Настройка перенаправления папки пользователя с помощью GPO
Перенаправление папок позволяет хранить папки профиля пользователя, такие как «Рабочий стол», «Документы», «Изображения», «Загрузки» и т. д. в общей сетевой папке на файловом сервере. Перенаправленные папки работают аналогично подключенным сетевым дискам (пользователи получают доступ к файлам в своем профиле по сети на файловом сервере). В этой статье мы рассмотрим, как использовать групповую политику для включения перенаправления папок на пользовательских компьютерах в домене Active Directory.
Преимущества использования перенаправленных папок:
- Вы можете настроить централизованное резервное копирование пользовательских данных на свой файловый сервер (вместо включения резервного копирования на каждой рабочей станции);
- Когда пользователь входит в систему на любом компьютере, он получает доступ к своим личным файлам профиля;
- Вы можете управлять разрешенным содержимым в разных файлах (используя роль FSRM в Windows Server) или ограничивать размер профиля пользователя с помощью дисковых квот NTFS;
- Вы можете использовать перенаправленные папки как для рабочих станций, так и для терминальных серверов (удаленные рабочие столы/ферма RDS);
- Вы можете использовать перенаправление папок в RDS вместе с перемещаемыми профилями (диски профилей пользователей или контейнеры профилей FSLogix). Это может снизить нагрузку на сеть и ускорить загрузку профилей, поскольку вам не нужно копировать данные из перенаправленных папок на хост RDS при входе в систему и обратно при выходе из системы.
Можно настроить перенаправленные папки в среде Active Directory в два этапа:
- Создать общую сетевую папку на файловом сервере и предоставить разрешения;
- Настроить параметры перенаправления папок с помощью групповой политики.
Создать доменную группу пользователей, для которых вы хотите включить перенаправление папок. Вы можете создать новую группу AD и добавить в нее пользователей с помощью PowerShell:
New-ADGroup munFolderRedirection -path 'OU=Groups,OU=RU,dc=contosa,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity munFolderRedirection -Members user1,user2,user3
Создать общую папку для хранения перенаправленных папок пользователя на файловом сервере.
Лучше использовать конфигурацию высокой доступности с Windows Failover Cluster или DFS и/или обеспечить отказоустойчивость на уровне виртуализации (VMware HA, кластер Hyper-V и т. д.) для файлового сервера под управлением Windows Server, на котором вы будете хранить пользовательские папки.
Для хранения пользовательских папок рекомендуется использовать отдельный диск (отличный от системного диска C:). Создайте сетевую папку и поделитесь ею с помощью проводника Windows или с помощью командлета New-SmbShare PowerShell:
New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description "Target location for user's redirected folders"
Затем вам нужно настроить правильные разрешения NTFS для папки, чтобы каждый пользователь мог получить доступ только к своим файлам.
Откройте свойства папки и перейдите на вкладку «Безопасность» . Нажмите «Дополнительно», затем нажмите «Отключить наследование» . При появлении предупреждения выберите Преобразовать унаследованные разрешения в явные разрешения для объекта.
Удалите пользователей/аутентифицированных пользователей из списка разрешений NTFS и оставьте следующие разрешения:
- Администраторы (Полный доступ, Эта папка, вложенные папки и файлы)
- SYSTEM (Полный доступ, Эта папка, вложенные папки и файлы)
- CREATOR OWNER (полный доступ, только вложенные папки и файлы)
Теперь добавьте группу безопасности munFolderRedirection (мы ее создали выше) и предоставьте следующие разрешения для корневой папки (применяется только к -> этой папке):
- Перейти к папке/выполнить файл
- Список папок/чтение данных
- Чтение атрибутов
- Чтение расширенных атрибутов
- Создать папку/Добавить данные
- Разрешения на чтение
Предоставьте разрешения на полный доступ для Authenticated Users
группы в свойствах сетевой папки (Общий доступ -> Расширенный общий доступ -> Разрешения).
При такой конфигурации пользователям разрешено создавать папки в корне каталога, а доступ к содержимому подпапок имеют только владельцы.
Затем вы можете создать групповую политику перенаправления папок для пользователей. Откройте консоль управления групповыми политиками домена (gpmc.msc
), создайте новый объект групповой политики и свяжите его с организационной единицей (OU) с целевыми учетными записями пользователей.
Чтобы применить политику только к определенным пользователям, удалите группу «Прошедшие проверку» из «Фильтрации безопасности» и вместо нее добавьте группы «munFolderRedirection» и «Компьютеры домена».
Отредактируйте новый объект групповой политики и разверните Конфигурация пользователя -> Политики -> Параметры Windows -> Перенаправление папок.
Вот варианты перенаправления разных папок профиля пользователя. В этом примере я настрою перенаправление только для папки «Документы» (таким же образом вы можете включить перенаправление для других папок профиля).
Перенаправление папки AppData (roaming)
используется редко.
Откройте свойства папки «Документы» и настройте следующие параметры перенаправления папок:
- Настройки: – Основные, перенаправить все папки в одно и то же место.
- Расположение целевой папки: создайте папку для каждого пользователя по корневому пути.
- Корневой путь:
\\fileserver\RedirFolder
(укажите UNC-путь к ранее созданной общей папке)
На вкладке «Настройки» есть несколько параметров:
- Предоставить пользователю исключительные права на Документы — можно отключить, так как мы уже заранее настроили правильные разрешения NTFS;
- Переместить содержимое документов в новое место — следует ли переместить существующие файлы в документах пользователя в перенаправленную папку на файловом сервере;
- Перенаправить папку обратно в расположение локального профиля пользователя при удалении политики — этот параметр разрешает автономный доступ к данным (с помощью автономных файлов в Windows) и определяет поведение при отключении объекта групповой политики.
Добавьте свой файловый сервер и/или домен в доверенную локальную интрасеть, используя параметр GPO Site to Zone Assignment List в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Компоненты Windows» -> «Internet Explorer» -> «Панель управления Интернетом» -> «Страница безопасности».
В настройках политики укажите список доверенных серверов в следующем формате:
- Имя сервера или домена (в формате:
file://hostname
,\\hostame
или его IP-адрес) - Номер зоны (
1
- для локальной интрасети)
Если вы не настроите этот параметр, запуск ярлыков и исполняемых файлов из перенаправленного каталога может привести к появлению предупреждений системы безопасности Windows.
Выйдите из системы и войдите на компьютер пользователя (при этом будут обновлены параметры групповой политики на устройстве).
Затем откройте свойства папки «Документы» и убедитесь, что путь UNC к вашей общей папке на файловом сервере отображается как «Расположение».
Вы можете создавать файлы и папки в папке «Документы», и они будут доступны пользователю на любом компьютере в вашем домене.