Добавление сетевых дисков с персональными папками для пользователей через GPP на примере Windows Server 2012R2

  • Tutorial
Всем привет!

Сегодня я хотел бы с вами поделиться информацией как можно достаточно легко и быстро с помощью технологии Group Policy Preferences (GPP) (Она доступна с Windows Server 2008) создавать и мапить пользовательские личные папки на сервере.

Данный процесс можно разбить на несколько основных этапов
  • Создание и настройка прав на корневую папку в которой будут храниться папки пользователей
  • Создание папки для пользователя
  • Мапинг сетевого диска для пользователей




Создание и назначение прав на папку в которой будут храниться файлы пользователей


Первым делом, нам необходимо создать папку в которой будут храниться все папки пользователя.
Для нее необходимо установить следующие настройки безопасности:

Sharing доступ:
Autentication User — Full Control

NTFS доступ:
SYSTEM = Full Control
CREATOR OWNER = Full Control
Domain Administrtors = Full Control
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions

В итоге должно получится как указано на рисунках приведенных ниже






Создание пользовательской папки


Для того, чтобы создать папки для пользователей в директории Users, мы переходим во вкладку
«User Configuration» — «Preferences — »Windows Settings" – «Folders» и в ней мы создаем папку %Logonuser% как указано на рисунке ниже.


Монтирование сетевого диска для пользователя


Создадим групповою политику для пользователя и в разделе «User Configuration» — «Preferences» — «Windows Settings» — Drive Maps" создадим новый сетевой диск и дадим ему имя, например HomeFolder



AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 9

    +2
    Для этого существует "мои документы" и перенаправляемые папки.
    Оставьте монтируемые диски в 90х, это анахронизм.
    Но если очень хочется, то подумайте немного над уменьшением разрешений. Зачем вы даете владельцу full control? Обязательно найдется человек который выстрелит себе в ногу с такими правами. Ему достаточно RW.
    В данном случае, вероятно нужно ограничить зону действия this folder only:

    Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions

    И опять же. Если так как на скрине, то любой пользователь может поменять права на любой sub folder.
      +1
      На моей памяти Folder Redirection без "Creator Owner = Full" как-то не очень работал, а точнее совсем не работал и требовал ручного создания папок.
        0
        Для создания папок достаточно "Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Create Folders/Append Data" с зоной действия "This Folder Only". В статье излишнее разрешение "Change permission" и излишняя зона действия, оно позволяет менять разрешения в любой папке. И это основная проблема которую я тут вижу.
        Для подпапок, то есть непосредственно индивидуальных папок пользователей "creator owner = full" и "creator owner = rw" это одно и тоже. Я как-то даже заметку об этом написал, но ее забросали помидорами по причине того, что это всем и так очевидно. Но я бы рекомендовал все же дополнительно ограничивать пользователям право менять разрешения. Им бывает хочется необычного, например залезть в закладку безопасность и поудалять все непонятное.
        А также неплохой идеей считаю добавлять "Enable Access-Based Enumeration".
          0
          Спасибо, скоро освежу воспоминания практикой )
        0
        Сетевые диски анахронизм? Можно немного подробнее, если не затруднит?
          0
          Здесь хорошо сказано http://superuser.com/questions/393397/why-is-it-bad-to-map-network-drives-in-windows
          Нет ничего страшного в том чтобы использовать сетевые диски. Они интуитивно понятнее некоторым людям, но это прошлое, по моему мнению. У них есть ряд технических и в большей степени логических недостатков.
          Технически могут быть проблемы с DFS. Но это решаемо.
          Проблема в том, что список дисков нужно поддерживать в рамках всей организации. Они используют тоже адресное пространство(алфавит), что и физические диски.
          Я не вижу в них никакого удобства по сравнению с точно также подключаемыми сетевыми путями. Вы можете сказать, коллеги я настроил вам доступ к документации он находится на:

          1. Диске Z:
          2. В папке "документация", которую вы можете легко найти в проводнике или моем компьютере.
            Мой аргумент, сетевые диски не имеют преимущества по сравнению с сетевыми путями. Но имеют недостатки.
            Диски нужны только для поддержки старых версий программ, и старых версий пользователей которым проще запомнить что нужные файлы лежат на диске Z:, чем то что нужные файлы лежат в папке "нужные файлы".
            PS. Про старые версии людей это шутка, не воспринимайте ее слишком серьезно.
            PS2. Конкретный описанный в статье случай, на мой взгляд плодит целых 2 лишних сущности. У вас уже есть мои документы, использование которых уже интегрировано в большинство ПО. Для которых также продуманы специальные механизмы перемещаемых профилей.
            0
            Всё-таки "мои документы" не всегда удобно использовать, и визуализация квоты в случае с дисками более понятна для пользователей. я использую оба варианта ( и сетевые диски, как раз из за специфичного ПО, и сетевые папки), диски часто более отзывчивы, хотя располагаются, фактически, в одном и том же томе на сервере ( это странно, но это так, почему — неизвестно) так что некоторые преимущества у них всё-таки есть.
            За ссылку спасибо, в комментариях упомянута проблема безопасности, с которой я пока не сталкивался, надо проверить :)
        0
        простите, но s/тся/тЬся/g
          0
          Домашнюю папку пользователя в домене ( можно также подключить через оснастку "Active Directory пользователи и группы", указав путь для домашней папки непосредственно в профиле пользователя. Папки пользователей при этом создаются автоматически и с нужными правами, затем можно указать через "folder redirection" привязку непосредственно к домашней папке.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое