0

Настройка перенаправления папок пользователей с помощью групповой политики

Share

Перенаправление папок позволяет хранить некоторые папки пользовательского профиля (специальные папки, такие как «Рабочий стол», «Документы», «Изображения», «Загрузки» и т. д.) в общей сетевой папке на файловом сервере. Перенаправленные папки работают аналогично сопоставленным сетевым дискам (пользователи получают доступ к файлам своего профиля по сети на файловом сервере). В этой статье мы рассмотрим, как использовать групповую политику для включения перенаправления папок на пользовательских компьютерах в домене Active Directory.

Преимущества использования перенаправленных папок:

  • Вы можете настроить централизованное резервное копирование пользовательских данных на файловом сервере (вместо того, чтобы включать резервное копирование на каждой рабочей станции);
  • Когда пользователь входит в систему на любом компьютере, он получает доступ к файлам своего личного профиля;
  • Вы можете управлять разрешенным содержимым в различных файлах (используя роль FSRM в Windows Server) или ограничивать размер пользовательского профиля с помощью дисковых квот NTFS;
  • Вы можете использовать перенаправленные папки как для рабочих станций, так и для терминальных серверов (ферма Remote Desktop Services/RDS);
  • Вы можете использовать перенаправление папок в RDS вместе с перемещаемыми профилями (диски профилей пользователей или контейнеры профилей FSLogix). Это может снизить нагрузку на сеть и ускорить загрузку профилей, поскольку вам не придется копировать данные из перенаправленных папок на хост RDS при входе в систему и обратно при выходе из нее.

Настроить перенаправленные папки в среде Active Directory можно в два этапа:

  1. Создайте общую сетевую папку на файловом сервере и предоставьте права доступа;
  2. Настройте параметры перенаправления папок с помощью групповой политики.

Создайте доменную группу пользователей, для которых вы хотите включить перенаправление папок. Вы можете создать новую группу AD и добавить в нее пользователей с помощью PowerShell или оснастки ADUC mmc:

New-ADGroup munFolderRedirection -path 'OU=Groups,OU=Munich,dc=woshub,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity munFolderRedirection -Members user1,user2,user3

Создайте общий ресурс папок для хранения перенаправленных папок пользователей на файловом сервере.

Лучше использовать конфигурацию высокой доступности с Windows Failover Cluster или DFS, и/или обеспечить отказоустойчивость на уровне виртуализации (VMware HA, кластер Hyper-V и т. д.) для файлового сервера под управлением Windows Server, на котором вы будете хранить личные папки пользователей.

Для хранения пользовательских папок рекомендуется использовать отдельный диск (отличный от системного диска C:). Создайте сетевую папку и откройте к ней общий доступ с помощью проводника Windows или команды New-SmbShare PowerShell:

New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description "Target location for user's redirected folders"

Затем необходимо настроить правильные NTFS-разрешения на папку, чтобы каждый пользователь мог получить доступ только к своим файлам.

Откройте свойства папки и перейдите к пункту Безопасность вкладка. Нажмите Дополнительно, затем нажмите Отключить наследование. Когда появится предупреждение, выберите Преобразование унаследованных разрешений в явные разрешения на объект.

создание общей папки для профилей перенаправленных пользователейсоздание общей папки для профилей перенаправленных пользователей

Удалите Users/Authenticated Users из списка разрешений NTFS и оставьте следующие разрешения:

  • Администраторы (полный контроль, эта папка, вложенные папки и файлы)
  • SYSTEM (полный контроль, эта папка, вложенные папки и файлы)
  • CREATOR OWNER (Полный контроль, только вложенные папки и файлы)

Теперь добавьте параметр munFolderRedirection группы безопасности и предоставьте следующие разрешения на корневую папку (Применяется только к -> этой папке):

  • Обращение к папке/выполнение файла
  • Список папок/Прочтение данных
  • Чтение атрибутов
  • Чтение расширенных атрибутов
  • Создание папки/дополнение данных
  • Разрешения на чтение

настройка разрешений перенаправленной папки ntfsнастройка разрешений перенаправляемой папки ntfs

Предоставьте права полного контроля для папки Authenticated Users в свойствах сетевого ресурса (Sharing -> Advanced Sharing -> Permissions).

установка разрешений на общие папкиустановка разрешений на общие папки

При такой конфигурации пользователям разрешено создавать папки в корне каталога, а доступ к содержимому вложенных папок имеют только владельцы.

Затем можно создать групповую политику Folder Redirection для пользователей. Откройте домен Консоль управления групповой политикой (gpmc.msc), создайте новый GPO и привяжите его к организационной единице (OU) с целевыми учетными записями пользователей.

Использование перенаправления папок в групповой политикеИспользование перенаправления папок в групповой политике

Чтобы применить политику только к определенным пользователям, удалите параметр Аутентифицированные пользователи группа из Фильтрация безопасности и добавьте munFolderRedirection и Доменные компьютеры группы.

Отредактируйте новый GPO и разверните Конфигурация пользователя -> Политика -> Настройки Windows -> Перенаправление папок.

Здесь представлены варианты перенаправления различных папок пользовательского профиля. В этом примере я настрою перенаправление для папки Документы только для папки (аналогичным образом можно включить перенаправление папок для других папок профиля).

Перенаправление папки AppData (roaming) используется редко.

Откройте Документы свойства папки и настройте следующие параметры перенаправления папок:

  • Настройки: — Базовый, Перенаправление папок всех пользователей в одно и то же место
  • Расположение целевой папки: Создайте папку для каждого пользователя в корневом каталоге
  • Корневой путь: \\mun-fs1\RedirFolder (укажите UNC-путь к ранее созданной общей папке)

Включение перенаправления пользовательских папок в Windows с помощью GPOВключение перенаправления пользовательских папок в Windows с помощью GPO

На вкладке «Параметры» есть несколько опций:

  • Предоставить пользователю исключительные права на Документы — можно отключить, поскольку мы уже заранее настроили правильные разрешения NTFS;
  • Переместите содержимое папки «Документы» в новое место — следует ли перемещать существующие файлы в документах пользователя в перенаправленную папку на файловом сервере;
  • Перенаправлять папку обратно в локальное расположение профиля пользователя при удалении политики — эта опция включает автономный доступ к данным (с помощью Offline Files в Windows) и определяет поведение при отключении GPO. параметры перенаправленной папки профилянастройки перенаправляемой папки профиля

Добавьте свой файловый сервер и/или домен в доверенную локальную интрасеть с помощью команды Список назначений сайтов в зоны Настройка GPO под Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления интернетом -> Страница безопасности.

В настройках политики укажите список доверенных серверов в следующем формате:

  • Имя сервера или домена (в формате: file://hostname , \\hostame или его IP-адрес)
  • Номер зоны ( 1 — для локальной интрасети)

Если вы не настроите этот параметр, запуск ярлыков и исполняемых файлов из перенаправленного каталога может привести к появлению предупреждений безопасности Windows.

Выйдите из системы и войдите на компьютер пользователя (это приведет к обновлению параметров групповой политики на устройстве).

Затем откройте свойства папки «Документы» и убедитесь, что UNC-путь к общей папке на файловом сервере отображается как Расположение.

Развертывание перенаправления папок в Windows 11 и Windows Server 2022Развертывание перенаправления папок в Windows 11 и Windows Server 2022

Вы можете создавать файлы и папки в папке Documents, и они будут доступны пользователю на любом компьютере в вашем домене.

Tags:

You may also like...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Technologies
Сайт посвящен системному администрированию и способам решения всевозможных проблем, которые могут возникнуть в процессе эксплуатации операционных систем, в том числе очень редких и сложных.