活动目录服务的配置与管理(7) 利用组策略实现文件夹重定向

简介:

当以域用户的身份登录到计算机上时,除了自身的用户配置文件外,该用户对本地计算机上的所有其它文件和文件夹最多只具有读权限,所以域用户如果要存放文件最好是存放到自己的用户配置文件中。用户配置文件默认位于客户端计算机的“%SystemDrive%\用户\用户名”(或%SystemDrive%\Users\用户名)文件夹内。

将用户配置文件夹存放在本地计算机上,一是存在一定的安全风险,二是当域用户在别的计算机上登录时,这些文件夹中的内容就看不到了。

文件夹重定向就是将用户配置文件内的某些文件夹改为集中存储在某台服务器上,这样无论域用户在哪台计算机上登录,都可以看到自己所存储的内容,实现了在域中的漫游,而且安全性也有了提高。
通常重定向最多的是“桌面”和“我的文档”文件夹,下面就将域用户的这两个文件夹改为集中存储在域控制器上。
首先在 DC上建立一个名为“folder”的文件夹,赋予Everyone“读取/写入”权限,系统会同时将完全控制的共享权限与NTFS权限赋予Everyone。

由于共享文件夹的权限开放的比较大,因而建议将共享文件夹隐藏起来,也就是在共享名的后面加上字符$,如folder$。

打开组策略管理工具,在组策略对象中新建一个名为“Folder Redirection”的GPO,并对其进行编辑。

展开“用户配置 \策略\Windows设置\文件夹重定向”,在“桌面”上单击右键,选择“属性”,打开“桌面属性”设置界面。
首先在“目标”选项卡的“设置”项中选择“基本 -将每个人的文件夹重定向到同一个位置”,在“目标文件夹位置”中选择“在根目录路径下为每一用户创建一个文件夹”,在“根路径”中输入文件夹重定向后的存放位置,也就是在DC上所设置的共享文件夹的UNC路径 \\pdc\folder$,系统会在此文件夹下自动为每一位登录的用户分别创建一个专属文件夹,例如账户名为lisi的用户登录后,系统会自动在 \\pdc\folder$之下,创建一个名为lisi的文件夹。
在“设置”下拉列表中共有以下几种选择:
“基本 -将每个人的文件夹重定向到同一个位置”,将所有用户的文件夹都重定向到相同位置。
“高级 -为不同的用户组指定位置”,将隶属于不同用户组的用户文件夹重定向到不同的位置。
“未配置”,也就是不重定向。

对“文档”文件夹也进行同样设置。然后将“Folder Redirection”GPO链接到人事部OU上。

下面以人事部员工李四的身份在客户端 client1登录,查看用户配置文件中的“桌面”和“我的文档”,可以发现这两个文件夹已经消失,因为它们都被重定向到了 \\pdc\folder$\lisi中。(如果策略未生效,可以在客户端执行“gpupdate /force”命令强制刷新组策略生效。)

DC中也可以看到在folder文件夹里自动创建了一个名为“lisi”的文件夹,其中包括“桌面”和“我的文档”两个子文件夹,但这两个文件夹都无法打开,这是因为只有李四才具有对该文件夹的操作权限,这样设置的目的也是为了提高安全性。

以李四的身份在客户机 client1的桌面上创建一个测试文件,然后将李四用户注销(可以看到在注销时对文件进行了同步),再到另一台客户机client2上以李四的身份重新登录,可以看到刚才在“桌面”上创建的测试文件也随之出现了。
文件夹重定向在实际工作中具有很大的作用,总结一下,它的作用主要体现在以下两个方面:
一是可以利用该功能对相关文件或者文件夹进行统一备份。由于把分散在各个主机上的文件都重定向到一台服务器上,如此管理员只需要对这台服务器的文件夹进行备份,就可以达到对员工各台电脑的资料进行备份的目的,从而保障数据的安全。
二是用户访问文件夹的位置将不受限制。若桌面或者我的文档等资料保存在本地的话,则用户只有登录本机才能够访问这些文件。而对文件夹进行重定向之后,则只需要员工登录到域,就都可以访问此文件夹。

本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1156853
相关文章
|
数据安全/隐私保护 Windows 容器
域策略+脚本实现客户端administrator帐号密码统一
用域策略+脚本实现把客户端administrator帐号密码统一更改     在写这贴之前,我在网上找过很多关于这个方面的资料,看到他们都是说的差不多,但是当一个新手来弄的话就比较难实现了。
1074 0
Confluence 6 允许其他用户编辑站点欢迎消息
你可以通过使用 Include Page 宏从你站点其他页面中包含内容,而允许其他不是 Confluence 管理员的用户编辑站点欢迎消息。
1015 0
Confluence 6 为站点启用匿名用户访问
如果你希望你的站点能够被所有人看到,包括不需要登录就可以访问的用户。你必须为你的站点启用匿名用户访问权限才可以。 希望启用匿名用户访问你的站点: 在屏幕的右上角单击 控制台按钮 ,然后选择 General Configuration 链接。
943 0