Налаштування папок користувачів для оголошення за допомогою GPO

За допомогою перенаправлення папки (Папка перенаправляє) Ви можете зберігати кілька стандартних каталогів профілю користувача (спеціальні папки, такі як робочий стіл, документи, зображення, завантаження) на мережевому сервері на файловому сервері. Перенаправлені папки працюють приблизно так само, як і підключені мережеві колеса (інформація читається та записується безпосередньо на файловому сервері). У цій статті ми розглянемо, як налаштувати папки для комп'ютерів користувачів у домені Active Directory за допомогою групових політиків.

Переваги використання папки для перенаправлення:

Можливість організації централізованого резервного копіювання даних користувачів на файловому сервері (замість резервного копіювання на робочих станціях);
Користувач у вході на будь -який комп'ютер може отримати доступ до його особистих файлів;
Можливість управління дозволеним вмістом у документах (використовуючи роль FSRM у Windows Server) та обмеження розміру профілю користувача за допомогою квоти DISC NTFS;
Перенаправлені папки можуть використовуватися як для робочих станцій, так і для серверів термінальних серверів (віддалені настільні послуги);
Використовуючи перенаправлення папки в RDS, разом із рухомими профілями профілів профілю користувача або профілями FSLOGIX, ви можете зменшити навантаження в мережу та прискорити навантаження профілю через те, що дані з перенаправлених папки не повинні копіювати в хост RDS і навпаки на вході і навпаки.

Налаштування перенаправлених папок виконується за два кроки:

Створення мережевої папки на файловому сервері та налаштування прав доступу;
Налаштування папок до GPO.

Створіть групу користувачів у домені, для якої ви хочете включити папки перенаправлення. Ви можете створити групу та додати до неї користувачів за допомогою PowerShell або з консолі ADUC:

New -dgroup spb -folderredirenerenth 'ou = group, ou = spb, dc = corp, dc = winitpro, dc = ru' -groupscope global -passthru -verbose Додати -adgroupMember -IDIDENTITY SPB -FOLDERREDIRENERECTION -MEMBERS USER1, USER2, KBULDOGOV

Створіть мережеву папку на файловому сервері, на якому ви будете зберігати перенаправлені папки
Для файлового сервера Windows Server, на якому будуть зберігатися особисті каталоги особистих користувачів, доцільно використовувати стійку до несправності конфігурацію за допомогою кластера відмови Windows, DFS та/або забезпечити толерантність до відмови на рівні віртуалізації: VMware HA, Hyper -В кластер тощо.D.).

Для зберігання користувачів папки доцільно використовувати окремий диск (а не системний диск C :). Створіть та опублікуйте мережеву папку на файловому сервері з провідника Windows або використовуючи команду New-Smbshare PowerShell

New -SmbShare -Name REDIRFOLDER -PATH D: \ REDIRFOLDER -DESCRICTION "Користувачі перенаправлені папки"

Тепер вам потрібно налаштувати правильні дозволи на NTFS для папки, щоб кожен користувач міг отримати доступ лише до своїх файлів.

На вкладці Безпека (Безпека) Вам потрібно натиснути кнопку «Розширена» та вимкнути спадщину, натиснувши кнопку Вимкнути спадщину. Коли з’являється запит, Виберіть перетворення успадкованих дозволів у явні дозволи на об'єкт.

Видаліть користувачів /автентифікованих користувачів зі списку NTFS та залиште наступні права:

Адміністратори (Повний контроль, ця папка, підпапки та файли)
Система (Повний контроль, ця папка, підпапки та файли)
Власник творця (Повний контроль, лише підпапки та файли)

Тепер додайте групу безпеки SPB-FolderRedirection та надайте такі дозволи для кореневої папки (лише ця папка):

Попередження папки/виконання файлу
Список папки/читання даних
Прочитайте атрибути
Прочитайте розширені атрибути
Створити папку/додавання даних
Читати дозволи

Надайте у властивостях мережевої папки (обмін -> Розширений обмін -> дозволи) Забезпечте повний контроль.

У такій конфігурації користувачам дозволяється створювати папки в каталозі, і лише власники користувачів матимуть доступ до вмісту вкладених папок.

Тепер ви можете створити групову політику перенаправлення папок для користувачів.

Запустіть консоль управління доменами ( GPMC.MSC ), створіть новий GPO та призначте організованому блоці з користувачами.

Для того, щоб політика використовувалася лише для цих користувачів, вам потрібно видалити автентифіковані користувачів у фільтрації безпеки та додати групи SpbfolderRedirection і Доменні комп’ютери .

Перейдіть у режим редагування GPO та розгорніть конфігурацію користувача -> Політика -> Налаштування Windows -> Передача папки.

Існують варіанти для перенаправлення різних папки профілю користувача. У цьому прикладі я встановлю перенаправлення лише для папки документів (решта папки налаштовані за аналогією).

Перенаправлення каталогу AppData (Roaming) є надзвичайно рідкісним.

Відкрийте властивості розділу документів та вкажіть наступні параметри каталогу:

Налаштування: - Основна, перенаправити папку кожного в одне місце розташування
Розташування цільової папки: Створіть папку для кожного користувача під кореневим шляхом
Кореневий шлях: \\ msk-fs03 \ redirfolder (Шлях UNC до раніше створеного мережевого каталогу)

На вкладці Налаштування є ще кілька налаштувань:

Надайте ексклюзивні права користувача на документи - можна вимкнути, t.до. Ми раніше налаштували правильні резолюції NTFS
Перемістіть вміст документів на нове місце розташування - Чи потрібно переміщувати доступні файли в документах користувача до папки на файловому сервері
Перекладіть папку назад до місцевого місця профілю користувача, коли політика видалено - Цей параметр дозволяє включити доступ в режимі офлайн до даних (через автономні файли Windows) та визначає поведінку при вимкненні GPO

Додайте свій файловий сервер та/або домен до довіреного локального нерозбірливості за допомогою параметра GPO Список призначення сайту до зони (Список зустрічей для веб -сайтів) в конфігурації комп'ютера -> Шаблони адміністрування -> Компоненти Windows -> Internet Explorer -> Панель керування Інтернетом -> Сторінка безпеки;

У налаштуваннях політики вам потрібно вказати список надійних серверів у форматі:

Назва сервера або домену (у формі Файл: // Server_Name , \\ server_name або IP)
Номер зони ( 1 - Для місцевої непереборності)

В іншому випадку, при запуску ярликів та виконуваних файлів з перенаправленого каталогу, можуть з’явитися системи безпеки Windows.

Тепер ви можете перевірити роботу групової політики перенаправлення папки. Заповніть сеанс користувача на комп’ютері та введіть знову (щоб оновити налаштування GPO).

Тепер відкрийте властивості папки документів і переконайтесь, що тепер розташування - шлях UNC до вашого файлового сервера.

Ви можете створити файли та папки в каталозі документів, і вони будуть доступні користувачеві будь -якого комп'ютера у вашому домені.