Перемещаемый профиль и перенаправление папок пользователей.

Схема работы с перемещаемым профилем и перенаправлением папок пользователей на сервер (рабочий стол, мои документы) в домене Windows дает большие преимущества. Она обеспечивает снижение простоев в работе персонала при отказе рабочей станции (файлы и настройки пользователей доступны с любого компьютера в сети) — при выходе из строя ПК, пользователь авторизируется на любом свободном компьютере под своей учетной записью и продолжает работу. Снижение затрат на обслуживаение и поддержание работы пользователей — централизированное резервное компирование, удобство администрирования — нет необходимости сохранения файлов, настройке рабочей станции, достаточно восстановить из образа готовую ОС с приложениями.

Так я настраивал у себя на работе, проверено на доменах уровня 2003 и 2008 и серверах Windows Server 2003 R2 Standard и Windows Server 2008 Standard.

1. Создаем папку _FolderRDR. Расшариваем скрытой с $ (everyone — полный доступ) и задаем права NTFS:
Administrators, System, Creator/Owner — полный доступ, Domain Users — чтение, изменение.
2. В ней создаем папки Docs и Profiles — разрешения наследуются.
3. Теперь политики:
Конфигурация компьютера — Административные шаблоны — Система — Профили пользователей: Add the Administrators security group to roaming user profiles / Добавить группу «Администраторы» к перемещаемому профилю пользователя
(Эта опция не применяется на существующие профили).

Конфигурация пользователя — Конфигурация Windows — Перенаправление папки («Рабочий стол» и «Мои документы») — Свойства — на вкладке «Конечная папка»

— Политика: Перенаправлять папки всех пользователей в одно место (простая).
— Размещение конечной папки: Создать папку для каждого пользователя на корневом пути.
— Корневой путь: \dc02_FolderRDR$Docs (dc02 — имя файл сервера).

Внизу окна свойств отображается подсказка о том, как будет выглядеть конечный путь.

На вкладке «Параметры»:
— Предоставить монопольный доступ — отключено — иначе у администратора не будет доступа.
— Перенести содержимое папки в новое место — включено.
— После удаления политики перенаправить папку обратно в локальный профиль пользователя.

Конфигурация пользователя — Административные шаблоны — Сеть — Автономные файлы:
— Синхронизировать автономные файлы при входе в систему — включено
— Синхронизация всех автономных файлов перед выходом из системы — включено
— Синхронизировать автономные файлы перед приостановкой — включено — быстрая
— Действия при отключения от сервера — включено — работать автономно
— Нестандартные действия при отключении от сервера — включено — работать автономно
— Удалить «Сделать доступными автономно» — включено
— Не делать перенаправляемые папки достуными в автономном режиме автоматически — отключено

4. Профиль пользователя: в Acitive Directory, в свойствах пользователя — Профиль — Путь к профилю — указываем путь:
\dc02_FolderRDR$Profiles%username%

обязательно с именем пользователя в переменной (%username%), иначе у всех будет один профиль.

Microsoft рекомендует выключить кэширование папки для перемещаемых пользовательских папок (net share sharefolder /cache:no, или свойства папки-доступ-кеширование), но при этом не работают автономные файлы при отключении от сервера. Я оставил кэширование, не понял смысл рекомендации… (=.

Устранение проблем:

Пути к офлайновым папкам прописываются в профиле, и при смене файл сервера с тестового на рабочий, чтобы решить проблему попытки синхронизации с несуществующими шарами я удалил и заново создать профиль пользователя, предварительно сохранив файлы. Думаю, можно было поправить реестр пользователя вместо этого.

Необходимо, чтобы у пользователя была локальная копия профиля изначально, иначе не будет работать сохранение файлов в отсутствии подключения к файл серверу.

P.S. В рамках этого проекта я сделал запрет сохранения определенных файлов по маске и квотирование объема папок. Опишу в отдельной статье.