Join
NS
@pumapaw
March 9, 2023

Настройка перенаправления папки пользователя с помощью GPO

Перенаправление папок позволяет хранить папки профиля пользователя, такие как «Рабочий стол», «Документы», «Изображения», «Загрузки» и т. д. в общей сетевой папке на файловом сервере. Перенаправленные папки работают аналогично подключенным сетевым дискам (пользователи получают доступ к файлам в своем профиле по сети на файловом сервере). В этой статье мы рассмотрим, как использовать групповую политику для включения перенаправления папок на пользовательских компьютерах в домене Active Directory.

Преимущества использования перенаправленных папок:

  • Вы можете настроить централизованное резервное копирование пользовательских данных на свой файловый сервер (вместо включения резервного копирования на каждой рабочей станции);
  • Когда пользователь входит в систему на любом компьютере, он получает доступ к своим личным файлам профиля;
  • Вы можете управлять разрешенным содержимым в разных файлах (используя роль FSRM в Windows Server) или ограничивать размер профиля пользователя с помощью дисковых квот NTFS;
  • Вы можете использовать перенаправленные папки как для рабочих станций, так и для терминальных серверов (удаленные рабочие столы/ферма RDS);
  • Вы можете использовать перенаправление папок в RDS вместе с перемещаемыми профилями (диски профилей пользователей или контейнеры профилей FSLogix). Это может снизить нагрузку на сеть и ускорить загрузку профилей, поскольку вам не нужно копировать данные из перенаправленных папок на хост RDS при входе в систему и обратно при выходе из системы.

Можно настроить перенаправленные папки в среде Active Directory в два этапа:

  1. Создать общую сетевую папку на файловом сервере и предоставить разрешения;
  2. Настроить параметры перенаправления папок с помощью групповой политики.

Создать доменную группу пользователей, для которых вы хотите включить перенаправление папок. Вы можете создать новую группу AD и добавить в нее пользователей с помощью PowerShell:

New-ADGroup munFolderRedirection -path 'OU=Groups,OU=RU,dc=contosa,DC=com' -GroupScope Global -PassThru –Verbose Add-AdGroupMember -Identity munFolderRedirection -Members user1,user2,user3

или оснастки ADUC mmc.

Создать общую папку для хранения перенаправленных папок пользователя на файловом сервере.

Лучше использовать конфигурацию высокой доступности с Windows Failover Cluster или DFS и/или обеспечить отказоустойчивость на уровне виртуализации (VMware HA, кластер Hyper-V и т. д.) для файлового сервера под управлением Windows Server, на котором вы будете хранить пользовательские папки.

Для хранения пользовательских папок рекомендуется использовать отдельный диск (отличный от системного диска C:). Создайте сетевую папку и поделитесь ею с помощью проводника Windows или с помощью командлета New-SmbShare PowerShell:

New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description "Target location for user's redirected folders"

Затем вам нужно настроить правильные разрешения NTFS для папки, чтобы каждый пользователь мог получить доступ только к своим файлам.

Откройте свойства папки и перейдите на вкладку «Безопасность» . Нажмите «Дополнительно», затем нажмите «Отключить наследование» . При появлении предупреждения выберите Преобразовать унаследованные разрешения в явные разрешения для объекта.

Удалите пользователей/аутентифицированных пользователей из списка разрешений NTFS и оставьте следующие разрешения:

  • Администраторы (Полный доступ, Эта папка, вложенные папки и файлы)
  • SYSTEM (Полный доступ, Эта папка, вложенные папки и файлы)
  • CREATOR OWNER (полный доступ, только вложенные папки и файлы)

Теперь добавьте группу безопасности munFolderRedirection (мы ее создали выше) и предоставьте следующие разрешения для корневой папки (применяется только к -> этой папке):

  • Перейти к папке/выполнить файл
  • Список папок/чтение данных
  • Чтение атрибутов
  • Чтение расширенных атрибутов
  • Создать папку/Добавить данные
  • Разрешения на чтение

Предоставьте разрешения на полный доступ для Authenticated Usersгруппы в свойствах сетевой папки (Общий доступ -> Расширенный общий доступ -> Разрешения).

При такой конфигурации пользователям разрешено создавать папки в корне каталога, а доступ к содержимому подпапок имеют только владельцы.

Затем вы можете создать групповую политику перенаправления папок для пользователей. Откройте консоль управления групповыми политиками домена (gpmc.msc), создайте новый объект групповой политики и свяжите его с организационной единицей (OU) с целевыми учетными записями пользователей.

Чтобы применить политику только к определенным пользователям, удалите группу «Прошедшие проверку» из «Фильтрации безопасности» и вместо нее добавьте группы «munFolderRedirection» и «Компьютеры домена».

Отредактируйте новый объект групповой политики и разверните Конфигурация пользователя -> Политики -> Параметры Windows -> Перенаправление папок.

Вот варианты перенаправления разных папок профиля пользователя. В этом примере я настрою перенаправление только для папки «Документы» (таким же образом вы можете включить перенаправление для других папок профиля).

Перенаправление папки AppData (roaming)используется редко.

Откройте свойства папки «Документы» и настройте следующие параметры перенаправления папок:

  • Настройки: – Основные, перенаправить все папки в одно и то же место.
  • Расположение целевой папки: создайте папку для каждого пользователя по корневому пути.
  • Корневой путь: \\fileserver\RedirFolder(укажите UNC-путь к ранее созданной общей папке)

На вкладке «Настройки» есть несколько параметров:

  • Предоставить пользователю исключительные права на Документы — можно отключить, так как мы уже заранее настроили правильные разрешения NTFS;
  • Переместить содержимое документов в новое место — следует ли переместить существующие файлы в документах пользователя в перенаправленную папку на файловом сервере;
  • Перенаправить папку обратно в расположение локального профиля пользователя при удалении политики — этот параметр разрешает автономный доступ к данным (с помощью автономных файлов в Windows) и определяет поведение при отключении объекта групповой политики.

Добавьте свой файловый сервер и/или домен в доверенную локальную интрасеть, используя параметр GPO Site to Zone Assignment List в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Компоненты Windows» -> «Internet Explorer» -> «Панель управления Интернетом» -> «Страница безопасности».

В настройках политики укажите список доверенных серверов в следующем формате:

  • Имя сервера или домена (в формате: file://hostname, \\hostameили его IP-адрес)
  • Номер зоны ( 1- для локальной интрасети)

Если вы не настроите этот параметр, запуск ярлыков и исполняемых файлов из перенаправленного каталога может привести к появлению предупреждений системы безопасности Windows.

Выйдите из системы и войдите на компьютер пользователя (при этом будут обновлены параметры групповой политики на устройстве).

Затем откройте свойства папки «Документы» и убедитесь, что путь UNC к вашей общей папке на файловом сервере отображается как «Расположение».

Вы можете создавать файлы и папки в папке «Документы», и они будут доступны пользователю на любом компьютере в вашем домене.

NS
March 9, 2023, 19:31
0 views
0 reactions