Как настроить перенаправление папок

Перенаправление папок в домене Active Directory. Настройка ACL

Для доменной структуры удобно использовать перенаправление папок пользователей.

Запустить в работу эту функцию довольно просто. Нужно лишь иметь smb-шару и доступ к GPO.

До перенаправления папок использовались перемещаемые профили. Их использование приводит к мукам пользователей и системного администратора. Поэтому на смену пришло перенаправление папок. Логика работы перенаправляемых папок примерно такая же, как у подключенного сетевого диска. Только заместо, например, диска Z каталоги пользователя «документы», » загрузки» и т.д. хранятся на файловом сервере, т.е. эти каталоги начинают работать почти как сетевые диски, информация читается и записывается непосредственно на сервер. Также существует система управления версиями. Она используется пользователями в основном при конфликте файлов и каталогов.

Конфигурация заключается в трех шагах:

1. Создание smb-шары на файловом сервере
2. Включение функции перенаправления папок в GPO
3. Настройки групповой политики для хорошей работы перенаправляемых папок

Создание smb-шары на файловом сервере#

Мы будем использовать в качестве сервера Windows server 2012r2.

Для сетевых шар я бы рекомендовал использовать отдельный диск. При его заполнении работа ОС не будет нарушена и расширять пространство (производить любые манипуляции) диска проще, когда на нем нет ОС.

Создаём каталог redirection, назначаем его сетевым.

Редактируем ACL. Нам требуется, чтобы каждый пользователь имел доступ только к своему каталогу. Группа администраторов имела доступ ко всем.

Каталоги пользователей должны создаваться автоматически, и права, значит, должны назначаться автоматически владельцам каталогов. Помогут нам в этом особые настройки ACL.

Свойства каталога — вкладка Безопасность — Дополнительно

Первым делом нужно отключить наследование.

Сделаем перенаправление папок только для одной группы пользователей. Для неё и нужны особые права доступа. Добавляем нужную группу и нажимаем Изменить. Включаем отображение дополнительных разрешений.

Нужно лишь разрешение Создание папок / дозапись данных

Пользователь должен иметь полный доступ к своему каталогу — добавляем субъект создатель-владелец и даем ему полный доступ только для подпапок и файлов. Еще нужно добавить субъект система, группу системных администраторов и дать им полный доступ для этой папки и её подпапок.

Включение функции перенаправления папок в GPO#

Произведем настройку на примере каталога AppData. В редакторе политики конфигурация пользователя — настройки windows — перенаправляемые папки выбираем папку AppData и заходим в её свойства.

На вкладке конечная папка нам дается на выбор два варианта настройки:

1. Перенаправлять папки всех пользователей в одно расположение— это простой режим, как понятно из названия, все каталоги пользователей будут размещаться в одной сетевой шаре
2. Указать различные расположения для разных групп пользователей— это сложный режим. Он позволяет задать несколько сетевых шар в одной политике. Этот режим использовать не рекомендуется.

Выберем простой режим и зададим значение Создать папку для каждого пользователя на корневом пути. Для файлового сервера лучше создать CNAME-запись на DNS-сервере, например, smb.domain.ru, корневой путь в таком случае будет выглядеть \smb.domain.ru\redirection.

На вкладке параметры есть три условия:

1. Предоставить права монопольного доступа. Мы уже настроили доступ и данное ограничение не требуется. Если применить это условие, то у группы администраторов не будет доступа к каталогам пользователей.
2. Перенести содержимое «AppData» в новое расположение. Лучше эту опцию не использовать, или использовать только один раз и потом выключить. Иначе конфликты обеспечены.
3. Применить политику перенаправления к ОС старее Vista. Если в домене есть старые ОС, то опцию нужно включить.

Также предлагается действие, которое будет произведено, если политика будет удалена. Это уже зависит от ситуации.

Настройки на вкладке параметры лучше произвести заранее, т.к. их дальнейшее редактирование выльется в проблемы.

Пару слов о AppData (перемещаемая): перенаправляется только каталог Roaming, а Local и LocalLow остаются на месте. Может получится так, что некоторое ПО будет очень активно использовать эту папку или определённое ПО вообще не умеет работать с перенаправляемой AppData, например, на данный момент это DropBox. Так или иначе проблемы могут возникнуть. С этой папкой надо проводить эксперименты в вашем окружении и принимать решение, быть или не быть.

Остальные папки настраиваются по аналогии.

Настройки групповой политики для хорошей работы перенаправляемых папок#

Вводим файловую шару в зону интрасети#

При логоне пользователю, использующему перенаправление папок, высветится окошко с предупреждением, что данный ярлык, приложение и т.д. находится вне вашей сети и есть риск причинения вреда компьютеру.

Нужно внести наш файловый сервер или сразу весь домен в доверенный список.

Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer — Панель управления браузером — Вкладка «Безопасность»

Параметр Список назначений зоны для веб-сайтов

Параметр нужно включить. При нажатии на кнопку Показать увидим незаполненный список: имя значения— это либо адрес файловой шары, либо весь домен, например, domain.ru. Значение — цифра от 1 до 4. В нашем случае ставим 1 (зона интрасети). Остальные значения описаны в справке.

Подробности при загрузке системы и логоне пользователя#

Удобно, когда при ошибке система выводит подробную информацию о том, что произошло. Не нужно лишний раз смотреть логи, а при непосредственном обращении пользователя уже представлять в чем проблема. Также можно сразу понять, что тормозит загрузку профиля\системы.

В GPO есть политика «Выводить очень подробные сообщения о состоянии системы». Находится Конфигурация компьютера — Политики — Административные шаблоны — система

Эта настройка более актуальна для Windows 7, по умолчанию система при загрузке никакой полезной информации не выводит, а после включения политики к примеру

Windows 8.1 по умолчанию выводит подробную информацию о загрузке.

Всегда ждать сеть при запуске системы и входе в систему#

При работе с доменом у пользователей могут вознуть различные проблемы, из-за того, что сетевая карта еще не готова к работе. Параметр Всегда ждать сеть при запуске системы и входе в систему будет полезен не только при работе с перенаправлением папок, но и вообще при любом взаимодействии системы с доменом. Находится Конфигурация компьютера — Политики — Административные шаблоны — Система — Вход в систему

UPD. AlektroNik дополняет:

Есть один подводный камень в этой настройке. Если у Вас, к примеру, ноутбуки, которые пользователь берет домой, то с этим параметром крутиться «Пожалуйста подождите» будет крутиться минут по 15 каждый раз при включении если не больше.

Квотирование#

При работе с сетевыми шарами, особенно при использовании перенаправления папок, нужно настраивать квоту, ограничивающую размер дискового пространства, которое может использовать пользователь.

Источник

Развертывание основных компьютеров для перенаправления папок и использования перемещаемых профилей пользователей

Область применения: Windows Server 2022, Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

В этой статье описывается включение поддержки основных компьютеров и их назначение пользователям. Это действие позволяет управлять тем, какие компьютеры используют перенаправление папок и перемещаемые профили пользователей.

При включении поддержки основного компьютера для перемещаемых профилей пользователей всегда следует включать поддержку основного компьютера для перенаправления папок. Это позволяет сохранить документы и другие пользовательские файлы вне профилей пользователей, что помогает уменьшить размер профилей и быстро входить в систему.

Предварительные условия

Требования к программному обеспечению

К поддержке основного компьютера предъявляются следующие требования:

• Схема доменных служб Active Directory (AD DS) должна включать дополнения схемы Windows Server 2012 (схема обновляется автоматически при установке контроллера домена Windows Server 2012). Дополнительные сведения об обновлении схемы AD DS см. в разделе Adprep.exe integration (Интеграция Аdprep.exe) и статье Running Adprep.exe (Работа Adprep.exe).
• Клиентские компьютеры должны работать под управлением: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

Хотя для поддержки основного компьютера требуется перенаправление папок или перемещаемые профили пользователей, при первом развертывании этих технологий рекомендуется настроить поддержку основного компьютера перед включением объектов групповой политики (GPO), в которых настраиваются перенаправление папок и перемещаемые профили пользователей. предотвратить копирование данных пользователя на неосновные компьютеры до включения поддержки основного компьютера. Дополнительные сведения см. в статьях Deploy Folder Redirection (Развертывание перенаправления папок) и Deploy Roaming User Profiles (Развертывание перемещаемых профилей пользователей).

Шаг 1. Назначение основных компьютеров для пользователей

На первом шаге при развертывании поддержки основных компьютеров следует назначить основной компьютер для каждого пользователя. Для этого можно использовать Центр администрирования Active Directory, чтобы получить различающиеся имена соответствующих компьютеров, а затем установить атрибут msDs-PrimaryComputer.

Как использовать Windows PowerShell для работы с основными компьютерами, см. в записи блога о подробностях работы с основными компьютерами Windows 8.

Вот как указать основные компьютеры для пользователей:

1. Откройте диспетчер сервера на компьютере с установленными средствами администрирования Active Directory.
2. В меню Инструменты щелкните Active Directory Administration Center (Центр администрирования Active Directory). Отобразится центр администрирования Active Directory.
3. Перейдите к контейнеру Компьютеры в соответствующем домене.
4. Щелкните правой кнопкой мыши компьютер, который необходимо назначить основным, и выберите пункт Свойства.
5. В области навигации выберите элемент Расширения.
6. Перейдите на вкладку Редактор атрибутов, прокрутите содержимое до пункта distinguishedName, щелкните Просмотр, щелкните правой кнопкой мыши значение в списке, выберите команду Копировать, нажмите кнопку ОК, а затем щелкните Отмена.
7. Перейдите в контейнер Пользователи в соответствующем домене, щелкните правой кнопкой мыши имя пользователя, которому следует назначить компьютер, и выберите пункт Свойства.
8. В области навигации выберите элемент Расширения.
9. Перейдите на вкладку Редактор атрибутов, выберите msDs-PrimaryComputer, а затем щелкните Изменить. Отобразится диалоговое окно «Редактор многозначных строк».
10. Щелкните правой кнопкой мыши в текстовом поле, выберите команду Вставить, щелкните Добавить, нажмите кнопку ОК, а затем снова нажмите кнопку ОК.

Шаг 2. Включение перенаправления папок в групповой политике на основных компьютерах (необязательно)

Далее в групповой политике можно настроить перенаправление папок для основных компьютеров. Это позволяет перенаправлять папки пользователя на компьютеры, назначенные в качестве основных компьютеров, но не на другие компьютеры. Можно управлять перенаправлением папок на основных компьютерах отдельно для каждого компьютера или для каждого пользователя.

Вот как включить перенаправление папок для основных компьютеров:

1. В средстве «Управление групповой политикой» щелкните правой кнопкой мыши GPO, созданный при начальной настройке перенаправления папок или перемещаемых профилей пользователей (например, в разделах Параметры переназначения папок или Roaming User Profiles Settings (Параметры перемещаемых профилей пользователей)), а затем выберите команду Изменить.
2. Чтобы включить поддержку основных компьютеров с использованием групповой политики на основе компьютеров, перейдите в раздел Конфигурация компьютера. Для групповой политики на основе пользователей перейдите на вкладку Конфигурация пользователя.
   • Групповая политика на основе компьютеров применяет настройки основного компьютера ко всем компьютерам, к которым применяется GPO, в результате влияя на всех пользователей компьютеров.
   • Групповая политика на основе пользователей применяет настройки основного компьютера ко всем учетным записям пользователей, к которым применяется GPO, влияя на все компьютеры, куда пользователи выполнили вход.
3. В разделе Конфигурация компьютера или Конфигурация пользователя перейдите к элементу Политики, затем щелкните Административные шаблоны, Система, а затем Перенаправление папок.
4. Щелкните правой кнопкой мыши Перенаправлять папки только на основных компьютерах, а затем выберите пункт Изменить.
5. Выберите Включено, а затем нажмите кнопку ОК.

Шаг 3. Включение перемещаемых профилей пользователей в групповой политике на основных компьютерах (необязательно)

Далее в групповой политике можно настроить перемещаемые профили пользователей для основных компьютеров. Это позволяет перемещать профили пользователей на компьютеры, назначенные в качестве основных компьютеров, но не на другие компьютеры.

Вот как включить поддержку основных компьютеров для перемещаемых профилей пользователей:

1. Включите поддержку перенаправления папок на основных компьютерах, если это еще не сделано.
   Это позволяет сохранить документы и другие пользовательские файлы вне профилей пользователей, что помогает уменьшить размер профилей и быстро входить в систему.
2. В средстве «Управления групповыми политиками» щелкните правой кнопкой мыши GPO, который вы создали (например, в разделе Roaming User Profiles Settings (Параметры перемещаемых профилей пользователей)), а затем выберите команду Изменить.
3. Перейдите к разделу Конфигурация компьютера, щелкните Политики, Административные шаблоны, Система, а затем Профили пользователей.
4. Щелкните правой кнопкой мыши элемент Загружать перемещаемые профили только на основные компьютеры, а затем выберите команду Изменить.
5. Выберите Включено, а затем нажмите кнопку ОК.

Шаг 4. Включение GPO

После завершения настройки перенаправления папок и перемещаемых профилей пользователей включите GPO, если он еще не включен. Это позволяет применить GPO к затронутым пользователям и компьютерам.

Вот как включить GPO для перенаправления папок или перемещаемых профилей пользователей:

1. Откройте средство «Управление групповой политикой».
2. Щелкните правой кнопкой мыши созданные вами объекты групповой политики и выберите пункт Связь включена. Рядом с соответствующим пунктом меню появится флажок.

Шаг 5. Проверка функциональности основного компьютера

Чтобы проверить поддержку основного компьютера, войдите на основной компьютер, убедитесь, что папки и профили перенаправлены, затем войдите на компьютер, не являющийся основным, и убедитесь, что папки и профили не перенаправляются.

Вот как протестировать функциональность основного компьютера:

Войдите в систему основного компьютера при помощи учетной записи пользователя, для которого вы настроили перенаправление папок и перемещаемые профили.

Если вход на компьютер уже выполнен с помощью учетной записи пользователя, откройте сеанс Windows PowerShell или окно командной строки от имени администратора, введите следующую команду и выйдите из системы, чтобы убедиться, что новые параметры групповой политики применены к клиентскому компьютеру:

Щелкните правой кнопкой мыши перенаправленную папку (например, «Мои документы» в библиотеке документов) и выберите пункт Свойства.

Перейдите на вкладку Местоположение и убедитесь, что отображается путь к указанной общей папке, а не локальный путь. Чтобы убедиться, что профиль пользователя перемещается, перейдите в Панель управления, выберите разделы Система и безопасность, Система, Дополнительные параметры системы, щелкните элемент Параметры в разделе с профилями пользователей и убедитесь, что в столбце Тип есть надпись Перемещение.

Войдите с использованием той же учетной записи на компьютер, который не задан как основной компьютер пользователя.

Повторите шаги 2–5, чтобы найти локальные пути и тип локального профиля.

Если папки перенаправлены на компьютер до включения поддержки основных компьютеров, папки останутся перенаправленными, если для каждой папки не будет настроен следующий параметр политики перенаправления: Перенаправьте папку обратно в локальное местоположение профиля пользователя при удалении политики. Аналогичным образом, для профилей, ранее перемещенных на определенном компьютере, будет отображаться состояние Перемещаемый в столбцах Тип. Тем не менее, в столбце Состояние будет отображаться надпись Локальный.

Источник