С помощью перенаправления папок ( Folder Redirection ) вы можете хранить некоторые стандартные каталоги профиля пользователя (специальные папки, типа Desktop, Documents, Pictures, Downloads) в сетевой папке на файловом сервере. Перенаправленные папки работают примерно также как подключенные сетевые диски (информация читается и записывается непосредственно на файловый сервер). В этой статье мы рассмотрим, как настроить перенаправления папок на компьютерах пользователей в домене Active Directory с помощью групповых политик.
Преимущества использования перенаправляемых папок:
Настройка перенаправленных папок выполняется в два шага:
Создайте в домене группу пользователей, для которых вы хотите включить перенаправление папок. Можно создать группу и добавить в нее пользователей с помощью PowerShell или из консоли ADUC :
New-ADGroup spb-FolderRedirection -path 'OU=Groups,OU=SPB,DC=corp,dc=remontka,DC=ru' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity spb-FolderRedirection -Members user1,user2,kbuldogov
Создайте на файловом сервере сетевую папку, в которой вы будите хранить перенаправленные папки
Для хранения папок пользователей желательно использовать отдельный диск (а не системный диск C:). Создайте и опубликуйте сетевую папку на файловом сервере из проводника Windows или с помощью команды PowerShell New-SmbShare
New-SmbShare -Name RedirFolder -Path D:RedirFolder –description “Users Redirected Folders”
Теперь нужно настроить корректные NTFS разрешения на папку, чтобы каждый пользователь мог получить доступ только к своим файлам.
На вкладке Security (Безопасность) необходимо нажать кнопку Advanced и отключить наследование нажав на кнопку Disable Inheritance . При появлении запроса, выберите Convert inherited permissions into explicit permissions on the object .
Удалите из списка NTFS разрешений группы Users /Authenticated Users, и оставьте такие права:
Administrators
(Full control, This folder, subfolders and files) SYSTEM
(Full control, This folder, subfolders and files) CREATOR OWNER
(Full control, Subfolders and files only) Теперь добавьте группу безопасности spb-FolderRedirection, и предоставьте такие разрешения на корневую папку (This folder only):
В свойства сетевой папки предоставьте (Sharing –> Advanced Sharing -> Permissions) предоставьте Full Control.
В такой конфигурации пользователям разрешено создать папки в каталоге, а доступ к содержимому вложенных папок будет только у владельцев-пользователей.
Теперь можно создать групповую политику перенаправления папок для пользователей.
Запустите консоль управления доменными политиками ( gpmc.msc
), создайте новую GPO и назначьте на Organizational Unit с пользователями.
Чтобы политика применялась только для указанных пользователей, нужно в Security Filtering убрать Authenticated Users и добавить группы spbFolderRedirection
и Domain Computers
.
Перейдите в режим редактирования GPO и разверните секцию User Configuration -> Policies -> Windows Settings -> Folder Redirection.
Здесь находятся опции для перенаправления различных папок профиля пользователя. В этом примере я настрою перенаправления только для папки Documents (остальные папки настраиваются по аналогии).
Откройте свойства раздела Documents и укажите следующие параметры перенаправления каталога:
Basic, Redirect everyone’s folder to the same location
Create a folder for each user under the root path
\msk-fs03RedirFolder
(UNC путь к ранее созданному сетевому каталогу)
На вкладке Settings есть еще несколько настроек:
Добавьте ваш файловый сервер и/или домен в доверенную местную интрасеть с помощью параметра GPO Site to Zone Assignment List ( Список назначений зоны для веб-сайтов ) в Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page;
В настройках политики нужно указать список доверенных серверов в формате:
file://server_name
, \server_name
или IP ) 1
– Для местной интрасети) Иначе при запуске ярлыков и исполняемых файлов из перенаправленного каталога могут появляться предупреждения системы безопасности Windows .
Теперь можно проверить работу групповой политики перенаправления папки. Завершите сеанс пользователя на компьютере и войдите опять (для обновления настроек GPO ).
Теперь откройте свойства папки Documents и убедитесь, что теперь в качестве Location указан UNC путь к вашему файловому серверу.
Вы можете создавать файлы и папки в каталоге Documents, и они будут доступны пользователюс любого компьютера в вашем домене.
Клиент удаленного рабочего стола (rdp) предоставляет нам возможность войти на сервер терминалов через консоль. Что…
В VMware Workstation есть несколько способов настройки сети гостевой машины: 1) Bridged networking 2) Network…
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может…
Вопреки распространенному мнению, отключить IPv6 в Windows Vista и Server 2008 это не просто снять…
Параметры экранной заставки для текущего пользователя можно править из системного реестра, для чего: Запустите редактор…
В этой статье расскажу про возможность просмотра журналов событий из командной строки. Эти возможности можно…