Сегодня нередко возникает необходимость получить доступ к корпоративным файлам во время поездок, командировок, а также во время встреч за пределами офиса. Не всегда для этого удобно использовать рабочее устройство, включенное в домен. Иногда доступ к корпоративным данным нужно получить и с личных устройств. С одной стороны, решение этой проблемы лежит на поверхности – давайте предоставим пользователю доступ к рабочим файлам с личных устройств. Но здесь есть проблема: как обеспечить должный уровень безопасности этих файлов? Выход предоставляют Windows Server 2012 R2 и Windows 8.1 – это использование Рабочих папок (Work Folders).
![](https://habrastorage.org/r/w1560/files/524/ce6/e33/524ce6e335f14bcbad66ad8805b5454d.png)
Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:
Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.
Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:
![](https://habrastorage.org/r/w1560/files/40d/e4f/8eb/40de4f8eb7124f1b9e3a59bf92fbba34.png)
![](https://habrastorage.org/r/w1560/files/6b2/9ae/df2/6b29aedf2cbc40379e10f90c0990efb4.png)
![](https://habrastorage.org/r/w1560/files/ec6/571/b25/ec6571b25ce34446bf56314299b18723.png)
В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:
Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь):
Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:
![](https://habrastorage.org/r/w1560/files/5a9/58e/32a/5a958e32a6d94de0b25b57cd2898d07f.png)
Данную операцию также можно выполнить с помощью команды PowerShell:
После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:\SalesShare).
![](https://habrastorage.org/r/w1560/files/abf/661/eb7/abf661eb74f74d659e0756aeadb05899.png)
Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.
![](https://habrastorage.org/r/w1560/files/139/c04/f15/139c04f156c34e75b020dff0bd3f314e.png)
Далее укажем имя для общего ресурса синхронизации:
![](https://habrastorage.org/r/w1560/files/a48/8ee/bad/a488eebad4c64b24a1dab70f8df4b452.png)
На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.
![](https://habrastorage.org/r/w1560/files/2fa/91f/304/2fa91f304c594a9f8e322d239a655ae9.png)
Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».
![](https://habrastorage.org/r/w1560/files/eaf/8ca/c8c/eaf8cac8c5f24b8cabd6053bd7b3831d.png)
Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.
![](https://habrastorage.org/r/w1560/files/49f/c06/999/49fc06999e3b4535b9cbc0a0180d5fe9.png)
Проверим еще раз информацию.
![](https://habrastorage.org/r/w1560/files/9a9/da7/38b/9a9da738b8d44622ac302028f0dfbacd.png)
И перейдем к установке.
![](https://habrastorage.org/r/w1560/files/c50/91d/754/c5091d75455345f7ac3768ad586a26e9.png)
Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:
В итоге, мы должны получить вот такой результат:
![](https://habrastorage.org/r/w1560/files/13a/7e5/4ce/13a7e54ced4144bd8fae3a583e03c676.png)
Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVA\Sales и измените права доступа на «Read/Write»:
![](https://habrastorage.org/r/w1560/files/9eb/42c/5e3/9eb42c5e3eef481cb93745662106a8d2.png)
Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:
Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).
![](https://habrastorage.org/r/w1560/files/b8e/ecb/75d/b8eecb75d059474ebc832f7400b725dd.png)
![](https://habrastorage.org/r/w1560/files/fa1/168/28d/fa116828d4554d2cbeadccc9115916c0.png)
Введите E-mail адрес пользователя.
![](https://habrastorage.org/r/w1560/files/15f/f46/0f6/15ff460f646c45909f2629a2a174cfa6.png)
Укажите, где на устройстве должны быть расположены рабочие папки.
![](https://habrastorage.org/r/w1560/files/fc3/389/419/fc3389419ba14c9ca68659a01abca4cb.png)
Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.
![](https://habrastorage.org/r/w1560/files/3d8/057/225/3d8057225c9d423c83a19f17e0f8710a.png)
Теперь рабочие папки установлены на устройство.
![](https://habrastorage.org/r/w1560/files/b6d/1de/95f/b6d1de95f25c4554a3789c67097ee656.png)
Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.
![](https://habrastorage.org/r/w1560/files/b0a/aca/203/b0aaca2034ac4582b6948dd6245a55d0.png)
Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.
![](https://habrastorage.org/r/w1560/files/f80/0c7/4f6/f800c74f61f447d281523f641e34bf35.png)
Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.
![](https://habrastorage.org/r/w1560/files/f5d/aa1/fa0/f5daa1fa02d346dfba0e5540e7107b24.png)
После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:
![](https://habrastorage.org/r/w1560/files/4c8/699/e3a/4c8699e3a34e44a0aaf43f555d7c0c35.png)
Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.
![](https://habrastorage.org/r/w1560/files/d1e/454/963/d1e4549637c149b3a6af489d50f88110.png)
Надеюсь, информация будет полезна!
Спасибо!
![](https://habrastorage.org/files/524/ce6/e33/524ce6e335f14bcbad66ad8805b5454d.png)
Рабочие папки – что это?
Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:
- Подключится к корпоративному приложению через браузер;
- Установка с корпоративного портала приложений на устройства (личные и рабочие);
- Синхронизировать рабочие файлы на разных устройствах.
Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.
Установка и настройка
Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:
![](https://habrastorage.org/files/40d/e4f/8eb/40de4f8eb7124f1b9e3a59bf92fbba34.png)
![](https://habrastorage.org/files/6b2/9ae/df2/6b29aedf2cbc40379e10f90c0990efb4.png)
![](https://habrastorage.org/files/ec6/571/b25/ec6571b25ce34446bf56314299b18723.png)
В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:
- Настройка сервера
- Установка роли Рабочие Папки (Work Folders)
- Создание общего ресурса синхронизации (Sync Share)
- Включение доступа по SMB (дополнительно)
- Настройка клиента, включенного в домен
- Настройка Рабочих Папок (Work Folders) на личном устройстве
- Синхронизация файлов в Рабочих Папках (Work Folders)
Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь):
- KB2883200
- KB2894179
- KB2894029
1. Настройка сервера
1.1. Установка роли Рабочие Папки (Work Folders)
Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:
![](https://habrastorage.org/files/5a9/58e/32a/5a958e32a6d94de0b25b57cd2898d07f.png)
Данную операцию также можно выполнить с помощью команды PowerShell:
PS C:\> Add-WindowsFeature FS-SyncShareService
1.2. Создание общего ресурса синхронизации (Sync Share)
После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:\SalesShare).
![](https://habrastorage.org/files/abf/661/eb7/abf661eb74f74d659e0756aeadb05899.png)
Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.
![](https://habrastorage.org/files/139/c04/f15/139c04f156c34e75b020dff0bd3f314e.png)
Далее укажем имя для общего ресурса синхронизации:
![](https://habrastorage.org/files/a48/8ee/bad/a488eebad4c64b24a1dab70f8df4b452.png)
На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.
![](https://habrastorage.org/files/2fa/91f/304/2fa91f304c594a9f8e322d239a655ae9.png)
Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».
![](https://habrastorage.org/files/eaf/8ca/c8c/eaf8cac8c5f24b8cabd6053bd7b3831d.png)
Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.
![](https://habrastorage.org/files/49f/c06/999/49fc06999e3b4535b9cbc0a0180d5fe9.png)
Проверим еще раз информацию.
![](https://habrastorage.org/files/9a9/da7/38b/9a9da738b8d44622ac302028f0dfbacd.png)
И перейдем к установке.
![](https://habrastorage.org/files/c50/91d/754/c5091d75455345f7ac3768ad586a26e9.png)
Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:
PS C:\>New-SyncShare SalesShare –path C:\SalesShare –User MVA\Sales -RequireEncryption $true –RequirePasswordAutoLock $true
В итоге, мы должны получить вот такой результат:
![](https://habrastorage.org/files/13a/7e5/4ce/13a7e54ced4144bd8fae3a583e03c676.png)
1.3. Включение доступа по SMB (дополнительно)
Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVA\Sales и измените права доступа на «Read/Write»:
![](https://habrastorage.org/files/9eb/42c/5e3/9eb42c5e3eef481cb93745662106a8d2.png)
Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:
PS C:\> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>
2. Настройка клиента, включенного в домен
Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).
![](https://habrastorage.org/files/b8e/ecb/75d/b8eecb75d059474ebc832f7400b725dd.png)
![](https://habrastorage.org/files/fa1/168/28d/fa116828d4554d2cbeadccc9115916c0.png)
Введите E-mail адрес пользователя.
![](https://habrastorage.org/files/15f/f46/0f6/15ff460f646c45909f2629a2a174cfa6.png)
Укажите, где на устройстве должны быть расположены рабочие папки.
![](https://habrastorage.org/files/fc3/389/419/fc3389419ba14c9ca68659a01abca4cb.png)
Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.
![](https://habrastorage.org/files/3d8/057/225/3d8057225c9d423c83a19f17e0f8710a.png)
Теперь рабочие папки установлены на устройство.
![](https://habrastorage.org/files/b6d/1de/95f/b6d1de95f25c4554a3789c67097ee656.png)
Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.
![](https://habrastorage.org/files/b0a/aca/203/b0aaca2034ac4582b6948dd6245a55d0.png)
Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.
![](https://habrastorage.org/files/f80/0c7/4f6/f800c74f61f447d281523f641e34bf35.png)
3. Настройка Рабочих Папок (Work Folders) на личном устройстве
Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.
![](https://habrastorage.org/files/f5d/aa1/fa0/f5daa1fa02d346dfba0e5540e7107b24.png)
После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:
![](https://habrastorage.org/files/4c8/699/e3a/4c8699e3a34e44a0aaf43f555d7c0c35.png)
4. Синхронизация файлов в Рабочих Папках (Work Folders)
Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.
![](https://habrastorage.org/files/d1e/454/963/d1e4549637c149b3a6af489d50f88110.png)
Надеюсь, информация будет полезна!
Спасибо!