Настройка квоты на папку в windows 2012

Дисковые квоты позволяют администраторам Windows контролировать сколько места используют пользователи на файловой системе серверов и рабочих станций. ОС Windows Server поддерживает два типа квотирования: квотирование на базе File Server Resource Manager (дисковые квоты FSRM) и NTFS квоты. Хотя FSRM квотирование и является более гибким и удобным, но в некоторых простых случаях эффективно можно использовать и NTFS квоты. Например, для ограничения размеров каталогов перемещаемых профилей (но не User Profile Disks) и перенаправляемых домашних папок на RDS серверах, личных каталогов пользователей на FTP сервере, личных каталогов на сайтах IIS и т.д. В этой статье мы рассматриваем как настроить дисковые квоты пользователям в Windows.

Дисковые NTFS квоты в Windows

С помощью дисковых квот Windows вы можете ограничить максимальный размер файлов и папок каждого пользователя так, чтобы он не превысил установленного лимита и не занял своими данными весь диск. Принадлежность фалов и каталогов определяется в соответствии с владельцем объекта файловой системы NTFS. Дисковые квоты работают как на северных, так и на клиентских версиях Windows.

Основные особенности и ограничения NTFS-квот:

• Квотирование может быть применено только целиком к конкретному тому (разделу), отформатированному в файловой систем NTFS (на ReFS томах квотирование не работает);
• Квоты действуют на всех пользователей, хранящих свои данные на данном разделе. Нельзя применить квоту на группу пользователей или отдельный каталог. В этом случае лучше использовать FSRM квоты;
• Принадлежность файлов пользователю определяется по его владельцу (owner) файла, заданного в дескрипторе защиты NTFS;
• По умолчанию Windows сканирует раздел с включенным квотированием и пересчитывает суммарный размер файлов каждого пользователя 1 раз в час;
• При использовании NTFS-компрессии, учитывается оригинальный размер файлов (до сжатия).

Можно выделить следующие сценарии использования дисковых квот:

• Мониторинг использования дисков – просмотр статистики использования пользователями места на диске сервера;
• Мониторинг и оповещение – в дополнении к первому сценарию, при превышении квоты в Event Viver записывается событие с информацией о пользователе и квоте.
• Контроль использования диска — при превышении квоты пользователь не может сохранять новые файлы.

Настройка дисковых NTFS квоты в Windows 10 / Windows Server 2016

Рассмотрим пример настройки NTFS квот на диске с данными пользователей на примере Windows Server 2016. Во всех предыдущих версия Windows (начиная с Windows 2003) дисковые NTFS квоты настраиваются аналогично.

Откройте окно свойства диска, на котором нужно включить квоты и перейдите на вкладку Quota. Затем нажмите на кнопку Show Quota Settings: Чтобы включить квоты для данного тома, установите чекбокс Enable quota management.

Дальнейшие опции следует выбрать в зависимости от желаемого сценария использования квот:

• Deny disk space to users exceeding quota limit – запретить запись на диск пользователям, превысившим лимит;
• Limit disk space to — задать лимит на суммарный размер файлов одного пользователя;
• Log event when a user exceeds their quota limit – записывать в Event Viewer событие при превышении квоты пользователем;
• Log event when a user exceeds their warning level – записывать в журнал события при приближении к указанному порогу.

Не рекомендуется сразу включать правило запрета записи при превышении лимита. Лучше сначала оценить текущее использование пользователями места на диске пользователями. В нашем примере мы хотим, чтобы каждый пользователь мог использовать не более 1 Гб места на диске сервера.

Сохраните изменения (Apply). Через некоторое время (в зависимости от размера диска и количества файлов), Windows подсчитает суммарное использования диска каждым пользователем.

Нажмите на кнопку Quota Entries. Перед вами появится таблица, в которой указаны квоты и текущий размер занятого места каждым пользователем (файлы которых найдены на файловой системе). Здесь вы сразу видите, какие пользователи уже превысили свои квоты на диске.

По умолчанию для всех пользователей устанавливаются одинаковые квоты. Из окна Quota Entries вы можете создать, увеличить или отключить стандартную квоту для конкретного пользователя.

Чтобы NTFS квоты не применялись к определенной учетной записи, нужно открыть свойства записи в таблице квот (Properties) и установить опцию Do not limit disk usage.

Из окна со список квот вы можете экспортировать настройки квот, а затем импортировать и применить их для другого диска или компьютера.

Если вы хотите вывести список файлов, которые учитываются в квоте конкретного пользователя, нужно выбрать пункт Delete.

Из этого диалогового окна можно сменить владельца файла (Take ownership), удалить (Delete) или переместить файл (Move).

После того, как навели порядок с мягкими квотами в режиме аудита, можно включать опцию Deny disk space to users exceeding quota limit. Это включит режим жестких квот. Теперь пользователи не смогут превысить выделенное им место на диске. Обратите внимание, что размер диска в сессии пользователя теперь отображается с учетом дисковой квот. В этом примере для моего аккаунта на диске C: свободно
876 Мб
из 1 Гб квоты.

При превышении квоты пользователь получает сообщение:

There is not enough space on ….

Одновременно в журнале системы фиксируется событие с EventID 37, source: Ntfs:

A user hit their quota limit on volume C:

Настройка дисковых квот с помощью групповых политик

Вы можете управлять настройками дисковых квот на компьютерах и серверах домена с помощью групповых политик. Параметры настройки квот находятся в разделе GPO Computer Configuration -> Administrative Templates -> System -> Disk Quotas. Чтобы включить дисковые квоты, аналогичные рассмотренным выше, задайте следующие политики:

• Enable Disk Quotas: Enable
• Enforce Disk Quota Limit: Enable
• Default Quota Limit And Warning Level: Enable (Default quota limit/warning level: 1 Gb)
• Log Event When Quota Limit Exceeded: Enable
• Apply Policy To Removable Media: Enable (если нужно применять квоты для съёмных носителей, в том числе USB флешкам)

Осталось назначить такую GPO на OU с компьютерами/серверами, на которых нужно внедрить дисковые квоты и дождаться обновления политик.

Дисковые квоты, настроенные через GPO применяются для всех дисков компьютера. Нельзя настроить исключения для определенных пользователей.

Управление дисковыми квотами из командной строки/PowerShell

NTFS-квотами можно управлять из командной строки Windows с помощью команы fsutil quota.

Чтобы включить мягкую квоту для диска, используйте команду:

fsutil quota track E:

Для включения жесткой NTFS квоты, выполните:

fsutil quota enforce E:

Для отключения дисковых квот используется команда:

fsutil quota disable E:

Чтобы получить текущие настройки квот для указанного диска, выполните:

fsutil quota query e:

Получить список пользователей, чьи квоты на диске уже превышены:

fsutil quota violations

Чтобы изменить пороги квот для определенного пользователя, используйте команду:

fsutil quota modify E: 3000000000 200000000 corpaaivanov

Размер квот указывается в байтах (в этом примере 3 Гб). Первое значение – максимальный размер данных пользователя на диске (жесткая квота, limit), второе — лимит, при котором появляются предупреждения (warning level).

Узнать частоту обновления (перерасчета) дисковых квот (в секундах):

fsutil behavior query quotanotify

По умолчанию квоты обновляются раз в час

В PowerShell нет встроенных командлетов для управления NTFS квотами на диске. Однако вы можете управлять ими через WMI класс Win32_DiskQuota. Например, следующий PowerShell скрипт выведет информацию о текущих квотах пользователей.

$strComputer = "."
$colItems = get-wmiobject -class "Win32_DiskQuota" -namespace "rootCIMV2" -computername $strComputer
foreach ($objItem in $colItems) {
write-host " Used: " $objItem.DiskSpaceUsed
write-host "Limit: " $objItem.Limit
write-host "Quota Volume: " $objItem.QuotaVolume
write-host "Status: " $objItem.Status
write-host "User: " $objItem.User
write-host "Warning Limit: " $objItem.WarningLimit
}

Обновлено 03.08.2022

Доброго времени суток! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В сегодняшней статье я хочу продолжить борьбу за дисковое пространство на RDS фермах, которое используют пользователи. В пошлый раз я вам показал, как можно уменьшить объем папки Windows на RDS сервере, сегодня мы еще подрежем места за счет профилей. В данной инструкции я подробно рассмотрю алгоритм внедрения дисковых квот для пользователей на файловой системе NTFS. Расскажу в каких случаях, это будет быстрее и правильнее, нежели разворачивать роль FSRM.

Постановка задачи

Есть один или два хоста в RDS или терминальной ферме. 20-30 пользователей работают на них. У пользователей профили локальные, хотя и могут быть перемещаемые, либо это могут быть перенаправляемые папки. Размеры профилей разные и могут стремиться к бесконечности, предположим, что у нас есть физические ограничения на дисковое пространство, которое выделено серверам и пользователи начинают активно выедать его. Перед вами встала задача ограничить их, тут есть три варианта решения данной задача:

• Вы уведомляете пользователей, что нужно привести свои профили в порядок и почистить, а дальше надеяться на их ответственность. Могу со 100% уверенностью сказать, что они просто проигнорируют это письмо.
• Вы настраиваете простое решение в виде NTFS квот, применимо для плоских сетей или нескольких серверов.
• Вы устанавливаете роль FSRM (File Server Resource Manager), нужна будет серверная операционная система.

Плюсы и минусы использования NTFS квот

Список плюсов:

• NTFS квотирование настраивается в любой операционной системе, будь то клиентская WIndows 7 или 10, или же это серверная Windows Server 2016
• Не требует отдельной лицензии, и является стандартной функцией операционной системы
• Быстрая настройка, буквально за несколько минут
• Применима в не доменных системах, где небольшое количество серверов, но так же легко реализуется и в Active Directory
• Легко настраивается с помощью групповых политик и централизованное управление в будущем

Список минусов:

• Когда вы включаете NTFS квотирование, то они включается ко всему тому (Разделу), который как вы понимаете должен быть отформатирован в файловую систему NTFS, в новомодной файловой системе ReFS, она работает только начиная с версии 1709.
• Нельзя применить квоту на группу или отдельную папку, для этих целей у Microsoft есть роль FSRM (File Server Resource Manager)
• Квоты будут применимы сразу ко всем учетным записям, в том числе и системным, это нужно учитывать, благо есть возможность произвести исключения для нужных людей
• Пересчет квот и занятого места у каждого пользователя в системе происходит один раз в час
• Уведомления пользователям, о подходе к порогу заполнения отсутствует, по умолчанию пишется только событие в журнал логов Windows, но при желании можно воспользоваться PowerShell и выводить всплывающие окна.
• Когда вы активируете сжатие (компрессию) на папке NTFS, то квотирование будет считать только оригинальный размер, в моем примере, это 14,9 мб.

Настройка и активация NTFS квот через графический интерфейс

Предположим у меня есть один терминальный сервер, где пользователи хранят свои профили и работают с удаленными офисными программами, и я хотел бы им ограничить, то дисковое пространство, которое они могут использовать. У меня есть локальный диск объемом 520 ГБ, я щелкаю по нему правым кликом и выбираю свойства, через которые я буду настраивать дисковые квоты Windows.

Переходите на вкладку «Квота», где вам необходимо активировать кнопку «Показать параметры квоты (Show Quota Settings)»

Логично, что квотирование по умолчанию отключено, чтобы активировать возможность настроек, поставьте галку «Включить управление квотами (Enable quota management)».

Теперь давайте я вам опишу каждую из настроек:

1. Активация галки «Не выделять место на диске при превышении квоты (Deny disk space to users exceeding quota limit)» включит режим жесткого квотирования, это означает, что пользователь не сможет превышать выделенное ему на диске место, если же данная галка отключена, но пороги выставлены, то превышение и подход к пороговым значениям будет детектироваться в событиях Windows, но место дальше продолжится выделяться и пользователь сможет выходить за рамки настроенных пороговых значений NTFS квот.
2. По умолчанию у вас будет стоять тумблер на пункте «Не ограничивать выделение места на диске (Do not limit disk usage)», тут думаю все понятно и без описаний, даже имея активную галку «Не выделять место на диске при превышении квоты» люди будут продолжать писать и лимитов у них не будет, за это как раз отвечает активация пункта три
3. «Выделять на диске не более (Limit disk space to)» — тут все просто у вас будет один верхний порог и один нижний порог (Порог выдачи предупреждений (Set warning level to)), по которому уже будут срабатывать оповещения с предупреждениями в системном журнале. Обратите внимание, что тут вы можете задавать цифры и в мегабайтах и в петтабайтах.
4. Регистрация превышения квоты пользователя (Log event when a user exceeds their quota limit) — тут все понятно, превысил квоту, то будет записано все журнал
5. Регистрация превышения порога предупреждения (Log event when a user exceeds their warning level), превысил порог уведомления, будет сделана запись в просмотре событий

Я в своем примере выставил жесткое квотирование, верхний предел, который нельзя превышать я установил на значении 15 ГБ, лимит предупреждений я выставил на 12 ГБ. По мере очищения пользовательских профилей я со временем уменьшу эти цифры до 5 и 3 соответственно.

Нажав применить у вас появится окно с предупреждением:

После применения я вам советую нажать кнопку «Записи квот (Quota Entries)»

У вас будет открыт журнал дисковых квот нужного вам тома. Система начнет подсчет всех учетных записей (Профилей), которые она смогла обнаружить, если записей много, то на некоторое время вы в место имен можете наблюдать пользовательские SID, они начинаются с S-1-5-21-, о сидах читайте по ссылке слева. Обратите внимание, что если у вас есть пользователи, кто превысил квоту, они будут выделены красным значком со статусом «Превышен предел».

Вам самому под свои обстоятельства нужно будет разобрать данный список, но я вам настоятельно рекомендую системные учетные записи вывести в белый список, чтобы на них не распространялись лимиты.

Системные записи исключения

•  NT AUTHORITYСистема
• NT AUTHORITYLOCAL SERVICE
• NT SERVICETrustedinstaller
• NT AUTHORITYNETWORK SERVICE
• BULTINАдминистраторы
• IIS APPPOOL

Чтобы изменить настройки дисковых квот NTFS для нужной учетной записи, например увеличить ей лимиты или сделать еще более жесткие, вам необходимо щелкнуть по нужному профилю правым кликом и выбрать свойства.

Ставим для системных учетных записей пункт «Не ограничивать выделение места на диске», а то могут быть проблемы в системе с разными компонентами и программами.

В итоге у меня для специальных учетных записей получилось вот так. Те же действия вы можете выполнить и для обычных пользователей, например из руководства, кому либо вообще не нужны лимиты, что не правильно, либо же сделать их слегка побольше.

так же может быть ситуация, что есть пользователь который еще не входил на данный сервер, а значит его еще нет в списке записей в таблице квотирования. Вы хотели бы, чтобы у него были персональные квоты, отличающиеся от стандартных, в таком случае вы можете его добавить в ручную, для этого нажмите в левом углу кнопку «Квота» и выберите пункт «Создать запись квоты»

В окне добавления, отыщите нужную вам учетную запись, после чего назначьте ей персональные дисковые квоты.

Как посмотреть файлы профиля через записи квот

Я в очередной раз удивляюсь тупейшей логике компании Microsoft в плане реализации некоторых моментов. Предположим, что один из пользователей превысил квоту и вы хотели бы посмотреть, что именно у него в профиле. Логично, что вы можете воспользоваться утилитой DirStat и детально посмотреть, но логично, что в самом окне «Записи квот» должна быть такая функция, и вы никогда не догадаетесь, как она называется.

Вы должны выбрать пользователя, кликнуть по нему и выбрать пункт «Удалить», да да вы не ослышались, мать его Microsoft, где логика, а!

У вас откроется маленькое окно, в котором не то, что не особо видно сколько занимает, тот или иной файл, а его даже невозможно расширить. У вас тут будут доступны вот такие функции:

• Вы сможете безвозвратно удалить файлы
• Сможете сменить владельца, если нажмете эту кнопку на нужном файле или папке, то вы станете ее владельцем
• Переместить файлы или папки  в нужное расположение

После выхода из этого окна у меня выскакивает подсказка:

И тут до меня доходит, что если вы хотите реально удалить пользователя из таблицы «Записи квот», то у него в папке не должно быть ничего, для этого и получается, что можно либо отнять его файлы став владельцем, или же их удалить. Как понимаю, это сделано для устарелых профилей, логика странная, так как есть более правильные пути удалить пользователя.

Когда вы включили квотирование на томе с NTFS и создали белый лист с исключением, у вас у каждого пользователя появится вместо диска C: или того тома который он ранее видел, уже новый локальный диск, но он будет того объема, что вы ему выставили в максимальном пределе. У моего тестового пользователя, отдельная дисковая квота, верхняя планка лимита 400 МБ, а предупредительная 300 МБ, как видите в его отображении диск C: имеет размер 400 МБ.

Когда пользователь израсходует доступное ему дисковое пространство и если включены жесткие дисковые квоты на томе, то он получит вот такое предупреждение при попытке записать данные:

Тут у пользователя два выхода, это почистить свой профиль или же умолять системного администратора, чтобы тот увеличил ему лимиты.

Если посмотреть логи системы в просмотре событий, то в журнале система, вы обнаружите событие с кодом ID 36 NTFS

Вы увидите в строке пользователь, его логин в моем примете, это Барбоскин Геннадий Викторович.

И если пользователь у себя увидел предупреждение «Недостаточно места. Для копирования этого объекта нужно место. Удалите или переместите файлы для освобождения места», то в логах Windows вы обнаружите событие ID 37 NTFS:

Особенности поведения настроек у NTFS квот

Теперь хотел бы поделиться некоторыми особенностями, с которыми я столкнулся в момент эксплуатации данного решения. Во первых, предположим, что на начальном этапе вы выставили общие настройки квот 15 предел и 12 предупреждение, через какой-то момент вы решили изменить их и изменили на 10 и 8, на вкладке «Квота», логично что они должны изменить уже существующие, но не тут то было. Когда вы зайдете в «Записи квот», то увидите, что там остались старые значения, это потому, что для Windows, они как бы более приоритетные, нежели общие.

Чтобы установить новые значения вам нужно выделить все записи, кроме системных, щелкнуть правым кликом и задать параметры по новой вручную

Второй момент на который я обратил внимание, это было то, что общее число записей в квотах отличалось от того, сколько было профилей в системе, 4600 против 263.

Если посмотреть файлы дисковых квот, через меню удалить, то можно понять, что за данные остались у такого профиля, вот примеры. Остался лог от SCCM по пути C:WindowsCCM. Зайдите в папку, отфильтруйте по дате изменения и удалите старые.

Так же хвосты могут оставаться в корзине данного профиля, по пути C:$RECYCLE, почистить корзину у всех пользователей на терминальной ферме можно скриптом, ссылка на него слева.

После этого у вас будут записи с используемым размером 0 байт и вы их легко удалите, через соответствующую кнопку.

Дисковые квоты пользователей на файловой системе NTFS через GPO

Как я и писал в начале статьи, данные настройки вы легко сможете реализовать через централизованный механизм правления политиками рабочих станций в домене Active Directoty, но с некоторыми ограничениями. Открывает оснастку «Управление групповой политикой» создаем новую политику и переходим к ее редактированию. В новой политике перейдите по пути:

У вас будут вот такие пункты:

• Включить дисковые квоты — активация данного пункта, равно ценна простановки галки «Включить управление квотами». Если параметр включен, то пользователь уже не может его отключить локально из системы, галка не будет активной. Если вы отключаете этот параметр политики, то управление дисковыми квотами отключается, и пользователи не могут его включить. Если выставить «Не задано», то квот не будет и администраторы локально могут их переопределить

• Обеспечить соблюдение квоты — По сути, это активация галки жестких квот. Тут как и в первом случае, включение не позволит менять локально эти настройки, если стоит статус «Отключено», то место будет дальше выделять в мягком режиме. Не забываем, что данный параметр работает в совокупности с указанием порогов в другой настройке.
• Определить квоту и порог предупреждений по умолчанию — В данной опции вы задаете те пороговые значения с которых будет вестись предупреждения и запрет на выделение нового дискового пространства.

• Записать в журнал события при превышении квоты — простановка соответствующей галки на вкладке квот NTFS
• Записать в журнал событие, возникающее при превышении порога предупреждений квоты
• Применить политику к съемным носителям — Этот параметр политики распространяет действие политик дисковых квот, установленных для данной папки, на тома файловой системы NTFS съемных носителей. Если вы отключаете или не настраиваете этот параметр политики, политики дисковых квот, установленные для данной папки, применяются только к томам NTFS на несъемных носителях. Примечание. Если этот параметр политики включен, то дисковые квоты будут применяться и к съемным, и к несъемным носителям.

Далее вы назначаете созданную политику на организационное подразделение, содержащее объекты компьютеров и обновляете политику, после чего у вас появятся новые значения дисковых квот на локальных дисках.

Еще хочу отметить, что есть подобная настройка исключительно для пользователей, по ограничению их профилей, находится эта политика по пути:

Тут есть такой параметр «Ограничить размер профиля». Этот параметр политики устанавливает максимальный размер для каждого профиля пользователя и определяет реакцию системы при достижении профилем пользователя максимального размера. Этот параметр политики относится как к локальным, так и к перемещаемым профилям. Активация политики даст возможность подрезать размер пользовательских профилей до нужного размера, обратите внимание, что оно в килобайтах, не перепутайте. Есть возможность не учитывать файлы реестра, нужно ли уведомлять пользователя, что он превысил свой размер профиля. Что классное, вы можете задать нужный текст в окне уведомления и раздражающую частоту его появления.

Управление дисковыми квотами NTFS через командную строку

Многие вещи вы сможете выполнить и через командную строку, откройте ее от имени администратора и вызовите утилиту Fsutil.
Чтобы включить квоту диска на диске C:, команда будет выглядеть вот так:

На выходе вы получите активированные две галки «Включить управление квотами» и «Не выделять место на диске при превышении квоты»

Чтобы выключить дисковые NTFS квоты, выполните команду:

Чтобы включить мягкие квоты и просто детектировать события, имеет такая команда:

В итоге у вас активируется «Включать управление квотами», но не активируется «Не выделять место на диске при превышении квоты»

далее вы можете изменить лимитные пороги для нужного пользователя, в моем примере, это Барбоскин Геннадий. Предположим, что я хочу Гене дать порог предупреждения в 3 Гб, а потолок 5 ГБ. Делается это командой:

Обратите внимание, что цифры тут задаются в байтах, поэтому столько нулей.

Чтобы посмотреть текущие квоты, вы можете выполнить команду:

Своего Геннадия я нашел, и видно все пороговые значения. Получить события из журнала событий, о превышении квот вы можете через команду:

Подробнее про fsutil quota читайте по ссылке (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-quota)

Получить частоту обновления (перерасчета) таблицы квот, по умолчанию это 1 час, число может быть от 0 до 4294967295 (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-behavior). Данные значения в секундах, учтите это.

На этом у меня все, остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org.

Дата: 06.02.2015 Автор Admin

В данной статье я расскажу как настроить отказоустойчивый файловый сервер на Windows Server 2012 R2 в домене Active Directory   Первым делом убедитесь что сервер введен в домен Active Directory, далее установите роли DFS и файлового сервера

Выберите следующие роли и установите их.

Далее создайте структуру папок на отдельном диске.

Теперь включим общий доступ.

Выберите «расширенная настройка»

Далее выберите «Разрешения» и установите права как на скриншоте.

Теперь нам нужно создать структуру прав для наших каталогов в Active Directory.

Для начала рассмотрим из чего состоит наша файловая структура.

Теперь на ее основе создадим в Active Directory OU — File Sharing

Переходим в консоль пользователи и компьютеры, и создаем OU

Аналогичным путем создадим структуру наших папок

Теперь создадим комплекты прав.

Начнем мы с верхних папок.

Создадим 2-е локальные группы с правами RW и RO , и 2-е глобальные группы с правами RW и RO, и одну локальную L группу для листинга.

Разберем почему именно так.

В глобальных группах хранятся пользователи, для правильной работы глобальные группы входят в локальные.

Локальные группы назначаются на папки. Их членами являются глобальные группы.

Локальные группы лучше использовать если у вас 1 домен, если доменов несколько и между ними настроено доверие нужно использовать универсальные группы.

Рассмотрим на практике, создадим комплект прав для папки Office_Files.

Создадим 2-е глобальные группы :

GD-Office_Files-RO

GD-Office_Files-RW

Создадим локальные группы:

LD-Office_Files-RO

LD-Office_Files-RW

LD-Office_Files-L

Глобальные группы входят в локальные

Теперь настроим права на папке.

Откройте свойство папки и выберите вкладку безопасность

Добавьте созданные локальные группы

Расставьте права на чтение и запись

Теперь нажмите кнопку «Дополнительно»

Теперь нужно установить права на листинг

Выберите L группу и нажмите изменить

Теперь установите параметры как на скриншоте ниже

Обратите внимание что мы даем доступ только на листинг и только для данной папки.

Это нужно для того чтобы пользователь получивший права на папку не смог попасть в каталоги ниже если у него нет соответствующих прав.

Для корректной работы добавим в эту группу пользователей домена, чтобы они могли видеть корень каталога.

Также отключите наследование прав от корневого каталога диска.

По аналогии настроим права на каталог Moscow.

Создадим группы:

GD-Moscow-RO

GD-Moscow-RW

LD-Moscow-RO

LD-Moscow-RW

LD-Moscow-L

В Active Directory это должно выглядеть так:

Теперь настроим права на папку:

Настроим листинг.

Теперь настроим нижний каталог — HR.

Создаем группы по аналогии.

GD-MoscowHR-RO

GD-MoscowHR-RW

LD-MoscowHR-RO

LD-MoscowHR-RW

Должно получится так

Теперь добавим группы GD-MoscowHR-RO и GD-MoscowHR-RW в группу LD-Moscow-L

Это нужно для того чтобы пользователи у которых нет прав на папку Moscow могли попасть во вложенную папку HR.

При этом открывать файлы в папке Moscow они не смогут.

Настроим права на папку.

По аналогии создадим права на остальные папки.

Теперь добавим пространство имен.

Откроем консоль DFS и создадим пространство имен.

Указываем наш сервер.

Указываем название пути DFS.

Включаем режим 2008.

Создаем пространство.

Теперь создадим папку.

Далее указываем путь к папке. Путь можно посмотреть тут, выбрав «open share».

Создаем папку.

Теперь по данному пути — \test.comofficeOffice Мы видим нашу общую папку.

Теперь если добавить пользователя в группу GD-MoscowHR-RW, он сможет попасть в папку HR, но не сможет открывать или редактировать файлы в папке Moscow.

В другие папки пользователь тоже попасть не сможет.

Если мы добавим пользователя в группу GD-Moscow-RW, он будет иметь доступ на всю папку Moscow, на чтение и запись.

Если мы добавим пользователя в группу GD-Office_Files-RW, он получит доступ ко всем каталогам.

Теперь рассмотрим настройку ABE.

Создайте следующую структуру в Active Directory.

Откройте общий доступ к папке.

Настройте права на папках.

И так далее.

Теперь создайте папку в DFS.

Должно получится так.

Теперь включим ABE.

В диспетчере сервера откройте «Файловые службы» — «Общие ресурсы».

Выберите каталог IT, и нажмите свойства.

Далее выбираем параметры, и включаем функцию — «Перечисление на основе доступа».

Особенность функции ABE в том что она проверяет права пользователя до того как нужно показать папки в проводнике.

Другими словами, пользователь видит только те папки на которые у него есть права.

Для примера дадим пользователю support права на папку Support (добавим его в группу — GD-IT-Support-RW)

Теперь перейдем по пути — \test.comofficeIT

Как видите пользователь видит только папку Support.

Если мы добавим его в группу GD-IT-NetAdm-RO , то у него появится папка Network administrators с правами на чтение.

На этом настройка ABE закончена.

Учтите, что если в вашей файловой структуре нужно давать права пользователям на под каталоги, минуя корневые папки, то ABE вам не подойдет, т.к. ABE просто скроет от пользователя корневую папку, через которую пользователь попадает в подкаталог.

Перейдем в оснастку — Диспетчер ресурсов файлового сервера.

Настроим квоты.

Настроим мягкую квоту для папки Office_Files.

Настроим жесткую квоту для папки Support.

Теперь настроим блокировку файлов для папки Office_Files.

Выберем типы файлов, которые мы будем блокировать.

Настроим отправку сообщений по электронной почте.

Включим журнал.

Включим отчеты.

Учтите, без SMTP сервера отправка отчетов работать не будет.

Если вы хотите изменить группы файлов, то это можно сделать тут:

Создадим задачу управления файлами.

Представим что у нас есть папка Exchange. в которой пользователи обмениваются файлами.

Нам нужно сделать так, чтобы раз в период данная папка очищалась, а удаленные данные перемещались в папку Temp

Создаем задачу.

Задаем имя задачи.

Задаем путь и область.

Задаем свойства управления папками.

Задаем срок действия папки.

Настраиваем уведомление.

Задаем условие.

Настраиваем расписание.

Готово!

Теперь перейдем к настройке репликации.

Настройте сервер реплику (роли и доступы), введите его в домен.

Создаем на сервере реплике общую папку и отключаем наследование.

Назовем ее Office_Files, она будет репликой папки — Office_Files с основного файлового сервера.

Переходим на основной файловый сервер, и открываем консоль DFS.

Выбираем пространство имен, которое хотим реплицировать, и выбираем пункт «Добавить конечный объект папки».

Указываем общую папку со 2-го сервера.

На вопрос о создании группы репликации отвечаем — да.

Оставляем заполненное по-умолчанию.

Проверяем что указаны 2-а наших сервера, основной и резервный.

Указываем основной сервер.

Выбираем топологию — полная сетка.

Выбираем пропускную способность канала между серверами.

Проверяем все, и выбираем — создать.

Если все прошло успешно, то вы увидите это:

Для отказоустойчивости добавим пространство имен для отображения, на 2-м нашем сервере.

И выберем наше пространство имен.

Должно получится так.

Теперь добавьте 2-й в «серверы пространства имен» на основном сервере.

Теперь пространство имен будет доступно на 2-х серверах.

Также обратите внимание, что настройки диспетчера ресурсов файлового сервера, настройки ABE, не реплицируются на 2-й сервер.

Настройку данного сервера нужно будет производить заново.

Также помните, что DFS репликация файлов работает по принципу — кто последний тот и прав.

Например, если 2 пользователя одновременно отредактируют или создадут один и тот же файл, то DFS реплицирует тот файл, который был создан последним.

А предыдущий файл будет сохранен в папке DfsrPrivateConflictandDeleted на сервере разрешившем проблему.

На этом все!  Удачной настройки!