本文介绍两个经典的AD/ACL使用场景:Home Directory以及User Profile。
1. Home Directory
AD管理员可以给域用户设置登录即可见的文件卷。每个用户登录后可以看到自己的文件夹,可以把个人文件放在上面进行长久保存。除了管理员以外的其他用户没有权限进入该文件夹。
1.1. 示例
1.1.1. 给NAS SMB文件卷添加AD域路径
参考安装并启用Active Directory域服务与DNS服务。
NAS SMB文件卷的路径必须变成AD域路径,否则Home Directory在用户登录时会出现加载失败。
需要在DNS服务器中添加一条CNAME别名把挂载点映射到AD域路径:
1.1.2 注册NAS文件系统挂载点AD域内域名
1.1.3. 文件卷上创建用户目录
在AD域服务器上挂载通过mklink方式挂载NAS SMB文件卷。然后给用户cat建立一个cat文件夹,cat拥有全部权限:
1.1.4. 将用户目录设置为用户Profile path
在AD管理器(ADAC)上双击选择该用户,然后选择Profile设置Home Folder:
1.1.5. 用户登录即可见到自己的文件夹已经自动挂载
用cat登录之后即可看到文件卷已挂载,并且指向自己的文件夹:
用类似手法给用户kid设置文件夹,然后用kid登录,看到的是kid的文件夹:
如果同一台客户机上有mklink的方式创建的c:\myshare文件卷映射,当进入c:\myshare时,cat无法进入kid的文件夹:
2. User Profile
与上面的操作非常类似,我们还可以对用户设置配置文件路径(Profile Path)到NAS SMB卷。设置之后用户登录时,该文件卷位置就会出现一个用户名.V2(或者V6)的文件夹,用户登出再登录之后,文件夹就会有一份该用户在该机器下的配置的拷贝。
用户名.V2 (V6)目录
V2目录内容
值得注意的是默认情况下Profile功能只是在用户登出时对配置文件进行备份,下次登录时读取,中间的修改不会随时保存。管理员也可以配置其他的同步规则,具体可以参考:https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/folder-redirection-rup-overview#always-offline-mode
