Всем привет!
Сегодня я хотел бы с вами поделиться информацией как можно достаточно легко и быстро с помощью технологии Group Policy Preferences (GPP) (Она доступна с Windows Server 2008) создавать и мапить пользовательские личные папки на сервере.
Данный процесс можно разбить на несколько основных этапов
Первым делом, нам необходимо создать папку в которой будут храниться все папки пользователя.
Для нее необходимо установить следующие настройки безопасности:
Sharing доступ:
Autentication User — Full Control
NTFS доступ:
SYSTEM = Full Control
CREATOR OWNER = Full Control
Domain Administrtors = Full Control
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions
В итоге должно получится как указано на рисунках приведенных ниже
Для того, чтобы создать папки для пользователей в директории Users, мы переходим во вкладку
«User Configuration» — «Preferences — »Windows Settings" – «Folders» и в ней мы создаем папку %Logonuser% как указано на рисунке ниже.
Создадим групповою политику для пользователя и в разделе «User Configuration» — «Preferences» — «Windows Settings» — Drive Maps" создадим новый сетевой диск и дадим ему имя, например HomeFolder
Сегодня я хотел бы с вами поделиться информацией как можно достаточно легко и быстро с помощью технологии Group Policy Preferences (GPP) (Она доступна с Windows Server 2008) создавать и мапить пользовательские личные папки на сервере.
Данный процесс можно разбить на несколько основных этапов
- Создание и настройка прав на корневую папку в которой будут храниться папки пользователей
- Создание папки для пользователя
- Мапинг сетевого диска для пользователей
Создание и назначение прав на папку в которой будут храниться файлы пользователей
Первым делом, нам необходимо создать папку в которой будут храниться все папки пользователя.
Для нее необходимо установить следующие настройки безопасности:
Sharing доступ:
Autentication User — Full Control
NTFS доступ:
SYSTEM = Full Control
CREATOR OWNER = Full Control
Domain Administrtors = Full Control
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions
В итоге должно получится как указано на рисунках приведенных ниже
Создание пользовательской папки
Для того, чтобы создать папки для пользователей в директории Users, мы переходим во вкладку
«User Configuration» — «Preferences — »Windows Settings" – «Folders» и в ней мы создаем папку %Logonuser% как указано на рисунке ниже.
Монтирование сетевого диска для пользователя
Создадим групповою политику для пользователя и в разделе «User Configuration» — «Preferences» — «Windows Settings» — Drive Maps" создадим новый сетевой диск и дадим ему имя, например HomeFolder
Комментарии (9)
Krioteh
10.03.2016 13:07Домашнюю папку пользователя в домене ( можно также подключить через оснастку "Active Directory пользователи и группы", указав путь для домашней папки непосредственно в профиле пользователя. Папки пользователей при этом создаются автоматически и с нужными правами, затем можно указать через "folder redirection" привязку непосредственно к домашней папке.
anton1234
Для этого существует "мои документы" и перенаправляемые папки.
Оставьте монтируемые диски в 90х, это анахронизм.
Но если очень хочется, то подумайте немного над уменьшением разрешений. Зачем вы даете владельцу full control? Обязательно найдется человек который выстрелит себе в ногу с такими правами. Ему достаточно RW.
В данном случае, вероятно нужно ограничить зону действия this folder only:
И опять же. Если так как на скрине, то любой пользователь может поменять права на любой sub folder.
gotch
На моей памяти Folder Redirection без "Creator Owner = Full" как-то не очень работал, а точнее совсем не работал и требовал ручного создания папок.
anton1234
Для создания папок достаточно "Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Create Folders/Append Data" с зоной действия "This Folder Only". В статье излишнее разрешение "Change permission" и излишняя зона действия, оно позволяет менять разрешения в любой папке. И это основная проблема которую я тут вижу.
Для подпапок, то есть непосредственно индивидуальных папок пользователей "creator owner = full" и "creator owner = rw" это одно и тоже. Я как-то даже заметку об этом написал, но ее забросали помидорами по причине того, что это всем и так очевидно. Но я бы рекомендовал все же дополнительно ограничивать пользователям право менять разрешения. Им бывает хочется необычного, например залезть в закладку безопасность и поудалять все непонятное.
А также неплохой идеей считаю добавлять "Enable Access-Based Enumeration".
gotch
Спасибо, скоро освежу воспоминания практикой )
Krioteh
Сетевые диски анахронизм? Можно немного подробнее, если не затруднит?
anton1234
Здесь хорошо сказано http://superuser.com/questions/393397/why-is-it-bad-to-map-network-drives-in-windows
Нет ничего страшного в том чтобы использовать сетевые диски. Они интуитивно понятнее некоторым людям, но это прошлое, по моему мнению. У них есть ряд технических и в большей степени логических недостатков.
Технически могут быть проблемы с DFS. Но это решаемо.
Проблема в том, что список дисков нужно поддерживать в рамках всей организации. Они используют тоже адресное пространство(алфавит), что и физические диски.
Я не вижу в них никакого удобства по сравнению с точно также подключаемыми сетевыми путями. Вы можете сказать, коллеги я настроил вам доступ к документации он находится на:
Мой аргумент, сетевые диски не имеют преимущества по сравнению с сетевыми путями. Но имеют недостатки.
Диски нужны только для поддержки старых версий программ, и старых версий пользователей которым проще запомнить что нужные файлы лежат на диске Z:, чем то что нужные файлы лежат в папке "нужные файлы".
PS. Про старые версии людей это шутка, не воспринимайте ее слишком серьезно.
PS2. Конкретный описанный в статье случай, на мой взгляд плодит целых 2 лишних сущности. У вас уже есть мои документы, использование которых уже интегрировано в большинство ПО. Для которых также продуманы специальные механизмы перемещаемых профилей.
Krioteh
Всё-таки "мои документы" не всегда удобно использовать, и визуализация квоты в случае с дисками более понятна для пользователей. я использую оба варианта ( и сетевые диски, как раз из за специфичного ПО, и сетевые папки), диски часто более отзывчивы, хотя располагаются, фактически, в одном и том же томе на сервере ( это странно, но это так, почему — неизвестно) так что некоторые преимущества у них всё-таки есть.
За ссылку спасибо, в комментариях упомянута проблема безопасности, с которой я пока не сталкивался, надо проверить :)