User configuration policies windows settings folder redirection

С помощью перенаправления папок (Folder Redirection) вы можете хранить некоторые стандартные каталоги профиля пользователя (специальные папки, типа Desktop, Documents, Pictures, Downloads) в сетевой папке на файловом сервере. Перенаправленные папки работают примерно также как подключенные сетевые диски (информация читается и записывается непосредственно на файловый сервер). В этой статье мы рассмотрим, как настроить перенаправления папок на компьютерах пользователей в домене Active Directory с помощью групповых политик.

Преимущества использования перенаправляемых папок:

• Возможность организации централизованного резервного копирования данных пользователей на файловом сервере (вместо резервного копирования на рабочих станциях);
• Пользователь при входе на любой компьютер может получить доступ к своим персональным файлам;
• Возможность управления разрешенным контентом в документах (с помощью роли FSRM в Windows Server) и ограничения размера профиля пользователя с помощью дисковых NTFS квот;
• Перенаправленные папки можно использовать как для рабочих станций, так и для терминальных серверов (Remote Desktop Services);
• При использовании Folder Redirection в RDS совместно с перемещаемыми профилями User Profile Disks или профилями FSlogix можно добиться уменьшения нагрузки на сеть и ускорения загрузки профиля за счет того, что данные из перенаправленных папок не нужно каждый копировать на RDS хост при входе и обратно при выходе.

Настройка перенаправленных папок выполняется в два шага:

1. Создание сетевой папки на файловом сервере и настройка прав доступа;
2. Настройка перенаправления папок в GPO.

Создайте в домене группу пользователей, для которых вы хотите включить перенаправление папок. Можно создать группу и добавить в нее пользователей с помощью PowerShell или из консоли ADUC:

New-ADGroup spb-FolderRedirection -path 'OU=Groups,OU=SPB,DC=corp,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity spb-FolderRedirection -Members user1,user2,kbuldogov

Создайте на файловом сервере сетевую папку, в которой вы будите хранить перенаправленные папки

Для файлового сервера Windows Server, на котором будут хранится личные каталоги пользователей желательно использовать отказоустойчивую конфигурацию с помощью Windows Failover Cluster, DFS и/или обеспечить отказоустойчивость на уровне виртуализации: VMware HA, кластер Hyper-V, и т.д.).

Для хранения папок пользователей желательно использовать отдельный диск (а не системный диск C:). Создайте и опубликуйте сетевую папку на файловом сервере из проводника Windows или с помощью команды PowerShell New-SmbShare

New-SmbShare -Name RedirFolder -Path D:RedirFolder –description “Users Redirected Folders”

Теперь нужно настроить корректные NTFS разрешения на папку, чтобы каждый пользователь мог получить доступ только к своим файлам.

На вкладке Security (Безопасность) необходимо нажать кнопку Advanced и отключить наследование нажав на кнопку Disable Inheritance. При появлении запроса, выберите Convert inherited permissions into explicit permissions on the object.

Удалите из списка NTFS разрешений группы Users /Authenticated Users, и оставьте такие права:

• Administrators
  (Full control, This folder, subfolders and files)
• SYSTEM
  (Full control, This folder, subfolders and files)
• CREATOR OWNER
  (Full control, Subfolders and files only)

Теперь добавьте группу безопасности spb-FolderRedirection, и предоставьте такие разрешения на корневую папку (This folder only):

• Traverse Folder/Execute File
• List Folder/Read Data
• Read Attributes
• Read Extended Attributes
• Create Folder/Append Data
• Read Permissions

В свойства сетевой папки предоставьте (Sharing –> Advanced Sharing -> Permissions) предоставьте Full Control.

В такой конфигурации пользователям разрешено создать папки в каталоге, а доступ к содержимому вложенных папок будет только у владельцев-пользователей.

Теперь можно создать групповую политику перенаправления папок для пользователей.

Запустите консоль управления доменными политиками (
gpmc.msc
), создайте новую GPO и назначьте на Organizational Unit с пользователями.

Чтобы политика применялась только для указанных пользователей, нужно в Security Filtering убрать Authenticated Users и добавить группы
spbFolderRedirection
и
Domain Computers
.

Перейдите в режим редактирования GPO и разверните секцию User Configuration -> Policies -> Windows Settings -> Folder Redirection.

Здесь находятся опции для перенаправления различных папок профиля пользователя. В этом примере я настрою перенаправления только для папки Documents (остальные папки настраиваются по аналогии).

Перенаправление каталога AppData(roaming) профиля используется крайне редко.

Откройте свойства раздела Documents и укажите следующие параметры перенаправления каталога:

• Settings: –
  Basic, Redirect everyone’s folder to the same location
• Target folder location:
  Create a folder for each user under the root path
• Root path:
  \msk-fs03RedirFolder
  (UNC путь к ранее созданному сетевому каталогу)

На вкладке Settings есть еще несколько настроек:

• Grant the user exclusive rights to Documents – можно отключить, т.к. мы ранее уже настроили корректные NTFS разрешения
• Move the contents of Documents to the new location – нужно ли перемещать имеющиеся файлы в документах пользователя в папку на файловом сервере
• Redirect the folder back to the local user profile location when the policy is removed – эта опция позволяет включить офлайн доступ к данным (через автономные файлы Windows), и определяет поведение при отключении GPO

Добавьте ваш файловый сервер и/или домен в доверенную местную интрасеть с помощью параметра GPO Site to Zone Assignment List (Список назначений зоны для веб-сайтов) в Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page;

В настройках политики нужно указать список доверенных серверов в формате:

• Имя сервера или домена (в виде
  file://server_name
  ,
  \server_name
  или IP )
• Номер зоны (
  1
  – Для местной интрасети)

Иначе при запуске ярлыков и исполняемых файлов из перенаправленного каталога могут появляться предупреждения системы безопасности Windows.

Теперь можно проверить работу групповой политики перенаправления папки. Завершите сеанс пользователя на компьютере и войдите опять (для обновления настроек GPO).

Теперь откройте свойства папки Documents и убедитесь, что теперь в качестве Location указан UNC путь к вашему файловому серверу.

Вы можете создавать файлы и папки в каталоге Documents, и они будут доступны пользователюс любого компьютера в вашем домене.

В прошлый раз мы развернули отказоустойчивую ферму RD Connection Broker с участием трёх серверов RD Session Host. В этой заметке будет описана часть процесса настройки серверов фермы, в частности, в части настройки пользовательской среды – включение механизмов перемещаемых профилей (Roaming User Profiles) и перенаправления папок пользователей (Folder Redirection).

Для управления параметрами настройки пользовательских профилей воспользуемся групповыми политиками. Создадим объект доменной групповой политики (GPO), который будет настраивать все сервера RD Session Host (RDSH) в нашей ферме RD Connection Broker

Создаём объект групповой политики

В нашем примере GPO будет называться KOM-AD01-OU-CU-SA-RDCB-Farm-Policy и будет прилинкован к контейнеру в домене (OU), в котором расположены только учетные записи серверов RDSH входящих в нашу ферму.
 

Для начала в GPO включим режим обработки «замыкания на себя» в режим замены.

Computer Configuration/Policies/Administrative Templates/System/Group Policy

Политика: User Group Policy loopback processing mode
Значение: Enabled
Режим: Replace

Такая настройка позволит сделать так, чтобы при обработке GPO, при входе пользователя на сервера фермы, применялись настройки пользовательского окружения исключительно из этой политики и игнорировались любые другие пользовательские настройки из других доменных политик. Это нам нужно для того, чтобы свести к минимуму возможные конфликты одних и тех же пользовательских настроек имеющихся в разных GPO с целью сделать процесс управления пользовательской средой на серверах фермы максимально жёстким и предсказуемым.

Практика показывает, что можно совмещать настройки нескольких политик с включённым режимом замыкания, главное не забыть про порядок применения этих политик. Это может быть полезно если у вас несколько ферм, каждая из которых имеет уникальные настройки, а основная масса настроек является одинаковой для всех ферм. Вот пример линковки политик для такой конфигурации:

Далее мы рассмотрим несколько параметров групповых политик, которые нам нужно будет использовать для настройки работы механизмов перемещаемых профилей и перенаправления папок, а также нескольких связанных с этим параметров. 

Включаем перемещаемые профили

В созданной групповой политике, прежде всего включаем параметр добавляющий группу администраторов к параметрам безопасности для создаваемых папок перемещаемых профилей пользователей (Roaming User Profiles).

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Add the Administrators security group to roaming user profiles
Значение: Enabled

Этот параметр обеспечивает администратору полный контроль над всеми папками профилей пользователей и его нужно установить на первоначальном этапе конфигурирования фермы, так как он применяется лишь при создании новых пользовательских профилей.

Следующим в GPO включаем параметр указывающий месторасположение сетевого каталога для хранения перемещаемых профилей пользователей

Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Set path for Remote Desktop Services Roaming User Profile
Значение: Enabled
Путь: \holding.comServicesRDS_Profiles

Обратите внимание на то, что в нашем случае для указания пути используется линк в доменном пространстве имён DFS, хотя может быть и указан сетевой каталог непосредственно на каком-то файловом сервере. В нашем примере, соответствующий линк в DFS holding.comServicesRDS_Profiles ссылается на физический сетевой каталог FileServer01RDS_Profiles$. Рассмотрим подробней настройку этого каталога.

Сетевой каталог, в котором будут создаваться и храниться перемещаемые профили, должен быть расположен на файловой системе NTFS и иметь определённый запас свободного места. Строя отказоустойчивое решение фермы RDS весьма желательно не делать сетевой каталог перемещаемых профилей узким местом (точкой отказа) и при возможности подумать о размещении данного ресурса в высокодоступной кластеризованной среде.

Для каталога зададим разрешения безопасности рекомендованные в статье Windows Server TechCenter- Security Recommendations for Roaming User Profiles Shared Folders

NTFS разрешения на каталог:

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения пользовательских профилей. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_Profiles$=«D:RDS_Profiles» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для вышеупомянутой группы доступа. Обратите внимание на то что имя сетевого каталога мы используем со знаком $ (скрытый каталог).

Так как мы открываем на листинг содержимое корневой папки для всех пользователей терминальной фермы, то в качестве дополнительных мер безопасности для созданного сетевого каталога можно включить применение технологии Access-based enumeration (ABE), которая позволит отображать только те папки, к которым пользователь имеет доступ. Сделать это можно через оснастку Share and Storage Management (StorageMgmt.msc) открыв свойства соответствующей сетевой папки на файловом сервере.

В свойствах сетевой папки мы увидим то, что по умолчанию механизм ABE выключен и для того, чтобы задействовать его, вызовем настройку расширенных параметров по кнопке Advanced

В открывшемся окне включим соответствующую опцию — Enable Access-based enumeration

Дополнительно хочу отметить, что перед началом применения механизма перемещаемых профилей стоит прислушаться к рекомендациям описанным в статье Windows Server TechCenter — Recommendations for Roaming User Profiles, в частности:

• Не использовать для хранения профилей дисковые тома с Encrypting File System (EFS), так как эти две технологии несовместимы.
• Не использовать для хранения профилей дисковые тома с включенной компрессией NTFS, так как это может вызвать усиленную фрагментацию данных.
• Очень внимательно подойти к вопросу применения дисковых квот. Недостаток места с процессе сохранения профиля может привести к потере пользовательских данных.
• Не использовать режим автономной работы (Offline Folders) для сетевого каталога хранения профилей.

В случае возникновения проблем в работе перемещаемых профилей, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%DebugUsermodeUserenv.log
ключом реестра (в случае отсутствия ключа его нужно создать)

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Ключ: UserEnvDebugLevel REG_DWORD = 0x30002

Ограничение общего размера кэша перемещаемых профилей

Эта политика позволит нам по сути задействовать режим обслуживания кэшированных профилей на каждом из серверов фермы и в случае необходимости удалить устаревшие кэши профилей (не путать с самими перемещаемыми профилями которые хранятся в сетевом каталоге)

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Limit the size of the entire roaming user profile cache
Значение: Enabled  
Интервал мониторинга (в минутах): 1440 
Максимальный размер кэша (в ГБ): 30

Интервал мониторинга определяет, как часто проверяется размер всего кэша перемещаемых профилей на каждом сервере. Когда размер всего кэша перемещаемых профилей пользователей превышает заданный максимальный размер, самые старые (использовавшиеся максимально давно) перемещаемые кэшированные профили пользователей будут удаляться, пока размер всего кэша перемещаемых профилей пользователей не станет меньше заданного максимального размера.

Фоновая выгрузка пользовательского реестра

По умолчанию изменения в перемещаемом профиле пользователя сохраняются только в процессе его выхода из системы. На практике можно встретить ситуацию когда пользовательский сеанс может находиться в активном состоянии длительное время и в этом случае, возможно, будет полезным включение новой политики фонового сохранения данных пользовательского реестра.

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Background upload of a roaming user profile’s registry file while user is logged on
Значение: Enabled
Метод планирования запуска: Run at set interval
Интервал (часов): 1

При такой настройке данные пользовательского реестра для активных сеансов будут сохраняться в фоновом режиме каждый час.

Включаем перенаправление папок

В процессе работы размер пользовательских профилей может увеличиваться, что в последствии приводит к более длительной процедуре загрузки/выгрузки перемещаемого профиля. Чтобы избежать этой проблемы, наряду с механизмом перемещаемых профилей задействуем механизм перенаправления папок пользователей (Folder Redirection). Механизм перенаправления папок позволяет определённый набор папок профиля не копировать каждый раз при входе и выходе пользователя, а установить в сессии пользователя перенаправление к этим данным, расположенным в сети.

Может возникнуть мысль о том, чтобы совместить расположение перемещаемых профилей с расположением перенаправляемых папок в одном физическом сетевом каталоге. Однако в документе Windows Server TechCenter — Best Practices for User Profiles можно найти рекомендацию разделения этих данных. Также встречаются обсуждения, говорящие о возникающих проблемах при попытке такого совмещения — Windows Server TechCenter Forums — Roaming profile and Folder Redirection

Настройка механизма перенаправления папок возможна через раздел групповой политики User Configuration/Policies/Windows Settings/Folder Redirection и в текущей версии содержит параметры для 13 папок:

Рассмотрим настройку на примере папки Desktop. На закладке Target eсть два основных режима перенаправления – Базовый (Basic) и Расширенный (Advanced). Базовый режим позволяет явным образом указать месторасположение папки в сети и эта настройка будет распространяться на всех пользователей к которым применяется данная политика. Расширенный режим позволяет комбинировать внутри одной политики несколько разных сетевых расположений папки в зависимости от членства пользователя в той или иной доменной группе безопасности. В разных источниках можно встретить рекомендацию использовать Расширенный режим только в крайних случаях, так как в некоторых ситуациях при такой настройке процесс входа пользователей может значительно затягиваться. В нашем примере используется Базовый режим перенаправления – Basic – Redirect everyone’s folder to the same location

В параметрах определяющих расположение папки выберем — Create a folder for each user under the root path, что приведёт к тому, что для каждого пользователя будет автоматически создаваться подкаталог в корневом каталоге указанном в поле Root Path

Обратите внимание на то, что в примере снова используется путь из доменного пространства имён DFS. Эксперименты показали, что если поменять этот путь в политике после того как перемещаемые папки были хоть раз использованы со старым путём – это приводит к неадекватному поведению профиля, которое лечится в последствии полным пересозданием профиля. Поэтому при задании путей в политиках перенаправляемых папок нужно уделить особое внимание вопросу планирования, чтобы постараться свести на нет в будущем возможные изменения указанных путей. А если вы по каким-то причинам не используете DFS, то для абстрагирования от конкретного пути к файловому серверу можно будет обойтись созданием алиаса в DNS (CNAME), который в последствии можно будет при необходимости легко изменить. Возможно кто-то здесь не согласится со мной и сможет в комментариях привести свои доводы о том, что изменение путей к перенаправляемым папкам не приводит к каким-либо проблемам в уже используемых ранее профилях.  

Если на закладке Settings не отключить включенную по умолчанию настройку Grant the user exclusive rights to … то в процессе создания папки на неё не будут предоставлены права группе Администраторов (только создателю-владельцу и системе), что в перспективе может усложнить процесс администрирования этих папок. Учтите, что эту настройку нужно отключать как можно раньше, так как она действует только в процессе создания новых пользовательских папок и к уже созданным ранее папкам не применяется.

Таким образом, можно по аналогии настроить все остальные папки с одним исключением — для папок Pictures, Music, Videos можно установить настройку Follow the Documents folder , которая означает то, что настройки для этих папок будут использоваться те же что установлены для папки Documents 

В ходе тестов выяснилось, что при включении такого режима  папки Pictures, Music, Videos вкладываются в папку Documents и тем самым создают дополнительную путаницу, так как в пользовательском интерфейсе уже есть механизм Библиотек логически разделяющий все эти 4 папки. Поэтому, на мой взгляд, лучше настроить политики для этих папок по аналогии со всеми другими папками, то есть так же, как указано в примере с с папкой Desktop

Теперь поговорим о сетевом каталоге, указываемом в качестве Root Path.
Сетевой каталог, в котором будут создаваться и храниться перенаправляемые пользовательские папки, должен быть расположен на файловой системе NTFS и иметь запас свободного места. По сути, к этому каталогу можно отнести все те же требования, что и к каталогу перемещаемых профилей.

Для каталога зададим разрешения безопасности рекомендованные в статье VirtualizationAdmin.com — Patrick Rouse — How To Configure Folder Redirection

NTFS разрешения на каталог:

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения перенаправляемых пользовательских папок. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_RFolders$=«D:RDS_RFolders» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для соответствующей группы доступа. Сетевой каталог также скрытый.

Также как и в случае с каталогом перемещаемых профилей, для каталога перенаправления папок логично будет включить применение технологии Access-based enumeration (ABE), которая позволит отображать пользователям только те папки к которым он имеет доступ.

При перенаправлении папок, например Desktop и Start Menu есть особенность. После того как политика начинает действовать и папки начинают работать как перенаправленные, при попытке запуска ярлыков появляется предупреждение безопасности, связанное с тем, что фактически запуск происходит с сетевого ресурса

Чтобы избежать подобных предупреждений, файловый сервер, на котором размещены перенаправленные папки, нужно добавить в список зоны узлов локальной интрасети Internet Explorer – Local intranet в формате file://FileServer01 — для конкретного файлового сервера или, например, file://holding.com — для всего FQDN домена (при этом в политиках перенаправления папок ссылки на файловый ресурс также должны быть представлены в формате FQDN). Как показывает практика, префикс file:// использовать не обязательно.

Для централизованной настройки зоны узлов локальной интрасети Internet Explorer настроим в нашей групповой политике соответствующий параметр:

User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page

Политика: Site to Zone Assignment List
Значение: Enable

Для настройки самого списка узлов нажмём кнопку Show

В открывшемся списке узлов в столбец Value name введём имя файлового сервера или сразу всего домена, а в поле Value поставим 1, что будет означать что эта запись относиться к зоне Local intranet   

После применения данной политики предупреждения безопасности при запуске ярлыков должны исчезнуть.

Далее хочется отметить особенности перенаправления папки AppData(Roaming). При перенаправлении этой папки следует понимать что реально в процессе перенаправления участвует лишь подкаталог AppDataRoaming профиля пользователя, а подкаталоги AppDataLocal и AppDataLocalLow используются как локальные. Для примера можно привести вывод команды SET отображающей значение переменных пользовательского окружения:

На самом деле необходимость перенаправления папки AppData(Roaming) нужно рассматривать индивидуально в каждой конкретной ситуации. Дело в том, что разработчики программного обеспечения, которое возможно будет использоваться в ферме RDS с перемещаемыми профилями и перенаправление папок, далеко не всегда уделяют должное внимание вопросам архитектуры приложения с точки зрения размещения файлов этого приложения. Если приложение вместо того чтобы хранить в AppData(Roaming) пользовательские статические данные больших размеров используют эту папку через чур интенсивно, – в таких ситуациях перенаправление этой папки может отрицательно сказаться на производительность работы такого приложения и создать неоправданную сетевую нагрузку.

Также следует помнить о том, что некоторые приложения имеют собственные возможности изменения своих настроек для оптимизации использования папки AppData, например если вы предоставляете своим пользователям в терминальных сеансах возможность работать с Outlook подключенному к Exchange, то вполне резонно будет отключить режим кэширования в настройках Outlook.

В случае возникновения проблем в работе перенаправления папок, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%debugusermodefdeploy.log ключом реестра

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindows NTCurrentVersionDiagnostics
Ключ: FdeployDebugLevel REG_DWORD = 0x0f

Ожидание полной загрузки профиля

В некоторых случаях, например в высокозагруженных средах, может возникать ситуация когда служба профилей в процессе входа пользователя не смогла достаточно быстро загрузить перемещаемый профиль из сетевого расположения, и предупредив пользователя об обнаружении медленного подключения, загружает локальную копию кэшированного профиля. Для того чтобы предотвратить загрузку локальной кэшированной копии и заставить службу профилей дожидаться полной загрузки профиля включим политику:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Wait for remote user profile
Значение: Enabled

Ограничение пользователя одним сеансом

Несмотря на то, что пользовательскими сессиями будет управлять RD Connection Broker и в теории он всегда будет перенаправлять пользователя в его существующий сеанс, возможно не будет лишним включение политики ограничения пользователя одним сеансом на каждом сервере:

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections

Политика: Restrict Remote Desktop Services users to a single Remote Desktop Services session
Значение: Enabled

Запрет работы с временными профилями

Возможны ситуации когда по каким-то причинам происходит повреждение пользовательского профиля. В конфигурации по умолчанию в случае невозможности загрузки профиля система загружает пользователю временный профиль и оповещает об этом пользователя. На практике были случаи когда пользователь не обращал внимание на данное сообщение и продолжал работу, сохраняя при этом какие-то свои данные в этом временном профиле. При завершении работы этого пользователя временный профиль уничтожался системой вместе с пользовательскими данными. Чтобы избежать подобных ситуаций запретим загрузку временных профилей политикой:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политка: Do not log users on with temporary profiles
Значение: Enabled

Подробный вывод статусной информации

Политика подробного вывода статусной информации в процессе загрузки и выгрузки пользовательского профиля для пользователей даст визуальный эффект ускорения процесса загрузки, а для администраторов позволит быстро поверхностно понять на каком этапе могут происходить задержки выполнения

Computer Configuration/Policies/Administrative Templates/System

Политика: Verbose vs normal status message
Значение: Enabled

Это далеко не весь перечень параметров групповых политик, которыми можно гибко настраивать сервера RDSH в ферме RDCB, и их применение может варьироваться в зависимости от требований, предъявляемых к инфраструктуре удалённых рабочих столов в каждом конкретном случае. 

Источники информации:

• MSDN Blogs > Remote Desktop Services (Terminal Services) Team Blog > User Profiles on Windows Server 2008 R2 Remote Desktop Services
• Windows Client TechCenter — Managing Roaming User Data Deployment Guide
• Windows Server TechCenter — How to Configure Folder Redirection
• Group Policy Central — Best Practice: Roaming Profiles and Folder Redirection (a.k.a. User State Virtualization)

Case #

You need to configure folder redirection in Windows Server environments. This article provides step-by-step information on how to configure folder redirection. The instructions in this article are applicable to Windows 7 or later client operating systems and Windows Server 2012 R2 or later operating systems.

What is folder redirection? #

Folder redirection maps a local user folder to another location (either another local disk or a network path). This saves much storage space consumed on each local machine as well as provides roaming functionality for each domain user. Folder redirection applies to both domain joined workstations as well as to any user accessing an Active Directory environment using a VDI/SBC solution, such as Citrix Virtual Apps and Desktops. In the case of on-premise domain-joined PCs, the redirected folders are from the local workstation. In the case of Citrix or other DaaS solution, the redirected folders are from the Citrix VDA (or equivalent) servers.

Take into account that the more folders you redirect, the more storage space you will need for your users. It is a good idea to configure a quota at the top SMB share level, so that each user cannot go over their set quota, depending on your organization storage capacity.

The following folders can be redirected:

Solution #

File server requirements #

Beware of antimalware applications and the File Screening feature of the WIndows File server. These items can have an impact on the folder redirection operations. Also you may need to plan for DFS for high availability. Another option for high availability is file server cluster based on Windows Failover Clustering.

SMB settings #

Create a top level share in your file server, let’s call it R:UserHomes$ and provide a corresponding UNC path, let’s call it \fileserveruserhomes.

The following SMB permissions should be applied at this level (R:UserHomes$).

• Authenticated users = Read,Change
• Domain Admins = Full control
• All domain workstation computer objects = Full control
• All Citrix VDA (or equivalent) servers = Full control

Also set the following SMB parameters:

• Access based enumeration (ABE) = Enabled
• Continuous availability = Enabled
• Caching/Branch Cache = disabled
• Encrypt data access = disabled but you can optionally enable. This increases security but decreases performance.

Note on offline files and Branch Cache #

Ensure that caching is set to off. Do not enable offline files or branch cache.

Offline Files can be configured at computer level by setting the following policy Computer Configuration –> Policies –> Administrative Templates –> Network –> Offline Files.

At a user level the same policy can be found at User Configuration –> Policies –> Administrative Templates –> Network –> Offline Files. Set the policy “Prevent use of Offline Files” to Enabled.

NTFS permissions #

The following SMB permissions should be applied at this level (R:UserHomes$). Inheritance should be disabled at this level and proper NTFS permissions should be created from scratch as shown below.

• SYSTEM = Full control on folder, subfolders and files.
• CREATOR OWNER = Full control on subfolders and files only. Remember that each new user logging on to the domain will be creating its own new redirected folder and will be set automatically as the owner of that folder (i.e. full NTFS permissions).
• BackupAdmins = Full Control on folder, subfolders and files. BackupAdmins is a security group which can be used for the purposes of backing up the user data. No other users or administrators should have access to each user’s data.
• Domain users or Citrix users or other VDI-related AD group = must have special permissions on this folder only, as shown in the screenshot below.

Also all Citrix VDA servers or equivalent and all on-premise domain workstations must have the following permissions:

For any existing users which may need to be migrated from another environment/domain, also the following permissions must be applied on each user redirected folder (e.g. R:UserHomes$ExistingUserA):

• User must be made owner of their folder and all subfolders and files.
• User must have full permissions on their folder and all subfolders and files.

Group policy settings #

The following group policy should be configured, depending on which folders you need to redirect:

User Configuration –> Policies –> Windows Settings –> Folder Redirection.

Set the following options (for a Desktop redirection example):

In case of special purpose computers such as kiosks, folder redirection must be prevented by using Group Policy loopback processing with the Replace option. This way the user policies for kiosk users will be determined only based on the user policies applied at the Computer OU level where the users logon and the folder redirection policy will be ignored for them.

Further hints and tips #

Always test in a simulated environment which is as close to your production as possible. Ideally you should be using with a physical workstation which is domain joined in the production domain and with at least 2-3 domain-joined users. Also ensure that there is a solid end-user communication and training plan in place if they will be using folder redirection for the first time. If users have created shortcuts to documents or folders inside folders which are being redirected, it is possible to end up with broken shortcuts and broken Recent Documents, so make sure you test extensively and provide guidance to end users.

Finally refer to the following article for a step-by-step folder redirection configuration process when your file server also hosts the RDS server role: https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-folder-redirection.

Не многие знают что такое перенаправляемые папки и в чем их преимущество, в данной статье я кратко рассмотрю что же это все таки такое и приведу пример настройки перенаправляемых папок в среде AD.

Описание

Настроить перенаправление папок можно при помощи групповых политик (GPO). Объект GPO “ Перенаправленные папки ” используется для перенаправления специальных папок, таких как “Мои документы”, “Рабочий Стол”, “Мои рисунки” и т.п. в сетевое месторасположение, другими словами в сетевую шару с настроенными разрешениями таким образом, что доступ к своим документом будет иметь только их владелец. По умолчанию при выходе и входе в систему происходит синхронизация данных между машиной клиента и сетевым ресурсом, тем самым актуализируя состояние данных в обоих месторасположениях. Так же в сетевое месторасположение можно перенаправить профайл пользователя тем самым сохраняя некоторые персональные настройки пользователя, как например папку “Избранное”.

Преимущества

Преимущества налицо:

• Пользователь находясь на любой машине может получить доступ к своим документам;
• При крахе пользовательского компьютера не надо производить восстановление данных с “убитого” диска;
• Централизация хранения пользовательских данных в одном месте;
• Удобство выполнения административных задач, как например резервное копирование данных;
• Возможность отслеживания типа контента в документах пользователей;
• Возможность настроек дисковых квот, тем самым ограничивая дисковое пространство выделенное пользователю для специальных папок;

Задача

Перенаправить специальные папки “Мои документы”, “Рабочий Стол” и профайл пользователя в сетевое месторасположение.

Настройка сетевых ресурсов

Итак, настроим перенаправление папок “Мои документы”, “Рабочий Стол” и профайл в общую сетевую папку. Для начала необходимо создать несколько каталогов, назовем их – UserDocuments и UserProfiles, к данным каталогам необходимо предоставить общий доступ и настроить разрешения общего доступа.

UserDocuments

Свойства папки – Sharing – Advanced Sharing… — Permissions

Необходимо удалить группу Everyone и вместо нее добавить Authenticated Users выдав разрешения – Full Controll.
На вкгладке Security (Безобасность) необходимо нажать кнопку Advanced, убрать наследование сняв флажок с параметра Include inheritable permissions from this object’s parent, убрать из списка разрешений группу Users оставив разрешения по умолчанию:

• Administrators (Full control, This folder, subfolders and files)
• SYSTEM (Full control, This folder, subfolders and files)
• CREATOR OWNER (Full control, Subfolders and files only)

И добавить группу:

• Authenticated Users

С разрешениями только на эту папку (This folder only) отметив разрешения:

• Traverse folder / execute file
• List folder / read data
• Read attributes
• Read extended attributes
• Read Permissions

UserProfiles

Настривается по аналогии с UserDocuments, отличаюются настрйки разрешения для группы Authenticated Users:

• Traverse folder / execute file
• Create folders / append data

Настройка GPO

Настройки находятся в User Configuration:

Policies – Windows Settings – Folder Redirection

Так как необходимо настроить “Мои документы”, “Рабочий Стол” необходимо открыть свойства:

• Desktop
• Documents

Для обоих папок настройки следующие:

• Settings – Basic – Redirect everyone’sfolder to the same location
• Target folder location – Create a folder for each user under the root path
• Root path — \ServerNameUserDocuments

Настройка перенаправления профайла пользователя

Достаточно в свойствах пользователя отметить параметр:

• Profile – Profile Path

Указав путь к общей папке:

• \ServerNameUserProfiles

Folder Redirection in Group Policy allows a systems administrator to redirect certain folders from a user’s profile to a file server. In part 1 of this series, I’ll introduce Folder Redirection and show where to find it in the Group Policy Management Console

If you’re like me, you’ve probably gotten a frantic call from a customer because they have a computer that won’t boot and they have irreplaceable files on their local hard drive. Try adding clicking or grinding sounds coming from that computer along with no recent backup to the mixture. Sound familiar? That combination can add up to a very upset customer and possibly a very expensive bill if you have to get data restored from that failed hard drive.

The good news is that there is something you can start doing today to start combatting that problem: Folder Redirection in Group Policy. To get started with Folder Redirection, you’ll need to be running Active Directory (any functional level), have an available file server, and a management station running the Group Policy Management Console. As with most Group Policy, the latest version of the GPMC is preferred, but most of these settings are available in older versions.

So what exactly does Folder Redirection do? Folder Redirection takes common user profile folders from C:Users (or C:Documents and Settings in Windows XP) like the Desktop or Documents and puts them on a UNC path instead of the local hard drive of the computer.

In addition to the immediate benefit of having that data on a file server that is much easier to keep backed up, the user also gets the benefit of being able to go to multiple computers in your organization and still have access to their data. Using the default Windows settings and the default share settings on your file server, these redirections will be even made available offline automatically for your users. (Don’t worry, this can be controlled separately in Group Policy, which we’ll cover in a later article.)

Documents Redirected in Windows 7

In the GPMC, the Folder Redirection settings can be found in User Configuration > Policies > Windows Settings > Folder Redirection. If you’re using the GPMC in Windows XP, you can redirect Application Data, Desktop, My Documents, and the Start Menu. In addition, folders in Windows XP that are inside the My Documents folder like My Music and My Pictures will follow My Documents when it is redirected.

GPMC in Windows XP Showing Folder Redirection

If you’re using the GPMC in either Windows 7 or Windows Server 2008 R2, you’ll see that the list of folders that can be redirected is much longer. AppData (Roaming), Desktop, Start Menu, Documents, Pictures, Music, Videos, Favorites, Contacts, Downloads, Links, Searches, and Saved Games can all be redirected in Vista, 7, Server 2008, and Server 2008 R2.

GPMC in Windows 7 Showing Folder Redirection

In the next post of this series I will explain how to set up Folder Redirection.