活动目录服务的配置与管理(7) 利用组策略实现文件夹重定向

当以域用户的身份登录到计算机上时,除了自身的用户配置文件外,该用户对本地计算机上的所有其它文件和文件夹最多只具有读权限,所以域用户如果要存放文件最好是存放到自己的用户配置文件中。用户配置文件默认位于客户端计算机的“%SystemDrive%\用户\用户名”(或%SystemDrive%\Users\用户名)文件夹内。

将用户配置文件夹存放在本地计算机上,一是存在一定的安全风险,二是当域用户在别的计算机上登录时,这些文件夹中的内容就看不到了。

文件夹重定向就是将用户配置文件内的某些文件夹改为集中存储在某台服务器上,这样无论域用户在哪台计算机上登录,都可以看到自己所存储的内容,实现了在域中的漫游,而且安全性也有了提高。
通常重定向最多的是“桌面”和“我的文档”文件夹,下面就将域用户的这两个文件夹改为集中存储在域控制器上。
首先在 DC上建立一个名为“folder”的文件夹,赋予Everyone“读取/写入”权限,系统会同时将完全控制的共享权限与NTFS权限赋予Everyone。

由于共享文件夹的权限开放的比较大,因而建议将共享文件夹隐藏起来,也就是在共享名的后面加上字符$,如folder$。

打开组策略管理工具,在组策略对象中新建一个名为“Folder Redirection”的GPO,并对其进行编辑。

展开“用户配置 \策略\Windows设置\文件夹重定向”,在“桌面”上单击右键,选择“属性”,打开“桌面属性”设置界面。
首先在“目标”选项卡的“设置”项中选择“基本 -将每个人的文件夹重定向到同一个位置”,在“目标文件夹位置”中选择“在根目录路径下为每一用户创建一个文件夹”,在“根路径”中输入文件夹重定向后的存放位置,也就是在DC上所设置的共享文件夹的UNC路径 \\pdc\folder$,系统会在此文件夹下自动为每一位登录的用户分别创建一个专属文件夹,例如账户名为 lisi的用户登录后,系统会自动在 \\pdc\folder$之下,创建一个名为 lisi的文件夹。
在“设置”下拉列表中共有以下几种选择:
“基本 -将每个人的文件夹重定向到同一个位置”,将所有用户的文件夹都重定向到相同位置。
“高级 -为不同的用户组指定位置”,将隶属于不同用户组的用户文件夹重定向到不同的位置。
“未配置”,也就是不重定向。

对“文档”文件夹也进行同样设置。然后将“Folder Redirection”GPO链接到人事部OU上。

下面以人事部员工李四的身份在客户端 client1登录,查看用户配置文件中的“桌面”和“我的文档”,可以发现这两个文件夹已经消失,因为它们都被重定向到了 \\pdc\folder$\lisi中。(如果策略未生效,可以在客户端执行“ gpupdate /force”命令强制刷新组策略生效。)

DC中也可以看到在folder文件夹里自动创建了一个名为“lisi”的文件夹,其中包括“桌面”和“我的文档”两个子文件夹,但这两个文件夹都无法打开,这是因为只有李四才具有对该文件夹的操作权限,这样设置的目的也是为了提高安全性。

以李四的身份在客户机 client1的桌面上创建一个测试文件,然后将李四用户注销(可以看到在注销时对文件进行了同步),再到另一台客户机client2上以李四的身份重新登录,可以看到刚才在“桌面”上创建的测试文件也随之出现了。
文件夹重定向在实际工作中具有很大的作用,总结一下,它的作用主要体现在以下两个方面:
一是可以利用该功能对相关文件或者文件夹进行统一备份。由于把分散在各个主机上的文件都重定向到一台服务器上,如此管理员只需要对这台服务器的文件夹进行备份,就可以达到对员工各台电脑的资料进行备份的目的,从而保障数据的安全。
二是用户访问文件夹的位置将不受限制。若桌面或者我的文档等资料保存在本地的话,则用户只有登录本机才能够访问这些文件。而对文件夹进行重定向之后,则只需要员工登录到域,就都可以访问此文件夹。

你可能感兴趣的:(活动目录服务的配置与管理(7) 利用组策略实现文件夹重定向)