Поделиться через


Развертывание перенаправления папок с помощью автономных файлов

**

В этой статье описываются требования к развертыванию перенаправления папок и автономных файлов вместе, включая шаги, которые необходимо выполнить для управления доступом к перенаправленным файлам.

Необходимые компоненты

Перед началом работы убедитесь, что среда соответствует следующим требованиям.

Требования по администрированию

  • Для администрирования перенаправления папок вам потребуется войти в систему в качестве члена группы безопасности "Администраторы домена", "Администраторы предприятия" или "Владельцы-создатели групповой политики".
  • Необходим компьютер с установленными инструментами "Управление групповыми политиками" и "Центр администрирования Active Directory".

Требования к файловому серверу

Файловый сервер — это компьютер, на котором размещены перенаправляемые папки. Убедитесь, что файловый сервер соответствует следующим требованиям.

Взаимодействие со службами удаленных рабочих столов

От вашей конфигурации удаленного доступа зависит настройка файлового сервера, общих файловых ресурсов и политик. Если файловый сервер также размещает службы удаленных рабочих столов, существует несколько шагов развертывания, которые отличаются.

  • Нет необходимости создавать группу безопасности для пользователей перенаправления папок.
  • Для общего файлового ресурса, в котором размещаются перенаправляемые папки, необходимо настроить другие разрешения.
  • Необходимо предварительно создать папки для новых пользователей и задать определенные разрешения для этих папок.

Внимание

Большинство процедур в остальной части этого раздела применяются к обеим конфигурациям удаленного доступа. Если действие относится строго к какой-то одной из них, это будет специально оговорено.

Ограничение доступа

Внесите на файловом сервере следующие изменения в соответствии с вашей конфигурацией.

  • Все конфигурации. Убедитесь, что у ИТ-администраторов есть административный доступ к файловом серверу. Процедура на следующем шаге описывает настройку доступа для отдельных общих ресурсов.
  • Серверы, которые также не размещают службы удаленных рабочих столов: отключите службу служб удаленных рабочих столов (termserv) на файловом сервере, если она также не размещает службы удаленных рабочих столов.

Взаимодействие с другими функциями хранилища

Чтобы убедиться, что перенаправление папок и автономные файлы правильно взаимодействуют с другими функциями хранилища, проверьте следующие конфигурации.

  • Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
  • Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
  • При использовании кластеризованной общей папки устраните непрерывную доступность в общей папке, чтобы избежать проблем с производительностью при перенаправлении папок и использовании автономных файлов. Если включена непрерывная доступность, автономные файлы могут не переходить в автономный режим в течение 3–6 минут после того, как пользователь теряет доступ к общей папке. Задержка может разочаровывать пользователей, которые еще не используют режим "Автономный" автономных файлов.

Требования к клиенту

  • Клиентские компьютеры должны работать под управлением Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 или Windows Server 2016.
  • Клиентские компьютеры должны быть присоединены к домену служб домен Active Directory (AD DS), которым вы управляете.
  • На клиентских компьютерах должны быть процессоры x64 или x86. Перенаправление папок не поддерживается на компьютерах с процессорами ARM.

Внимание

Некоторые новые возможности перенаправления папок предусматривают дополнительные требования к клиентскому компьютеру и Active Directory. Дополнительные сведения см. в разделе "Развертывание первичных компьютеров для перенаправления папок и перемещаемых профилей пользователей", "Отключение автономных файлов" для отдельных перенаправленных папок, включение режима "Всегда автономный" для ускорения доступа к файлам и включение оптимизированных перемещений перенаправленных папок.

Шаг 1. Создание группы безопасности перенаправления папок

Если на файловом сервере запущены службы удаленных рабочих столов, пропустите этот шаг. Вместо этого назначьте пользователям разрешения при создании папок для новых пользователей.

Эта процедура создает группу безопасности, содержащую всех пользователей, для которых будут действовать параметры политики перенаправления папок.

  1. На компьютере с установленным центром администрирования Active Directory откройте "Диспетчер сервера".

  2. Выберите Сервис>Центр администрирования Active Directory. Отобразится центр администрирования Active Directory.

  3. Щелкните правой кнопкой мыши нужный домен или подразделение и выберите Создать>Группа.

  4. В окне Создание группы в разделе Группа укажите следующие параметры.

    • В поле Имя группы введите имя группы безопасности, например Пользователи перенаправления папок.
    • Для области группы выберите Безопасность>Глобальная.
  5. В разделе Участники щелкните элемент Добавить. Откроется диалоговое окно Выбор пользователей, контактов, компьютеров, учетных записей служб или групп.

  6. Введите имена пользователей или групп, для которых хотите развернуть перенаправление папок, нажмите кнопку ОК, после чего нажмите ОК еще раз.

Шаг 2. Создание общей папки для перенаправленных папок

Если у вас еще нет общей папки для перенаправленных папок, используйте следующую процедуру, чтобы создать общую папку на сервере под управлением Windows Server 2016 или более поздней версии.

Примечание.

Если вы создаете общий ресурс на сервере под управлением другой версии Windows Server, некоторые функции могут отличаться или быть недоступны.

  1. В области навигации Диспетчера сервера выберите Файловые службы и службы хранилища>Общие ресурсы. Откроется страница Общие ресурсы.

  2. На странице Общие ресурсы выберите Задачи>Новый общий ресурс. Откроется мастер создания общих ресурсов.

  3. На странице выбора профиля выберите параметр, соответствующий конфигурации Диспетчера ресурсов файлового сервера:

    • Если установлен диспетчер ресурсов файлового сервера и вы используете свойства управления папками, выберите Общий ресурс SMB — дополнительные.
    • Если у вас нет установленного диспетчера ресурсов файлового сервера или вы не используете свойства управления папками, выберите SMB Share — Quick.
  4. На странице Расположение общего ресурса выберите сервер и том, в котором хотите создать общий ресурс.

  5. На странице "Имя общей папки" введите имя общей папки (например, Users$) в поле "Имя общего ресурса".

    Совет

    При создании общей папки скрытие общей папки путем добавления $ (знака доллара) после имени общей папки. Это закроет возможность его просмотра пользователям без соответствующих полномочий.

  6. На странице Другие параметры снимите флажок Включить постоянную доступность, если он установлен. При необходимости установите флажки Включить перечисление на основе доступа и Шифрование доступа к данным.

  7. На странице Разрешения выберите Настройка разрешений доступа. Откроется диалоговое окно Дополнительные параметры безопасности.

  8. Нажмите кнопку Отключение наследования, а затем щелкните элемент Convert inherited permissions into explicit permission on this object (Преобразовать наследуемые разрешения для объекта в явные).

  9. Задайте разрешения, приведенные в следующих таблицах и рисунках.

    Внимание

    Используемые разрешения зависят от конфигурации удаленного доступа, поэтому убедитесь, что вы используете правильную таблицу.

    • Разрешения для файловых серверов без служб удаленных рабочих столов

      Учетная запись пользователя Разрешение Применяется к
      Системные Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Только эта папка
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Группа безопасности с пользователями, которым необходимо размещать данные в общем ресурсе ("Пользователи перенаправления папок") Вывод содержимого папки/чтение данных 1
      Создание папок и добавление данных1
      Чтение атрибутов 1
      Чтение дополнительных атрибутов 1
      Разрешенияна чтение 1
      Обзор папок/выполнение файлов 1
      Только эта папка
      Прочие группы и учетные записи Нет (удалите все учетные записи, которые эта таблица не перечисляет)

      1 Дополнительные разрешения.

      Снимок экрана: страница расширенных разрешений с конфигурацией разрешений для отдельной конфигурации сервера.

    • Разрешения для файловых серверов со службами удаленных рабочих столов:

      Пользовательская учетная запись или роль Разрешение Применяется к
      Системные Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Текущая папка, подпапки и файлы
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

      Снимок экрана: страница расширенных разрешений с конфигурацией разрешений для конфигурации совместного сервера.

  10. Если вы выбрали общий ресурс SMB — расширенный профиль в этой процедуре, выполните следующие дополнительные действия.

    • На странице Свойства управления выберите для "Использования папки" значение Файлы пользователя.
    • При необходимости выберите квоту, которая будет действовать для пользователей ресурса.
  11. На странице Подтверждение щелкните элемент Создать.

Шаг 3. Создание папок для новых пользователей на серверах, на которых также размещаются службы удаленных рабочих столов

Если файловый сервер также размещает службы удаленных рабочих столов, используйте следующую процедуру, чтобы создать папки для новых пользователей и назначить соответствующие разрешения папкам.

  1. Перейдите в корневую папку общего файлового ресурса, созданного в предыдущей процедуре.

  2. Чтобы создать новую папку, используйте один из следующих методов.

    • Щелкните корневую папку правой кнопкой мыши и выберите Создать>Папка. В качестве имени папки введите имя нового пользователя.

    • Если же вы хотите создать новую папку с помощью Windows PowerShell, откройте окно командной строки PowerShell и выполните следующий командлет:

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      В этой команде <newuser> представляет имя пользователя нового пользователя.

  3. Щелкните правой кнопкой мыши новую папку и выберите Свойства>Безопасность>Дополнительно>Владелец. Владельцем папки должна быть группа "Администраторы".

  4. Задайте разрешения, приведенные в следующей таблице и на рисунке. Удалите разрешения для всех групп и учетных записей, которые не перечислены здесь.

    Учетная запись пользователя Разрешение Применяется к
    Система Полный контроль Текущая папка, подпапки и файлы
    Администраторы Полный доступ Текущая папка, подпапки и файлы
    Создатель/владелец Полный доступ Только вложенные папки и файлы
    newuser1 Полный доступ Текущая папка, подпапки и файлы
    Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

    1 newuser соответствует имени учетной записи нового пользователя.

    Снимок экрана: задание разрешений для новой папки пользователя в корневой папке перенаправления папок.

Шаг 4. Создание объекта групповой политики для перенаправления папок

Если у вас еще нет объекта групповой политики, который управляет функцией перенаправления папок и автономных файлов, используйте следующую процедуру, чтобы создать ее.

  1. На компьютере с установленным инструментом "Управление групповыми политиками" откройте "Диспетчер сервера".

  2. Выберите Сервис>Управление групповыми политиками.

  3. Правой кнопкой мыши щелкните домен или подразделение, в котором нужно настроить перенаправление папок, а затем выберите Создать объект GPO в этом домене и связать его.

  4. В диалоговом окне Новый объект групповой политики введите имя объекта (например, Параметры перенаправления папок) и нажмите кнопку .

  5. Щелкните созданный объект GPO правой кнопкой мыши и уберите флажок Связь включена. Это гарантирует, что объект не будет применяться, пока вы не завершите его настройку.

  6. Выберите GPO. Выберите Область>Фильтры безопасности>Прошедшие проверку, а затем выберите Удалить, чтобы объект GPO не применялся ко всем пользователям.

  7. В разделе Фильтрация ограничений безопасности щелкните элемент Добавить.

  8. В диалоговом окне выбора пользователя, компьютера или группы настройте параметр, соответствующий конфигурации:

  9. Выберите Делегирование>Добавить и укажите Прошедшие проверку. Нажмите кнопку OK, а затем нажмите OK еще раз, чтобы принять разрешения на Чтение по умолчанию.

    Внимание

    Этот шаг необходим из-за изменений безопасности, внесенных в MS16-072. Необходимо предоставить делегированным разрешениям для чтения группы прошедших проверку подлинности пользователей групповой политики перенаправления папок. Если вы этого не сделали, объект групповой политики не применяется к пользователям или если он уже применен, объект групповой политики удаляется, перенаправляя папки обратно на локальный компьютер. Дополнительные сведения см. в разделе "Развертывание обновления безопасности групповой политики MS16-072".

Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов

Создав объект GPO для параметров перенаправления папок, измените параметры групповой политики для активации и настройки перенаправления папок, выполнив следующие действия.

Примечание.

По умолчанию функция автономных файлов включена для перенаправления папок на клиентских компьютерах с Windows и отключена на компьютерах с Windows Server. Эта функция может быть включена пользователями, либо вы можете контролировать ее через групповую политику. Политика называется Разрешить или запретить использование автономных файлов.

Дополнительные сведения о некоторых других параметрах групповой политики для автономных файлов см. в статьях Enable Advanced Offline Files Functionality (Включение расширенных функциональных возможностей автономных файлов) и Configuring Group Policy for Offline Files (Настройка групповой политики для автономных файлов).

  1. В компоненте "Управление групповыми политиками" щелкните правой кнопкой мыши GPO, который вы создали (например, Настройки перенаправления папок), затем выберите команду Изменить.

  2. В окне редактора "Управление групповыми политиками" выберите Конфигурация пользователя>Политики>Параметры Windows>Перенаправление папок.

  3. Щелкните правой кнопкой мыши папку, которую требуется перенаправить (например, Документы), а затем выберите пункт Свойства.

  4. В диалоговом окне "Свойства" в поле "Параметры" выберите "Базовый" — перенаправьте папку всех пользователей в одно расположение.

    (Необязательно) В разделе "Удаление политики" выберите "Перенаправить папку обратно в локальное расположение userprofile" при удалении политики. Этот параметр может помочь сделать перенаправление папок более предсказуемым для администраторов и пользователей.

  5. В разделе "Расположение целевой папки" выберите "Создать папку" для каждого пользователя в корневом пути.

  6. В поле корневого пути введите путь к общей папке, в которой хранятся перенаправленные папки, например\\fs1.corp.contoso.com\users$.

  7. Нажмите кнопку , а затем выберите Да в диалоговом окне Предупреждение.

Шаг 6. Активация объекта групповой политики для перенаправления папок

После завершения настройки параметров групповой политики для перенаправления папок необходимо включить объект групповой политики (GPO). Это изменение позволит применить объект GPO к затронутым пользователям.

Совет

Если вы планируете задействовать поддержку основного компьютера или другие настройки политики, это следует сделать до включения GPO, чтобы Реализация этих параметров предотвращает копирование данных пользователей на не первичные компьютеры до включения поддержки основного компьютера.

  1. Откройте раздел Управление групповой политикой.
  2. Щелкните правой кнопкой мыши созданный вами GPO и выберите пункт Связь включена. Рядом с соответствующим пунктом меню появится флажок.

Шаг 7. Проверка перенаправления папок

Чтобы проверить работу перенаправления папок, необходимо войти на компьютер под учетной записью пользователя, для которого настроено перенаправление. После этого убедитесь, что папки и профили перенаправляются.

  1. Войдите в систему на основном компьютере (если его поддержка включена) под учетной записью пользователя, для которого вы включили перенаправление папок.

  2. Если пользователь ранее вошел на компьютер, откройте командную строку с повышенными привилегиями и введите следующую команду, чтобы убедиться, что к клиентскому компьютеру применяются последние параметры групповой политики:

    gpupdate /force
    
  3. Откройте проводник.

  4. Щелкните правой кнопкой мыши перенаправленную папку (например, "Мои документы" в библиотеке документов) и выберите пункт Свойства.

  5. Перейдите на вкладку Местоположение и убедитесь, что отображается путь к указанной общей папке, а не локальный путь.

Приложение A. Контрольный список для развертывания перенаправления папок

Завершено Задача или элемент
Подготовка домена и другие предварительные требования
— Присоединение компьютеров к домену
— Создание учетных записей пользователей
— Проверьте выполнение требований к файловому серверу и совместимость с другими службами
— Размещаются ли на файловом сервере также службы удаленных рабочих столов?
— Ограничьте доступ к файловому серверу
Шаг 1. Создание группы безопасности перенаправления папок
— Имя группы:
— Члены:
Шаг 2. Создание общей папки для перенаправленных папок
— Имя общей папки:
Шаг 3. Создание папок для новых пользователей на серверах, на которых также размещаются службы удаленных рабочих столов
Шаг 4. Создание объекта групповой политики для перенаправления папок
— Имя GPO:
Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов
— Перенаправленные папки:
— Включена ли поддержка Windows 2000, Windows XP и Windows Server 2003?
— Включена ли функция "Автономные файлы"? (по умолчанию включена на клиентских компьютерах Windows)
— Включен ли постоянный автономный режим?
— Включена ли фоновая синхронизация файлов?
— Включено ли оптимизированное перемещение перенаправленных папок?
Включение поддержки основного компьютера (необязательно):
— На основе компьютеров или на основе пользователей?
— Назначение основных компьютеров для пользователей
— Расположение сопоставлений пользователей и основных компьютеров:
— Включение поддержки основного компьютера для переназначения папок (необязательно)
— Включение поддержки основного компьютера для перемещаемых профилей пользователей (необязательно)
Шаг 6. Активация объекта групповой политики для перенаправления папок
Шаг 7. Проверка перенаправления папок