Если вы храните рабочие файлы в рабочих папках, то сможете получать к ним доступ со всех своих компьютеров или других устройств, даже когда вы не в сети. Ниже приведены ответы на некоторые распространенные вопросы о рабочих папках в Windows 10 и приложении «Рабочие папки» для iOS и Android.
ИТ-администратор вашей организации настроит учетную запись рабочих папок. Завершив настройку, выполните одно из указанных ниже действий.
-
Если у вас Windows 10, нажмите кнопку Пуск , выберите пункт Рабочие папки > Настройка рабочих папок, а затем следуйте инструкциям. Если у вас возникли проблемы с настройкой рабочих папок или получением доступа к своим файлам, обратитесь к администратору.
-
Если у вас есть iPad или iPhone, установите приложение рабочих папок из AP p Store. Если у вас есть устройство с Android, установите приложение рабочих папок из магазина Google Play. Убедитесь, что устройство подключено к Интернету, запустите приложение и следуйте инструкциям по установке.
|
Кнопка |
Результат |
|---|---|
|
|
Открывает настройки приложения. Используйте ее, чтобы:
|
|
|
Изменяет способ сортировки файлов — по имени, типу, размеру или дате изменения. |
|
|
Позволяет выбрать определенные файлы, чтобы закрепить или открепить их. |
|
|
Позволяет закрепить файлы для их отображения в автономном режиме. |
Файлы, добавленные в рабочие папки, хранятся в следующих расположениях.
-
Компьютер или другое устройство. Если при настройке рабочих папок вы не изменяли их расположение, они будут храниться по адресу: C:Пользователиимя_пользователяРабочие папки (где имя_пользователя — это ваше имя пользователя Windows).
-
На сервере вашей организации.
-
На любом другом устройстве, на котором вы настроили рабочие папки.
Для хранения файлов рабочих папок обычно лучше всего указать расположение по умолчанию (C:Пользователиимя_пользователяРабочие папки, где имя_пользователя — это ваше имя пользователя Windows). Если вы хотите изменить расположение, выполните указанные ниже действия.
-
Нажмите кнопку Пуск , затем выберите Рабочие папки.
-
Выберите элемент Прекратить использование рабочих папок;
-
Нажмите кнопку Настройка рабочих папок.
-
На экране Знакомство с рабочими папками выберите элемент Изменить, а затем укажите новое расположение для хранения файлов рабочих папок.
Примечание: Вы можете выбрать расположение на другом диске, где больше места, но этот диск должен быть отформатирован в файловой системе NTFS и оставаться подключенным к вашему компьютеру.
Вы не сможете использовать определенные места на компьютере, которые зарезервированы Windows или зашифрованы. Если вы выбрали для файлов рабочих папок одно из этих расположений, появится сообщение «это расположение не работает».
В Windows зарезервированы следующие расположения:
-
папка Windows и вложенные в нее папки;
-
папка Program Files, папка Program Files (x86) и вложенные в них папки;
-
папки верхнего уровня в профиле пользователя (обычно это C:Пользователиимя_пользователя, где имя_пользователя — это ваше имя пользователя Windows);
-
папка верхнего уровня диска;
-
папка «Документы» и любая другая папка, перенаправляющая в другое расположение;
-
папки, зашифрованные с помощью шифрованной файловой системы EFS.
Если расположение, выбранное для рабочих папок, зашифровано, вы можете расшифровать его или выбрать другое расположение, а затем повторить попытку. Чтобы зашифровать расположение, выполните следующие действия.
-
В поле поиска на панели задач введите слово проводник и выберите Проводник.
-
Найдите зашифрованное расположение.
-
Нажмите на папку и удерживайте ее (или щелкните на ней правой кнопкой мыши), а затем выберите пункт Свойства.
-
На вкладке Общие нажмите кнопку Другие.
-
В разделе Атрибуты сжатия ишифрования снимите флажок Шифровать содержимое для защиты данных, нажмите кнопку ОК, а затем снова нажмите ОК.
Да, закрепление файлов в приложении «Рабочие папки» позволяет загрузить их на телефон или планшет и просматривать их в автономном режиме.
Чтобы закрепить закрепление, нажмите кнопку Выбрать файлы, а затем выберите пунктзакрепить.
Примечание: Приложение «Рабочие папки» позволяет обновить закрепленных файлы, если они были изменены с помощью других устройств. Однако приложение способно проверять обновления только в том случае, если оно запущено, а телефон или планшет подключен к Интернету.
В настоящее время приложение можно использовать для просмотра файлов рабочих папок, но не для отправки их измененных версий.
Коснитесь файла, чтобы увидеть его, а затем выберите пункт Открыть в.
Примечание: Так как некоторые приложения не поддерживают шифрование файлов, ваша организация может запретить открывать файлы рабочих папок в других приложениях. Либо их можно будет открыть только в некоторых приложениях, например таких, которые поддерживают шифрование службы управления правами (RMS).
В любом приложении Office выберите элементы Файл > Открыть > Этот компьютер, а затем найдите рабочие папки на компьютере (по умолчанию указан адрес C:Пользователиимя_пользователяРабочие папки, где имя_пользователя — ваше имя пользователя Windows).
Чтобы поиск этих файлов был еще проще, добавьте рабочие папки в список расположений файлов в меню Открыть и Сохранить как. Откройте приложение Office и выберите элементы Файл > Открыть > Добавление места > Рабочие папки.
Рабочие папки автоматически синхронизируют ваши файлы, пока компьютер или устройство подключены к Интернету. Но синхронизировать файлы можно и вручную. Так вы точно будете использовать последние версии. Для этого нажмите кнопку Пуск , а затем выберите Рабочие папки > Синхронизировать.
Зеленый цвет означает, что файлы и папки зашифрованы. Шифрование поможет защитить ваши рабочие файлы, если компьютер будет украден или другой пользователь будет работать на нем. Решение о необходимости шифровать файлы принимает ваша организация.
Зашифрованный файл нельзя расшифровать в рабочих папках, так как ваша организация определяет, следует ли шифровать файлы. Даже если вы сохраните личный файл в рабочих папках, а затем переместите его в другое расположение, к нему по-прежнему будут применяться политики безопасности вашей организации. Вы будете знать, что файл зашифрован, если его имя — зеленый.
Чтобы отменить политики безопасности для личных файлов выполните следующие действия.
-
В поле поиска на панели задач введите слово проводник и выберите Проводник.
-
Найдите рабочие папки (обычно они расположены по адресу C:Пользователиимя_пользователяРабочие папки, где имя_пользователя — это ваше имя пользователя Windows).
-
Переместите личные файлы из рабочих папок в другую папку на компьютере.
-
Нажмите и удерживайте файлы, которые нужно расшифровать (или щелкните на них правой кнопкой мыши), а затем выберите Удалить корпоративный контроль. Если вы переместите расшифрованные файлы обратно в рабочие папки, они снова будут зашифрованы.
Ваша организация управляет политикой того, как долго сохраняемые пароли можно использовать повторно. Поэтому вам может периодически вводить пароль рабочих папок.
Но если вы присоедините свое устройство к компьютерам на работе, запрос на введение пароля будет отображаться реже. Чтобы подключиться к рабочему месту, нажмите Start кнопку «Пуск», а затем выберите Параметры > учетные записи > рабочего доступа > Подключение.
Чтобы защитить ваши файлы, приложение «Рабочие папки»:
-
хранит файлы в зашифрованном виде;
-
использует четырехзначный секретный код.
Примечание: Некоторые приложения не поддерживают шифрование файлов. Файл из приложения «Рабочие папки» может открыться в другом приложении без шифрования. Дополнительную информацию см. в разделе «Как открыть файлы рабочих папок в других приложениях»?
Если ввести неправильный секретный код пять раз в строке, приложение перезагружает себя, чтобы попытаться обеспечить безопасность рабочих файлов. Сброс параметров приложения не затронет файлы, однако вам придется повторно ввести данные своей учетной записи и создать новый секретный код.
Если файлы не синхронизируются должным образом, рабочие папки выводят список файлов и причину, по которой они не были синхронизированы. Ниже приведены некоторые способы устранения проблем с синхронизацией.
-
Закройте файлы с проблемными файлами. Иногда это поможет устранить проблему.
-
Перезапустите компьютер.
-
Откройте проводник и переместите файлы с проблемными файлами в другую папку. Нажмите кнопку Пуск , а затем выберите Рабочие папки > Синхронизировать. Переместите файлы обратно в рабочие папки.
Сначала переместите свои личные файлы в другое место. Если ваши файлы зашифрованы, нажмите и удерживайте их (или щелкните их правой кнопкой мыши) и выберите Удалить корпоративный контроль, чтобы расшифровать их. Нажмите кнопку Пуск , а затем выберите Рабочие папки > Прекратить использование рабочих папок. Если управление вашим компьютером происходит в организации, этот параметр может быть недоступен.
Чтобы получить помощь от ИТ-администратора организации, в Windows 10 нажмитеStart кнопку «Пуск», а затем выберите пункт Рабочие папки > техническая Поддержка по электронной почте. Откроется приложение электронной почты с новым сообщением, которое содержит сведения о вашей учетной записи рабочих папок.
Дополнительные сведения можно найти на веб-сайте сообщества Майкрософт.
Если вы являетесь администратором, ознакомьтесь с дополнительными сведениями в разделе Обзор рабочих папок на сайте TechNet.
Skip to content
- ТВикинариум
- Форум
- Поддержка
- PRO
- Войти
Рабочие папки
Имя службы: workfolderssvc
Отображаемое имя: Рабочие папки
Состояние: не работает
Тип запуска: Вручную
Зависимости: нет
Описание по умолчанию
Эта служба синхронизирует файлы с сервером рабочих папок, благодаря чему их можно использовать на любом компьютере или устройстве, на котором вы настроили рабочие папки.
Нормальное описание
Служба, написанная специально для организаций, где сотрудникам требуется удалённо синхронизировать свои рабочие данные с корпоративной машиной через удалённое соединение. Настолько удалённое, что сотрудник находится вне зоны местоположения корпорации. Сотрудникам, использующим Рабочие папки, видимо, запрещено пользоваться BitTorrent Sync аналогами, и требуется доверять именно Microsoft, а не сторонним решениям без танцев с бубном.
Рекомендации
Учитывая следующее:
- Если вы нашли альтернативу Рабочим папкам или вовсе не используете эту функцию
Можете отключить службу.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Windows 11/10 and Windows 8.1 includes a new feature called Work Folders. If you have to work from anywhere on your different devices, then Work Folders are just what you would be looking for.
Work Folders in Windows 11/10/8.1 and Windows Server is a Bring Your Own Device Enhancement that will enable IT administrators to provide Information Workers the ability to sync their work data on all their devices. This is done by syncing user data from devices to on-premise file servers. In short, you can look at is as a free synced-storage alternative to OneDrive, that any business can self-host for their employees. Think of it as OneDrive hosted on your own server.
To set up Work Folders open Control PanelAll Control Panel ItemsWork Folders.
Click on Set up Work Folders. You will be asked to enter your domain email address or the Work Folders URL.
Once you have entered these details, click on Next. You will see a message saying Finding your data on the Work Folders server.
You will also find the settings for Work Folders in Group Policy under:
Users > Policies > Administrative Templates > Windows Components > Work Folders
Here you have to enable the Specify Work Folders settings and configure it.
Work Folders features:
- Provide a single point of access to work files on a user’s work and personal PCs and devices
- Access work files while offline and sync with the central file server when the PC or device next has Internet or network connectivity
- Maintain data encryption in transit as well as at rest on devices and allow corporate data to wipe through device management services such as Windows Intune
- Use existing file server management technologies such as file classification and folder quotas to manage user data
- Specify security policies to instruct user PCs and devices to encrypt Work Folders and use a lock screen password, for example
- Use Failover Clustering with Work Folders to provide a high-availability solution
Right now Work Folders is available on Windows 11/10/8.1 only, but Microsoft will soon be releasing an add-on client for Windows 7 and an App for the iPad too.
UPDATE: Windows 7 users may see this post on how to set up Work Folders in Windows 7.
How do I create a Work folder in Windows 11/10?
You can create a Work folder in Windows 11 and Windows 10 by following the aforementioned guide. That said, you need to open the Control Panel first and click on the Work Folders option. Then, click on the Set up Work Folders option, enter your Work email address, and click the Next button. It will fetch the folder details automatically from the Work Folders server. Once done, you can use the folder on your computer.
What are Work Folders in Windows?
Work Folders help system administrators to give the ability to the workers to synchronize their work across all the connected computers in real-time. It is kind of a shared folder but with more flexibility. It is mainly used in various organizations such as offices, businesses, etc.
You can read more about Work Folders on TechNet.
Related read: Work Folder sync Error 0x8007017C, The cloud operation is invalid.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Windows 11/10 and Windows 8.1 includes a new feature called Work Folders. If you have to work from anywhere on your different devices, then Work Folders are just what you would be looking for.
Work Folders in Windows 11/10/8.1 and Windows Server is a Bring Your Own Device Enhancement that will enable IT administrators to provide Information Workers the ability to sync their work data on all their devices. This is done by syncing user data from devices to on-premise file servers. In short, you can look at is as a free synced-storage alternative to OneDrive, that any business can self-host for their employees. Think of it as OneDrive hosted on your own server.
To set up Work Folders open Control PanelAll Control Panel ItemsWork Folders.
Click on Set up Work Folders. You will be asked to enter your domain email address or the Work Folders URL.
Once you have entered these details, click on Next. You will see a message saying Finding your data on the Work Folders server.
You will also find the settings for Work Folders in Group Policy under:
Users > Policies > Administrative Templates > Windows Components > Work Folders
Here you have to enable the Specify Work Folders settings and configure it.
Work Folders features:
- Provide a single point of access to work files on a user’s work and personal PCs and devices
- Access work files while offline and sync with the central file server when the PC or device next has Internet or network connectivity
- Maintain data encryption in transit as well as at rest on devices and allow corporate data to wipe through device management services such as Windows Intune
- Use existing file server management technologies such as file classification and folder quotas to manage user data
- Specify security policies to instruct user PCs and devices to encrypt Work Folders and use a lock screen password, for example
- Use Failover Clustering with Work Folders to provide a high-availability solution
Right now Work Folders is available on Windows 11/10/8.1 only, but Microsoft will soon be releasing an add-on client for Windows 7 and an App for the iPad too.
UPDATE: Windows 7 users may see this post on how to set up Work Folders in Windows 7.
How do I create a Work folder in Windows 11/10?
You can create a Work folder in Windows 11 and Windows 10 by following the aforementioned guide. That said, you need to open the Control Panel first and click on the Work Folders option. Then, click on the Set up Work Folders option, enter your Work email address, and click the Next button. It will fetch the folder details automatically from the Work Folders server. Once done, you can use the folder on your computer.
What are Work Folders in Windows?
Work Folders help system administrators to give the ability to the workers to synchronize their work across all the connected computers in real-time. It is kind of a shared folder but with more flexibility. It is mainly used in various organizations such as offices, businesses, etc.
You can read more about Work Folders on TechNet.
Related read: Work Folder sync Error 0x8007017C, The cloud operation is invalid.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Технология рабочих папок (Work Folders) позволяет организовать удаленный доступ пользователей к своим файлам на внутреннем файловом сервере компании и работать с ними в офлайн режиме с любого устройства (ноутбук, планшет или смартфон). При следующем подключения к сети все изменения в файлах на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем, как установить и настроить функционал Work Folders на базе файлового сервера Windows Server 2016 и клиента с Windows 10 .
В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.
Содержание:
- Установка и настройка роли Work Folders в Windows Server 2016
- Настройка клиента Work Folders
- Настройка клиента Work Folders групповыми политиками Windows
- Ошибка синхронизации Work Folders 0x80c80317
- Заключение
Установка и настройка роли Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.
В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).
Установка роли Work Folders с помощью PowerShell выполняется такой командой:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).
Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.
Откройте Server Manager, выберите роль File and Storage Services -> Work Folders. Выберите меню Tasks -> New Sync Share.
Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:finance.
Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате [email protected]
Затем указывается имя шары.
Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.
Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:
- Encrypt Work Folders – обязательное шифрование данных в каталоге Work Folder на клиенте с помощью BitLocker
- Automatically lock screen and require a password– автоматическая блокировка экрана через 15 минут неактивности устройства и защита его паролем (не менее 6 символов)
На этом настройка новой рабочей папки закончена.
Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе
New-SyncShare "Sales" C:sales –User "Sales_Users_Remote_WorkFolder"
Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.
Примечание. В тестовой конфигурации сертификат использовать не обязательно, требование наличия сертификата на клиенте можно игнорировать. См. команду ниже.
Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).
Совет. Для подключения внешних клиентов к серверу Work Folder для доступа и синхронизации файлов, нужно соответствующим образом настроить DNS имя сервера во внешней зоне, а также на межсетевом экране разрешить трафик к серверу по портам 80 и/или 443 TCP. Кроме того, для более комплексной защиты можно организовать доступ через сервер Web Application Proxy.
Настройка клиента Work Folders
В данном примере в качестве клиента Work Folders используется устройство с Windows 10. Настройка производится через имеющийся апплет в панели управления Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).
Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.
Далее нужно указать Email пользователя или URL адрес сервера Work Folders.
По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:
Reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionWorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.
На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%Work Folders и их размер не может превышать 10 Гб.
После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).
Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.
Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.
Через некоторое время данный каталог должен появится на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки Work Folders можно использовать две специализированные групповые политики в разделе User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:
- Specify Work Folders Settings – в ней можно указать URL адрес сервера Work Folders
- Force automatic setup for all users – инициирует автоматическую настройку клинета
Ошибка синхронизации Work Folders 0x80c80317
В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:
There was a problem, but sync will try again (0x80c80317)
В логе сервера при этом содержатся такие записи:
The Windows Sync Share service failed to setup a new sync partnership with a device. Database: \?C:usersSyncShareStateWorkFoldersMetadata; User folder name: \?C:FinanceWORKFOLDERS_ROOTUSER.TEST; Error code: (0x8e5e0408) Unable to read from or write to the database.
Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды
Repair-SyncShare -name Finance -user Domainuser1
Get-SyncUserStatus -syncshare Finance -user Domainuser1
Как правило, это решает проблему поломанной синхронизации.
Заключение
Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.
Технология рабочих папок позволяет пользователям получать удаленный доступ к своим файлам на внутреннем файловом сервере компании и работать с ними в автономном режиме с любого устройства (ноутбука, планшета или смартфона). При следующем подключении к сети все изменения файлов на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем вам, как установить и настроить функцию рабочих папок на основе файлового сервера Windows Server 2016 и клиента Windows 10 .
Файловый сервер под управлением Windows Server 2012 R2 может использоваться в качестве хранилища файлов, поскольку клиентами являются все версии Windows, начиная с Windows 7, а также устройства под управлением Android 4.4 или iOS 8 и более поздних версий (клиент рабочих папок для этих устройств является доступны в Google Play и App Store соответственно). Используя политики безопасности, клиенты рабочих папок могут быть обязаны хранить содержимое рабочих папок в зашифрованном виде, что обеспечивает защиту данных даже в случае утери / кражи устройства.
Роль рабочих папок в Windows Server 2016 можно установить из графического интерфейса диспетчера сервера или через PowerShell.
В первом случае в диспетчере сервера в роли File and Storage Services выберите службу Work Folders (необходимые компоненты IIS Hostable Web Core будут автоматически добавлены в установку).
Установка роли рабочих папок через PowerShell выполняется с помощью следующей команды:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Чтобы предоставить доступ к рабочим книгам в Active Directory, вам необходимо создать группы безопасности, в которые необходимо включить пользователей, которые смогут синхронизировать свои устройства с рабочими книгами на файловом сервере (для более быстрого обслуживания рабочих папок за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в эти группы только учетные записи пользователей, а не другие группы безопасности).
Следующим шагом является создание сетевых каталогов на файловом сервере, с которыми пользователи будут синхронизироваться. Эти каталоги можно создать из консоли Server Manager или из PowerShell.
Откройте диспетчер серверов, выберите «Файловые службы и службы хранения» -> «Роль рабочих папок». Выберите меню Activity -> New sync share.
Далее необходимо указать каталог, к которому будет предоставлен доступ. В нашем примере это папка C: financial.
Далее вам нужно выбрать, какая структура папок пользователя будет использоваться. Папки могут быть названы в соответствии с учетной записью пользователя (псевдонимом) или в формате user @ domain.
Затем указывается название шаров.
Далее вам необходимо указать группы доступа, которым вы хотите предоставить доступ к этому каталогу.
Ниже приведены политики безопасности книги, которые необходимо применить к клиенту. Есть две политики:
- Шифровать книги – Требуется шифрование данных в книге на клиенте с помощью BitLocker
- Автоматическая блокировка экрана и запрос пароля: автоматическая блокировка экрана через 15 минут бездействия устройства и защита его паролем (не менее 6 символов)
На этом настройка новой книги завершена.
Те же шаги для создания новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. Например, следующая команда создаст новую папку синхронизации и поделится ею с группой
New-SyncShare "Sales" C:sales –User "Sales_Users_Remote_WorkFolder"
Чтобы получить доступ к рабочим файлам через безопасный протокол HTTPS, действующий сертификат SSL должен быть связан с веб-сайтом IIS, который обслуживает рабочие книги.
Примечание. В тестовой конфигурации нет необходимости использовать сертификат; требование сертификата на клиенте можно игнорировать. См. Команду ниже.
Самый простой способ – использовать бесплатный SSL-сертификат от Let’s Encrypt. Процесс выдачи и привязки этого сертификата в IIS описан в статье Шифрование сертификата для Windows (IIS).
Совет. Чтобы подключить внешних клиентов к серверу рабочих папок для доступа к файлам и синхронизации, необходимо правильно настроить DNS-имя сервера во внешней зоне, а также разрешить трафик на сервер через TCP-порты 80 и / или 443 на брандмауэре. Кроме того, для более полной защиты доступ может быть предоставлен через прокси-сервер веб-приложения.
Настройка клиента Work Folders
В этом примере в качестве клиента рабочих папок используется устройство под управлением Windows 10. Настройка выполняется с помощью апплета, доступного в Панели управления -> Система и безопасность -> Рабочие папки (этот элемент недоступен в серверных версиях).
Чтобы начать настройку, нажмите кнопку «Настроить книги.
Далее вам необходимо указать электронную почту пользователя или URL-адрес сервера рабочих папок.
По умолчанию клиент подключается к серверу по защищенному протоколу HTTPS. В тестовой среде это требование можно отменить, выполнив команду на клиенте:
Reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionWorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным необходимо войти в систему и подтвердить свое согласие с политиками безопасности, которые будут применяться к клиенту.
В клиентах Windows рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге% USERPROFILE% Work Folders и не могут превышать 10 ГБ.
После подключения клиента к серверу создается каталог рабочих папок. Если файлы в книгах не изменились, клиент синхронизируется с файловым сервером каждые 10 минут. Синхронизация измененных файлов выполняется немедленно. Кроме того, если есть какие-либо изменения, сервер автоматически уведомляет других клиентов об обновлении своих данных с центрального сервера (поэтому изменения должны появиться как можно быстрее на всех подключенных устройствах).
Статус синхронизации, ошибки, свободное место на сервере можно посмотреть в той же записи панели управления.
Чтобы проверить задание синхронизации, создайте новый каталог в папке «Рабочие папки», затем выберите «Синхронизировать сейчас» в контекстном меню.
Через некоторое время этот каталог должен появиться на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки ваших книг вы можете использовать две специализированные групповые политики в Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Рабочие папки:
- Укажите параметры книги – здесь вы можете указать URL-адрес сервера книги
- Принудительная автоматическая настройка для всех пользователей – запускает автоматическую настройку клиента
Ошибка синхронизации Work Folders 0x80c80317
При тестовой настройке я обнаружил следующую ошибку при синхронизации файлов на клиенте:
Возникла проблема, но синхронизация будет повторяться (0x80c80317)
Журнал сервера содержит следующие записи:
Службе Windows Sync Share не удалось установить новое синхронизирующее взаимодействие с устройством. База данных: \? C: users SyncShareState WorkFolders Metadata; Имя папки пользователя: \? C: Finance WORKFOLDERS_ROOT USER.TEST; Код ошибки: (0x8e5e0408) Невозможно прочитать или записать в базу данных.
Эти ошибки указывают на проблему с механизмом синхронизации. В этом случае пользователь должен выполнить команды
Ремонт-SyncShare -name Finance -user Domain user1
Get-SyncUserStatus -syncshare Finance -user Domain user1
Обычно это решает проблему нарушения синхронизации.
Заключение
Поэтому мы рассмотрели, как настроить и использовать функцию рабочих папок в Windows Server 2016. Эта технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, и вы можете обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на устройство заказчика. Конечно, это решение далеко от удобства и гибкости облачного хранилища Dropbox или OneDrive, но основная проблема здесь заключается в простоте настройки и хранения данных внутри компании, а не в стороннем облаке. Кроме того, в книгах могут использоваться такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка кластеров файлов, управление доступом к данным с помощью динамического контроля доступа и инфраструктура классификации файлов.
Источник изображения: winitpro.ru
| ms.assetid | title | ms.topic | author | manager | ms.author | ms.date | description |
|---|---|---|---|---|---|---|---|
|
c91c7196-ee0d-4856-8cfb-4c38494ccf1f |
Work Folders overview |
article |
JasonGerend |
dougkim |
jgerend |
06/15/2020 |
An overview of Work Folders — a server role in Windows Server that provides a consistent way for users to access work files from PCs and devices. |
Work Folders overview
Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7
This topic discusses Work Folders, a role service for file servers running Windows Server that provides a consistent way for users to access their work files from their PCs and devices.
If you’re looking to download or use Work Folders on Windows 10, Windows 7, or an Android or iOS device, see the following:
- Work Folders for Windows 10
- Work Folders for Windows 7 (64 bit download)
- Work Folders for Windows 7 (32 bit download)
- Work Folders for iOS
- Work Folders for Android
[!NOTE]
The Work Folders application for Android and iOS is no longer being actively developed and will remain on the respective app stores if the application is functioning properly.
Role description
With Work Folders users can store and access work files on personal computers and devices, often referred to as bring-your-own device (BYOD), in addition to corporate PCs. Users gain a convenient location to store work files, and they can access them from anywhere. Organizations maintain control over corporate data by storing the files on centrally managed file servers, and optionally specifying user device policies such as encryption and lock-screen passwords.
Work Folders can be deployed with existing deployments of Folder Redirection, Offline Files, and home folders. Work Folders stores user files in a folder on the server called a sync share. You can specify a folder that already contains user data, which enables you to adopt Work Folders without migrating servers and data or immediately phasing out your existing solution.
Practical applications
Administrators can use Work Folders to provide users with access to their work files while keeping centralized storage and control over the organization’s data. Some specific applications for Work Folders include:
-
Provide a single point of access to work files from a user’s work and personal computers and devices
-
Access work files while offline, and then sync with the central file server when the PC or device next has Internet or intranet connectivity
-
Deploy with existing deployments of Folder Redirection, Offline Files, and home folders
-
Use existing file server management technologies, such as file classification and folder quotas, to manage user data
-
Specify security policies to instruct user’s PCs and devices to encrypt Work Folders and use a lock screen password
-
Use Failover Clustering with Work Folders to provide a high-availability solution
Important functionality
Work Folders includes the following functionality.
| Functionality | Availability | Description |
|---|---|---|
| Work Folders role service in Server Manager | Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 | File and Storage Services provides a way to set up sync shares (folders that store user’s work files), monitors Work Folders, and manages sync shares and user access |
| Work Folders cmdlets | Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 | A Windows PowerShell module that contains comprehensive cmdlets for managing Work Folders servers |
| Work Folders integration with Windows | Windows 10
Windows 8.1 Windows RT 8.1 Windows 7 (download required) |
Work Folders provides the following functionality in Windows computers:
— A Control Panel item that sets up and monitors Work Folders |
| Work Folders app for devices | Android
Apple iPhone and iPad® |
An app that allows popular devices to access files in Work Folders |
New and changed functionality
The following table describes some of the major changes in Work Folders.
| Feature/functionality | New or updated? | Description |
|---|---|---|
| Improved logging | New in Windows Server 2019 | Event logs on the Work Folders server can be used to monitor sync activity and identify users that are failing sync sessions. Use Event ID 4020 in the Microsoft-Windows-SyncShare/Operational event log to identify which users are failing sync sessions. Use Event ID 7000 and Event ID 7001 in the Microsoft-Windows-SyncShare/Reporting event log to monitor users that are successfully completing upload and download sync sessions. |
| Performance counters | New in Windows Server 2019 | The following performance counters were added: Bytes downloaded/sec, Bytes uploaded/sec, Connected Users, Files downloaded/sec, Files uploaded/sec, Users with change detection, Incoming requests/sec and Outstanding requests. |
| Improved server performance | Updated in Windows Server 2019 | Performance improvements were made to handle more users per server. The limit per server varies and is based on the number of files and file churn. To determine the limit per server, users should be added to the server in phases. |
| On-demand file access | Added to Windows 10 version 1803 | Enables you to see and access all of your files. You control which files are stored on your PC and available offline. The rest of your files are always visible and don’t take up any space on your PC, but you need connectivity to the Work Folders file server to access them. |
| Azure AD Application Proxy support | Added to Windows 10 version 1703, Android, iOS | Remote users can securely access their files on the Work Folders server using Azure AD Application Proxy. |
| Faster change replication | Updated in Windows 10 and Windows Server 2016 | For Windows Server 2012 R2, when file changes are synced to the Work Folders server, clients are not notified of the change and wait up to 10 minutes to get the update. When using Windows Server 2016, the Work Folders server immediately notifies Windows 10 clients and the file changes are synced immediately. This capability is new in Windows Server 2016 and requires a Windows 10 client. If you’re using an older client or the Work Folders server is Windows Server 2012 R2, the client will continue to poll every 10 minutes for changes. |
| Integrated with Windows Information Protection (WIP) | Added to Windows 10 version 1607 | If an administrator deploys WIP, Work Folders can enforce data protection by encrypting the data on the PC. The encryption is using a key associated with the Enterprise ID, which can be remotely wiped by using a supported mobile device management package such as Microsoft Intune. |
Software requirements
Work Folders has the following software requirements for file servers and your network infrastructure:
-
A server running Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 for hosting sync shares with user files
-
A volume formatted with the NTFS file system for storing user files
-
To enforce password policies on Windows 7 PCs, you must use Group Policy password policies. You also have to exclude the Windows 7 PCs from Work Folders password policies (if you use them).
-
A server certificate for each file server that will host Work Folders. These certificates should be from a certification authority (CA) that is trusted by your users—ideally a public CA.
-
(Optional) An Active Directory Domain Services forest with the schema extensions in Windows Server 2012 R2 to support automatically referring PCs and devices to the correct file server when using multiple file servers.
To enable users to sync across the Internet, there are additional requirements:
-
The ability to make a server accessible from the Internet by creating publishing rules in your organization’s reverse proxy or network gateway
-
(Optional) A publicly registered domain name and the ability to create additional public DNS records for the domain
-
(Optional) Active Directory Federation Services (AD FS) infrastructure when using AD FS authentication
Work Folders has the following software requirements for client computers:
-
PCs and devices must be running one of the following operating systems:
-
Windows 10
-
Windows 8.1
-
Windows RT 8.1
-
Windows 7
-
Android 4.4 KitKat and later
-
iOS 10.2 and later
-
[!NOTE]
The Work Folders application for Android and iOS is no longer being actively developed and will remain on the respective app stores if the application is functioning properly.
-
Windows 7 PCs must be running one of the following editions of Windows:
-
Windows 7 Professional
-
Windows 7 Ultimate
-
Windows 7 Enterprise
-
-
Windows 7 PCs must be joined to your organization’s domain (they can’t be joined to a workgroup).
-
Enough free space on a local, NTFS-formatted drive to store all the user’s files in Work Folders, plus an additional 6 GB of free space if Work Folders is located on the system drive, as it is by default. Work Folders uses the following location by default: %USERPROFILE%Work Folders
However, users can change the location during setup (microSD cards and USB drives formatted with the NTFS file system are supported locations, though sync will stop if the drives are removed).
The maximum size for individual files is 10 GB by default. There is no per-user storage limit, although administrators can use the quotas functionality of File Server Resource Manager to implement quotas.
-
Work Folders doesn’t support rolling back the virtual machine state of client virtual machines. Instead perform backup and restore operations from inside the client virtual machine by using System Image Backup or another backup app.
Work Folders compared to other sync technologies
The following table discusses how various Microsoft sync technologies are positioned and when to use each.
| Work Folders | Offline Files | OneDrive for Business | OneDrive | |
|---|---|---|---|---|
| Technology summary | Syncs files that are stored on a file server with PCs and devices | Syncs files that are stored on a file server with PCs that have access to the corporate network (can be replaced by Work Folders) | Syncs files that are stored in Microsoft 365 or in SharePoint with PCs and devices inside or outside a corporate network, and provides document collaboration functionality | Syncs personal files that are stored in OneDrive with PCs, Mac computers, and devices |
| Intended to provide user access to work files | Yes | Yes | Yes | No |
| Cloud service | None | None | Microsoft 365 | Microsoft OneDrive |
| Internal network servers | File servers running Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019 | File servers | SharePoint server (optional) | None |
| Supported clients | PCs, iOS, Android | PCs in a corporate network or connected through DirectAccess, VPNs, or other remote access technologies | PCs, iOS, Android, Windows Phone | PCs, Mac computers, Windows Phone, iOS, Android |
[!NOTE]
In addition to the sync technologies listed in the previous table, Microsoft offers other replication technologies, including DFS Replication, which is designed for server-to-server replication, and BranchCache, which is designed as a branch office WAN acceleration technology. For more information, see DFS Namespaces and DFS Replication and BranchCache Overview
Server Manager information
Work Folders is part of the File and Storage Services role. You can install Work Folders by using the Add Roles and Features Wizard or the Install-WindowsFeature cmdlet. Both methods accomplish the following:
-
Adds the Work Folders page to File and Storage Services in Server Manager
-
Installs the Windows Sync Shares service, which is used by Windows Server to host sync shares
-
Installs the SyncShare Windows PowerShell module to manage Work Folders on the server
Interoperability with Windows Azure virtual machines
You can run this Windows Server role service on a virtual machine in Windows Azure. This scenario has been tested with Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019.
To learn how to get started, see Virtual machines in Azure.
See also
| Content type | References |
|---|---|
| Product evaluation | — Work Folders for Android – Released (blog post) — Work Folders for iOS – iPad App Release (blog post) — Introducing Work Folders on Windows Server 2012 R2 (blog post) — Introduction to Work Folders (Channel 9 Video) — Work Folders Test Lab Deployment (blog post) — Work Folders for Windows 7 (blog post) |
| Deployment | — Designing a Work Folders Implementation — Deploying Work Folders — Deploying Work Folders with AD FS and Web Application Proxy (WAP) — Deploying Work Folders with Azure AD Application Proxy — Offline Files (CSC) to Work Folders Migration Guide — Performance Considerations for Work Folders Deployments — Work Folders for Windows 7 (64 bit download) — Work Folders for Windows 7 (32 bit download) |
| Operations | — Work Folders iPad app: FAQ (for users) — Work Folders Certificate Management (blog post) — Monitoring Windows Server 2012 R2 Work Folders Deployments (blog post) — SyncShare (Work Folders) Cmdlets in Windows PowerShell — Storage and File Services PowerShell Cmdlets Quick Reference Card For Windows Server 2012 R2 Preview Edition |
| Troubleshooting | — Windows Server 2012 R2 – Resolving Port Conflict with IIS Websites and Work Folders (blog post) — Common Errors in Work Folders |
| Community resources | — File Services and Storage Forum — The Storage Team at Microsoft — File Cabinet Blog — Ask the Directory Services Team Blog |
| Related technologies | — Storage in Windows Server 2016 — File and Storage Services — File Server Resource Manager — Folder Redirection, Offline Files, and Roaming User Profiles — BranchCache — DFS Namespaces and DFS Replication |
Популярность смартфонов, планшетов, ноутбуков и прочих мобильных устройств вынуждает компании принимать политику, позволяющую сотрудникам использовать персональные электронные устройства для работы и доступа к корпоративным ресурсам. Однако внедрение этой концепции порождает ряд проблем
:
- Возникает угроза безопасности корпоративных данных, поскольку устройство может быть украдено или потеряно.
- Хранение данных пользователя только на локальном жестком диске ноутбука или планшета неэффективно. В такой ситуации, например, невозможно управлять процессом создания резервных копий, а это означает, что в случае выхода жесткого диска из строя данные могут быть утрачены.
- Пользователи часто работают с несколькими устройствами (например, с ноутбуком и планшетом или планшетом и смартфоном), что затрудняет синхронизацию данных. Для обеспечения актуальности данных на всех используемых устройствах часто применяется Microsoft SkyDrive, Dropbox, Google Drive или аналогичное «облачное» хранилище. Однако эти службы изначально предназначены для хранения пользовательских, а не корпоративных данных. Хранение данных компании в таком месте ставит под угрозу их безопасность. Кроме того, администратор не может управлять работой этих служб на личных компьютерах пользователей, что затрудняет их применение в корпоративной среде.
- Пользователям, работающим на мобильных компьютерах (ноутбуках, планшетах и др.), включенных в корпоративный домен Active Directory, часто требуется доступ к данным компании, когда они находятся в автономном режиме. В Windows Server 2012 и более ранних версиях Windows для обеспечения локальной доступности данных на компьютере пользователя даже при отсутствии подключения к сети преимущественно применяется технология автономных файлов Offline Files. Однако при этом файлы синхронизируются только при подключении пользователя к локальной корпоративной сети. При продолжительном нахождении в автономном режиме существует большая вероятность, что данные, с которыми работает пользователь, окажутся устаревшими.
Для решения всех этих проблем в Windows Server 2012 R2 реализована новая технология рабочих папок Work Folders, позволяющая пользователю получать доступ к корпоративным данным независимо от его местонахождения, а администратору – управлять параметрами этой функции и данными пользователя.
Функция Work Folders открывает доступ к актуальным данным независимо от того, имеет ли пользователь подключение к локальной сети, то есть выполняет практически те же функции, что и «облачные» службы, с одним лишь отличием, которое заключается в том, что рабочие папки управляемы. Work Folders позволяет администратору управлять данными пользователей и их подключениями к рабочим папкам. Администратор может применять шифрование, управлять доступом пользователей к этой функции, а также принудительно устанавливать параметры безопасности на устройствах, использующих Work Folders, даже если они не принадлежат домену.
Применение Work Folders доступно для различных типов устройств независимо от их доменной принадлежности и наличия подключения к локальной сети (например, дома или в дороге). В отличие от других технологий аналогичного назначения в более ранних версиях Windows, рабочие папки могут быть опубликованы в интернете с помощью Web Application Proxy (возможность, также впервые реализованная в Server 2012 R2), что позволяет пользователям синхронизировать данные в любом месте, где есть подключение к интернету. Для публикации рабочих папок можно применять и другие механизмы, такие как Microsoft Forefront Unified Access Gateway (UAG). Можно также задействовать Forefront Threat Management Gateway (TMG), но это решение является устаревшим.
Реализация Work Folders
На момент написания этой статьи клиентская поддержка Work Folders доступна только для устройств под управлением Windows 8.1 и Windows RT 8.1. Однако Microsoft планирует распространить поддержку на устройства под Windows 8, Windows 7, а также на устройства на базе Apple iOS, такие как iPad. Есть сведения, что будут поддерживаться и устройства на базе Google Android. Так или иначе, очевидно, что Microsoft открывает двери AD для других платформ, от чего клиенты только выиграют.
Для включения Work Folders необходим, как минимум, один файловый сервер Server 2012 R2. Должны быть применены обновления схемы Server 2012 R2 по причинам, которые будут изложены ниже. Для полной реализации возможностей Work Folders (например, для использования групповой политики для установки параметров клиентов) рекомендуется (не обязательно) иметь, как минимум, один контроллер домена (DC) под управлением Server 2012 R2.
Применение Work Folders не требует повышения функционального уровня домена до Server 2012. Функциональность Work Folders фактически составляет подмножество роли файловых служб и служб хранилища File and Storage Services и легко устанавливается с помощью диспетчера серверов. Для более эффективного управления данными пользователя рекомендуется (не обязательно) также установить диспетчер ресурсов файлового сервера и включить дедупликацию данных. Диспетчер ресурсов файлового сервера File Server Resource Manager позволяет устанавливать квоты и политики блокировки файлов для папок пользователей. Дедупликация данных, впервые появившаяся в Server 2012, позволяет оптимизировать использование дискового пространства за счет того, что идентичные блоки данных записываются лишь однократно. Для защиты критически важных корпоративных данных, хранящихся в рабочих папках, рекомендуется также использовать службу управления правами Active Directory (AD RMS) или шифрованную файловую систему (EFS).
При установке функции Work Folders устанавливаются также ведущий базовый экземпляр IIS (Hostable Web Core) и средства управления IIS. Настройка параметров IIS не требуется, но необходимо назначить доверенный SSL-сертификат файловому серверу в консоли IIS и привязать его к порту 443 для веб-сайта по умолчанию. Сертификат должен содержать имя файлового сервера и имя, под которым будут публиковаться рабочие папки (если эти имена не совпадают). Сертификат должен быть доверенным для клиентов. Обычно доверенный статус не проблема для устройств, принадлежащих домену, но для собственных устройств, используемых в рамках концепции BYOD, могут понадобиться дополнительные действия (например, импорт сертификата Root CA в локальное хранилище сертификатов Trusted Root CA клиента), кроме тех случаев, когда используется общий сертификат от удостоверяющего центра (СА), который является доверенным в глобальном масштабе. Если предполагается задействовать функцию автообнаружения, которая будет рассматриваться ниже, то в сертификате должно быть указано SAN-имя workfolders.имя домена, где имя домена – это DNS-имя вашего домена.
После установки Work Folders подготовьте общий ресурс для хранения данных пользователя. Общий ресурс может располагаться в любом месте, доступном для файлового сервера, на котором установлены Work Folders. Для созданного корневого общего ресурса рекомендуется оставить предусмотренные по умолчанию разрешения для общего ресурса и разрешения NTFS и включить перечисление на основе доступа. Если перечисление на основе доступа включено, пользователи могут видеть только те папки, к которым им разрешен доступ.
Когда создан корневой общий ресурс, в диспетчере серверов запустите мастер создания общего ресурса синхронизации New Sync Share Wizard. В диспетчере серверов нажмите File and Storage Services, затем Work Folders, и в меню Tasks выберите New Sync Share. Мастер последовательно проходит процесс создания структуры рабочих папок. После выбора корневой папки, подготовленной в качестве общего ресурса, выберите формат образования имен вложенных папок («псевдоним пользователя» или «псевдоним@домен»). Если в лесу AD DS имеется несколько доменов, для образования имен рекомендуется использовать формат «псевдоним@домен».
Управление доступом к рабочим папкам может быть организовано по пользователям или группам. Соответствующая установка выполняется на странице Sync Access (см. экран 1). Пользователи или группа должны быть частью домена AD DS. Это означает, что, хотя принадлежность домену не является обязательной для устройств, пользователи все же должны иметь достоверные учетные данные Active Directory (AD). Для облегчения последующего управления рекомендуется задать группу. Рекомендуется также отключить наследование разрешений для Work Folders, чтобы каждый пользователь имел монопольный доступ к своим файлам.
 |
| Экран 1. Управление доступом к рабочим папкам |
На последней странице мастера можно задать дополнительные параметры безопасности для устройств, используемых для доступа к рабочим папкам. Как показано на экране 2, можно задать шифрование и автоматическую блокировку экрана, которая снимается после ввода пароля.
|
|
| Экран 2. Настройка дополнительных параметров безопасности на устройствах, используемых для?доступа к рабочим папкам |
Отметим, что применение параметров безопасности, относящихся к Work Folders, осуществляется не с помощью групповой политики. Параметры вступают в силу, когда пользователь устанавливает соединение с Work Folders, и применяются на компьютерах, как принадлежащих, так и не принадлежащих домену.
Настройка Work Folders на клиентах
На клиентах Windows 8.1 и Windows RT 8.1 настройка Work Folders может выполняться вручную или автоматически с помощь групповой политики. На компьютерах, принадлежащих домену, параметры проще устанавливать с помощью групповой политики, но в этом случае необходимо иметь, как минимум, один контроллер домена Server 2012 R2. Настройка клиентов, не принадлежащих домену, выполняется вручную. Рассмотрим оба метода, а также случай, когда имеется несколько файловых серверов.
Настройка клиентов с помощью групповой политики. Автоматическая настройка Work Folders на клиентах с помощью групповой политики требует установки нескольких параметров объектов групповой политики (GPO). Рабочие папки организованы по пользователям, поэтому в редакторе групповой политики (GPE) перейдите к разделу User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWork Folders и включите политику Specify Work Folders settings. Укажите URL-адрес рабочих папок, определяя местонахождение файлового сервера, где выполнена установка Work Folders. Обычно таким адресом является https://fileserverFQDN, где fileserverFQDN – полное доменное имя файлового сервера (FQDN).
Существует возможность принудительной автоматической настройки для каждого пользователя, которую следует применять с осторожностью, так как при ее включении у всех пользователей, к которым применим данный объект GPO, на каждом устройстве, где они будут регистрироваться (если это устройство поддерживает Work Folders), будет выполняться настройка Work Folders без запроса на подтверждение данного действия. В некоторых случаях (например, если пользователи работают на многих рабочих станциях) это может оказаться нежелательным.
При желании в разделе Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWork Folders редактора групповой политики можно применить параметр, предусматривающий автоматическую настройку Work Folders для всех пользователей. После этого на компьютерах, где применен данный параметр объекта GPO, для каждого пользователя, выполняющего процедуру регистрации, будет выполнена соответствующая настройка Work Folders, если этому пользователю разрешено применение Work Folders.
После применения этих параметров к пользователям (и, при желании, к компьютерам), пользователи домена смогут задействовать Work Folders после обновления групповой политики или перезапуска клиентского компьютера. Если параметры Work Folders не применяются с помощью групповой политики, проверьте сертификат файлового сервера, который чаще всего является причиной проблем. Сертификат должен иметь достоверное имя, должен быть выдан доверенным корневым центром сертификации и назначен порту 443 веб-сайта по умолчанию. Также убедитесь в том, что на сервере, где выполнена настройка Work Folders, работает служба общих папок синхронизации Windows. Хотя эта служба автоматически запускается при установке Work Folders, мне доводилось наблюдать случаи, когда она прекращала работу.
Настройка клиентов вручную. Для компьютера (например, планшета), не принадлежащего домену, включение Work Folders выполняется из панели управления. В Windows 8.1 и Windows RT 8.1 на панели управления есть приложение Work Folders (см. экран 3).
|
|
| Экран 3. Приложение Work Folders на панели управления |
Технология Work Folders имеет функцию автообнаружения, которая позволяет системам, не принадлежащим домену, легко находить нужный файловый сервер, где размещены Work Folders. Для использования этой функции необходимо, чтобы в общей зоне DNS был прописан узел размещения рабочих папок или псевдоним, указывающий на нужный файловый сервер. В этом случае пользователю для настройки приложения Work Folders на устройстве, не принадлежащем домену, достаточно ввести почтовый адрес. По той части почтового адреса, которая указывает на домен, устройство выполнит поиск узла размещения рабочих папок или псевдонима в DNS. Пользователь также должен указать корректные имя и пароль доменной учетной записи, для которой разрешено применение Work Folders.
Если функция автообнаружения использоваться не будет, то пользователи при настройке приложения Work Folders могут указывать URL-адрес файлового сервера (см. экран 4).
|
|
| Экран 4. Ввод URL-адреса сервера, где размещаются Work?Folders |
В этом случае вручную введите URL-адрес, используемый для публикации файлового сервера, где размещаются Work Folders, в интернете. Если функция автообнаружения не включена, URL-адрес может быть любым. Как видно из примера, приведенного на экране 4, соединение устанавливается по протоколу HTTP Secure (HTTPS), что значительно упрощает публикацию Work Folders. Пользователь, регистрирующийся как локальный пользователь, после ввода URL-адреса должен указать достоверные учетные данные AD, после чего на его устройстве выполняется настройка Work Folders. Пользователь также должен принять политики безопасности, показанные на экране 5. Таким образом он выражает согласие с тем, что администратор будет управлять данными в его рабочей папке и применять меры безопасности к его устройству.
|
|
| Экран 5. Принятие политик безопасности в отношении устройства, используемого для доступа к Work Folders |
Несколько файловых серверов. Если имеется несколько файловых серверов, используемых для размещения Work Folders, то для указания местоположения правильного экземпляра Work Folders для каждого пользователя можно воспользоваться новым атрибутом пользователя msDS-SyncServerUrl в AD DS (включен в схему Server 2012 R2). Этот атрибут можно найти на вкладке Attribute Editor в свойствах учетной записи пользователя. После настройки данного атрибута пользователь будет направляться к заданному файловому серверу для доступа к своему экземпляру Work Folder. Настойка этого атрибута не является обязательной в сценариях развертывания, когда для размещения Work Folders используется только один файловый сервер или если Work Folders настраивается без участия функции автообнаружения.
Использование Work Folders
После применения параметров Work Folders пользователи могут получать доступ к своим рабочим папкам. Независимо от доменной принадлежности их устройств, в проводнике появляется новый значок (см. экран 6). Используются рабочие папки так же, как и любые другие локальные папки. Единственное отличие состоит в том, что в списке возможных вариантов, открываемом щелчком правой кнопки мыши на значке Work Folders, присутствует возможность применения синхронизации с сервером. Если синхронизация не работает, убедитесь, что у вас есть локальные административные полномочия на клиентской системе, чтобы применить политики безопасности с сервера.
|
|
| Экран 6. Значок Work Folders в «Проводнике» |
При желании пользователь может контролировать состояние рабочей папки независимо от доменной принадлежности своего устройства. Как показано на экране 7, можно выяснить, сколько доступного пространства имеется на сервере и когда файлы были синхронизированы в последний раз.
|
|
| Экран 7. Контроль состояния рабочих папок из панели управления |
Управление Work Folders
Администраторы могут управлять рабочими папками через интерфейс Work Folders, интегрированный с консолью диспетчера серверов. В любой момент можно увидеть, какие пользователи подключены к Work Folders, как показано на экране 8.
|
|
| Экран 8. Информация о пользователях, подключенных к Work Folders в данный момент |
Щелчком правой кнопки мыши на имени пользователя открываются два варианта: Properties и Suspend User (см. экран 9).
|
|
| Экран 9. Переход к подробной информации |
При выборе Properties можно увидеть, сколько устройств у выбранного пользователя ассоциировано с его рабочей папкой (см. экран 10). Выбор Suspend User останавливает синхронизацию между локальной рабочей папкой пользователя и его рабочей папкой на сервере. При этом пользователь по-прежнему имеет доступ к локальной копии данных. Для возобновления синхронизации щелкните правой кнопкой на имени пользователя и выберите соответствующий вариант.
|
|
| Экран 10. Отображение информации о том, сколько устройств у данного пользователя ассоциировано с его рабочей папкой |
По умолчанию администратор не имеет доступа к серверной копии рабочей папки пользователя, поскольку разрешения автоматически устанавливаются только для владельца. Однако при необходимости можно вступить во владение папкой и получить доступ к данным. Каждый пользователь имеет доступ к серверной копии своих данных. При этом другие папки для него недоступны, и в случае, если включено перечисление на основе доступа, этот пользователь даже не будет видеть других папок.
Work Folders в Server 2012 R2 – большой шаг вперед по сравнению с существующими технологиями синхронизации и обеспечения доступности данных. Функция обладает преимуществами «облачного» решения, но позволяет администраторам управлять параметрами технологии и данными пользователя. Рабочие папки могут быть очень удобны для мобильных пользователей, особенно в среде, организованной по принципу BYOD. Если Microsoft, как и было обещано, откроет эту технологию для других платформ, то пользователи смогут всегда иметь доступ к своим данным.