С помощью перенаправления папок (Folder Redirection) вы можете хранить некоторые стандартные каталоги профиля пользователя (специальные папки, типа Desktop, Documents, Pictures, Downloads) в сетевой папке на файловом сервере. Перенаправленные папки работают примерно также как подключенные сетевые диски (информация читается и записывается непосредственно на файловый сервер). В этой статье мы рассмотрим, как настроить перенаправления папок на компьютерах пользователей в домене Active Directory с помощью групповых политик.
Преимущества использования перенаправляемых папок:
- Возможность организации централизованного резервного копирования данных пользователей на файловом сервере (вместо резервного копирования на рабочих станциях);
- Пользователь при входе на любой компьютер может получить доступ к своим персональным файлам;
- Возможность управления разрешенным контентом в документах (с помощью роли FSRM в Windows Server) и ограничения размера профиля пользователя с помощью дисковых NTFS квот;
- Перенаправленные папки можно использовать как для рабочих станций, так и для терминальных серверов (Remote Desktop Services);
- При использовании Folder Redirection в RDS совместно с перемещаемыми профилями User Profile Disks или профилями FSlogix можно добиться уменьшения нагрузки на сеть и ускорения загрузки профиля за счет того, что данные из перенаправленных папок не нужно каждый копировать на RDS хост при входе и обратно при выходе.
Настройка перенаправленных папок выполняется в два шага:
- Создание сетевой папки на файловом сервере и настройка прав доступа;
- Настройка перенаправления папок в GPO.
Создайте в домене группу пользователей, для которых вы хотите включить перенаправление папок. Можно создать группу и добавить в нее пользователей с помощью PowerShell или из консоли ADUC:
New-ADGroup spb-FolderRedirection -path 'OU=Groups,OU=SPB,DC=corp,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity spb-FolderRedirection -Members user1,user2,kbuldogov
Создайте на файловом сервере сетевую папку, в которой вы будите хранить перенаправленные папки
Для хранения папок пользователей желательно использовать отдельный диск (а не системный диск C:). Создайте и опубликуйте сетевую папку на файловом сервере из проводника Windows или с помощью команды PowerShell New-SmbShare
New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description “Users Redirected Folders”
Теперь нужно настроить корректные NTFS разрешения на папку, чтобы каждый пользователь мог получить доступ только к своим файлам.
На вкладке Security (Безопасность) необходимо нажать кнопку Advanced и отключить наследование нажав на кнопку Disable Inheritance. При появлении запроса, выберите Convert inherited permissions into explicit permissions on the object.
Удалите из списка NTFS разрешений группы Users /Authenticated Users, и оставьте такие права:
-
Administrators(Full control, This folder, subfolders and files) -
SYSTEM(Full control, This folder, subfolders and files) -
CREATOR OWNER(Full control, Subfolders and files only)
Теперь добавьте группу безопасности spb-FolderRedirection, и предоставьте такие разрешения на корневую папку (This folder only):
- Traverse Folder/Execute File
- List Folder/Read Data
- Read Attributes
- Read Extended Attributes
- Create Folder/Append Data
- Read Permissions
В свойства сетевой папки предоставьте (Sharing –> Advanced Sharing -> Permissions) предоставьте Full Control.
В такой конфигурации пользователям разрешено создать папки в каталоге, а доступ к содержимому вложенных папок будет только у владельцев-пользователей.
Теперь можно создать групповую политику перенаправления папок для пользователей.
Запустите консоль управления доменными политиками (
gpmc.msc
), создайте новую GPO и назначьте на Organizational Unit с пользователями.
Чтобы политика применялась только для указанных пользователей, нужно в Security Filtering убрать Authenticated Users и добавить группы
spbFolderRedirection
и
Domain Computers
.
Перейдите в режим редактирования GPO и разверните секцию User Configuration -> Policies -> Windows Settings -> Folder Redirection.
Здесь находятся опции для перенаправления различных папок профиля пользователя. В этом примере я настрою перенаправления только для папки Documents (остальные папки настраиваются по аналогии).
Откройте свойства раздела Documents и укажите следующие параметры перенаправления каталога:
- Settings: –
Basic, Redirect everyone’s folder to the same location - Target folder location:
Create a folder for each user under the root path - Root path:
\\msk-fs03\RedirFolder(UNC путь к ранее созданному сетевому каталогу)
На вкладке Settings есть еще несколько настроек:
- Grant the user exclusive rights to Documents – можно отключить, т.к. мы ранее уже настроили корректные NTFS разрешения
- Move the contents of Documents to the new location – нужно ли перемещать имеющиеся файлы в документах пользователя в папку на файловом сервере
- Redirect the folder back to the local user profile location when the policy is removed – эта опция позволяет включить офлайн доступ к данным (через автономные файлы Windows), и определяет поведение при отключении GPO
Добавьте ваш файловый сервер и/или домен в доверенную местную интрасеть с помощью параметра GPO Site to Zone Assignment List (Список назначений зоны для веб-сайтов) в Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page;
В настройках политики нужно указать список доверенных серверов в формате:
- Имя сервера или домена (в виде
file://server_name,\\server_nameили IP ) - Номер зоны (
1– Для местной интрасети)
Иначе при запуске ярлыков и исполняемых файлов из перенаправленного каталога могут появляться предупреждения системы безопасности Windows.
Теперь можно проверить работу групповой политики перенаправления папки. Завершите сеанс пользователя на компьютере и войдите опять (для обновления настроек GPO).
Теперь откройте свойства папки Documents и убедитесь, что теперь в качестве Location указан UNC путь к вашему файловому серверу.
Вы можете создавать файлы и папки в каталоге Documents, и они будут доступны пользователюс любого компьютера в вашем домене.
Забавно, что папку «3D Objects» (которая появилась в десятке кажется) перенести при помощи GPO до сих пор нельзя [facepalm]
Используем folder redirection в организации на 50 человек. Единственная беда — профили почты и программы, которые в апп дату ставятся. Профили почт раздуваются до 50-60 гигов, а когда у тебя 50 человек, это большой объем данных. Плюс всякие телеграммы иногда лагают из-за того, что профиль лежит в сети.
appdata довольно тонкая штука для перенаправления. особенно, если на компьютерах пользователях неоднородные версии windows.
можно исключать некоторые папки из перемещаемого профиля с помощью параметра реестра ExcludeProfileDirs (HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon)
По умолчанию исключаются:
AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work FoldersА если нужно чтобы на одном сервере RDS перенаправлялось в одно место, а на другом сервере в другое?
Делайте разные политки для серверов
Вот это самая опасная статья для всех админов кому не живется спокойно))
Был опыт на предприятии, разгребать последствия от перенаправления на сервер казалось бы безобидных папок рабочего стола и документов на 150 пользователей.
Исходные данные:
— Все пользователи подключены через гигабитную сеть, что в пике может создать нагрузку в 150 гигабит, ну или как минимум 75 гигабит если у половины пользователей внезапно начнутся большие запросы на синхронизацию своих данных.
— На сервере агрегация локальной сети на 2 гигабита
— Все данные собирались на дисковый raid 10 массив с железным контроллером на чипе LSI и кешем 512 мб.
И вроде как оно успешно работало какое-то время, пока пользователей один за одним переключали на данный тип хранения данных. И конечно было удобно делать бэкап считай всех важных данных пользователей, и ограничивать политиками хранения что можно а что нет прямо на сервере.
Но однажды ни с того ни с сего просто в хлам развалилась структура файловой системы ntfs где хранились все эти папки пользователей. Я тогда еще не работал на этом предприятии, но по рассказам это был аврал которому не позавидуешь. Пришлось экстренно обратно переключать пользователей на локальные профили, и в ручном режиме копировать данные профилей из бэкапа, обратно на локальные машины. В итоге в политиках домена давно выключены все сетевые профили, но мне до сих пор попадаются машины где часть папок профиля ссылается на сетевые пути, а в связи с недоступностью этого места, весь профиль пользователя хранится как зашифрованный кеш с виртуальными папками. Приходится вручную править пути в реестре, копировать данные профиля на другой диск, отключать кеш и делать профиль нормальным, обратно загружать данные, и только после этого он становится полноценным локальным.
Я точно не знаю, что могло привести к разрушению файловой системы, может одновременное количество транзакций 150 пользователей, может глюк железного контроллера, но SAS диски из этого raid 10 массива после форматирования прекрасно работают и по сей день.
Так что если вы вдруг решите затеять такую приколюху, то должны знать каким геморроем это может для вас обернуться 🙂
Как по мне, эта система актуальна максимум человек на 10, и то очень сомнительно это городить ради такого количества.
Гораздо практичнее чтобы пользователи все важные данные хранили на севере в сетевых папках, это в миллион раз надежнее чем рано или поздно что-то пойдёт не так и синхронизация профилей в 100+ клиентов приведет вашу задумку к катастрофе)
Не стоит путать синхронизацию профилей и перенаправление папок. Перенаправление вещь безобидная, а с синхронизацией надо быть очень осторожным, если много пользователей и данных — надо продумывать, что и как хранить, иначе каждое утро и вечер будут кошмаром и для пользователей, и для системного администратора.
Я прочитал ваш коммент и так и не понял, причем тут поломка данных до вашей работы в компании, при которой вы не были и даже сами не знаете причины, и перенаправление папок? Вредные комменты, это когда человек говорит — сам не был не знаю не видел но по слухам так делать не надо. Вообще ноль фактических данных в вашем комментарии про сбой перенаправления. Даже меньше чем ноль
Подскажите пож-та, а как настроить Перенаправленные папки (у нас они сейчас есть) в связке с автономными файлами. Проблема такая — есть несколько пользаков с ноутами. Внутри сети работают с перенаправленными папками, но уйдя из офиса и взяв с собой ноут, естественно их перенаправленные папки им недоступны. Хотелось бы, чтобы они работали с локальной копией, а вернувшись в офис, все что изменилось, синхронизировалось с папкой куда перенаправлены папка профилей
Спасибо
Я не пробовал настроить эту связку в таком виде.
Поэкспериментиурйте сами:
Включите поддеркку автономных файлов (https://winitpro.ru/index.php/2020/12/21/avtonomnye-offline-fajly-v-windows/)
Под пользователем пометьте нужные перенаправденные папки руками как автономные. Поработайте в офлайн режиме и проверьте, пройдет ли синхронизации после подключения в сеть.
Такие инструкции надо сразу стирать, чтоб не портить имидж сайта.
В домене используется перенаправление папок пользователя на сетевой диск. В связи с этим есть проблема при запуске autocad. «Ошибка 1324. Путь к папке «Мои рисунки» содержит недопустимый символ». На сайте autodesk советуют разместить папки пользователя локально, т.е. отключить перенаправление папок. В этом случае всё запускается. У меня есть подозрение, что если бы перенаправление осуществлялось в папку «My pictures», а не «Мои рисунки», то это бы помогло, но как это сделать, чтобы проверить, я не знаю. При этом только 2 папки из всех имеют имена из русскоязычных символом (Мои рисунки и Мои документы), остальные имеют англоязычные названия.
Что можно сделать, чтобы сохранить перенаправление папок и решить проблему с запуском autocad.
Судя по официальной документации в My Pictures нельзя использовать пути вида \\. Нужно исключать папку из перенаправляемого профиля.
_https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdcarticles/sfdcarticles/Error-1324-The-folder-path-My-Pictures-contains-an-invalid-character.html
Note: The My Pictures and Personal registry values in the above two locations are crucial in this process.If they are referencing either a mapped drive such as \\\\ or a user profile like \My Documents\ they should be changed to standard Windows paths: C:\Users\\My Documents\.
Доброго здравия. А как в GPO указать перенаправление папки «Desktop» не в сетевой ресурс, а в локальный каталог на D:\Desktop?
Никогда не пробовал на локальный путь переправляь. Пробовали просто указать D:\Desktop в настройка GPO?
Пробовал — только пути UNC требует. Тут какю-то свою политику писать надо, с xaml`ами, скорее всего. Весь гугл уже облазил..
А если в таком формате задать путь?
\\?\d:\Desktopнифига не зашло
Сделать шару локальной папки и использовать её ?
А есть ли возможность устанавливать например телеграм? который устанавливается в локал?
Так как даже возможности VMware vAPP не захватывают установки многих мессенджеров Telegram, discord, MS Teams, Flock и другие, конечно с некоторыми куда не шло можно сделать шару и кинуть туда портативные приложения, или по GPO установить но не все имеют msi пакеты что тоже очень усложняет(
Вам нуэно понять как устаналивать телеграм через GPO или речь о работе перемещаемых профилей.
Вообще говоря у клиенита TG у него есть опции тихой установки tsetup.x.y.z.exe /VERYSILENT /NORESTART и куча других:
—————————
Setup
—————————
The Setup program accepts optional command line parameters.
/HELP, /?
Shows this information.
/SP-
Disables the This will install… Do you wish to continue? prompt at the beginning of Setup.
/SILENT, /VERYSILENT
Instructs Setup to be silent or very silent.
/SUPPRESSMSGBOXES
Instructs Setup to suppress message boxes.
/LOG
Causes Setup to create a log file in the user’s TEMP directory.
/LOG=»filename»
Same as /LOG, except it allows you to specify a fixed path/filename to use for the log file.
/NOCANCEL
Prevents the user from cancelling during the installation process.
/NORESTART
Prevents Setup from restarting the system following a successful installation, or after a Preparing to Install failure that requests a restart.
/RESTARTEXITCODE=exit code
Specifies a custom exit code that Setup is to return when the system needs to be restarted.
/CLOSEAPPLICATIONS
Instructs Setup to close applications using files that need to be updated.
/NOCLOSEAPPLICATIONS
Prevents Setup from closing applications using files that need to be updated.
/FORCECLOSEAPPLICATIONS
Instructs Setup to force close when closing applications.
/FORCENOCLOSEAPPLICATIONS
Prevents Setup from force closing when closing applications.
/LOGCLOSEAPPLICATIONS
Instructs Setup to create extra logging when closing applications for debugging purposes.
/RESTARTAPPLICATIONS
Instructs Setup to restart applications.
/NORESTARTAPPLICATIONS
Prevents Setup from restarting applications.
/LOADINF=»filename»
Instructs Setup to load the settings from the specified file after having checked the command line.
/SAVEINF=»filename»
Instructs Setup to save installation settings to the specified file.
/LANG=language
Specifies the internal name of the language to use.
/DIR=»x:\dirname»
Overrides the default directory name.
/GROUP=»folder name»
Overrides the default folder name.
/NOICONS
Instructs Setup to initially check the Don’t create a Start Menu folder check box.
/TYPE=type name
Overrides the default setup type.
/COMPONENTS=»comma separated list of component names»
Overrides the default component settings.
/TASKS=»comma separated list of task names»
Specifies a list of tasks that should be initially selected.
/MERGETASKS=»comma separated list of task names»
Like the /TASKS parameter, except the specified tasks will be merged with the set of tasks that would have otherwise been selected by default.
/PASSWORD=password
Specifies the password to use.
For more detailed information, please visit _https://jrsoftware.org/ishelp/index.php?topic=setupcmdline
—————————
OK
——————
А почему бы не использовать FSLogix ?
Доброго здравия. Потому, что профили ЛОКАЛЬНЫЕ а не в сессиях RDS.
Но если у Вас есть реальные примеры применения, то буду признателен..
Приветствую! Работает такая схема, но последнее время новые учётки создаются на сервере с отображаемым именем «Мои документы», хотя по адресу как надо — имя пользователя, и доступ куда надо. Не подскажете, что слетело, и как можно починить?
Приветствую.
Развернуто перенаправление папки «мои документы» на сервер srv1 для всех пользователей домена.
Прилетела задача переместить часть пользователей на другой сервер, условно srv2.
В части ГПО вопросов нет, все понятно.
Но, сам момент перемещения занимает очень большое время (условно, 150 мб, даже при изменении пути перенаправления внутри одного сервера- перемещались около 5 минут, и перемещение происходит именно в момент входа пользователя в систему и применения политик, а не фоново или во время простоя. а у некоторых пользователей в этих папках лежат по 30-40 гигов).
Есть ли какое нить решение по быстрому перемещению папок в новое расположение?
В принципе, нашел решение.
Сначала запускаем скрипт на srv1 под локальным админом (при условии, SamAccountName учетки совпадает с названием папки)
cls
$mycredentials = Get-Credential
$users = Get-ADUser -Filter * -SearchBase «OU=Test,DC=domain,DC=local» -Credential $mycredentials
Foreach ($user in $users.SamAccountName)
{
$path = ‘путь к корневой папке’+ $user
$destpath = ‘путь к целевой папке’+ $user
$path
robocopy.exe $path $destpath /e /copyall /zb /mir /r:3 /w:5 /xo /log+:\copyTest.log
}
После этого применяем новую политику на пользователей, данные в path и destpath сравниваются, копируются все изменения, и в path все затирается
Ну да в общем все правильно. Предварительно синхронизируете содержимое папок на новое место через robocopy mir. После этого при смене настройки перенаправленных папок у пользователя, будут синхронизированы только изменения. это намного быстрее.
Столкнулся с такой проблемой. Было требование настроить в сети аутентификацию в сети по протоколу 802.1x с этим проблем нет. Только до аутентификации из гостевой сети нужен доступ на контроллер домена для проверки учётных данных при первой аутентификации на пк. или всегда если пароли не кэшируются. в результате когда аутентификация уже прошла политика перенаправления папок пытается достучаться до файлового сервера с папками, но расположение не доступно так как из гостевой сети доступа туда нет, а порт ещё не успел переключиться в подсеть подразделения, откуда есть доступ до файлового сервера. в результате перенаправление откладывается до следующего входа. и пользователь входит на новом пк без своего рабочего стола. если убрать radius аутентификацию, то всё ок.
пользователии не часто меняют компьютеры, только если это студенты на практике. или если идёт обновление старого пк на новый, и нужно чтобы на новом пк подгрузились файлы пользователя с сервера. Если политика перенаправления папок сработает хотя бы раз, то дальше проблем нет.
Как вариант сделать для политики перенаправляемх папок WMI фильтр GPO, в которой определить что нужно запретить применять политику для клиентов из гостевых подсетей (по IP подсетей).
Добрый день. Раньше, включая Windows 2019 папки создавались в формате \\server\x\Andrei\Мои документы\. В последующих они создаются уже на английском языке \\server\x\Andrei\Documents\, не смотря на то, что серверная ОС на русском. Есть ли варианты указать новым ОС, что создавать папки нужно на русском языке?
Это не важно, когда закончится процесс переноса то на сервере он будет называться так же на русском и значки Windows для документов соответствующий будет. Но при этом сетевой путь в свойствах на английском. При этом у пользователя в системе тоже будет все на русском, пока в свойства не зайдешь. В целом пользователь это даже не заметит. А мне как админу это и не мешает никак. Изменить скорее всего невозможно.
Здравствуйте, подскажите лучше как отключить редирект папки Документы и перемещаемый профиль roam? С этой технологией больше гемороя чем пользы.
Сначала отключаете в политиках, потом в свойствах рабочего стола во вкладке расположение выбираете по умолчанию, или вернуть в локальное расположение, что-то такое, после этого рабочий стол становится локальным. Аналогично с остальным, с профилем не уверен, проще всего из под админки удалить профиль в доп свойствах ПК, убрать политику перенаправления, и после уже залогиниться чтобы профиль создался новый локально.