Настройка перенаправления папок пользователей в AD с помощью GPO

С помощью перенаправления папок ( Folder Redirection ) вы можете хранить некоторые стандартные каталоги профиля пользователя (специальные папки, типа Desktop, Documents, Pictures, Downloads) в сетевой папке на файловом сервере. Перенаправленные папки работают примерно также как подключенные сетевые диски (информация читается и записывается непосредственно на файловый сервер). В этой статье мы рассмотрим, как настроить перенаправления папок на компьютерах пользователей в домене Active Directory с помощью групповых политик.

Преимущества использования перенаправляемых папок:

• Возможность организации централизованного резервного копирования данных пользователей на файловом сервере (вместо резервного копирования на рабочих станциях);
• Пользователь при входе на любой компьютер может получить доступ к своим персональным файлам;
• Возможность управления разрешенным контентом в документах (с помощью роли FSRM в Windows Server) и ограничения размера профиля пользователя с помощью дисковых NTFS квот ;
• Перенаправленные папки можно использовать как для рабочих станций, так и для терминальных серверов ( Remote Desktop Services );
• При использовании Folder Redirection в RDS совместно с перемещаемыми профилями User Profile Disks или профилями FSlogix можно добиться уменьшения нагрузки на сеть и ускорения загрузки профиля за счет того, что данные из перенаправленных папок не нужно каждый копировать на RDS хост при входе и обратно при выходе.

Настройка перенаправленных папок выполняется в два шага:

1. Создание сетевой папки на файловом сервере и настройка прав доступа;
2. Настройка перенаправления папок в GPO.

Создайте в домене группу пользователей, для которых вы хотите включить перенаправление папок. Можно создать группу и добавить в нее пользователей с помощью PowerShell или из консоли ADUC :

New-ADGroup spb-FolderRedirection -path 'OU=Groups,OU=SPB,DC=corp,dc=remontka,DC=ru' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity spb-FolderRedirection -Members user1,user2,kbuldogov

Создайте на файловом сервере сетевую папку, в которой вы будите хранить перенаправленные папки

Для хранения папок пользователей желательно использовать отдельный диск (а не системный диск C:). Создайте и опубликуйте сетевую папку на файловом сервере из проводника Windows или с помощью команды PowerShell New-SmbShare

New-SmbShare -Name RedirFolder -Path D:RedirFolder –description “Users Redirected Folders”

Теперь нужно настроить корректные NTFS разрешения на папку, чтобы каждый пользователь мог получить доступ только к своим файлам.

На вкладке Security (Безопасность) необходимо нажать кнопку Advanced и отключить наследование нажав на кнопку Disable Inheritance . При появлении запроса, выберите Convert inherited permissions into explicit permissions on the object .

Удалите из списка NTFS разрешений группы Users /Authenticated Users, и оставьте такие права:

• Administrators (Full control, This folder, subfolders and files)
• SYSTEM (Full control, This folder, subfolders and files)
• CREATOR OWNER (Full control, Subfolders and files only)

Теперь добавьте группу безопасности spb-FolderRedirection, и предоставьте такие разрешения на корневую папку (This folder only):

• Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Create Folder/Append Data
• Read Permissions

В свойства сетевой папки предоставьте (Sharing –> Advanced Sharing -> Permissions) предоставьте Full Control.

В такой конфигурации пользователям разрешено создать папки в каталоге, а доступ к содержимому вложенных папок будет только у владельцев-пользователей.

Теперь можно создать групповую политику перенаправления папок для пользователей.

Запустите консоль управления доменными политиками ( gpmc.msc ), создайте новую GPO и назначьте на Organizational Unit с пользователями.

Чтобы политика применялась только для указанных пользователей, нужно в Security Filtering убрать Authenticated Users и добавить группы spbFolderRedirection и Domain Computers .

Перейдите в режим редактирования GPO и разверните секцию User Configuration -> Policies -> Windows Settings -> Folder Redirection.

Здесь находятся опции для перенаправления различных папок профиля пользователя. В этом примере я настрою перенаправления только для папки Documents (остальные папки настраиваются по аналогии).

Откройте свойства раздела Documents и укажите следующие параметры перенаправления каталога:

• Settings : – Basic, Redirect everyone’s folder to the same location
• Target folder location : Create a folder for each user under the root path
• Root path : \msk-fs03RedirFolder (UNC путь к ранее созданному сетевому каталогу)

На вкладке Settings есть еще несколько настроек:

• Grant the user exclusive rights to Documents – можно отключить, т.к. мы ранее уже настроили корректные NTFS разрешения
• Move the contents of Documents to the new location – нужно ли перемещать имеющиеся файлы в документах пользователя в папку на файловом сервере
• Redirect the folder back to the local user profile location when the policy is removed – эта опция позволяет включить офлайн доступ к данным ( через автономные файлы Windows ), и определяет поведение при отключении GPO

Добавьте ваш файловый сервер и/или домен в доверенную местную интрасеть с помощью параметра GPO Site to Zone Assignment List ( Список назначений зоны для веб-сайтов ) в Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page;

В настройках политики нужно указать список доверенных серверов в формате:

• Имя сервера или домена (в виде file://server_name , \server_name или IP )
• Номер зоны ( 1 – Для местной интрасети)

Иначе при запуске ярлыков и исполняемых файлов из перенаправленного каталога могут появляться предупреждения системы безопасности Windows .

Теперь можно проверить работу групповой политики перенаправления папки. Завершите сеанс пользователя на компьютере и войдите опять (для обновления настроек GPO ).

Теперь откройте свойства папки Documents и убедитесь, что теперь в качестве Location указан UNC путь к вашему файловому серверу.

Вы можете создавать файлы и папки в каталоге Documents, и они будут доступны пользователюс любого компьютера в вашем домене.