Folder redirection что это
Folder redirection что это
Не многие знают что такое перенаправляемые папки и в чем их преимущество, в данной статье я кратко рассмотрю что же это все таки такое и приведу пример настройки перенаправляемых папок в среде AD.
Описание
Настроить перенаправление папок можно при помощи групповых политик (GPO). Объект GPO “ Перенаправленные папки ” используется для перенаправления специальных папок, таких как “Мои документы”, “Рабочий Стол”, “Мои рисунки” и т.п. в сетевое месторасположение, другими словами в сетевую шару с настроенными разрешениями таким образом, что доступ к своим документом будет иметь только их владелец. По умолчанию при выходе и входе в систему происходит синхронизация данных между машиной клиента и сетевым ресурсом, тем самым актуализируя состояние данных в обоих месторасположениях. Так же в сетевое месторасположение можно перенаправить профайл пользователя тем самым сохраняя некоторые персональные настройки пользователя, как например папку “Избранное”.
Преимущества
Задача
Перенаправить специальные папки “Мои документы”, “Рабочий Стол” и профайл пользователя в сетевое месторасположение.
Настройка сетевых ресурсов
Итак, настроим перенаправление папок “Мои документы”, “Рабочий Стол” и профайл в общую сетевую папку. Для начала необходимо создать несколько каталогов, назовем их – UserDocuments и UserProfiles, к данным каталогам необходимо предоставить общий доступ и настроить разрешения общего доступа.
UserDocuments
Необходимо удалить группу Everyone и вместо нее добавить Authenticated Users выдав разрешения – Full Controll.
На вкгладке Security (Безобасность) необходимо нажать кнопку Advanced, убрать наследование сняв флажок с параметра Include inheritable permissions from this object’s parent, убрать из списка разрешений группу Users оставив разрешения по умолчанию:
С разрешениями только на эту папку (This folder only) отметив разрешения:
UserProfiles
Настривается по аналогии с UserDocuments, отличаюются настрйки разрешения для группы Authenticated Users:
Настройка GPO
Настройки находятся в User Configuration:
Так как необходимо настроить “Мои документы”, “Рабочий Стол” необходимо открыть свойства:
Для обоих папок настройки следующие:
Настройка перенаправления профайла пользователя
Достаточно в свойствах пользователя отметить параметр:
Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей
Область применения: Windows Server 2022, Windows 10, Windows 8, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2
В этом разделе рассматриваются технологии автономных файлов (кэширование на стороне клиента, или CSC), перемещаемых профилей пользователей (также известных как RUP) и перенаправления папок, в том числе новые возможности и поиск дополнительных сведений.
Описание технологий
Технологии автономных файлов и перенаправления папок при совместном использовании позволяют перенаправлять путь к локальным папкам (например, к папке документов) в какое-либо место в сети. При этом для увеличения скорости и улучшения доступности кэширование содержимого производится локально. Технология перемещаемых профилей пользователей позволяет перенаправлять профиль пользователя в какое-либо место в сети. Эти возможности раньше назывались IntelliMirror.
Практическое применение
С помощью технологий автономных файлов, перемещаемых профилей пользователей и перенаправления папок администраторы могут организовывать централизованное хранение данных и настроек пользователей, а также обеспечивать возможность доступа к данным при автономной работе, отказе сети или сервера. Некоторые частные случаи применения:
Новые и измененные функции
В следующей таблице описаны некоторые основные изменения в технологиях автономных файлов, перемещаемых профилей пользователей и перенаправления папок, реализованные в данной версии.
| Компонент или функция | Новый или обновленный компонент | Описание |
|---|---|---|
| Постоянный автономный режим | Создать | Обеспечивает более быстрый доступ к файлам и снижает уровень использования пропускной способности за счет постоянной автономной работы даже при высокоскоростном сетевом подключении. |
| Экономная синхронизация | Создать | Позволяет сократить стоимость синхронизации данных при использовании лимитных подключений или перемещении в сеть стороннего поставщика. |
| Поддержка основного компьютера | Создать | Позволяет применять технологии перемещаемого профиля и перенаправления папок (совместно или раздельно) только на основных компьютерах пользователей. |
Постоянный автономный режим
Начиная с Windows 8 и Windows Server 2012, администраторы могут настроить систему так, чтобы работающие с автономными файлами пользователи всегда находились в автономном режиме, даже если они располагают высокоскоростным сетевым подключением. Windows по умолчанию обновляет автономные файлы в кэше посредством почасовой фоновой синхронизации.
Какую пользу дает постоянный автономный режим?
Постоянный автономный режим дает следующие преимущества:
Как изменяет ситуацию постоянный автономный режим?
До появления ОС Windows 8 и Windows Server 2012 переход между сетевым и автономным режимами осуществлялся в зависимости от доступности и условий сети даже при включении режима медленного подключения с пороговым значением задержки в 1 миллисекунду.
Экономная синхронизация
При экономной синхронизации Windows отключает фоновую синхронизацию, когда пользователь, выбравший сеть с лимитным тарифным планом (например, мобильную сеть 4G), достиг или почти достиг предела пропускной способности, либо в сеть стороннего поставщика.
Как правило, в ОС Windows 8, Windows Server 2019, Windows Server 2016 и Windows Server 2012 для лимитных сетевых подключений автономный режим (режим медленного подключения) включается при увеличении задержки кругового пути до 35 миллисекунд. Поэтому данные подключения переводятся в автономный режим (режим медленного подключения) автоматически.
Какую пользу приносит экономная синхронизация?
Экономная синхронизация помогает пользователям сократить стоимость использования данных при лимитных подключениях или перемещении в сеть стороннего поставщика.
Как изменяет ситуацию экономная синхронизация?
До появления Windows 8 и Windows Server 2012 пользователям, желавшим сократить расходы при работе с автономными файлами на лимитных сетевых подключениях, приходилось отслеживать использование данных с помощью средств, предлагаемых поставщиком мобильной связи. Затем при приближении к пределу пропускной способности или его превышении можно было переключиться на автономный режим вручную.
При использовании экономной синхронизации Windows автоматически отслеживает пределы перемещения и использования пропускной способности на лимитных подключениях. Когда пользователь перемещается, приближается к пределу пропускной способности или превышает его, Windows переключается в автономный режим и препятствует любой синхронизации. Тем не менее синхронизация по-прежнему запускается вручную, а администраторы могут переопределить экономную синхронизацию для конкретных пользователей, например руководителей организации.
Основные компьютеры для перемещаемых профилей пользователей и перенаправления папок
Теперь вы можете для каждого пользователя домена назначить набор компьютеров, которые называются основными, что позволяет контролировать использование технологий перемещаемого профиля и (или) перенаправления папок. Назначение основных компьютеров — простой и эффективный способ сопоставления данных и настроек пользователя с конкретными компьютерами или устройствами. Это упрощает контроль со стороны администратора, повышает безопасность данных и позволяет защитить профили пользователей от повреждения.
Какую пользу приносят основные компьютеры?
Назначение основных компьютеров для пользователей дает четыре ключевых преимущества.
Как изменяют ситуацию основные компьютеры?
Чтобы ограничить загрузку личных данных пользователей на основные компьютеры, с помощью технологий перемещаемых профилей и перенаправления папок производятся следующие проверки логики при входе:
Требования к оборудованию
Технологии автономных файлов, перемещаемых профилей пользователей и перенаправления папок реализуются на компьютерах под управлением 32- или 64-разрядной операционной системы и не поддерживаются на компьютерах под управлением Windows на ARM (WOA).
Требования к программному обеспечению
Для назначения основных компьютеров среда должна соответствовать следующим требованиям.
Дополнительные сведения
Дополнительные сведения по данной теме см. на следующих ресурсах.
Перенаправление пользовательских папок
Папки, определенные системой для хранения различных пользовательских данных, по умолчанию располагаются в директории профиля пользователя. Для хранения ценной информации это не самый лучший вариант, так как важные данные хранятся там же, где и операционная система – если возникнет критическая ситуация, требующая переустановки Виндоус, то все они могут быть безвозвратно утеряны. Ведь риск того, что переместить их заблаговременно в другое место не удастся, очень велик.
Ситуации бывают разные и иногда это просто физически становится невозможным, не говоря о чисто человеческом факторе типа забывчивости или какой-либо ошибки.
Программисты «Майкрософт» явно согласны с этим, так как ими предусмотрена возможность перенаправить многие из этих директорий.
Что же это такое – перенаправление папки
Фактически, это просто ее перемещение в другое место, с той лишь разницей, что происходит оно на системном уровне. То есть, системой производится запись в соответствующих разделах реестра, определяющих путь к пользовательскому хранилищу данных.
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
При открытии диалогового окна «Свойства» любой из директорий, объединенных перечнем «User Shell Folders», можно увидеть специальную вкладку «Расположение», на которой имеются штатные средства перенаправления объекта. Конечно, всецело объекты перенаправлять не обязательно – достаточно сделать это с наиболее важными.
Для чего это нужно
Поэтому если ОС у вас стоит на SSD, то пользовательские хранилища необходимо расположить на HDD. При наличии же всего одного жесткого или твердотельного диска, необходимо выбрать подходящий дисковый раздел, а при отсутствия такового – создать.
Примечание! Смонтировать дополнительный том можно и штатным средством «Управление дисками», но лучше воспользоваться спецсредством «Acronis» (или аналогичным).
Перенаправляя свои хранилища данных в такое место, которое не может быть затронуто форматированием системного раздела, мы не только делаем их расположение более безопасным, но и одновременно облегчаем их будущую интеграцию с системой после возможной переустановки ОС.
Порядок действий
Чтобы изменить расположение нужного элемента, сделайте правый клик по нему и активируйте диалог «Свойства».
Перейдите на вкладку «Расположение», щелкните по кнопке «Переместить» и в открывшемся диалоге выберите место назначения – папку, которую хотите назначить вместо той, что назначена по умолчанию.
Выбрав место назначения, надо нажать «OK» или «Применить».
После этого всплывет запрос подтверждения, касающийся тотального перемещения файлов из старого хранилища в новое – необходимо согласиться.
Здесь, однако, есть небольшой нюанс: чтобы не перемещать ненужные файлы, надо предварительно очистить исходную директорию от таковых. Особенно это касается скрытых элементов, таких как «Desktop.ini» или символических ссылок. Файл «Desktop.ini» содержит информацию о локализованном имени и, если вы хотите сохранить наименование конечного объекта без видимых изменений, то лучше этот элемент удалить заранее.
Примечание! Данная операция не изменяет наименование физически, а лишь виртуализирует его. То есть, изменяется его отображение. Так, удаляя этот файл из исходной директории, вы не могли не заметить, что после его удаления имя объекта принимает настоящее значение.
Используя этот алгоритм действий, перенаправьте все важные хранилища, а те, что вами не используются, можно скрыть или удалить. К примеру, многие пользователи «Виндоус 10» не пользуются встроенными 3D-приложениями и, соответственно, системное хранилище для 3D файлов им абсолютно не требуется.
Скрываем ненужные элементы в папке «Мой компьютер»
Раскрываем раздел «MyComputer», расположенный в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer,
там находим «NameSpace». Если пользоваться штатным редактором, то придется развернуть этот пункт и удалять подразделы по одному.
«Registry Workshop» отображает в правой части окна содержимое раздела полностью, а не только одни параметры.
Поэтому подразделы можно удалить все разом.
Однозначно можно удалить подраздел, отвечающий за отображение в директории «Мой компьютер» элемента «Рабочий стол» – непонятно, зачем его там вообще показывать. Также мало кто пользуется папкой «Загрузки» – обычно данные загружают сразу в нужное место. Ну и встроенные средства работы с 3D объектами совершенно убоги – так что ими тоже, наверное, никто не пользуется.
Словом, вот список ключей и их значений:
• – Загрузки
• – 3D объекты
• – Изображения
• – Музыка
• – Рабочий стол
• – Документы
• – Видео
Какие удалить, а какие оставить – решайте сами. Но вот добавить 1-2 новых объекта не помешает.
• – Директория активного профиля пользователя
• – Корзина
• – классическая Панель управления (не «Параметры Windows 10»)
Порядок действий, требуемый для добавления какого-либо объекта следующий:
1. Копирование ключа.
2. Создание нового подраздела.
Правым кликом по строке «NameSpace» вызовите контекстное меню, направьте стрелку мыши на пункт «Создать» и выберите пункт «Раздел».
3. Вставка ключа.
Примечание! Если ваша операционная система имеет 64-разрядную архитектуру, то все операции необходимо повторить и в ветви реестра x64.
Путь к аналогичному разделу этой ветви выглядит так:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace
После удаления ненужных объектов и добавления новых, изменится отображение не только в окне «Мой компьютер» – исчезнут ликвидированные элементы в диалоговых окнах копирования-перемещения и боковой панели переходов.
Панель инструментов «Мой компьютер», созданная на «Панели задач», тоже будет отображаться по-новому.
Проделанные операции сделают работу с «Областью навигации», а также диалогами копирования и перемещения намного удобней. А добавление объекта «Все элементы панели управления» значительно облегчит доступ к тем настройкам системы, которые нельзя изменить при помощи «Параметров Windows 10».
Заключение
Перенаправление директории «Roaming», хранящей настройки всех установленных программ, тоже принесло бы огромную пользу, но, к сожалению, тут имеются препятствия. Несмотря на то, что данное хранилище тоже имеет встроенную функцию изменения расположения, работает она не совсем корректно. Да и ни к чему перемещать папку «Microsoft», содержащую файлы, которые актуальны сугубо для текущей инсталляции Windows – после переустановки системы подавляющее большинство из них станет не совместимым с новой установкой.
Однако перенаправить вместилища параметров обычных программ тем не менее необходимо, но делать это лучше при помощи символических ссылок.
В прошлый раз мы развернули отказоустойчивую ферму RD Connection Broker с участием трёх серверов RD Session Host. В этой заметке будет описана часть процесса настройки серверов фермы, в частности, в части настройки пользовательской среды – включение механизмов перемещаемых профилей (Roaming User Profiles) и перенаправления папок пользователей (Folder Redirection).
Для управления параметрами настройки пользовательских профилей воспользуемся групповыми политиками. Создадим объект доменной групповой политики (GPO), который будет настраивать все сервера RD Session Host (RDSH) в нашей ферме RD Connection Broker
Создаём объект групповой политики
В нашем примере GPO будет называться KOM-AD01-OU-CU-SA-RDCB-Farm-Policy и будет прилинкован к контейнеру в домене ( OU ), в котором расположены только учетные записи серверов RDSH входящих в нашу ферму.
Для начала в GPO включим режим обработки «замыкания на себя» в режим замены.
Computer Configuration/Policies/Administrative Templates/System/Group Policy
Политика: User Group Policy loopback processing mode
Значение: Enabled
Режим: Replace
Такая настройка позволит сделать так, чтобы при обработке GPO, при входе пользователя на сервера фермы, применялись настройки пользовательского окружения исключительно из этой политики и игнорировались любые другие пользовательские настройки из других доменных политик. Это нам нужно для того, чтобы свести к минимуму возможные конфликты одних и тех же пользовательских настроек имеющихся в разных GPO с целью сделать процесс управления пользовательской средой на серверах фермы максимально жёстким и предсказуемым.
Практика показывает, что можно совмещать настройки нескольких политик с включённым режимом замыкания, главное не забыть про порядок применения этих политик. Это может быть полезно если у вас несколько ферм, каждая из которых имеет уникальные настройки, а основная масса настроек является одинаковой для всех ферм. Вот пример линковки политик для такой конфигурации:
Далее мы рассмотрим несколько параметров групповых политик, которые нам нужно будет использовать для настройки работы механизмов перемещаемых профилей и перенаправления папок, а также нескольких связанных с этим параметров.
Включаем перемещаемые профили
В созданной групповой политике, прежде всего включаем параметр добавляющий группу администраторов к параметрам безопасности для создаваемых папок перемещаемых профилей пользователей (Roaming User Profiles).
Computer Configuration/Policies/Administrative Templates/System/User Profiles
Политика: Add the Administrators security group to roaming user profiles
Значение: Enabled
Этот параметр обеспечивает администратору полный контроль над всеми папками профилей пользователей и его нужно установить на первоначальном этапе конфигурирования фермы, так как он применяется лишь при создании новых пользовательских профилей.
Следующим в GPO включаем параметр указывающий месторасположение сетевого каталога для хранения перемещаемых профилей пользователей
Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles
Политика: Set path for Remote Desktop Services Roaming User Profile
Значение: Enabled
Путь: \\holding.com\Services\RDS_Profiles
Обратите внимание на то, что в нашем случае для указания пути используется линк в доменном пространстве имён DFS, хотя может быть и указан сетевой каталог непосредственно на каком-то файловом сервере. В нашем примере, соответствующий линк в DFS \holding.com\Services\RDS_Profiles ссылается на физический сетевой каталог \FileServer01\RDS_Profiles$. Рассмотрим подробней настройку этого каталога.
Сетевой каталог, в котором будут создаваться и храниться перемещаемые профили, должен быть расположен на файловой системе NTFS и иметь определённый запас свободного места. Строя отказоустойчивое решение фермы RDS весьма желательно не делать сетевой каталог перемещаемых профилей узким местом (точкой отказа) и при возможности подумать о размещении данного ресурса в высокодоступной кластеризованной среде.
NTFS разрешения на каталог:
Пользователь или
Группа безопасности
Область применения прав
Create Folders/Append Data
В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения пользовательских профилей. После того как разрешения настроены, можем сделать данный каталог сетевым командой:
Так как мы открываем на листинг содержимое корневой папки для всех пользователей терминальной фермы, то в качестве дополнительных мер безопасности для созданного сетевого каталога можно включить применение технологии Access-based enumeration (ABE), которая позволит отображать только те папки, к которым пользователь имеет доступ. Сделать это можно через оснастку Share and Storage Management (StorageMgmt.msc) открыв свойства соответствующей сетевой папки на файловом сервере.
В свойствах сетевой папки мы увидим то, что по умолчанию механизм ABE выключен и для того, чтобы задействовать его, вызовем настройку расширенных параметров по кнопке Advanced
В случае возникновения проблем в работе перемещаемых профилей, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%\Debug\Usermode\Userenv.log
ключом реестра (в случае отсутствия ключа его нужно создать)
Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
Ключ: UserEnvDebugLevel REG_DWORD = 0x30002
Ограничение общего размера кэша перемещаемых профилей
Эта политика позволит нам по сути задействовать режим обслуживания кэшированных профилей на каждом из серверов фермы и в случае необходимости удалить устаревшие кэши профилей (не путать с самими перемещаемыми профилями которые хранятся в сетевом каталоге)
Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles
Политика: Limit the size of the entire roaming user profile cache
Значение: Enabled
Интервал мониторинга (в минутах): 1440
Максимальный размер кэша (в ГБ): 30
Интервал мониторинга определяет, как часто проверяется размер всего кэша перемещаемых профилей на каждом сервере. Когда размер всего кэша перемещаемых профилей пользователей превышает заданный максимальный размер, самые старые (использовавшиеся максимально давно) перемещаемые кэшированные профили пользователей будут удаляться, пока размер всего кэша перемещаемых профилей пользователей не станет меньше заданного максимального размера.
Фоновая выгрузка пользовательского реестра
По умолчанию изменения в перемещаемом профиле пользователя сохраняются только в процессе его выхода из системы. На практике можно встретить ситуацию когда пользовательский сеанс может находиться в активном состоянии длительное время и в этом случае, возможно, будет полезным включение новой политики фонового сохранения данных пользовательского реестра.
Computer Configuration/Policies/Administrative Templates/System/User Profiles
Политика: Background upload of a roaming user profile’s registry file while user is logged on
Значение: Enabled
Метод планирования запуска: Run at set interval
Интервал (часов): 1
При такой настройке данные пользовательского реестра для активных сеансов будут сохраняться в фоновом режиме каждый час.
Включаем перенаправление папок
В процессе работы размер пользовательских профилей может увеличиваться, что в последствии приводит к более длительной процедуре загрузки/выгрузки перемещаемого профиля. Чтобы избежать этой проблемы, наряду с механизмом перемещаемых профилей задействуем механизм перенаправления папок пользователей (Folder Redirection). Механизм перенаправления папок позволяет определённый набор папок профиля не копировать каждый раз при входе и выходе пользователя, а установить в сессии пользователя перенаправление к этим данным, расположенным в сети.
Настройка механизма перенаправления папок возможна через раздел групповой политики User Configuration/Policies/Windows Settings/Folder Redirection и в текущей версии содержит параметры для 13 папок:
Рассмотрим настройку на примере папки Desktop. На закладке Target eсть два основных режима перенаправления – Базовый (Basic) и Расширенный (Advanced). Базовый режим позволяет явным образом указать месторасположение папки в сети и эта настройка будет распространяться на всех пользователей к которым применяется данная политика. Расширенный режим позволяет комбинировать внутри одной политики несколько разных сетевых расположений папки в зависимости от членства пользователя в той или иной доменной группе безопасности. В разных источниках можно встретить рекомендацию использовать Расширенный режим только в крайних случаях, так как в некоторых ситуациях при такой настройке процесс входа пользователей может значительно затягиваться. В нашем примере используется Базовый режим перенаправления – Basic – Redirect everyone’s folder to the same location
Обратите внимание на то, что в примере снова используется путь из доменного пространства имён DFS. Эксперименты показали, что если поменять этот путь в политике после того как перемещаемые папки были хоть раз использованы со старым путём – это приводит к неадекватному поведению профиля, которое лечится в последствии полным пересозданием профиля. Поэтому при задании путей в политиках перенаправляемых папок нужно уделить особое внимание вопросу планирования, чтобы постараться свести на нет в будущем возможные изменения указанных путей. А если вы по каким-то причинам не используете DFS, то для абстрагирования от конкретного пути к файловому серверу можно будет обойтись созданием алиаса в DNS (CNAME), который в последствии можно будет при необходимости легко изменить. Возможно кто-то здесь не согласится со мной и сможет в комментариях привести свои доводы о том, что изменение путей к перенаправляемым папкам не приводит к каким-либо проблемам в уже используемых ранее профилях.
Если на закладке Settings не отключить включенную по умолчанию настройку Grant the user exclusive rights to … то в процессе создания папки на неё не будут предоставлены права группе Администраторов (только создателю-владельцу и системе), что в перспективе может усложнить процесс администрирования этих папок. Учтите, что эту настройку нужно отключать как можно раньше, так как она действует только в процессе создания новых пользовательских папок и к уже созданным ранее папкам не применяется.
В ходе тестов выяснилось, что при включении такого режима папки Pictures, Music, Videos вкладываются в папку Documents и тем самым создают дополнительную путаницу, так как в пользовательском интерфейсе уже есть механизм Библиотек логически разделяющий все эти 4 папки. Поэтому, на мой взгляд, лучше настроить политики для этих папок по аналогии со всеми другими папками, то есть так же, как указано в примере с с папкой Desktop
Теперь поговорим о сетевом каталоге, указываемом в качестве Root Path.
Сетевой каталог, в котором будут создаваться и храниться перенаправляемые пользовательские папки, должен быть расположен на файловой системе NTFS и иметь запас свободного места. По сути, к этому каталогу можно отнести все те же требования, что и к каталогу перемещаемых профилей.
NTFS разрешения на каталог:
Пользователь или
Группа безопасности
Область применения прав
List Folder/Read Data
Read Attributes
Create Folders/Append Data
В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения перенаправляемых пользовательских папок. После того как разрешения настроены, можем сделать данный каталог сетевым командой:
То есть на сетевой каталог даются полные разрешения (уровень SMB) для соответствующей группы доступа. Сетевой каталог также скрытый.
Также как и в случае с каталогом перемещаемых профилей, для каталога перенаправления папок логично будет включить применение технологии Access-based enumeration (ABE), которая позволит отображать пользователям только те папки к которым он имеет доступ.
При перенаправлении папок, например Desktop и Start Menu есть особенность. После того как политика начинает действовать и папки начинают работать как перенаправленные, при попытке запуска ярлыков появляется предупреждение безопасности, связанное с тем, что фактически запуск происходит с сетевого ресурса
Для централизованной настройки зоны узлов локальной интрасети Internet Explorer настроим в нашей групповой политике соответствующий параметр:
User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page
Политика: Site to Zone Assignment List
Значение: Enable
Для настройки самого списка узлов нажмём кнопку Show
После применения данной политики предупреждения безопасности при запуске ярлыков должны исчезнуть.
Далее хочется отметить особенности перенаправления папки AppData(Roaming). При перенаправлении этой папки следует понимать что реально в процессе перенаправления участвует лишь подкаталог AppData\Roaming профиля пользователя, а подкаталоги AppData\Local и AppData\LocalLow используются как локальные. Для примера можно привести вывод команды SET отображающей значение переменных пользовательского окружения:
На самом деле необходимость перенаправления папки AppData(Roaming) нужно рассматривать индивидуально в каждой конкретной ситуации. Дело в том, что разработчики программного обеспечения, которое возможно будет использоваться в ферме RDS с перемещаемыми профилями и перенаправление папок, далеко не всегда уделяют должное внимание вопросам архитектуры приложения с точки зрения размещения файлов этого приложения. Если приложение вместо того чтобы хранить в AppData(Roaming) пользовательские статические данные больших размеров используют эту папку через чур интенсивно, – в таких ситуациях перенаправление этой папки может отрицательно сказаться на производительность работы такого приложения и создать неоправданную сетевую нагрузку.
Также следует помнить о том, что некоторые приложения имеют собственные возможности изменения своих настроек для оптимизации использования папки AppData, например если вы предоставляете своим пользователям в терминальных сеансах возможность работать с Outlook подключенному к Exchange, то вполне резонно будет отключить режим кэширования в настройках Outlook.
В случае возникновения проблем в работе перенаправления папок, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%\debug\usermode\fdeploy.log ключом реестра
Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
Ключ: FdeployDebugLevel REG_DWORD = 0x0f
Ожидание полной загрузки профиля
В некоторых случаях, например в высокозагруженных средах, может возникать ситуация когда служба профилей в процессе входа пользователя не смогла достаточно быстро загрузить перемещаемый профиль из сетевого расположения, и предупредив пользователя об обнаружении медленного подключения, загружает локальную копию кэшированного профиля. Для того чтобы предотвратить загрузку локальной кэшированной копии и заставить службу профилей дожидаться полной загрузки профиля включим политику:
Computer Configuration/Policies/Administrative Templates/System/User Profiles
Политика: Wait for remote user profile
Значение: Enabled
Ограничение пользователя одним сеансом
Несмотря на то, что пользовательскими сессиями будет управлять RD Connection Broker и в теории он всегда будет перенаправлять пользователя в его существующий сеанс, возможно не будет лишним включение политики ограничения пользователя одним сеансом на каждом сервере:
Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Политика: Restrict Remote Desktop Services users to a single Remote Desktop Services session
Значение: Enabled
Запрет работы с временными профилями
Возможны ситуации когда по каким-то причинам происходит повреждение пользовательского профиля. В конфигурации по умолчанию в случае невозможности загрузки профиля система загружает пользователю временный профиль и оповещает об этом пользователя. На практике были случаи когда пользователь не обращал внимание на данное сообщение и продолжал работу, сохраняя при этом какие-то свои данные в этом временном профиле. При завершении работы этого пользователя временный профиль уничтожался системой вместе с пользовательскими данными. Чтобы избежать подобных ситуаций запретим загрузку временных профилей политикой:
Computer Configuration/Policies/Administrative Templates/System/User Profiles
Политка: Do not log users on with temporary profiles
Значение: Enabled
Подробный вывод статусной информации
Политика подробного вывода статусной информации в процессе загрузки и выгрузки пользовательского профиля для пользователей даст визуальный эффект ускорения процесса загрузки, а для администраторов позволит быстро поверхностно понять на каком этапе могут происходить задержки выполнения
Computer Configuration/Policies/Administrative Templates/System
Политика: Verbose vs normal status message
Значение: Enabled
Это далеко не весь перечень параметров групповых политик, которыми можно гибко настраивать сервера RDSH в ферме RDCB, и их применение может варьироваться в зависимости от требований, предъявляемых к инфраструктуре удалённых рабочих столов в каждом конкретном случае.