Развертывание перенаправления папок и функции автономных файлов

Область применения: Windows Server 2022, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Vista, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008 R2

В этой статье приведены требования по развертыванию перенаправления папок вместе с функцией автономных файлов, в том числе инструкции по управлению доступом к перенаправляемым файлам.

Важно!

Из-за изменений в системе безопасности, внесенных в MS16-072, мы обновили в этой статье Шаг 4. Создание объекта групповой политики для перенаправления папок, чтобы обеспечить корректное применение политики перенаправления папок в Windows (без отмены изменений для этих папок на затронутых компьютерах).

Список последних изменений в этой статье см. в Журнале изменений.

Предварительные требования

Требования по администрированию

  • Для администрирования перенаправления папок вам потребуется войти в систему в качестве члена группы безопасности "Администраторы домена", "Администраторы предприятия" или "Владельцы-создатели групповой политики".
  • Необходим компьютер с установленными инструментами "Управление групповыми политиками" и "Центр администрирования Active Directory".

Требования к файловому серверу

Файловый сервер — это компьютер, на котором размещены перенаправляемые папки.

Взаимодействие со службами удаленных рабочих столов

От вашей конфигурации удаленного доступа зависит настройка файлового сервера, общих файловых ресурсов и политик. Если на файловом сервере также размещаются службы удаленных рабочих столов, некоторые этапы развертывания будут отличаться.

  • Нет необходимости создавать группу безопасности для пользователей перенаправления папок.
  • Для общего файлового ресурса, в котором размещаются перенаправляемые папки, необходимо настроить другие разрешения.
  • Требуется заранее создать папки для новых пользователей и задать для этих папок определенные разрешения.

Важно!

Большинство процедур, описанных в этом разделе далее, относятся к обеим конфигурациям. Если действие относится строго к какой-то одной из них, это будет специально оговорено.

Ограничение доступа

Внесите на файловом сервере следующие изменения в соответствии с вашей конфигурацией.

  • Все конфигурации. Предоставьте административный доступ к файловому серверу только ИТ-администраторам, которые должны иметь соответствующие полномочия. Процедура на следующем шаге описывает настройку доступа для отдельных общих ресурсов.
  • Серверы без дополнительного размещения служб удаленных рабочих столов. Если на вашем файловом сервере дополнительно не размещаются службы удаленных рабочих столов, отключите на нем соответствующую службу termserv.

Взаимодействие с другими функциями хранилища

Чтобы перенаправление папок и автономные файлы корректно взаимодействовали с другими функциями хранилища, проверьте следующие настройки.

  • Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
  • Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
  • При использовании кластеризованной общей папки устраните непрерывную доступность в общей папке, чтобы избежать проблем с производительностью при перенаправлении папок и использовании автономных файлов. Кроме того, когда пользователь теряет доступ к постоянно доступному общему файловому ресурсу, может пройти 3–6 минут, прежде чем автономные файлы перейдут в автономный режим. Это может вызвать недовольство их пользователей, еще не переключенных на постоянный автономный режим.

Требования к клиенту

  • На клиентских компьютерах должна работать ОС Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008.
  • Компьютеры клиентов должны быть присоединены к управляемому вами домену для доменных служб Active Directory (AD DS).
  • На клиентских компьютерах должны быть процессоры x64 или x86. Перенаправление папок не поддерживается на компьютерах с процессорами ARM.

Примечание

Некоторые новые возможности перенаправления папок предусматривают дополнительные требования к клиентскому компьютеру и Active Directory. Дополнительные сведения см. в статьях Deploy primary computers (Развертывание основных компьютеров), Disable Offline Files on folders (Отключение функции "Автономные файлы" в папках), Enable Always Offline mode (Включение постоянного автономного режима) и Enable optimized folder moving (Включение оптимизированного перемещения папок).

Шаг 1. Создание группы безопасности перенаправления папок

Если на файловом сервере используются службы удаленных рабочих столов, пропустите этот шаг и назначайте разрешения, когда будете создавать заранее папки для новых пользователей.

Эта процедура создает группу безопасности, содержащую всех пользователей, для которых будут действовать параметры политики перенаправления папок.

  1. На компьютере с установленным центром администрирования Active Directory откройте "Диспетчер сервера".

  2. Выберите инструментыActive Directory центр администрирования. Отобразится центр администрирования Active Directory.

  3. Щелкните правой кнопкой мыши соответствующий домен или подразделение, а затем выберите пункт создатьгруппу.

  4. В окне Создание группы в разделе Группа укажите следующие параметры.

    • В поле Имя группы введите имя группы безопасности, например Пользователи перенаправления папок.
    • В области группвыберите Безопасностьглобальный.
  5. В разделе Участники щелкните элемент Добавить. Откроется диалоговое окно Выбор пользователей, контактов, компьютеров, учетных записей служб или групп.

  6. Введите имена пользователей или групп, для которых хотите развернуть перенаправление папок, нажмите кнопку ОК, после чего нажмите ОК еще раз.

Шаг 2. Создание общей папки для перенаправляемых папок

Если у вас еще нет общего файлового ресурса для перенаправляемых папок, выполните следующую процедуру, чтобы создать его на сервере под управлением Windows Server 2012 или более поздней версии.

Примечание

Если вы создаете общий ресурс на сервере под управлением другой версии Windows Server, некоторые функции могут отличаться или быть недоступны.

  1. в области навигации диспетчер сервера выберите файловые службы иобщие папки служб служба хранилища, чтобы отобразить страницу общих папок .

  2. На странице Общие ресурсы выберите задачиНовый общий ресурс. Откроется мастер создания общих ресурсов.

  3. На странице Выбор профиля выполните одно из следующих действий.

    • Если установлен диспетчер ресурсов файлового сервера и вы используете свойства управления папками, выберите Общий ресурс SMB — дополнительные.
    • Если диспетчер ресурсов файлового сервера не установлен и вы не используете свойства управления папками, выберите Общий ресурс SMB — быстрый профиль.
  4. На странице Расположение общего ресурса выберите сервер и том, в котором хотите создать общий ресурс.

  5. На странице Имя общей папки укажите имя (например, Users$ ) в поле Имя общей папки.

    Совет

    При создании общего ресурса необходимо скрыть его, добавив после его имени символ $. Это закроет возможность его просмотра пользователям без соответствующих полномочий.

  6. На странице Другие параметры снимите флажок Включить постоянную доступность, если он установлен. При необходимости установите флажки Включить перечисление на основе доступа и Шифрование доступа к данным.

  7. На странице Разрешения выберите Настройка разрешений доступа. Откроется диалоговое окно Дополнительные параметры безопасности.

  8. Нажмите кнопку Отключение наследования, а затем щелкните элемент Convert inherited permissions into explicit permission on this object (Преобразовать наследуемые разрешения для объекта в явные).

  9. Задайте разрешения, приведенные в следующих таблицах и рисунках.

    Важно!

    Выбор разрешений зависит от вашей конфигурации удаленного доступа, поэтому используйте подходящую вам таблицу.

    • Разрешения для файловых серверов без служб удаленных рабочих столов:

      Учетная запись пользователя Разрешение Применяется к
      Система Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Только эта папка
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Группа безопасности с пользователями, которым необходимо размещать данные в общем ресурсе ("Пользователи перенаправления папок") Вывод содержимого папки/чтение данных 1
      Создание папок/Добавление данных1
      Чтение атрибутов 1
      Чтение дополнительных атрибутов 1
      Чтение 1
      Обзор папок/выполнение файлов 1
      Только эта папка
      Прочие группы и учетные записи Нет (удалите все учетные записи, не перечисленные в этой таблице)

      1 Дополнительные разрешения.

      Advanced permissions page showing the permissions configuration for the separate server configuration.

    • Разрешения для файловых серверов со службами удаленных рабочих столов:

      Пользовательская учетная запись или роль Разрешение Применяется к
      Система Полный доступ Текущая папка, подпапки и файлы
      Администраторы Полный доступ Текущая папка, подпапки и файлы
      Создатель/владелец Полный доступ Только вложенные папки и файлы
      Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

      Advanced permissions page showing the permissions configuration for the co-located server configuration.

  10. Если ранее в этой процедуре вы выбрали профиль Общий ресурс SMB — дополнительные, также выполните следующие действия.

    • На странице Свойства управления выберите для "Использования папки" значение Файлы пользователя.
    • При необходимости выберите квоту, которая будет действовать для пользователей ресурса.
  11. На странице Подтверждение щелкните элемент Создать.

Шаг 3. Предварительное создание папок для новых пользователей на серверах, где также размещаются службы удаленных рабочих столов

Если на файловом сервере также размещаются службы удаленных рабочих столов, выполните следующую процедуру, чтобы заранее создать папки для новых пользователей и назначить этим папкам необходимые разрешения.

  1. Перейдите в корневую папку общего файлового ресурса, созданного в предыдущей процедуре.

  2. Создайте новую папку. Можно использовать один из следующих методов:

    • Щелкните правой кнопкой мыши корневую папку и выберите пункт создатьпапку. В качестве имени папки введите имя нового пользователя.

    • Если же вы хотите создать новую папку с помощью Windows PowerShell, откройте окно командной строки PowerShell и выполните следующий командлет:

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      Примечание

      В этой команде <<> представляет имя пользователя нового пользователя.

  3. Щелкните правой кнопкой мыши новую папку и выберите СвойстваБезопасностьРасширенныйвладелец. Владельцем папки должна быть группа "Администраторы".

  4. Задайте разрешения, приведенные в следующей таблице и на рисунке. Разрешения для всех не перечисленных здесь групп и учетных записей необходимо удалить.

    Учетная запись пользователя Разрешение Применяется к
    Система Полный доступ Текущая папка, подпапки и файлы
    Администраторы Полный доступ Текущая папка, подпапки и файлы
    Создатель/владелец Полный доступ Только вложенные папки и файлы
    newuser1 Полный доступ Текущая папка, подпапки и файлы
    Прочие группы и учетные записи Нет (удалите все прочие учетные записи из списка управления доступом)

    1 newuser соответствует имени учетной записи нового пользователя.

    Setting the permissions for newuser’s folder under the root of the Folder Redirection share

Шаг 4. Создание объекта групповой политики для перенаправления папок

Если у вас еще нет объекта групповой политики (Group Policy Object, GPO), который управляет перенаправлением папок и функциями автономных файлов, создайте его, выполнив следующую процедуру.

  1. На компьютере с установленным инструментом "Управление групповыми политиками" откройте "Диспетчер сервера".

  2. Выберите инструментыГрупповая политика управление.

  3. Правой кнопкой мыши щелкните домен или подразделение, в котором нужно настроить перенаправление папок, а затем выберите Создать объект GPO в этом домене и связать его.

  4. В диалоговом окне Новый объект групповой политики введите имя объекта (например, Параметры перенаправления папок) и нажмите кнопку .

  5. Щелкните созданный объект GPO правой кнопкой мыши и уберите флажок Связь включена. Это гарантирует, что объект не будет применяться, пока вы не завершите его настройку.

  6. Выберите GPO. Выберите областьБезопасность фильтрацияпользователей, прошедших проверку подлинности, а затем нажмите кнопку Удалить , чтобы запретить применение GPO ко всем.

  7. В разделе Фильтрация ограничений безопасности щелкните элемент Добавить.

  8. В диалоговом окне Выбор пользователя, компьютера или группы выполните одно из следующих действий в зависимости от вашей конфигурации.

  9. Выберите Делегированиедобавить, а затем введите прошедшие проверку пользователи. Нажмите кнопку OK, а затем нажмите OK еще раз, чтобы принять разрешения на Чтение по умолчанию.

    Важно!

    Этот шаг является обязательным из-за изменений, внесенных в обновление системы безопасности MS16-072. Теперь вам требуется предоставить группе "Прошедшие проверку" делегированные разрешения на чтение GPO перенаправления папок. В противном случае объект GPO не будет применен к пользователям или, если он уже применен, он будет удален, а папки будут вновь направляться на локальный компьютер. Дополнительные сведения об изменениях в развертывании GPO, внесенных в MS16-072, см. здесь.

Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов

Создав объект GPO для параметров перенаправления папок, измените параметры групповой политики для активации и настройки перенаправления папок, выполнив следующие действия.

Примечание

По умолчанию функция автономных файлов включена для перенаправления папок на клиентских компьютерах с Windows и отключена на компьютерах с Windows Server. Эта функция может быть включена пользователями, либо вы можете контролировать ее через групповую политику. Политика называется Разрешить или запретить использование автономных файлов.

Дополнительные сведения о некоторых других параметрах групповой политики для автономных файлов см. в статьях Enable Advanced Offline Files Functionality (Включение расширенных функциональных возможностей автономных файлов) и Configuring Group Policy for Offline Files (Настройка групповой политики для автономных файлов).

  1. В компоненте "Управление групповыми политиками" щелкните правой кнопкой мыши GPO, который вы создали (например, Настройки перенаправления папок), затем выберите команду Изменить.

  2. в окне редактор "Управление групповыми политиками" перейдите к политикам конфигурации пользователейWindowsперенаправление папокПараметры.

  3. Щелкните правой кнопкой мыши папку, которую требуется перенаправить (например, Документы), а затем выберите пункт Свойства.

  4. В диалоговом окне Свойства в поле Параметры выберите Перенаправлять папки всех пользователей в одно расположение (простая) .

    Примечание

    Чтобы применить перенаправление папок к клиентским компьютерам под управлением Windows XP или Windows Server 2003, перейдите на вкладку Параметры и установите флажок Также применить политику перенаправления для операционных систем Windows 2000, Windows 2000 Server, Windows XP и Windows Server 2003.

  5. В разделе расположение целевой папки выберите создать папку для каждого пользователя под корневым каталогом, а затем в поле корневой путь введите путь к общей папке, в которой хранятся перенаправленные папки, например: .

  6. (Необязательно.) Перейдите на вкладку Параметры и в разделе Удаление политики выберите После удаления политики перенаправить папку обратно в локальный профиль пользователя (это может сделать перенаправление папок более предсказуемым для администраторов и пользователей).

  7. Нажмите кнопку , а затем выберите Да в диалоговом окне Предупреждение.

Шаг 6. Активация объекта групповой политики для перенаправления папок

После завершения настройки параметров групповой политики для перенаправления папок необходимо включить объект групповой политики (GPO). Это изменение позволит применить объект GPO к затронутым пользователям.

Совет

Если вы планируете задействовать поддержку основного компьютера или другие настройки политики, это следует сделать до включения GPO, чтобы предотвратить копирование данных пользователя на неосновные компьютеры до включения поддержки основного компьютера.

  1. Откройте "Управление групповой политикой".
  2. Щелкните правой кнопкой мыши созданный вами GPO и выберите пункт Связь включена. Рядом с соответствующим пунктом меню появится флажок.

Шаг 7. Проверка перенаправления папок

Чтобы проверить работу перенаправления папок, необходимо войти на компьютер под учетной записью пользователя, для которого настроено перенаправление. После этого убедитесь, что папки и профили перенаправляются.

  1. Войдите в систему на основном компьютере (если его поддержка включена) под учетной записью пользователя, для которого вы включили перенаправление папок.

  2. Если пользователь уже вошел в систему, откройте командную строку с повышенными привилегиями и введите нижеприведенную команду, чтобы убедиться, что на компьютере используются последние настройки групповой политики.

    gpupdate /force
    
  3. Откройте проводник.

  4. Щелкните правой кнопкой мыши перенаправленную папку (например, "Мои документы" в библиотеке документов) и выберите пункт Свойства.

  5. Перейдите на вкладку Расположение и убедитесь, что отображается путь к указанному вами общему файловому ресурсу, а не локальный путь.

Приложение A. Контрольный список для развертывания перенаправления папок

Завершить Задача или элемент
Подготовка домена и другие предварительные требования
— Присоедините компьютеры к домену
— Создайте учетные записи пользователей
— Проверьте выполнение требований к файловому серверу и совместимость с другими службами
— Размещаются ли на файловом сервере также службы удаленных рабочих столов?
— Ограничьте доступ к файловому серверу
Шаг 1. Создание группы безопасности перенаправления папок
— Имя группы:
— Члены:
Шаг 2. Создание общей папки для перенаправляемых папок
— Имя общей папки:
Шаг 3. Предварительное создание папок для новых пользователей на серверах, где также размещаются службы удаленных рабочих столов
Шаг 4. Создание объекта групповой политики для перенаправления папок
— Имя GPO:
Шаг 5. Настройка параметров групповой политики для перенаправления папок и для автономных файлов
— Перенаправленные папки:
— Включена ли поддержка Windows 2000, Windows XP и Windows Server 2003?
— Включена ли функция "Автономные файлы"? (по умолчанию включена на клиентских компьютерах Windows)
— Включен ли постоянный автономный режим?
— Включена ли фоновая синхронизация файлов?
— Включено ли оптимизированное перемещение перенаправленных папок?
Включение поддержки основного компьютера (необязательно):
— На основе компьютеров или на основе пользователей?
— Назначение основных компьютеров для пользователей
— Расположение сопоставлений пользователей и основных компьютеров:
— Включение поддержки основного компьютера для переназначения папок (необязательно)
— Включение поддержки основного компьютера для перемещаемых профилей пользователей (необязательно)
Шаг 6. Активация объекта групповой политики для перенаправления папок
Шаг 7. Проверка перенаправления папок

Журнал изменений

В следующей таблице представлены наиболее важные изменения этого раздела.

Дата Описание Причина
9 марта 2021 г. Добавлены инструкции для разных конфигураций. Необходимость изменений для улучшения контроля доступа в различных конфигурациях.
18 января 2017 г. На шаге Создание объекта групповой политики для перенаправления папок добавлено действие по делегации разрешений на чтение пользователям, прошедшим проверку подлинности, что стало обязательным из-за обновления системы безопасности для групповой политики. Отзывы клиентов.

Дополнительные сведения