Развертывание перенаправления папок с помощью автономных файлов

**

В этой статье описываются требования к развертыванию перенаправления папок и автономных файлов вместе, включая шаги, которые необходимо выполнить для управления доступом к перенаправленным файлам.

Prerequisites

Перед началом работы убедитесь, что среда соответствует следующим требованиям.

Требования к администрированиям

• Для администрирования перенаправления папок вам потребуется войти в систему в качестве члена группы безопасности "Администраторы домена", "Администраторы предприятия" или "Владельцы-создатели групповой политики".
• Необходим компьютер с установленными инструментами "Управление групповыми политиками" и "Центр администрирования Active Directory".

Требования к файловому серверу

Файловый сервер — это компьютер, на котором размещены перенаправляемые папки. Убедитесь, что файловый сервер соответствует следующим требованиям.

Взаимодействие со службами удаленных рабочих столов

От вашей конфигурации удаленного доступа зависит настройка файлового сервера, общих файловых ресурсов и политик. Если файловый сервер также размещает службы удаленных рабочих столов, существует несколько шагов развертывания, которые отличаются.

• Нет необходимости создавать группу безопасности для пользователей перенаправления папок.
• Для общего файлового ресурса, в котором размещаются перенаправляемые папки, необходимо настроить другие разрешения.
• Необходимо предварительно создать папки для новых пользователей и задать определенные разрешения для этих папок.

Ограничение доступа

Внесите на файловом сервере следующие изменения в соответствии с вашей конфигурацией.

• Все конфигурации. Убедитесь, что у ИТ-администраторов есть административный доступ к файловом серверу. Процедура на следующем шаге описывает настройку доступа для отдельных общих ресурсов.
• Серверы, которые также не размещают службы удаленных рабочих столов: отключите службу служб удаленных рабочих столов (termserv) на файловом сервере, если она также не размещает службы удаленных рабочих столов.

Взаимодействие с другими функциями хранилища

Чтобы убедиться, что перенаправление папок и автономные файлы правильно взаимодействуют с другими функциями хранилища, проверьте следующие конфигурации.

• Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
• Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
• При использовании кластеризованной общей папки устраните непрерывную доступность в общей папке, чтобы избежать проблем с производительностью при перенаправлении папок и использовании автономных файлов. Если включена непрерывная доступность, автономные файлы могут не переходить в автономный режим в течение 3–6 минут после того, как пользователь теряет доступ к общей папке. Задержка может разочаровывать пользователей, которые еще не используют режим "Автономный" автономных файлов.

Требования клиента

• Клиентские компьютеры должны работать под управлением Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 или Windows Server 2016.
• Клиентские компьютеры должны быть присоединены к домену служб домен Active Directory (AD DS), которым вы управляете.
• На клиентских компьютерах должны быть процессоры x64 или x86. Перенаправление папок не поддерживается на компьютерах с процессорами ARM.

Шаг 1. Создание группы безопасности перенаправления папок

Если на файловом сервере запущены службы удаленных рабочих столов, пропустите этот шаг. Вместо этого назначьте пользователям разрешения при создании папок для новых пользователей.

Эта процедура создает группу безопасности, содержащую всех пользователей, для которых будут действовать параметры политики перенаправления папок.

1. На компьютере с установленным центром администрирования Active Directory откройте "Диспетчер сервера".

2. ВыберитеЦентр администрирования Active Directory.> Отобразится центр администрирования Active Directory.

3. Щелкните правой кнопкой мыши соответствующий домен или подразделение, а затем выберите команду "Создать>группу".

4. В окне "Создание группы" в разделе "Группа " укажите следующие параметры:

   • В имени группы введите имя группы безопасности, например пользователи перенаправления папок.
   • В области группы выберите"Глобальнаябезопасность>".

5. В разделе "Участники" нажмите кнопку "Добавить". Откроется диалоговое окно Выбор пользователей, контактов, компьютеров, учетных записей служб или групп.

6. Введите имена пользователей или групп, в которых требуется развернуть перенаправление папок, нажмите кнопку "ОК" и снова нажмите кнопку "ОК ".

Шаг 2. Создание общей папки для перенаправленных папок

Если у вас еще нет общей папки для перенаправленных папок, используйте следующую процедуру, чтобы создать общую папку на сервере под управлением Windows Server 2016 или более поздней версии.

1. В области навигации Диспетчера сервера выберите Файловые службы и службы хранилища>Общие ресурсы. Откроется страница Общие ресурсы.

2. На странице "Общие папки" выберите "Задачи>создать общий ресурс". Откроется мастер создания общих ресурсов.

3. На странице выбора профиля выберите параметр, соответствующий конфигурации Диспетчера ресурсов файлового сервера:

   • Если установлен диспетчер ресурсов файлового сервера и вы используете свойства управления папками, выберите Общий ресурс SMB — дополнительные.
   • Если у вас нет установленного диспетчера ресурсов файлового сервера или вы не используете свойства управления папками, выберите SMB Share — Quick.

4. На странице "Расположение общего ресурса " выберите сервер и том, на котором вы хотите создать общую папку.

5. На странице "Имя общей папки" введите имя общей папки (например, Users$) в поле "Имя общего ресурса ".

   Tip

   При создании общей папки скрытие общей папки путем добавления $ (знака доллара) после имени общей папки. Это закроет возможность его просмотра пользователям без соответствующих полномочий.

6. На странице "Другие параметры" снимите флажок "Включить непрерывную доступность" , если он присутствует. При необходимости установите флажки Включить перечисление на основе доступа и Шифрование доступа к данным.

7. На странице "Разрешения" выберите "Настроить разрешения ", чтобы открыть диалоговое окно "Дополнительные параметры безопасности ".

8. Выберите "Отключить наследование", а затем выберите "Преобразовать унаследованные разрешения" в явное разрешение для этого объекта.

9. Задайте разрешения, приведенные в следующих таблицах и рисунках.

   Important

   Используемые разрешения зависят от конфигурации удаленного доступа, поэтому убедитесь, что вы используете правильную таблицу.

   • Разрешения для файловых серверов без служб удаленных рабочих столов

     Учетная запись пользователя	Permission	Применимо к
     System	Полный контроль	Текущая папка, подпапки и файлы
     Administrators	Полный контроль	Только эта папка
     Creator/Owner	Полный контроль	Только вложенные папки и файлы
     Группа безопасности с пользователями, которым необходимо размещать данные в общем ресурсе ("Пользователи перенаправления папок")	Перечисление папок и чтение данных1 Создание папок и добавление данных1 Чтение атрибутов1 Чтение расширенных атрибутов1 Разрешения на чтение1 Обход папки и выполнения файла1	Только эта папка
     Прочие группы и учетные записи	Нет (удалите все учетные записи, которые эта таблица не перечисляет)

     ¹ Дополнительные разрешения.

     

   • Разрешения для файловых серверов со службами удаленных рабочих столов:

     Пользовательская учетная запись или роль	Permission	Применимо к
     System	Полный контроль	Текущая папка, подпапки и файлы
     Administrators	Полный контроль	Текущая папка, подпапки и файлы
     Creator/Owner	Полный контроль	Только вложенные папки и файлы
     Прочие группы и учетные записи	Нет (удалите все прочие учетные записи из списка управления доступом)

     

10. Если вы выбрали общий ресурс SMB — расширенный профиль в этой процедуре, выполните следующие дополнительные действия.

    • На странице "Свойства управления" выберите значение "Использование папки пользователей ".
    • При необходимости выберите квоту, которая будет действовать для пользователей ресурса.

11. На странице подтверждения нажмите кнопку "Создать".

Шаг 3. Создание папок для новых пользователей на серверах, на которых также размещаются службы удаленных рабочих столов

Если файловый сервер также размещает службы удаленных рабочих столов, используйте следующую процедуру, чтобы создать папки для новых пользователей и назначить соответствующие разрешения папкам.

1. Перейдите в корневую папку общего файлового ресурса, созданного в предыдущей процедуре.

2. Чтобы создать новую папку, используйте один из следующих методов.

   • Щелкните правой кнопкой мыши корневую папку и выберите "Создать>папку". В качестве имени папки введите имя нового пользователя.

   • Если же вы хотите создать новую папку с помощью Windows PowerShell, откройте окно командной строки PowerShell и выполните следующий командлет:

     New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
     

     В этой команде <newuser> представляет имя пользователя нового пользователя.

3. Щелкните правой кнопкой мыши новую папку и выберите пункт "Расширенный>владелец свойства >безопасности>". Владельцем папки должна быть группа "Администраторы".

4. Задайте разрешения, приведенные в следующей таблице и на рисунке. Удалите разрешения для всех групп и учетных записей, которые не перечислены здесь.

   Учетная запись пользователя	Permission	Применимо к
   System	Полный контроль	Текущая папка, подпапки и файлы
   Administrators	Полный контроль	Текущая папка, подпапки и файлы
   Creator/Owner	Полный контроль	Только вложенные папки и файлы
   newuser1	Полный контроль	Текущая папка, подпапки и файлы
   Прочие группы и учетные записи	Нет (удалите все прочие учетные записи из списка управления доступом)

   ¹newuser представляет имя пользователя учетной записи нового пользователя.

   

Шаг 4. Создание объекта групповой политики для перенаправления папок

Если у вас еще нет объекта групповой политики, который управляет функцией перенаправления папок и автономных файлов, используйте следующую процедуру, чтобы создать ее.

1. На компьютере с установленным инструментом "Управление групповыми политиками" откройте "Диспетчер сервера".

2. Выберите"Управление групповыми политикамисредств>".

3. Правой кнопкой мыши щелкните домен или подразделение, в котором нужно настроить перенаправление папок, а затем выберите Создать объект GPO в этом домене и связать его.

4. В диалоговом окне "Создать объект групповой политики" введите имя объекта групповой политики (например, параметры перенаправления папок), а затем нажмите кнопку "ОК".

5. Щелкните правой кнопкой мыши только что созданный объект групповой политики и снимите флажок " Включить ссылку ". Это гарантирует, что объект не будет применяться, пока вы не завершите его настройку.

6. Выберите GPO. Выберите"Фильтрующие>области>",прошедшие проверку подлинности пользователей, а затем нажмите кнопку "Удалить", чтобы запретить применение групповой политики для всех пользователей.

7. В разделе "Фильтрация безопасности" выберите "Добавить".

8. В диалоговом окне выбора пользователя, компьютера или группы настройте параметр, соответствующий конфигурации:

   • Файловые серверы без служб удаленных рабочих столов: введите имя группы безопасности, созданной на шаге 1. Создайте группу безопасности перенаправления папок (например, пользователи перенаправления папок), а затем нажмите кнопку "ОК".
   • Файловые серверы со службами удаленных рабочих столов. Введите имя пользователя, используемое для папки пользователя на шаге 3. Предустановка папок для новых пользователей на серверах, на которых также размещаются службы удаленных рабочих столов, а затем нажмите кнопку "ОК".

9. Выберите"Добавитьделегирование>" и введите прошедших проверку подлинности пользователей. Нажмите кнопку "ОК", а затем нажмите кнопку "ОК ", чтобы принять разрешение на чтение по умолчанию.

   Important

   Этот шаг необходим из-за изменений безопасности, внесенных в MS16-072. Необходимо предоставить делегированным разрешениям для чтения группы прошедших проверку подлинности пользователей групповой политики перенаправления папок. Если вы этого не сделали, объект групповой политики не применяется к пользователям или если он уже применен, объект групповой политики удаляется, перенаправляя папки обратно на локальный компьютер. Дополнительные сведения см. в разделе "Развертывание обновления безопасности групповой политики MS16-072".

Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов

Создав объект GPO для параметров перенаправления папок, измените параметры групповой политики для активации и настройки перенаправления папок, выполнив следующие действия.

1. В компоненте "Управление групповыми политиками" щелкните правой кнопкой мыши GPO, который вы создали (например, Настройки перенаправления папок), затем выберите команду Изменить.

2. В окне редактора управления групповыми политиками перейдите кперенаправлениюпапок>параметров windows политик конфигурации>>пользователей.

3. Щелкните правой кнопкой мыши папку, которую нужно перенаправить (например, документы), а затем выберите "Свойства".

4. В диалоговом окне "Свойства" в поле "Параметры " выберите "Базовый" — перенаправьте папку всех пользователей в одно расположение.

   (Необязательно) В разделе "Удаление политики " выберите "Перенаправить папку обратно в локальное расположение userprofile" при удалении политики. Этот параметр может помочь сделать перенаправление папок более предсказуемым для администраторов и пользователей.

5. В разделе "Расположение целевой папки" выберите "Создать папку" для каждого пользователя в корневом пути.

6. В поле корневого пути введите путь к общей папке, в которой хранятся перенаправленные папки, например \\fs1.corp.contoso.com\users$.

7. Нажмите кнопку "ОК" и нажмите кнопку "Да " в диалоговом окне "Предупреждение ".

Шаг 6. Активация объекта групповой политики для перенаправления папок

После завершения настройки параметров групповой политики для перенаправления папок необходимо включить объект групповой политики (GPO). Это изменение позволит применить объект GPO к затронутым пользователям.

1. Откройте раздел Управление групповой политикой.
2. Щелкните правой кнопкой мыши созданный объект групповой политики и выберите "Включить ссылку". Рядом с соответствующим пунктом меню появится флажок.

Шаг 7. Проверка перенаправления папок

Чтобы проверить работу перенаправления папок, необходимо войти на компьютер под учетной записью пользователя, для которого настроено перенаправление. После этого убедитесь, что папки и профили перенаправляются.

1. Войдите в систему на основном компьютере (если его поддержка включена) под учетной записью пользователя, для которого вы включили перенаправление папок.

2. Если пользователь ранее вошел на компьютер, откройте командную строку с повышенными привилегиями и введите следующую команду, чтобы убедиться, что к клиентскому компьютеру применяются последние параметры групповой политики:

   gpupdate /force
   

3. Откройте проводник.

4. Щелкните правой кнопкой мыши перенаправленную папку (например, папку "Мои документы" в библиотеке документов), а затем выберите "Свойства".

5. Выберите вкладку "Расположение " и убедитесь, что путь отображает общую папку, указанную вместо локального пути.

Приложение A. Контрольный список для развертывания перенаправления папок

Связанные ссылки

• Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей.
• Развертывание основных компьютеров для перенаправления папок и перемещаемых профилей пользователей
• Включение режима "Всегда автономный" для быстрого доступа к файлам
• Сведения о политике поддержки Майкрософт для сценария развертывания DFS-R и DFS-N
• Sideload Apps with DISM (Загрузка неопубликованных приложений с помощью DISM)
• Устранение неполадок с упаковкой, развертыванием и запросом приложений Windows