Implantar Redirecionamento de Pastas com Arquivos Offline

Aplica-se a: Windows Server 2022, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Vista, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2008 R2

Este artigo descreve os requisitos necessários para implantar os recursos Redirecionamento de Pasta e Arquivos Offline juntos, incluindo as etapas que você precisa seguir para controlar o acesso aos arquivos redirecionados.

Importante

Devido às alterações de segurança feitas no MS16-072, atualizamos a Etapa 4: Criar um GPO para o Redirecionamento de Pasta deste artigo, para que o Windows possa aplicar corretamente a política de Redirecionamento de Pasta (e não reverter as pastas redirecionadas nos computadores cliente afetados).

Para obter uma lista das alterações recentes neste artigo, confira Histórico de alterações.

Pré-requisitos

Requisitos de administração

  • Para administrar o Redirecionamento de Pastas, você deve estar conectado como um membro do grupo de segurança Administradores de Domínio, o grupo de segurança Administradores Corporativos ou o grupo de segurança Proprietários Criadores de Política de Grupo.
  • Um computador que tenha o Gerenciamento de Política de Grupo e o Centro de Administração do Active Directory instalados precisa estar disponível.

Requisitos do servidor de arquivos

O servidor de arquivos é o computador que hospeda as pastas redirecionadas.

Interoperabilidade com os Serviços de Área de Trabalho Remota

Sua configuração de acesso remoto afeta a maneira como você configura o servidor de arquivos, os compartilhamentos de arquivo e as políticas. Se o servidor de arquivos também hospedar os Serviços de Área de Trabalho Remota, haverá algumas etapas de implantação diferentes:

  • Você não precisa criar um grupo de segurança para usuários do redirecionamento de pasta.
  • É necessário configurar permissões diferentes no compartilhamento de arquivo que hospeda as pastas redirecionadas.
  • Você precisa pré-criar pastas para novos usuários e definir permissões específicas nessas pastas.

Importante

A maioria dos procedimentos no restante desta seção se aplica a ambas as configurações. As etapas ou os procedimentos específicos para uma configuração ou para a outra são rotulados como tal.

Como restringir o acesso

Aplique as seguintes alterações ao servidor de arquivos, conforme apropriado para sua configuração:

  • Todas as configurações. Verifique se os administradores de TI necessários têm acesso administrativo ao servidor de arquivos. O procedimento da próxima etapa configura o acesso para os compartilhamentos de arquivo individuais.
  • Servidores que também não hospedam os Serviços de Área de Trabalho Remota. Desabilite o serviço Serviços de Área de Trabalho Remota (termserv) no servidor de arquivos se ele também não estiver hospedando os Serviços de Área de Trabalho Remota.

Interoperabilidade com outros recursos de armazenamento

Para garantir que o Redirecionamento de Pasta e os Arquivos Offline interajam corretamente com outros recursos de armazenamento, verifique as configurações a seguir.

  • Se o compartilhamento de arquivos usar os Namespaces do DFS, as pastas DFS (links) deverão ter um único destino para evitar que os usuários façam edições conflitantes em diferentes servidores.
  • Se o compartilhamento de arquivos usar a Replicação do DFS para replicar o conteúdo com outro servidor, os usuários devem poder acessar apenas o servidor de origem para evitar que os usuários façam edições conflitantes em diferentes servidores.
  • Ao usar um compartilhamento de arquivo clusterizado, desabilite a disponibilidade contínua no compartilhamento de arquivo para evitar problemas de desempenho com Redirecionamento de Pastas e Arquivos Offline. Além disso, os Arquivos Offline podem não fazer a transição para o modo offline por 3 a 6 minutos depois que um usuário perde o acesso a um compartilhamento de arquivo continuamente disponível, o que pode frustrar os usuários que ainda não estão usando o modo Sempre Offline dos Arquivos Offline.

Requisitos do cliente

  • Os computadores cliente precisam executar o Windows 10, o Windows 8.1, o Windows 8, o Windows 7, o Windows Server 2019, o Windows Server 2016, o Windows Server 2012 R2, o Windows Server 2012, o Windows Server 2008 R2 ou o Windows Server 2008.
  • Os computadores cliente precisam ser conectados ao domínio do AD DS (Active Directory Domain Services) que você está gerenciando.
  • Os computadores cliente precisam executar processadores baseados em x64 ou x86. Não há suporte para o Redirecionamento de Pasta em computadores com processadores ARM.

Observação

Alguns recursos mais recentes no Redirecionamento de Pastas têm requisitos adicionais de computador cliente e esquema do Active Directory. Para obter mais informações, confira Implantar computadores primários, Desabilitar Arquivos Offline em pastas, Habilitar o modo sempre offline e Habilitar a movimentação de pastas otimizada.

Etapa 1: Criar um grupo de segurança de Redirecionamento de Pastas

Se você estiver executando os Serviços de Área de Trabalho Remota no servidor de arquivos, ignore esta etapa e, em vez disso, atribua permissões aos usuários ao pré-criar pastas para novos usuários.

Este procedimento cria um grupo de segurança que contém todos os usuários aos quais você deseja aplicar as configurações de política de Redirecionamento de Pasta.

  1. Em um computador que tenha o Centro de Administração do Active Directory instalado, abra o Gerenciador do Servidor.

  2. Selecione ferramentasActive Directory centro de administração. O Centro de Administração do Active Directory é exibido.

  3. Clique com o botão direito do mouse no domínio ou unidade organizacional apropriado e selecione novogrupo.

  4. Na janela Criar Grupo , na seção Grupo , especifique as seguintes configurações:

    • Em Nome do grupo, insira o nome do grupo de segurança, por exemplo: Usuários do Redirecionamento de Pasta.
    • Em escopo do grupo, selecione segurançaglobal.
  5. Na seção Membros, selecione Adicionar. A caixa de diálogo Selecionar Usuários, Contatos, Computadores, Contas de Serviço ou Grupos é exibida.

  6. Insira os nomes dos usuários ou dos grupos nos quais deseja implantar o Redirecionamento de Pasta, escolha OK e selecione OK novamente.

Etapa 2: Criar um compartilhamento de arquivo para pastas redirecionadas

Se você ainda não tiver um compartilhamento de arquivo para pastas redirecionadas, use o procedimento a seguir para criar um compartilhamento de arquivo em um servidor que executa o Windows Server 2012 ou uma versão posterior.

Observação

Algumas funcionalidades poderão ser diferentes ou estar indisponíveis se você criar o compartilhamento de arquivo em um servidor que executa outra versão do Windows Server.

  1. no painel de navegação Gerenciador do Servidor, selecione arquivos e Armazenamentocompartilhamentos de serviços para exibir a página compartilhamentos .

  2. Na página compartilhamentos , selecione tarefasnovo compartilhamento. O Assistente Novo Compartilhamento é exibido.

  3. Na página Selecionar Perfil, siga um destes procedimentos:

    • Se você tiver o Gerenciador de Recursos de Servidor de Arquivos instalado e estiver usando propriedades de gerenciamento de pastas, selecione Compartilhamento SMB – Avançado.
    • Se você não tiver o Gerenciador de Recursos de Servidor de Arquivos instalado ou não estiver usando as propriedades de gerenciamento de pastas, selecione Compartilhamento SMB – Rápido.
  4. Na página Compartilhar Local , selecione o servidor e o volume nos quais deseja criar o compartilhamento.

  5. Na página Nome do Compartilhamento, digite um nome para o compartilhamento (por exemplo, Users$ ) na caixa Nome do compartilhamento.

    Dica

    Ao criar o compartilhamento, oculte-o colocando um $ após o nome dele. Essa alteração oculta o compartilhamento de navegadores casuais.

  6. Na página Outras Configurações, desmarque a caixa de seleção Habilitar a disponibilidade contínua, se presente. Opcionalmente, marque as caixas de seleção Habilitar a enumeração baseada em acesso e Criptografar o acesso a dados.

  7. Na página Permissões, selecione Personalizar permissões para abrir a caixa de diálogo Configurações de Segurança Avançadas.

  8. Clique em Desabilitar herança e, em seguida, selecione Converter permissões herdadas em permissões explícitas nesse objeto.

  9. Defina as permissões conforme descrito nas tabelas e nas figuras a seguir.

    Importante

    As permissões usadas dependem da configuração de acesso remoto. Portanto, lembre-se de usar a tabela correta.

    • Permissões para servidores de arquivos sem os Serviços de Área de Trabalho Remota:

      Conta de Usuário Permissão Aplica-se a
      Sistema Controle total Esta pasta, as subpastas e os arquivos
      Administradores Controle total Apenas essa pasta
      Criador/Proprietário Controle total Apenas subpastas e arquivos
      Grupo de segurança de usuários que precisam colocar dados no compartilhamento (Usuários do Redirecionamento de Pasta) Listar pasta/ler dados1
      Criar pastas/acrescentar dados1
      Ler atributos1
      Ler atributos estendidos1
      Ler1
      Percorrer pasta/executar arquivo1
      Apenas essa pasta
      Outros grupos e contas Nenhum (remova as contas não listadas nesta tabela)

      1 Permissões avançadas

      Advanced permissions page showing the permissions configuration for the separate server configuration.

    • Permissões para servidores de arquivos com os Serviços de Área de Trabalho Remota

      Conta de usuário ou função Permissão Aplica-se a
      Sistema Controle total Esta pasta, as subpastas e os arquivos
      Administradores Controle total Esta pasta, as subpastas e os arquivos
      Criador/Proprietário Controle total Apenas subpastas e arquivos
      Outros grupos e contas Nenhum (remova todas as outras contas da lista de controle de acesso)

      Advanced permissions page showing the permissions configuration for the co-located server configuration.

  10. Se você escolheu o perfil Compartilhamento SMB – Avançado anteriormente neste procedimento, siga estas etapas adicionais:

    • Na página Propriedades de Gerenciamento, selecione o valor de Uso da Pasta Arquivos do Usuário.
    • Opcionalmente, selecione uma cota a ser aplicada aos usuários do compartilhamento.
  11. Na página Confirmação, selecione Criar.

Etapa 3: Pré-criar pastas para novos usuários em servidores que também hospedam os Serviços de Área de Trabalho Remota

Se o servidor de arquivos também hospedar os Serviços de Área de Trabalho Remota, use o procedimento a seguir para pré-criar pastas para novos usuários e atribuir as permissões apropriadas às pastas.

  1. No compartilhamento de arquivo que você criou no procedimento anterior, acesse a pasta raiz do compartilhamento de arquivo.

  2. Criar uma pasta. É possível usar um dos seguintes métodos:

    • Clique com o botão direito do mouse na pasta raiz e selecione novapasta. Para o nome da pasta, insira o nome de usuário do novo usuário.

    • Como alternativa, para usar o Windows PowerShell para criar a pasta, abra uma janela de prompt de comando do PowerShell e execute o seguinte cmdlet:

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      Observação

      Neste comando, <<> representa o nome de usuário do novo usuário.

  3. Clique com o botão direito do mouse na nova pasta e selecione Propriedadessegurançaavançadaproprietário. Verifique se o proprietário da pasta é o grupo Administradores.

  4. Defina as permissões conforme descrito na tabela e na figura a seguir. Remova as permissões de todas as contas e todos os grupos que não estão listados aqui.

    Conta de Usuário Permissão Aplica-se a
    Sistema Controle total Esta pasta, as subpastas e os arquivos
    Administradores Controle total Esta pasta, as subpastas e os arquivos
    Criador/Proprietário Controle total Apenas subpastas e arquivos
    newuser1 Controle total Esta pasta, as subpastas e os arquivos
    Outros grupos e contas Nenhum (remova todas as outras contas da lista de controle de acesso)

    1 newuser representa o nome de usuário da conta do novo usuário.

    Setting the permissions for newuser’s folder under the root of the Folder Redirection share

Etapa 4: Criar um GPO do Redirecionamento de Pasta

Se você ainda não tem um GPO (Objeto de Política de Grupo) que gerencia as funcionalidades de Redirecionamento de Pasta e Arquivos Offline, use o procedimento a seguir para criar um.

  1. Em um computador que tenha o Gerenciamento de Política de Grupo instalado, abra o Gerenciador do Servidor.

  2. Selecione ferramentaspolítica de grupo Gerenciamento.

  3. Em Gerenciamento de Política de Grupo, clique com o botão direito do mouse no domínio ou na UO em que deseja instalar o Redirecionamento de Pasta e selecione Criar um GPO neste domínio e vincule-o aqui.

  4. Na caixa de diálogo Novo GPO, insira um nome para o GPO (por exemplo, Configurações de Redirecionamento de Pasta) e selecione OK.

  5. Clique com o botão direito do mouse no GPO recém-criado e desmarque a caixa de seleção Vínculo Habilitado. Essa alteração impede que o GPO seja aplicado até que você finalize a configuração dele.

  6. Selecione o GPO. Selecione a filtragem de segurança de escopousuários autenticadose, em seguida, selecione remover para impedir que o GPO seja aplicado a todos.

  7. Na seção Filtro de Segurança, selecione Adicionar.

  8. Na caixa de diálogo Selecionar Usuário, Computador ou Grupo, siga um destes procedimentos, dependendo da sua configuração:

  9. Selecione delegaçãoAdicionare, em seguida, insira usuários autenticados. Escolha OK e selecione OK novamente para aceitar a permissão de Leitura padrão.

    Importante

    Esta etapa é necessária devido às alterações de segurança feitas no MS16-072. Agora você deve conceder ao grupo Usuários Autenticados permissões de Leitura delegadas no GPO do Redirecionamento de Pasta. Caso contrário, o GPO não será aplicado aos usuários ou, se já estiver aplicado, será removido, redirecionando as pastas de volta para o computador local. Para obter mais informações, confira Implantar a Atualização de Segurança da Política de Grupo MS16-072.

Etapa 5: Definir as configurações de Política de Grupo para o Redirecionamento de Pasta e os Arquivos Offline

Depois de criar um GPO para as configurações de Redirecionamento de Pasta, siga estas etapas para editar as configurações de Política de Grupo que habilitam e definem o Redirecionamento de Pasta.

Observação

Por padrão, o recurso Arquivos Offline está habilitado para as pastas redirecionadas em computadores cliente Windows e desabilitado em computadores Windows Server. Os usuários podem habilitar esse recurso ou você pode usar Política de Grupo para controlá-lo. A política é Permitir ou não permitir o uso do recurso Arquivos Offline.

Para obter informações sobre algumas das outras configurações da Política de Grupo de Arquivos Offline, confira Habilitar a Funcionalidade de Arquivos Offline Avançada e Configurar a Política de Grupo para Arquivos Offline.

  1. Em Gerenciamento de Política de Grupo, clique com o botão direito do mouse no GPO que você criou (por exemplo, Configurações de Redirecionamento de Pastas) e, em seguida, selecione Editar.

  2. na janela Editor de Gerenciamento de Política de Grupo, navegue até políticas de configuração de usuárioWindows Configuraçõesredirecionamento de pasta.

  3. Clique com o botão direito do mouse em uma pasta que você deseja redirecionar (por exemplo, Documentos) e, em seguida, selecione Propriedades.

  4. Na caixa de diálogo Propriedades, na caixa Configuração, selecione Básica – Redirecionar a pasta de todos para a mesma localização.

    Observação

    Para aplicar o Redirecionamento de Pasta aos computadores cliente que executam o Windows XP ou o Windows Server 2003, selecione a guia Configurações e marque a caixa de seleção Também aplicar a política de redirecionamento aos sistemas operacionais Windows 2000, Windows 2000 Server, Windows XP e Windows Server 2003.

  5. Na seção local da pasta de destino , selecione criar uma pasta para cada usuário no caminho raiz e, em seguida, na caixa caminho raiz , digite o caminho para o compartilhamento de arquivos que armazena as pastas redirecionadas, por exemplo: .

  6. (Opcional) Selecione a guia Configurações e, na seção Remoção de Política, escolha Redirecionar a pasta de volta para a localização de userprofile local quando a política for removida (essa configuração pode ajudar a fazer o Redirecionamento de Pasta se comportar de maneira mais previsível para administradores e usuários).

  7. Selecione OK e escolha Sim na caixa de diálogo Aviso.

Etapa 6: Habilitar o GPO do Redirecionamento de Pasta

Depois que você definir as configurações da Política de Grupo do Redirecionamento de Pasta, a próxima etapa será habilitar o GPO. Essa alteração permite que o GPO seja aplicado aos usuários afetados.

Dica

Se você planejar implantar suporte de computador primário ou outras configurações de política, faça isso agora, antes de habilitar o GPO. Isso evita que os dados do usuário sejam copiados para computadores não primários antes de o suporte de computador primário ser habilitado.

  1. Abra Gerenciamento de Política de Grupo.
  2. Clique com o botão direito do mouse no GPO criado por você e, em seguida, selecione Vínculo Habilitado. Uma caixa de seleção é exibida próximo ao item de menu.

Etapa 7: Testar o Redirecionamento de Pasta

Para testar o Redirecionamento de Pasta, entre em um computador com uma conta de usuário configurada para usar pastas redirecionadas. Em seguida, confirme se as pastas e os perfis são redirecionados.

  1. Entre em um computador primário (se você habilitou o suporte de computador primário) com uma conta de usuário na qual você tenha habilitado o Redirecionamento de Pasta.

  2. Caso o usuário tenha sido anteriormente designado para o computador, abra um prompt de comandos com privilégios elevados e, em seguida, digite o comando a seguir para garantir que as configurações de Política de Grupo mais recentes sejam aplicadas ao computador cliente:

    gpupdate /force
    
  3. Abra o Explorador de Arquivos.

  4. Clique com o botão direito do mouse em uma pasta redirecionada (por exemplo, a pasta Meus Documentos na biblioteca de Documentos) e, em seguida, selecione Propriedades.

  5. Selecione a guia Localização e confirme se o caminho exibe o compartilhamento de arquivo especificado, em vez de um caminho local.

Apêndice A: Lista de verificação para implantar o Redirecionamento de Pastas

Concluir Tarefa ou item
Preparar o domínio e outros pré-requisitos
– Ingressar computadores no domínio
– Criar contas de usuário
– Verificar os pré-requisitos e a compatibilidade do servidor de arquivos com outros serviços
– O servidor de arquivos também hospeda os Serviços de Área de Trabalho Remota?
– Restringir o acesso ao servidor de arquivos
Etapa 1: Criar um grupo de segurança de Redirecionamento de Pastas
– Nome do grupo:
– Membros:
Etapa 2: Criar um compartilhamento de arquivo para pastas redirecionadas
– Nome do compartilhamento de arquivo:
Etapa 3: Pré-criar pastas para novos usuários em servidores que também hospedam os Serviços de Área de Trabalho Remota
Etapa 4: Criar um GPO do Redirecionamento de Pasta
– Nome do GPO:
Etapa 5: Definir as configurações de Política de Grupo para o Redirecionamento de Pasta e os Arquivos Offline
– Pastas redirecionadas:
– Suporte para Windows 2000, Windows XP e Windows Server 2003 habilitado?
– Arquivos Offline habilitados? (habilitado por padrão em computadores cliente do Windows)
– Modo Sempre Offline habilitado?
– A sincronização de arquivo em segundo plano está habilitada?
– A movimentação otimizada de pastas redirecionadas está habilitada?
(Opcional) Habilitar o suporte de computador primário:
– Baseado no computador ou no usuário?
– Designar computadores primários para usuários
– Localização dos mapeamentos de computador primário e usuário:
– (Opcional) Habilitar suporte de computador primário para redirecionamento de pastas
– (Opcional) Habilitar suporte de computador primário para Perfis de Usuários Móveis
Etapa 6: Habilitar o GPO do Redirecionamento de Pasta
Etapa 7: Testar o Redirecionamento de Pasta

Histórico de alterações

A tabela a seguir resume algumas das alterações mais importantes para este tópico.

Data Descrição Motivo
9 de março de 2021 Adição de instruções a diferentes configurações. Alterações necessárias para aprimorar o controle de acesso em diferentes configurações.
18 de janeiro de 2017 Adição de uma etapa a Criar um GPO do Redirecionamento de Pasta para delegar a permissão de Leitura a Usuários Autenticados, que agora é necessário devido a uma atualização de segurança da Política de Grupo. Comentários de clientes.

Mais informações