Как настроить перенаправление папок

Опубликовано: 23 Апреля, 2023


Введение


Перенаправление папок может ограничить объем данных, копируемых между общей папкой перемещаемого профиля и сервером терминалов при каждом входе в систему и выходе из нее. Это достигается за счет перенаправления таких папок, как «Рабочий стол», «Мои документы» и «Данные приложения», на общую сетевую папку за пределами общей папки перемещаемого профиля, чтобы она не копировалась при каждом входе в систему и выходе из нее.


Перенаправление папок также может предоставлять заблокированные папки рабочего стола и меню «Пуск» путем перенаправления на общие сетевые ресурсы, из которых конечные пользователи могут только читать, или его можно настроить таким образом, чтобы отдельные папки меню «Пуск» и рабочего стола пользователей находились в общей папке, а не копировались. туда и обратно с остальной частью перемещаемого профиля. Это уменьшает объем данных, передаваемых при каждом входе/выходе, и обеспечивает более стабильную среду для пользователей, которые одновременно входят в несколько сеансов сервера терминалов. Это связано с тем, что нет риска потери данных из-за того, что одна копия папки рабочего стола перемещаемого профиля перезаписывает ранее сохраненную копию, поскольку они всегда ссылаются на каталог в общей папке, а не на локальную папку профиля.


Рекомендации по групповой политике сервера терминалов


Прежде чем мы углубимся в настройку перенаправления папок, давайте рассмотрим, как настроить групповые политики для использования со службами терминалов. Рекомендация по применению настроек к пользователям только при их входе на серверы терминалов:



  1. Создайте подразделение, содержащее набор терминальных серверов.
  2. Заблокировать наследование политики в OU (Свойства -> Групповая политика). Это предотвращает влияние настроек из более высокого уровня в AD на ваши терминальные серверы.
  3. Переместите объекты компьютера сервера терминалов в OU. НЕ размещайте учетные записи пользователей в этом подразделении.
  4. Создайте группу безопасности Active Directory под названием «Серверы терминалов» (или что-то похожее, что вы узнаете) и добавьте серверы терминалов из этой OU в эту группу.
  5. Создайте объект групповой политики под названием «Политика машины TS», связанный с OU.
  6. Установите флажок «Отключить параметры конфигурации пользователя» в объекте групповой политики.
  7. Включить обработку политик Loopback в GPO
  8. Отредактируйте безопасность политики, чтобы применить политику для «аутентифицированных пользователей» и группы безопасности, содержащей терминальные серверы.
  9. Создайте дополнительные объекты групповой политики, связанные с этим OU, для каждой группы пользователей, т. е. «Пользователи TS», «Администраторы TS».
  10. Установите флажок «Отключить параметры конфигурации компьютера» в этих объектах групповой политики.
  11. Отредактируйте параметры безопасности в этих объектах групповой политики конфигурации пользователя, чтобы применить политику для целевой группы пользователей, а запретить применение политики для пользователя, к которому политика не должна применяться.

Если объекты групповой политики настроены таким образом, политика машины применяется ко всем, кто входит в систему на сервере терминалов (обрабатываются только параметры конфигурации компьютера политики машины) в дополнение к соответствующему объекту групповой политики конфигурации пользователя (обрабатывается только часть объекта групповой политики, посвященная конфигурации пользователя). ) для целевой группы пользователей.


Настройки GPO для перенаправления папок


Поскольку перенаправление папок находится в разделе «Конфигурация пользователя» объекта групповой политики, можно создать несколько разных политик и применить одну к каждой отдельной группе пользователей, отфильтровав параметры безопасности в свойствах объекта групповой политики. Это позволяет администраторам перенаправлять папки некоторых пользователей в предварительно настроенные каталоги, которые пользователи не имеют достаточных разрешений NTFS для изменения, и перенаправлять других пользователей в папки, которые поддерживаются самостоятельно.


Настройки перенаправления папок находятся в разделе «Конфигурация пользователя» -> «Параметры Windows» -> «Перенаправление папок». В этом узле можно найти:



Чтобы настроить элемент, щелкните правой кнопкой мыши и выберите «Свойства». Это предоставляет пользовательский интерфейс конфигурации для указанной папки. В одном объекте групповой политики можно либо настроить папку для перенаправления в указанное место для всех пользователей, к которым применяется объект групповой политики, либо можно настроить папку для перенаправления в указанное место на основе членства в группе.



NTFS и общие разрешения


Чтобы перенаправление папок работало правильно, целевая общая папка NTFS и разрешения общего доступа должны быть правильно настроены. При перенаправлении папки в место, которое конечный пользователь не должен изменять, например, в меню «Пуск» или «Заблокированный рабочий стол», следует применить следующие разрешения:



  • Поделиться разрешениями:

    • Все — полный контроль
    • Администраторы — полный доступ
    • Система — полный контроль

  • Разрешения NTFS:

    • Всем — прочитать и выполнить
    • Администраторы — полный доступ
    • Система — полный контроль

Если групповая политика настроена на перенаправление в место, где объект групповой политики автоматически создаст целевую папку, т. е. отдельные папки пользователя «Данные приложения», «Рабочий стол» или «Мои документы», к родительской папке следует применить следующие разрешения:



  • Поделиться разрешениями:

    • Все — полный контроль
    • Администраторы — полный доступ
    • Система — полный контроль

  • Разрешения NTFS:

    • Все — создать папку/добавить данные (только для этой папки)
    • Все — список папок/чтение данных (только для этой папки)
    • Все — чтение атрибутов (только для этой папки)
    • Все — просмотреть папку/выполнить файл (только для этой папки)
    • CREATOR OWNER — Полный доступ (только вложенные папки и файлы)
    • Система — полный доступ (эта папка, подпапки и файлы)
    • Администраторы домена — полный доступ (эта папка, подпапки и файлы)

Важно отметить, что при перенаправлении папок, таких как «Мои документы», в уже существующее расположение, т. е. в домашнюю папку пользователя, необходимо учитывать еще один параметр — право собственности. Если пользователь не является владельцем целевого каталога, перенаправление папки завершится ошибкой с настройками перенаправления папки по умолчанию. В этом случае необходимо снять флажок «Предоставить пользователю исключительные права на Мои документы».




Если это не настроено, перенаправление папок завершится ошибкой, и в журнал событий сервера терминалов будет записано следующее:


Идентификатор события: 101
Пользователь: имя пользователя
Компьютер: имя_компьютера
Описание:
Не удалось выполнить перенаправление папки имя_папки. Не удалось создать новые каталоги для перенаправленной папки. Папка настроена на перенаправление на \ servername sharename \%username%, окончательный расширенный путь был \ servername sharename username. Произошла следующая ошибка:
Доступ запрещен.


Заметки:



  • Параметры конфигурации пользователя в групповой политике вступают в силу при первом входе в систему после того, как политика будет сохранена и реплицирована на сервер входа пользователя.
  • Параметры конфигурации компьютера в групповой политике вступают в силу, когда компьютер загружается и входит в Active Directory. Имея это в виду, необходимо перезагрузить сервер терминалов, прежде чем будут применены изменения настроек конфигурации компьютера.
  • Перенаправление папок не существует в локальной политике. Если кто-то хочет перенаправить папки без использования Active Directory, им следует исследовать перенаправление папок, отредактировав реестр по адресу:
    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerПапки оболочки]
  • При перенаправлении меню «Пуск» следует помнить, что «по умолчанию» пользователи, щелкнув правой кнопкой мыши кнопку «Пуск» для просмотра, будут исследовать, начиная с сетевого расположения перенаправленной папки, даже если у вас есть ограниченный доступ к «Моему сетевому окружению». Чтобы избежать этого, можно отредактировать следующую запись реестра:
    [HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexploreddeexec]
    @=”[ExploreFolder(”Буква диска:\”, Буква диска:\, %S)]”

Резюме


Перенаправление папок — это мощный и довольно гибкий набор параметров конфигурации в групповой политике. Как и все в групповой политике, настройки следует протестировать в контролируемой среде и протестировать с небольшой группой пользователей перед развертыванием в производственной среде.


использованная литература


Как динамически создавать защищенные перенаправленные папки с помощью перенаправления папок в Windows 2000


Функция перенаправления папок в Windows


Рекомендации по безопасности для перенаправления папок

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023