Управление пользовательскими данными и настройками
|
Автор: Вадим Стеркин aka Vadikan
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована: 03.07.2006 |
 Обзор В
данной статье, предназначенной для системных администраторов,
рассказывается о компонентах IntelliMirror – технологии управления
пользовательскими данными и настройками в Windows XP. Осуществляя
эффективное управление этими ключевыми элементами конфигурации
пользователей, предприятия могут снизить совокупную стоимость владения
компьютерами (TCO). На этой странице:
Квоты на размер профиля При
помощи программы Proquota.exe Вы можете контролировать размер профиля
пользователя. Если размер профиля превышает заданный предел,
пользователь не сможет выйти из системы, пока не снизит общий размер
своих файлов. Управление квотами на размер профиля осуществляется через оснастку групповых политик. В разделе Конфигурация пользователя\Административные шаблоны\Система\Профиль пользователя (User Configuration\Administrative Templates\System\User Profiles) есть политика Ограничить размер профиля (Limit Profile Size).
Она позволяет задать максимальный размер перемещаемого профиля и
системное сообщение при его превышении. Более подробную информацию Вы
можете получить, перейдя на вкладку Объяснение в свойствах политики. Если
Вы комбинируете перенаправление папки «Мои документы» с перемещаемыми
профилями, то лучше воздержаться от наложения квоты на размер профиля.
Дело в том, что операционная система и приложения сохраняют в профиле
пользовательские данные, о чем сам пользователь может не догадываться.
Примерами таких файлов могут служить вспомогательный словарь Custom.dic
и папка Избранное обозревателя Internet Explorer. Удаление кэшированных перемещаемых профилей Если
Вы озабочены размером дискового пространства на компьютерах,
находящихся в местах общественного пользования, где тысячи людей могут
входить в систему, то вас выручат групповые политики. Политика Удалять кэшированные копии перемещаемых профилей (Delete cached copies of roaming profiles), находящаяся в разделе Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей (Computer Configuration\Administrative Templates\System\User Profiles) оснастки групповых политик, выполняет указанное действие по завершении сеанса. Изменения в работе гостевых профилей Операционные
системы Windows 2000 и Windows NT 4.0 всегда удаляют профили
пользователей, принадлежащих к группе безопасности Гости, по завершении
сеанса. Операционная система Windows XP проделывает то же самое лишь на
компьютерах, входящих в домен. Если же компьютер принадлежит к рабочей
группе, то профили пользователей, входящих в группу Гости, не удаляются
при выходе из системы. Исключением из правила будут
пользователи одновременно входящие в группы безопасности Гости и
Администраторы. Профиль такого пользователя НЕ будет удален в домене. Настройки групповых политик для перемещаемых профилей В
Приложении к статье перечислены политики, относящиеся к перемещаемым
профилям. Более подробную информацию всегда можно найти в свойствах
политики на вкладке Объяснение. Наверх страницы Настройка перемещаемого профиля пользователя Вы можете настроить перемещаемый профиль для пользователя следующим образом: - Создайте на сервере каталог для хранения профилей пользователей. В ней разместятся все индивидуальные пользовательские профили.
- Сделайте каталог общим и дайте пользователям разрешение Полный доступ (Full Control).
- Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и перейдите к индивидуальному объекту пользователя.
- Правой кнопкой мыши щелкните на имени пользователя и в контекстном меню выберите Свойства (Properties).
- Перейдите на вкладку Профиль (Profile).
- В текстовое поле Путь к профилю (Profile path) введите путь к сетевому ресурсу, где хранятся профили пользователей. Например, для пользователя с сетевым именем JDoe путь \\NetworkShare\Profiles\%username% создаст на сервере папку JDoe в общем каталоге перемещаемых профилей.
Вы
можете использовать интрефейс сценариев служб Active Directory (Active
Directory Scripting Interface, ADSI) для заполнения пути к профилю.
ADSI представляет собой единый набор интерфейсов для управления
сетевыми ресурсами. Администраторы могут совмещать ADSI со сценариями
Visual Basic® Scripting Edition (VbScript) или Jscript® для управления
службами, пользователями и другими ресурсами службы каталогов. Дополнительную информацию об ADSI и сценариев для него можно найти в наборе инструментальных средств разработчика (SDK) для платформы Microsoft. Устранение неполадок в работе профилей пользователей В
первую очередь нужно изучить журнал событий приложений и определить
ошибку. Если это перемещаемый профиль, проверьте разрешения (смотрите
раздел Аспекты безопасности при настройке перемещаемых профилей пользователей).
Одной из наиболее частых причин неполадок в работе перемещаемых
профилей являются неверные разрешения для общего каталога профилей. Помимо
протоколирования событий в журнале приложений, можно настроить создание
детального отчета о неполадках в работе профилей. - Откройте редактор реестра и перейдите к HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.
- Создайте
новый параметр REG_WORD с названием UserEnvDebugLevel и установите его
значение в 30002 (в шестнадцатеричной системе счисления).
Файл с отчетом будет располагаться в папке %windir%\debug\usermode\userenv.log Наверх страницы Аспекты безопасности при настройке перемещаемых профилей пользователей Создавая общий каталог для перемещаемых профилей, выдавайте доступ только тем пользователям, которым он необходим. Поскольку
перемещаемые профили содержат документы пользователя, сертификаты EFS и
другую персональную информацию, необходимо как можно надежнее защитить
пользовательские данные. Ниже излагается общий подход: - Доступ
к общему ресурсу должны иметь только те пользователи, которым он
необходим. Создавайте группу безопасности для пользователей, чьи
профили хранятся в определенном общем каталоге, и предоставляйте доступ
к данному каталогу лишь этой группе. - Скрывайте создаваемый
общий ресурс, ставя символ $ в конце имени папки. Это скроет общий
каталог от случайного просмотра, сделав его невидимым в сетевом
окружении. - Давайте возможность системе создать папки для
пользователей. Предварительное создание папок имеет смысл лишь в том
случае, если Вам нужно установить для них особые разрешения. - Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 3. Разрешения NTFS для родительской папки перемещаемых профилей. | Учетная запись | Минимальные требования к разрешениям | | Создатель/Владелец | Полный доступ (только подпапки и файлы) | | Администраторы | Разрешения отсутствуют | | Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) | | Все | Разрешения отсутствуют | | Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) | Таблица 4. Разрешения на общий доступ (SMB) к каталогу, хранящему перемещаемые профили. | Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям | | Все | Полный доступ | Разрешения отсутствуют | | Группа безопасности пользователей, чьи данные будут храниться на сервере | Неприменимо | Полный доступ | Таблица 5. Разрешения NTFS для папок, в которых хранятся индивидуальные профили пользователей. | Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям | | %Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) | | Локальная система (SYSTEM) | Полный доступ | Полный доступ | | Администраторы | Разрешения отсутствуют * | Разрешения отсутствуют | | Все | Разрешения отсутствуют | Разрешения отсутствуют | *Если
только не установлена политика «Добавлять группу администраторов для
перемещаемых профилей пользователя» ("Add the Administrator security
group to the roaming user profile share”), что дает группе
Администраторы полный доступ (требуется Windows 2000 Service Pack 2 или
новее). Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога профилей. Перемещаемые
профили пользователей содержат личную информацию, которая копируется с
клиентского компьютера на сервер и обратно. Поэтому очень важно
обеспечить защиту данных, перемещаемых по сети. Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют: - перехват, осуществляемый во время передачи данных по сети,
- манипуляция данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные: - Kerberos.
Протокол защиты данных Kerberos является стандартом во всех изданиях
Windows 2000 Server и обеспечивает максимальный уровень безопасности
сетевых ресурсов. Kerberos производит проверку подлинности как клиента,
так и сервера, в то время как протокол NTLM ограничивается лишь
проверкой клиента. При использовании NTLM клиент не может установить
подлинность сервера, что является важным аспектом обмена персональными
данными между клиентом и сервером, как в случае с перемещаемыми
профилями. Протокол Kerberos, недоступный в Windows NT 4.0,
обеспечивает более высокий уровень безопасности, чем NTLM. - IPSec.
Протокол безопасности IPSec предоставляет проверку подлинности на
уровне сети, а также обеспечивает целостность и шифрование данных.
Таким образом, перемещаемые данные: - Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB.
Протокол аутентификации SMB (Server Message Block) поддерживает
проверку подлинности сообщений, что предотвращает атаки сообщений, а
также атаки типа «man-in-the-middle». Подписывание SMB осуществляет
проверку подлинности, помещая цифровую подпись в каждый блок сообщений
SMB. Затем цифровая подпись проверяется как клиентом, так и сервером.
Чтобы приступить к использованию подписывания SMB, Вам нужно включить
или затребовать его на SMB-клиенте и SMB-сервере. Примечание.
За преимущества подписывания SMB приходится расплачиваться
быстродействием. Несмотря на то, что работа протокола не требует затрат
сетевого трафика, процессорам сервера и клиента требуются
дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные. Для
обеспечения максимальной безопасности используйте файловую систему NTFS
на серверах, задействованных для хранения перемещаемых профилей. В
отличие от FAT, NTFS позволяет использовать избирательные списки
управления доступом (DACL) и системные списки управления доступом
(SACL). При помощи этих списков можно контролировать, кому позволена
работа с файлами и какие события вызывают протоколирование действий,
произведенных с файлами. Наверх страницы
Советы и рекомендации по работе с профилями пользователей
Для
того, чтобы достичь максимального эффекта от работы перемещаемых
профилей, важно ознакомиться со всей документацией и тщательно
спланировать внедрение. В этой секции приведены рекомендации по работе
с перемещаемыми профилями.
Предоставьте системе создание папок для каждого пользователя.
Чтобы
достичь оптимальной работы перемещаемых профилей, достаточно создать
лишь корневой каталог для хранения профилей на сервере, а далее
предоставить возможность системе создать папки для каждого
пользователя. Если Вам совершенно необходимо создавать пользовательские
папки самостоятельно, убедитесь, что Вы выдаете правильные разрешения.
Подробнее о требуемых разрешениях Вы можете прочесть в разделе Аспекты безопасности при настройке перемещаемых профилей пользователей.
Не используйте кэширование автономных папок в общих каталогах перемещаемых профилей.
Обязательно
отключите использование автономных папкок на общих ресурсах, хранящих
перемещаемые профили. Если этого не сделать, могут возникнуть проблемы
с синхронизацией. Как автономные папки, так и перемещаемые профили
будут пытаться синхронизировать файлы в профиле пользователя.
Примечание. Это не исключает возможности использования автономных папок с перенаправленными папками, такими как «Мои документы».
Отключите оптимизацию быстрого входа в систему.
Если
используется быстрый вход в систему, то при переходе пользователя с
локального профиля на перемещаемый на каждом компьютере требуется
дважды войти в систему для вступления изменений в силу. Это происходит
потому, что вход зарегистрированных пользователей осуществляется с
помощью кэшированных учетных сведений. Следовательно, системе требуется
один вход, чтобы обнаружить перемещаемый статус пользователя, а при
втором входе уже применяются данные настройки.
Лучше всего включить политику Всегда ожидать инициализации сети при загрузке и входе в систему (Always wait for the network at computer startup and logon), расположенную в разделе Конфигурация
компьютера\Административные шаблоны\Система\Вход в систему (Computer
Configuration\Administrative Templates\System\Logon) оснастки групповых политик.
Перемещение между различными версиями операционных систем.
Хотя
перемещение между Windows 2000 и Windows XP должно происходить
безболезненно, следует предпринять некоторые меры предосторожности,
чтобы свести возможные неполадки к минимуму:
- По
возможности избегайте перемещения между различными версиями
операционных систем. По своей природе перемещение профилей не вызывает
проблем, однако данные, размещаемые приложениями в профиле, могут
непреднамеренно повлиять на работу других версий операционных систем. - Убедитесь, что у вас установлены одинаковые версии приложений.
- Убедитесь, что пути к приложениям одинаковы.
- Убедитесь, что различные версии операционных систем установлены в одинаковые каталоги %windir% на одинаковые тома %systemdrive%.
- Если
пользователи перемещаются между компьютерами под управлением Windows NT
4.0 и машинами под управлением Windows 2000 / XP, то на последних имеет
смысл задать путь к профилю при установке операционной системы,
задействовав файл ответов. Различия в путях к системным профилям
(%windir%\Profiles и %systemdrive%\Documents and Settings
соответственно) могут вызвать проблемы для пользователей,
перемещающихся от клиентов Windows NT 4.0 к клиентам Windows 2000 / XP
и обратно. Чтобы уменьшить вероятность возникновения проблем,
убедитесь, что путь к профилям у вас везде одинаков.
Перенаправьте расположение папки «Мои документы» за пределы перемещаемого профиля пользователя.
Перенаправление
папки «Мои документы» за пределы перемещаемого профиля рекомендуется
для того, чтобы уменьшить время, требуемое для первого входа в систему
на новом компьютере. Лучше всего это осуществить при помощи
перенаправления папок. Если Вы не используете службу каталогов Active
Directory, можно задействовать сценарий входа в систему или объяснить
пользователям, как произвести перенаправление папки вручную.
Не используйте шифрованную файловую систему (EFS) для файлов перемещаемого профиля пользователя.
Шифрованная
файловая система несовместима с файлами, находящимися в перемещаемом
профиле пользователя. Если зашифровать папки или файлы профиля, его
невозможно будет переместить.
Примечание. Это не влияет на шифрование файлов на удаленных общих ресурсах.
Не устанавливайте слишком низкие значения дисковых квот для пользователей с перемещаемыми профилями.
Синхронизация
перемещаемых профилей пользователей может не сработать в случае, если
пользователю назначены слишком низкие дисковые квоты. Убедитесь, что
выделено достаточно места для создания временной точной копии профиля,
которая необходима для процесса синхронизации. Поскольку эти временные
файлы рассматриваются системой как пользовательские, их размер
учитывается при подсчете дисковых квот.
Продуманно
применяйте групповую политику «Режим обработки замыкания
пользовательской групповой политики», если используете перемещаемые
профили.
Политика Режим обработки замыкания пользовательской групповой политики (Group Policy loopback processing)
позволяет применять другой набор пользовательских групповых политик в
зависимости от того, на какой компьютер производится вход. Данную
политику удобно применять в случае, когда Вам нужно применить некие
пользовательские политики на определенных компьютерах. Это можно
сделать двумя способами. Первый способ позволяет осуществлять не только
обработку набора пользовательских политик, основывающегося на
расположении объекта пользователя, но и применение политик,
установленных на компьютере, на который входит пользователь. Второй
метод применяет лишь политики, базирующиеся на списке объектов
групповых политик компьютера.
Осторожно подходите к применению
вышеупомянутой политики, особенно когда Ваши пользователи перемещаются
между компьютерами под управлением Windows 2000 / XP и Windows NT 4.0.
Дело в том, что приложения могут сохранять настройки политик в разделе
реестра HKCU\Software\Policies вне зависимости от версии операционной
системы. К тому же Windows NT 4.0 хранит некоторые параметры политик
Проводника в разделе
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Policies, а
Windows 2000 и Windows XP очищают эти параметры каждый раз, перед тем
как заново применить текущие политики. Но поскольку Windows NT 4.0 не
очищает эти параметры, они могут остаться в реестре при перемещении с
машины под управлением Windows 2000 / XP.
Наверх страницы
Обзор технологии перенаправления папок
Перенаправление
папок является технологией IntelliMirror, позволяющей пользователям и
администраторам перенаправить путь папки в другое место.
Перенаправление можно осуществить в другую папку локального компьютера
или в общий каталог на сетевом ресурсе. Например, Вы можете
перенаправить на сетевой ресурс папку «Мои документы», обычно
располагающуюся на локальном диске. Документы папки будут доступны
пользователю с любого компьютера Вашей сети. В Windows XP и Windows
2000 папка «Мои документы» расположена в профиле пользователя, а ярлык
вынесен на рабочий стол.
Ранее системным администраторам
приходилось использовать сценарии входа для перенаправления папок на
сетевой ресурс. В Windows XP эту задачу можно решить при помощи
групповых политик.
Преимущества перенаправления папок
Перенаправление
папок обладает рядом преимуществ. Некоторые из перечисленных ниже
особенностей относятся к любым папкам, но именно перенаправление папки
«Мои документы» раскрывает все достоинства технологии.
- Даже если пользователь входит на различные компьютеры сети, его документы всегда под рукой.
- Системный
администратор может применить групповые политики, устанавливая дисковые
квоты и таким образом снижая количество дискового пространства,
занимаемого папками пользователей. - Параметры пользователя
можно перенаправить на другой логический или физический диск локального
компьютера, отделив их от файлов операционной системы. Это сохраняет
пользовательские данные при переустановке операционной системы. - Резервное
копирование данных, хранящихся на сервере, становится не более чем
рутинным процессом системного администрирования. Это безопаснее, и не
требует никакого участия пользователя.
Вы также можете
скомбинировать перенаправление папок с перемещаемыми профилями
пользователей. Это уменьшит время, требуемое для входа в систему
перемещаемым и мобильным пользователям. Помимо улучшенной доступности
данных и преимуществ хранения их резервных копий на сервере,
пользователи получают возможность быстрее работать в условиях
низкоскоростной сетевой инфраструктуры и последовательных входов в
систему.
Совмещение перенаправления папок с перемещаемыми
профилями упрощает процесс замены компьютеров. Пользовательские данные
можно легко восстановить на новом компьютере в случае неисправности или
плановой замены старого. Используя перенаправление папок «Мои
документы» и Application Data в сочетании с перемещаемым профилем и
установкой риложений ef="/file/club.html" targe может легко перемещать
ключевые параметры пользователей на сетевой ресурс. Это означает, что
документы, настройки и приложения следуют за пользователем вне
зависимости от того, на какой компьютер под управлением Windows XP
осуществляется вход.
Можно сделать документы еще более
доступными, задействовав технологию автономных файлов, тем самым
обеспечивая доступ к папке даже тем пользователям, которые не
подключены к сети. Это особенно удобно пользователям портативных
компьютеров. Дополнительную информацию можно получить в разделе Связанные технологии ниже в этой статье.
Папки, которые можно перенаправить
Вы
можете перенаправить папки «Мои документы», «Мои рисунки», Application
Data, «Рабочий стол» и «Главное меню». Поскольку эти папки могут
содержать важные пользовательские данные и параметры, они были
определены как ключевые для перенаправления в пределах Вашей
организации. Перенаправление каждой из папок дает несколько
преимуществ, полезность которых зависит от нужд Вашей организации.
- Мои документы.
Место в оболочке для хранения пользовательских документов и рисунков.
Поскольку общие диалоговые окна Windows XP (Открыть и Сохранить как) по
умолчанию ведут к папке «Мои документы», пользователи чаще хранят свои
файлы именно в этой папке. Таким образом, резервное копирование
пользовательских данных, хранящихся на сервере, становится не более чем
рутинным процессом системного администрирования. Это безопаснее, и не
требует никакого участия пользователя. - Мои рисунки.
Папка является расположением по умолчанию для пользовательских
изображений и фотографий. Рекомендуется произвести настройку таким
образом, чтобы папка «Мои рисунки» следовала за папкой «Мои документы».
- Application Data. Нередко приложения хранят большие
объемы данных (например, вспомогательные словари) в профиле
пользователя. Для этого используется папка Application Data,
перемещаемая вслед за пользователем. С целью увеличения
производительности она была включена в список папок, которые можно
перенаправить. Иными словами, пользователи сохраняют доступ к данным в
Application Data, обходясь без загрузки файлов (возможно, весьма
больших) при каждом входе в систему. - Рабочий стол.
Некоторые организации предпочитают настраивать рабочий стол одинаково
для всех пользователей. Перенаправив рабочий стол для группы
пользователей, Вы можете обеспечить всем пользователям единый рабочий
стол, с одинаковыми элементами на нем. - Главное меню.
Для совместимости с Windows NT 4.0 операционная система Windows XP
позволяет перенаправить папку «Главное меню», хранящую элементы меню
Пуск. К перенаправлению этой папки применяется слегка иной подход.
Содержимое папки «Главное меню» не копируется в папку назначения.
Предполагается, что меню Пуск заранее сконфигурировано администратором,
и что у всех пользователей это меню одинаковое. Для компьютеров под
управлением Windows XP лучше всего контролировать содержимое меню Пуск
при помощи групповых политик, вместо перенаправления папки «Главное
меню».
Усовершенствования перенаправления папок в Windows XP
В этом разделе описаны различия между Windows 2000 и Windows XP.
Перенаправленные папки по умолчанию доступны автономно.
По
умолчанию в Windows XP перенаправленные папки пользовательской оболочки
(например, «Мои документы», Application Data, «Рабочий стол» и «Главное
меню») автоматически становятся доступны автономно. Чтобы достичь
такого эффекта в Windows 2000, администраторам приходилось
конфигурировать политику «Административно назначенные автономные файлы»
("Administratively assigned offline files”). Ее было неудобно
использовать в случае расширенного перенаправления папок, что вызывало
дополнительную головную боль у системных администраторов.
Поведение по умолчанию можно изменить, включив политику Не
делать перенаправляемые папки доступными в автономном режиме
автоматически (Do not automatically make redirected folders available
offline), расположенную в разделе Конфигурация пользователя\Административные шаблоны\Сеть\Автономные файлы (User Configuration\Administrative Templates\Network\Offline File) оснастки групповых политик.
Перенаправление папок и переменные среды.
Перенаправление
папок обрабатывает на компьютере клиента лишь две переменные:
%username% and %userprofile%. Такие переменные среды, как
%logonserver%, %homedrive% и %homepath% с перенаправлением папок не
работают.
Изменение настроек после применения политики перенаправления папок.
Вы можете изменить настройки перенаправленных папок на вкладке Параметры (Settings) уже после того, как политика была применена. Однако измененное значение параметра Предоставить права монопольного доступа к папке (Grant the user exclusive rights to )
будет применено лишь к новым пользователям, на которых распространится
действие политики. У существующих пользователей, к которым политика уже
была применена ранее, останется преженее значение параметра.
Перенаправление папок и подключение сетевых дисков.
Перенаправление
папок обрабатывается на ранних этапах процесса входа в систему. Как
следствие, сетевые диски, подключенные при помощи сценариев входа в
систему (включая домашний диск любых папок, кроме папки «Мои
документы»), не могут быть использованы для перенаправления папок в
расположения, указанные в сценариях. Поскольку на момент
перенаправления сетевые диски еще не подключены, перенаправление папок
не сработает.
Наверх страницы
Настройка перенаправления папок
Администраторы могут управлять параметрами перенаправления папок при помощи оснастки групповых политик.
Для настройки перенаправления папок:
- Чтобы запустить оснастку групповые политики из оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers), нажмите на кнопку Пуск (Start), перейдите в Программы (Programs), а затем из группы Администрирование (Administrative Tools) выберите Active Directory - пользователи и компьютеры.
- В
дереве консоли щелкните правой кнопкой мыши домен или подразделение,
для которых требуется задать групповую политику. Выберите Свойства (Properties) и откройте вкладку Групповая политика (Group Policy). - Нажмите кнопку Создать (New) для создания нового объекта групповой политики, и задайте имя объекта (например, Redirect My Documents).
- Щелкните Изменить (Edit), чтобы открыть новый объект и изменить его.
- В оснастке групповых политик раскройте узлы Конфигурация пользователя (User Configuration), Конфигурация Windows (Windows Settings) и Перенаправление папки (Folder Redirection). Вы увидите значки персональных папок, доступных для перенаправления.
- Для перенаправления любой из этих папок щелкните правой кнопкой мыши на названии папки, выберите Свойства (Properties), а затем укажите одно из значений раскрывающегося списка:
- Простое - перенаправлять папки всех пользователей в одно место (Basic - Redirect everyone's folder to the same location). Все папки, на которые распространяется действие объекта групповой политики, будут храниться на одном общем сетевом ресурсе.
- Расширенное - указать различные места для разных групп пользователей (Advanced – Specify locations for various user groups).
Папки перенаправляются на различные общие ресурсы в зависимости от
членства в группе безопасности. Например, папки, принадлежащие к группе
Бухгалтеры, могут быть перенаправлены на сервер Финансы, в то время как
папки группы Продажи могут быть перенаправлены на сервер Маркетинг.
- В область Размещение конечной папки (Target folder location) введите имя общей сетевой папки или нажмите на кнопку Обзор (Browse), чтобы найти ее. Например, введите \\FolderServer\MyDocumentsFolders\%username%.
В приведенном выше примере используется переменная среды %username% .
Это позволяет применить единственную политику для всех пользователей и
использовать перенаправление папок для создания папок каждого
пользователя. При этом названиями папок будут служить имена
пользователей.
- В Свойствах (Properties) папки выберите вкладку Параметры (Settings), сконфигурируйте желаемые настройки, и нажмите кнопку Применить (Finish). Вам будут доступны следующие настройки:
- Предоставить права монопольного доступа к папке «Мои документы» (Grant the user exclusive rights to My Documents). Устанавливает для папки дескриптор безопасности NTFS в Полный доступ (Full Control)
только для пользователя и Local System. Это означает, что
администраторы и другие пользователи не будут иметь доступа к этой
папке. Эта настройка включена по умолчанию.
- Перемещение содержимого специальной папки в новое место (Move the contents of My Documents to the new location). Перемещает все документы из локальной папки «Мои документы» на общий сетевой ресурс. Эта настройка включена по умолчанию.
- При удалении политики папка останется в новом размещении (Leave the folder in the new location when policy is removed).
Предписывает файлам оставаться в новом расположении, даже если объект
групповой политики более не применяется. Эта настройка включена по
умолчанию. - После удаления политики перенаправить папку
обратно в расположение профиля пользователя (Redirect the folder back
to the local user profile location when policy is removed). Предписывает копирование файлов обратно в локальный профиль, если объект групповой политики более не применяется.
Вкладка Параметры (Settings) папки «Мои документы» позволяет сконфигурировать две дополнительные настройки для папки «Мои рисунки».
- Сделать «Мои рисунки» подпапкой папки мои «Мои документы» (Make My Pictures a subfolder of My Documents).
Когда перенаправляется папка «Мои документы», папка «Мои рисунки»
остается подпапкой в «Мои документы». По умолчанию папка «Мои рисунки»
следует за папкой «Мои документы». - Не указывать политику для папки «Мои рисунки» (Do not specify administrative policy for My Pictures).
Если выбрана эта настройка, то расположение папки «Мои рисунки»
определяется профилем пользователя, а групповая политика не
контролирует ее расположение.
Важное примечание.
Вам не нужно заранее создавать индивидуальные папки для пользователей.
Перенаправление папок автоматически задаст корректные параметры списков
управления доступом на папку. Если Вы решите создавать пользовательские
папки самостоятельно, убедитесь, что Вы устанавливаете правильные
разрешения (смотрите раздел Аспекты безопасности при настройке перенаправления папок ниже в этой статье).
Дополнительную информацию о работе с оснасткой групповых политик и расширением перенаправления папок В
Источник: http://www.oszone.net/print/3955/ |
