminal arasında fazla bir trafik yoktur. Ama kullanıcı oturumu kapattığında tekrar yerel diskimizdeki profil dosyaları profil sunucusuna kopyalanarak eşitleme gerçekleşir. Bu şekilde her oturum açma ve kapatma esnasında, profil sunucusu ile terminal arasında bir trafik oluşur.

İşte böyle çalışan bir yapıda sabah 20 – 30 terminalin aynı anda oturum açtığını düşünürseniz, profil dosyalarının duracağı sunucunun anlık yükünün fazla olacağını tahmin edebilirsiniz. Özellikle Ethernet kartı üzerinden geçecek veri miktarı oldukça fazla olacaktır. Bu nedenle profil dosyaları için ayrı bir sunucu olması kesinlikle tavsiye edilir. (File Server)

Bu makale içi hazırladığım örnek yapıda 1 DC, 1 File Server ve birkaç Windows XP Pro terminal bulunuyor. Terminallerimiz etki alanına dahil edilmiş şekilde çalışıyorlar. Bu yapı “Gezici Kullanıcı Profili” olayını kavrayabilmemiz için yeterli.

Gezici Kullanıcı Profili Nasıl Yapılandırılır?

Öncelikle file server üzerinde duracak olan profil dosyaları için kullanıcıların erişebileceği ve yazabileceği bir paylaşım yaratıyoruz. Bu paylaşım üzerinde izin verirken dikkatli olmak gerekir. Aksi durumlarda istemediğimiz kullanıcılar birbirlerinin dosyalarına erişebilir. Örneğin “Gezici” olarak yapılandırılacak hesapları bir güvenlik gurubuna dahil edip yalnızca bu guruba izin ataması yapmak daha akıllıca olur. Aşağıda görüldüğü gibi “Gezici” olarak oturum açacak kullanıcıları bir OU altında topladım ve onları “RProfile” güvenlik gurubuna üye yaptım. Böyle yaparak yönetim açısından da kolaylık sağlamış oldum. Resim-1

Roaming Users

Resim-1

File server üzerinde NTFS dosya sistemi ile formatlanmış bir bölümde “Profiles” isimli bir klasör oluşturuyorum ve bu klasörü “Profiles$” adı ile paylaşıma açıyorum. Resim-2

Gezici Kullanıcı Profil Klasörü

Resim-2

Klasörün sonuna dolar işareti koyarak paylaşıma açıyorum ki bu klasör herkes tarafından görülemesin. Sonunda dolar işareti olan paylaşımlar gizli paylaşımlardır. Başlat > Çalıştıra \\ServerName illerdir. Küçük bir güvenlik önlemi diyebiliriz.

Yine Resim-2 de gördüğünüz gibi “Paylaşım İzinleri” kısmında default olarak gelen everyone gurubunu kaldırdım ve yerine “Gezici” olarak oturum açacak kullanıcılarımı üye yaptığım “RProfile” gurubu ekledim ve yalnızca bu guruba “Tam Denetim” verdim. Çünkü bu paylaşıma herkesin erişmesine gerek yok. Ayrıca “Administrators” gurubunu da “Tam Denetim” vererek buraya ekliyorum ki yönetici olarak müdahale edebilelim.

Aynı şekilde NTFS izinleri için de gerekli hakları vermeliyiz. Öncelikle üst dizinden gelecek izinleri devre dışı bırakıyorum. Aksi taktirde ilerleyen zamanlarda izin problemleri yaşanabiliyor. Bunun için “Profiles” klasöründe “Güvenlik” tabına geliyorum. “Gelişmiş” butonuna basarak gelişmiş güvenlik ayarlarını açıyorum. Burada “Üst nesneden alınabilir izinlerin bu nesneye ve tüm bağımlı nesnelere …” ile başlayan checkbox’ı boşaltıyorum ve uygula diyorum. Gelen pencerede “Kopyala” diyerek devam ediyorum. Çünkü administartors, creat owner ve system gurupları kalabilir. “Kopyala” diyerek onların kalmasını sağlıyorum. Resim-3.

NTFS İzinleri

Resim-3

Böylece “Profiles” klasörüne üstten izin yayılmasını engellemiş olduk. Şimdi tekrar “Güvenlik” tabını açıyoruz ve Users gurubunu siliyoruz. Yerine “RProfile” gurubunu ekliyoruz çünkü sadece gezici oturum açanların bu klasöre erişmelerini istiyorum. “RProfile” gurubuna “Değiştir” izni veriyoruz. Eğer “Tam Denetim” vermiş olsaydık kullanıcıların NTFS izinlerini değiştirme yetkileri olurdu. Buna hiç gerek yok. Diğer gurup (administrators, creat owner, system) izinleri olduğu gibi kalabilir.

Artık profillerimizi tutabileceğimiz bir dizinimiz var. Şimdi yapmamız gereken şey, Gezici olarak oturum açacak kullanıcılarımızın hesap özelliklerinde gerekli değişikliği yapmak. Ortamda domain olduğu için Active directory Users and Computers’ı açıyoruz ve ilgili kullanıcılarımızın olduğu OU ya geliyoruz. Her bir hesabın özelliklerinde tek tek bu işlemi yapmak yerine hepsini toplu olarak seçiyoruz ve “Özellikler” diyip “Profil” tabına geliyoruz. Bu işlem ile birden çok hesabı aynı anda yapılandırabiliyoruz. Profil tabında Profil Yolu kısmına \\srv\profiles$\%username% yazıyoruz ve “Tamam” diyerek kapatıyoruz. Resim-4

Kullanıcı Profil Yolu

Resim-4

Verdiğimiz bu yolda SRV benim file serverımın ismi. Profiles$ oluşturduğumuz gizli paylaşımın ismi.(Dikkat edin $ işareti ile kullanıyoruz). %username% ‘i ise toplu olarak işlem yaptığımız için kullanıyoruz ve kullanıcı ismini temsil ediyor. Aksi taktirde her bir kullanıcı için tek tek girmek zorundaydık. (\\srv\profiles$\User1, \\srv\profiles$\User2, \\srv\profiles$\User3 gibi ..)

Bu işlemden sonra artık kullanıcılarımız Gezici olarak oturum açmaya hazır. Test için bir terminalin başına geçiyoruz ve User1 kullanıcısı ile oturum açıyoruz.

Önceden de söylediğimiz gibi, şu an için profil sunucumuzda herhangi bir profil dosyası yok. Onun için User1 kullanıcısı localde tanımlı profil klasörü ile oturum açacak. Ama ilk oturum kapanışında profil dosyaları sunucu üzerine kopyalanacak. Oturumu kapatıyoruz ve profil dosyalarımız sunucu üzerine kopyalanıyor.

Oturum açılışında profil dosyalarının sunucu üzerinden terminale kopyalanması işlemi, aşağıdaki pencere eşliğinde yapılıyor. Resim-5

Oturum Açma 1

Resim-5

Oturumu kapattığımızda ise profil dosyalarının tekrar sunucu üzerine kopyalanması işlemi sırasında bize aşağıdaki pencere eşlik ediyor. Resim-6

Oturum Açma 2

Resim-6

Oturum açtığımız User1 kullanıcısı ile belgelerim yada masa üstü gibi konumlarda yeni dosyalar, klasörler yaratın. Görünüm ayarları ile oynayın, çeşitli düzenlemeler yapın ve oturumu kapatın. Daha sonra başka bir terminalin başına geçin ve User1 kullanıcısı ile oturum açın. Aynı dosya ve ayarlar ile çalışabildiğinizi göreceksiniz.

User1 kullanıcısı açıkken \\srv\profiles$ yazarak profiles paylaşımına ulaşıp profil dosyalarını inceleyebilirsiniz.

Yeri gelmişken hatırlatmak istediğim bir noktada Outlook kullanımı. Gezici olarak yapılandırılan bir kullanıcıda, MS Outlook içinde tanımlı olan hesaplar ve depolanan mailler maalesef taşınmıyor. Çünkü profil gezicide olsa, Outlook pst dosyası hala ilk yapılandırılan bilgisayardaki profil içinde “Local Settings” altında tutuluyor. “Local Settings” taşınan bir klasör değil çünkü yerel ayarları içeriyor.

Eğer ki Outlook’u da gezici olarak kullanmak istersek yapmamız gereken; Outlook PST dosyalarını da sunucu üzerindeki herhangi bir paylaşım içerisinde tutmak ve Outlook’a paylaşımdaki bu PST dosyasını kullanmasını söylemek. Ama bu şekilde çalışan 20 kullanıcı outlook’u açıp search yaptığında sunucuda oluşacak yükü tahmin edebiliyorsunuzdur. Bu nedenle işin içinde Outlook ta varsa sağlam bir server şart.

Bu işlemlerden sonra kullanıcılarımızın profil dosyaları, sunucu üzerindeki “Profiles” dizininde tutuluyor. Bu dizindeki kullanıcılardan hiçbirisinin birbirinin klasörüne erişim yetkisi yok. (Hatta administrator kullanıcısının bile.)

En başta NTFS izinlerini vermiş olsak bile (ki öyle yaptık) profil dosyaları yaratılırken ilgili iziler yeniden düzenleniyor. Ancak administrator kullanıcısı klasörlerin sahipliğini alarak istediği işlemi yapabilir ki bu tavsiye edilen bir yöntem değildir. Sorunlara yol açmaktadır.

Kullanıcıların profil dosyaları üzerinde denetim sağlayabilmek için klasör sahipliğini almak yerine aşağıdaki GPO ayarını kullanmak doğru olandır. Resim-7

Gezici Kullanıcı Profili GPO Ayarı

Resim-7

Ancak bu policy’i uygulamadan önce bilmemiz gereken iki önemli nokta var.

Dikkat etmemiz gereken ilk nokta şu: Bu policy’i Profil sunucumuza yada DC makinemize değil direk Terminal bilgisayarlara uygulamalıyız. Çünkü gezici profil dosyalarının paylaşım izinleri, profil dosyaları ilk kez yaratılırken terminal bilgisayar tarafından belirlenir. Bu nedenle bu policy gezici olarak oturum açan kullanıcıların kullandığı bilgisayar hesaplarının olduğu OU’ya uygulanmalıdır.

İkinci önemli nokta ise şu, bu policy önceden yaratılmış Profil dosyalarını etkilemez. Yani yeni yaratılacak Profillerde “administrators” gurubuna full hak gelecektir ama önceden yaratılmış Profil dosyaları için aynı durum söz konusu olmayacaktır. Çünkü ilk maddede de söylediğim gibi izinler Profil dosyası ilk yaratıldığı zaman belirlenir. Onun için bu policy önceden yaratılmış Profil dosyalarına etki etmez.

Administrator olarak bu iki noktaya dikkat edersek, kullanıcı profillerine erişimde sorun yaşamayız. Uygun olan, Profil dosyalarının duracağı paylaşım ilk yaratıldığında bu ayarın da etkinleştirilmesidir.

Gördüğünüz gibi Roaming Profile ayarları çok zahmetli değil. Ancak performans için dikkat etmemiz gereken bazı noktalar var. Şimdi bunlardan birkaç tanesine değinmek istiyorum.

İlk başta da söylediğim gibi kullanıcıların oturum açma ve kapatma olayları sırasındaki veri taşıma işlemi iyi analiz edilmeli ki networkte gereksiz trafik engellenebilsin.

Kullanıcıya gereksiz dosya kopyalama şansı vermemeliyiz. (mp3, video vs..). Bunu %100 engelleyebileceğimiz sağlıklı bir yöntem maalesef yok. (File server R2 bile olsa pek sağlıklı olmuyor) Onun yerine kapanışta çalışacak Script’ler ile temizleme, kullanıcılar için file server üzerinde disk kotaları belirleme ve en önemlisi “Bakın kardeşim boşuna mp3 kopyalamayın çünkü düzenli olarak siliyoruz” gibi uyarılar daha etkili olabilir :) Aksi taktirde sunucu tam bir dosya çöplüğüne dönüşebilir.

Kullanıcıların gereksiz dosya kopyalamasının önüne geçemediğimiz sistemlerde yada belgelerim, masaüstü gibi klasörlerin boyutunun giderek arttığı durumlarda sizde fark edeceksiniz ki oturum açma ve kapatma işlemleri oldukça uzun sürecek. Bu sıkıcı durumdan kurtulmanın yolu ise “Folder Redirection” yani “Klasör Yönlendirme

Burada amaç şu: Profil içindeki belirli klasörleri yine sunucu üzerindeki bir paylaşıma yönlendirmek ve orada tutulmasını sağlamak.

“Ama zaten gezici profil yapılandırarak bunu sağlamıştık” dediğinizi duyar gibiyim. Evet dediğiniz doğru ama burada durum biraz farklı. Hatırlarsanız Gezici profildeki dosyalar her oturum açılışında ve kapanışında terminal ile profil sunucusu arasında gidip geliyordu. Klasör yönlendirmede ise bu durum söz konusu değil. Ama bu seferde yapılan anlık işlemler ağ üzerinden gerçekleşecek, bu da olaya farklı bir boyut katacak. Daha iyi anlamak açısından şöyle bir örnek verelim:

Gezici olarak yapılandırılmış bir kullanıcının “Belgelerim” klasörünü sunucu üzerindeki başka bir paylaşıma yönlendiriyoruz. Bu durumda kullanıcı oturum açarken, Profil dosyaları sunucu üzerinden yerel diske kopyalanır ama “Belgelerim” klasörü kopyalanmaz. Çünkü onu yönlendirdik. Böylece oturum açma ve kapanma işlemi çok daha hızlı gerçekleşir.

Ama bu seferde şöyle bir durum söz konusudur: Belgelerim klasörü içindeki herhangi bir dosyaya erişmek istediğimizde bu işlem network üzerinden gerçekleşir. Her bir işlem için sunucuya gidilir ve ilgili dosya üzerinde işlem yapılır.

Toparlarsak, Klasör Yönlendirme ile birlikte kullanılan Gezici Profil özelliği oturum açma ve kapatma sırasındaki trafiği oldukça hafifletir ve bu işlemler çok çok daha hızlı gerçekleşir. Ama bununla birlikte yönlendirilen klasörler üzerinde yapılan işlemlerde, network üzerinden gerçekleşmesinin getirdiği bir yavaşlık durumu da söz konusudur. (Tabi bu durum network kalitesine göre değişir)

Bu özelliğin Gezici Profile ile birlikte kullanılması hiçbir sorun oluşturmaz. Örnek olması açısından tüm kullanıcımızın Belgelerim klasörünü, sunucu üzerinde uygun izinleri vererek yarattığım “Folders” isimli paylaşıma yönlendiriyorum. Bunu yapmak için GPO kullanıyoruz. Bu ayar User bazlı olduğu için gezici olarak oturum açan kullanıcı hesaplarının bulunduğu OU ya uygulanmalıdır.

Bir hatırlatma yapalım. Oluşturacağımız bu paylaşım üzerinde kullanıcılara tam yetki verebilirsiniz çünkü yönlendirme işlemi sırasında her kullanıcı klasörü için izinler (ALC) yeniden oluşturuluyor ve birbirlerinin klasörlerini görme şansları olmuyor. Ama ben her zaman için doğru ve minimum izinlerin verilmesinden yanayım.

Gördüğünüz gibi yönlendirme işlemi yapabileceğimiz klasörler aşağıda listeleniyor. Zaten bu klasörler bir profil içinde en çok yer kaplayanlardır. Resim-8

Klasör Yeniden Yönlendirme

Resim-8

Resim-8 penceresinde Belgelerim‘e sağ tıklayıp Özellikler diyoruz ve açılan pencerede “Herkesin klasörünü aynı konuma yeniden yönlendir” seçiyoruz. Hedef klasör konumu olarak “Şu konuma yeniden yönlendir” veya size uygun olanı seçiyoruz. Kök yolu olarak açtığımız “Folders” isimli paylaşımı veriyoruz. Resim-9

Klasör Yeniden Yönlendirme - Belgelerim

Resim-9

Resim-9 ekranında Ayarlar kısmında eski içeriğin yeni konuma taşınması, bu ayar devre dışı bırakıldığında dosyaların geri alınması gibi birkaç özel ayar bulunuyor. Gerektiği taktirde düzenleyebilirsiniz.

Tamam dedikten sonra yönlendirme işlemi bitiyor. Yönlendirmenin gerçekleşmesi için birkaç logoff-logon yada restart gerekebiliyor. İşlem gerçekleştiğinde herhangi bir kullanıcı ile oturum açıp belgelerim klasörüne sağ tıklayıp özellikler deyin. Hedef olarak \\Srv\Folders yazdığını göreceksiniz. İlk oturum açma işlemi uzun sürebilir çünkü belgelerim klasörü içeriği yeni konumuna kopyalanacaktır. (Aksi bir ayar yapmadıysanız). Diğer oturum açılış ve kapanışları normal hızda gerçekleşecektir.

Son olarak Gezici olarak oturum açan kullanıcılarımız için uygulayabileceğimiz bazı GPO ayarları mevcut. Bu ayarları da planlamamıza göre yapılandırabiliriz. Bu GPO ayarları computer bazlı olduğu için, Gezici olarak oturum açacak kullanıcıların bilgisayar hesaplarının bulunduğu OU ya uygulanmalıdır. Ayarlar aşağıdaki bölümde bulunuyor. Resim-10

GPO - Kullanıcı Profilleri

Resim-10

Ayarların üzerine tıkladığınızda sol kısımda hangi durumlarda kullanılabileceği gibi ayrıntılı açıklamaları mevcut.

Gezici Profil ile ilgili bilgiler vermeye çalıştım. Bu yapıyı hayata geçirirken dikkat etmemiz gereken temel noktalar bunlar. Ama her yapıya göre de farklı durumlar söz konusu olabilir. Sonuç olarak Gezici Kullanıcı Profili iyi planlandıktan sonra uygulanması gereken bir özelliktir.

Yazı Etiketleri: , ,

Sayfa Başı ▲

Yorumlar (3)

  1. Bekir

    mrb hocam;
    Öncelikle makaleniz için teşekkür ederim,fakat ben tüm bunları yaptıgım halde yapımda 2008 server ve win7 clientler var,kullanıcıyı açmaya çalıştıgımda ” windows NT sunucusu üstündeki sam veritabanı bu iş istasyonu güven ilişkisi için bir bilgisayar hesabına sahip değil” böyle bi hatayla karşılaşıyorum acaba nerde bi hata yaptım ? yardımcı olursanız sevinirim.

  2. Fatih Taşdelen

    Merhaba Serhat Hocam,
    Windows 2012 Server üzerinde bu işlemleri yapacağım da, File Server’i domaine dahil etmemiz gerekiyor mu? Ayrıca o File Server üzerinde SQL Server 2008 R2’de mevcut. Bu bana sıkıntı çıkarır mı?

  3. Serhat AKINCI

    Profil dosyalarının bulunacağı dizinler bir File Server üzerinde duracaksa, kullanıcı NTFS yetkilendirmesini en doğru şekilde yapabilmek için File Server ‘ın etki alanı üyesi yapılması önerilir.

    SQL servisi ile birlikte çalışması için teknik bir engel yok ancak canlı ortamlarda birden fazla rolün aynı sunucu üzerinde konumlandırılmasını genelde önermiyoruz.

Yorum Ekle