Для доменной структуры удобно использовать перенаправление папок пользователей.

Запустить в работу эту функцию довольно просто. Нужно лишь иметь smb-шару и доступ к GPO.

До перенаправления папок использовались перемещаемые профили. Их использование приводит к мукам пользователей и системного администратора. Поэтому на смену пришло перенаправление папок. Логика работы перенаправляемых папок примерно такая же, как у подключенного сетевого диска. Только заместо, например, диска Z каталоги пользователя «документы», » загрузки» и т.д. хранятся на файловом сервере, т.е. эти каталоги начинают работать почти как сетевые диски, информация читается и записывается непосредственно на сервер. Также существует система управления версиями. Она используется пользователями в основном при конфликте файлов и каталогов.

Конфигурация заключается в трех шагах:

  1. Создание smb-шары на файловом сервере
  2. Включение функции перенаправления папок в GPO
  3. Настройки групповой политики для хорошей работы перенаправляемых папок

Создание smb-шары на файловом сервере

Мы будем использовать в качестве сервера Windows server 2012r2.

Для сетевых шар я бы рекомендовал использовать отдельный диск. При его заполнении работа ОС не будет нарушена и расширять пространство (производить любые манипуляции) диска проще, когда на нем нет ОС.

Создаём каталог redirection, назначаем его сетевым.

Windows folder redirection 1

Редактируем ACL. Нам требуется, чтобы каждый пользователь имел доступ только к своему каталогу. Группа администраторов имела доступ ко всем.

Каталоги пользователей должны создаваться автоматически, и права, значит, должны назначаться автоматически владельцам каталогов. Помогут нам в этом особые настройки ACL.

Свойства каталога — вкладка Безопасность — Дополнительно

Windows folder redirection 2

Первым делом нужно отключить наследование.

Сделаем перенаправление папок только для одной группы пользователей. Для неё и нужны особые права доступа. Добавляем нужную группу и нажимаем Изменить. Включаем отображение дополнительных разрешений.

Windows folder redirection 3

Нужно лишь разрешение Создание папок / дозапись данных

Пользователь должен иметь полный доступ к своему каталогу — добавляем субъект создатель-владелец и даем ему полный доступ только для подпапок и файлов. Еще нужно добавить субъект система, группу системных администраторов и дать им полный доступ для этой папки и её подпапок.

Включение функции перенаправления папок в GPO

Произведем настройку на примере каталога AppData. В редакторе политики конфигурация пользователя — настройки windows — перенаправляемые папки выбираем папку AppData и заходим в её свойства.

Windows folder redirection 4

На вкладке конечная папка нам дается на выбор два варианта настройки:

  1. Перенаправлять папки всех пользователей в одно расположение— это простой режим, как понятно из названия, все каталоги пользователей будут размещаться в одной сетевой шаре
  2. Указать различные расположения для разных групп пользователей— это сложный режим. Он позволяет задать несколько сетевых шар в одной политике. Этот режим использовать не рекомендуется.

Windows folder redirection 5

Выберем простой режим и зададим значение  Создать папку для каждого пользователя на корневом пути. Для файлового сервера лучше создать CNAME-запись на DNS-сервере, например, smb.domain.ru, корневой путь в таком случае будет выглядеть \smb.domain.ru\redirection.

На вкладке параметры есть три условия:

  1. Предоставить права монопольного доступа. Мы уже настроили доступ и данное ограничение не требуется. Если применить это условие, то у группы администраторов не будет доступа к каталогам пользователей.
  2. Перенести содержимое «AppData» в новое расположение. Лучше эту опцию не использовать, или использовать только один раз и потом выключить. Иначе конфликты обеспечены.
  3. Применить политику перенаправления к ОС старее Vista. Если в домене есть старые ОС, то опцию нужно включить.

Windows folder redirection 6

Также предлагается действие, которое будет произведено, если политика будет удалена. Это уже зависит от ситуации.

Настройки на вкладке параметры лучше произвести заранее, т.к. их дальнейшее редактирование выльется в проблемы.

Пару слов о AppData (перемещаемая): перенаправляется только каталог Roaming, а Local и LocalLow остаются на месте. Может получится так, что некоторое ПО будет очень активно использовать эту папку или определённое ПО вообще не умеет работать с перенаправляемой AppData, например, на данный момент это DropBox. Так или иначе проблемы могут возникнуть. С этой папкой надо проводить эксперименты в вашем окружении и принимать решение, быть или не быть.

Остальные папки настраиваются по аналогии.

Настройки групповой политики для хорошей работы перенаправляемых папок

Вводим файловую шару в зону интрасети

Windows folder redirection 7

При логоне пользователю, использующему перенаправление папок, высветится окошко с предупреждением, что данный ярлык, приложение и т.д. находится вне вашей сети и есть риск причинения вреда компьютеру.

Нужно внести наш файловый сервер или сразу весь домен в доверенный список.

Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer — Панель управления браузером — Вкладка «Безопасность»

Параметр Список назначений зоны для веб-сайтов

Параметр нужно включить. При нажатии на кнопку Показать увидим незаполненный список: имя значения— это либо адрес файловой шары, либо весь домен, например, domain.ru. Значение — цифра от 1 до 4. В нашем случае ставим 1 (зона интрасети). Остальные значения описаны в справке.

Windows folder redirection 8

Подробности при загрузке системы и логоне пользователя

Удобно, когда при ошибке система выводит подробную информацию о том, что произошло. Не нужно лишний раз смотреть логи, а при непосредственном обращении пользователя уже представлять в чем проблема. Также можно сразу понять, что тормозит загрузку профиля\системы.

В GPO есть политика «Выводить очень подробные сообщения о состоянии системы». Находится Конфигурация компьютера — Политики — Административные шаблоны — система

Эта настройка более актуальна для Windows 7, по умолчанию система при загрузке никакой полезной информации не выводит, а после включения политики к примеру

Windows folder redirection 9

Windows 8.1 по умолчанию выводит подробную информацию о загрузке.

Всегда ждать сеть при запуске системы и входе в систему

При работе с доменом у пользователей могут вознуть различные проблемы, из-за того, что сетевая карта еще не готова к работе. Параметр Всегда ждать сеть при запуске системы и входе в систему будет полезен не только при работе с перенаправлением папок, но и вообще при любом взаимодействии системы с доменом. Находится Конфигурация компьютера — Политики — Административные шаблоны — Система — Вход в систему

UPD. AlektroNik дополняет:

Есть один подводный камень в этой настройке. Если у Вас, к примеру, ноутбуки, которые пользователь берет домой, то с этим параметром крутиться «Пожалуйста подождите» будет крутиться минут по 15 каждый раз при включении если не больше.

Квотирование

При работе с сетевыми шарами, особенно при использовании перенаправления папок, нужно настраивать квоту, ограничивающую размер дискового пространства, которое может использовать пользователь.

Статья Настраиваем квоту на файловый ресурс на сервере Windows Server 2008 R2 в блоге ekzorchik.ru описывает основные моменты настройки квоты.