部署文件夹重定向和脱机文件
**
本文介绍了将文件夹重定向和脱机文件一起部署的要求,包括控制对重定向文件的访问所需遵循的步骤。
先决条件
在开始之前,请确保环境满足以下要求。
管理要求
- 若要管理文件夹重定向,必须以域管理员安全组、企业管理员安全组或组策略创建者所有者安全组成员身份登录。
- 必须有安装了组策略管理和 Active Directory 管理中心的计算机。
文件服务器要求
文件服务器是托管重定向文件夹的计算机。 确保文件服务器满足以下要求。
与远程桌面服务的互操作性
远程访问配置会影响文件服务器、文件共享和策略的配置方式。 如果文件服务器同时托管远程桌面服务,则会有一些不同的部署步骤。
- 无需为文件夹重定向用户创建安全组。
- 必须对托管重定向文件夹的文件共享配置不同的权限。
- 必须为新用户预创建文件夹,并对这些文件夹设置特定权限。
重要
本节其余部分中的大多数过程都适用于这两种远程访问配置。 特定于一种配置或另一种配置的过程或步骤都有相应的标记。
限制访问
根据你的配置,将以下更改应用到文件服务器:
- 所有配置:确保只有必需的 IT 管理员才能对文件服务器进行管理访问。 下一步中的过程对各个文件共享配置访问权限。
- 不同时托管远程桌面服务的服务器:如果文件服务器不同时托管远程桌面服务,请在文件服务器上禁用远程桌面服务 (
termserv)。
与其他存储功能的互操作性
为了确保文件夹重定向和脱机文件能够与其他存储功能正常交互,请检查以下配置。
- 如果文件共享使用 DFS 命名空间,则 DFS 文件夹(链接)必须具有单个目标,以防止用户在不同服务器上进行互相冲突的编辑。
- 如果文件共享使用 DFS 复制与另一台服务器复制内容,则用户必须只能够访问源服务器,以防止用户在不同服务器上进行互相冲突的编辑。
- 使用群集文件共享时,请在文件共享上禁用连续可用性,以避免文件夹重定向和脱机文件出现性能问题。 启用连续可用性时,在用户失去对文件共享的访问权限后,脱机文件可能在 3-6 分钟内不会转换为脱机模式。 这种延迟可能会使尚未使用脱机文件的始终脱机模式的用户感到沮丧。
客户端要求
- 客户端计算机必须运行 Windows 11、Windows 10、Windows Server 2022、Windows Server 2019 或 Windows Server 2016。
- 客户端计算机必须联接到你正在管理的 Active Directory 域服务 (AD DS) 域。
- 客户端计算机必须运行基于 x64 或基于 x86 的处理器。 由 ARM 处理器提供支持的 PC 不支持文件夹重定向。
重要
文件夹重定向中的某些较新功能具有额外的客户端计算机和 Active Directory 架构要求。 有关详细信息,请参阅为文件夹重定向以及漫游用户策略文件部署主计算机、禁用个别重定向文件夹上的脱机文件、启用始终脱机模式以更快地访问文件以及启用重定向文件夹的优化移动。
步骤 1:创建文件夹重定向安全组
如果正在文件服务器上运行远程桌面服务,请跳过此步骤。 而是在为新用户预创建文件夹时向用户分配权限。
此过程会创建一个安全组,其中包含要向其应用文件夹重定向策略设置的所有用户。
在安装了 Active Directory 管理中心的计算机上,打开“服务器管理器”。
依次选择“工具”>“Active Directory 管理中心”。 此时将出现 Active Directory 管理中心。
右键单击相应的域或 OU,然后依次选择“新建”>“组”。
在“创建组” 窗口的“组” 部分,指定以下设置:
- 在“组名”中,输入安全组的名称(例如:“文件夹重定向用户”)。
- 在“组作用域”中,依次选择“安全性”>“全局”。
在“成员”部分中选择“添加” 。 此时将出现“选择用户、联系人、计算机、服务帐户或组”对话框。
输入要向其部署文件夹重定向的用户或组的名称,选择“确定”,然后再次选择“确定”。
步骤 2:为重定向文件夹创建文件共享
如果还没有为重定向文件夹创建文件共享,请在运行 Windows Server 2016 或更高版本的服务器上按照以下过程来创建文件共享。
注意
如果在运行不同版本 Windows Server 的服务器上创建文件共享,有些功能可能会不同或不可用。
在“服务器管理器”导航窗格中,依次选择“文件和存储服务”>“共享”,以显示“共享”页。
在“共享”页中,依次选择“任务”>“新建共享”。 此时将出现新建共享向导。
在“选择配置文件”页上,选择与文件服务器资源管理器配置对应的选项:
- 如果已安装文件服务器资源管理器,并且要使用文件夹管理属性,请选择“SMB 共享 - 高级”。
- 如果没有安装文件服务器资源管理器,或没有使用文件夹管理属性,请选择“SMB 共享 - 快速”。
在“共享位置” 页上,选择你要在其上创建共享的服务器和卷。
在“共享名”页上的“共享名”框中输入共享的名称(如
Users$)。提示
创建共享时,可以通过在共享名后面加上
$(美元符号)来隐藏共享。 此更改对普通浏览器隐藏共享。在“其他设置”页上,取消选中“启用连续可用性”复选框(若有)。 (可选)选中“启用基于访问的枚举”和“加密数据访问”复选框。
在“权限”页上,选择“自定义权限”,以打开“高级安全设置”对话框。
选择“禁用继承”,然后选择“将此对象上的继承权限转换为显式权限” 。
按照下面的表和图中所示设置权限。
重要
你所使用的权限取决于你的远程访问配置,因此请确保使用了正确的表。
没有远程桌面服务的文件服务器的权限
用户帐户 权限 适用于 System 完全控制 此文件夹、子文件夹和文件 管理员 完全控制 仅此文件夹 创建者/所有者 完全控制 仅子文件夹和文件 需要将数据置于共享上的用户的安全组(“文件夹重定向用户”) 列出文件夹/读取数据1
创建文件夹/附加数据1
读取属性1
读取扩展属性1
读取权限1
遍历文件夹/执行文件1仅此文件夹 其他组和帐户 无(删除此表未列出的任何帐户) 1 高级权限
有远程桌面服务的文件服务器的权限
用户帐户或角色 权限 适用于 System 完全控制 此文件夹、子文件夹和文件 管理员 完全控制 此文件夹、子文件夹和文件 创建者/所有者 完全控制 仅子文件夹和文件 其他组和帐户 无(从访问控制列表中删除其他任何帐户) 
如果你在此过程前面选择了“SMB 共享 - 高级”配置文件,请执行以下额外步骤:
- 在“管理属性”页上,选择“用户文件”作为“文件夹使用”值。
- (可选)选择一个配额来应用到共享的用户。
在“确认”页面,选择“创建” 。
第 3 步:在同时托管远程桌面服务的服务器上为新用户预创建文件夹
如果文件服务器同时托管远程桌面服务,请按照以下过程为新用户预创建文件夹,并为这些文件夹分配适当的权限。
在上一过程创建的文件共享中,转到文件共享的根文件夹。
使用下列方法之一创建新文件夹。
右键单击根文件夹,然后依次选择“新建”>“文件夹”。 对于文件夹名称,输入新用户的用户名。
或者,若要使用 Windows PowerShell 新建文件夹,请打开“PowerShell 命令提示符”窗口,并运行以下 cmdlet:
New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory在此命令中,<newuser> 表示新用户的用户名。
右键单击新文件夹,然后依次选择“属性”>“安全性”>“高级”>“所有者”。 验证文件夹所有者是否为“管理员”组。
按照下面的表和图中所示设置权限。 删除此处未列出的任何组和帐户的权限。
用户帐户 权限 适用于 System 完全控制 此文件夹、子文件夹和文件 管理员 完全控制 此文件夹、子文件夹和文件 创建者/所有者 完全控制 仅子文件夹和文件 newuser1 完全控制 此文件夹、子文件夹和文件 其他组和帐户 无(从访问控制列表中删除其他任何帐户) 1 newuser 表示新用户帐户的用户名。
第 4 步:为文件夹重定向创建 GPO
如果还没有管理文件夹重定向和脱机文件功能的组策略对象 (GPO),请按照以下过程创建一个。
在安装了组策略管理的计算机上,打开“服务器管理器”。
依次选择“工具”>“组策略管理”。
在“组策略管理”中,右键单击要在其中创建文件夹重定向的域或 OU,然后选择“在此域中创建 GPO 并将它链接在此处”。
在“新建 GPO”对话框中,输入 GPO 的名称(例如“文件夹重定向设置”),然后选择“确定”。
右键单击新创建的 GPO,然后取消选中“已启用链接”复选框。 此更改会防止 GPO 在你完成配置它之前被应用。
选中该 GPO。 依次选择“作用域”>“安全筛选”>“经过身份验证的用户”和“删除”,以防止将 GPO 应用到所有人。
在“安全筛选”部分中,选择“添加” 。
在“选择用户、计算机或组”对话框中,配置与配置对应的选项:
- 没有远程桌面服务的文件服务器:输入在第 1 步:创建文件夹重定向安全组中创建的安全组的名称(例如“文件夹重定向用户”),然后选择“确定”。
- 具有远程桌面服务的文件服务器:输入在第 3 步:在同时托管远程桌面服务的服务器上为新用户预创建文件夹中对用户文件夹使用的用户名,然后选择“确定”。
依次选择“委派”>“添加”,然后输入“经过身份验证的用户”。 选择“确定”,然后再次选择“确定”,以接受默认“读取”权限。
重要
由于 MS16-072 中所做的安全更改,因此此步骤是必需的。 必须向经过身份验证的用户组授予对文件夹重定向 GPO 的委派读取权限。 否则,GPO 不会应用于用户,或者如果已应用,则会删除 GPO,将文件夹重定向回本地 PC。 有关详细信息,请参阅部署组策略安全更新 MS16-072。
第 5 步:为文件夹重定向和脱机文件配置组策略设置
在为文件夹重定向设置创建 GPO 后,请按照以下步骤操作,编辑用于启用和配置文件夹重定向的组策略设置。
注意
默认情况下,脱机文件功能对 Windows 客户端计算机上的重定向文件夹是启用的,而在 Windows Server 计算机上则是禁用的。 用户可以启用此功能,你也可以使用组策略来控制它。 策略为“允许或不允许使用脱机文件功能”。
有关其他脱机文件组策略设置的信息,请参阅启用高级脱机文件功能和为脱机文件配置组策略。
在“组策略管理”中,右键单击创建的 GPO(例如“文件夹重定向设置”),然后选择“编辑” 。
在“组策略管理编辑器”窗口中,依次转到“用户配置”>“策略”>“Windows 设置”>“文件夹重定向”。
右键单击要重定向的文件夹(例如“文档”),然后选择“属性” 。
在“属性”对话框中,从“设置”框中选择“基本 - 将每个人的文件夹重定向到同一位置”。
(可选)在“策略删除”部分,选中“在策略删除后将文件夹重定向回本地用户配置文件位置”。 对于管理员和用户,此设置有助于使文件夹重定向行为更具可预测性。
在“目标文件夹位置”部分中,选择“在根目录路径下为每一用户创建一个文件夹”。
在“根路径”框中,输入存储重定向文件夹的文件共享的路径,例如
\\fs1.corp.contoso.com\users$。选择“确定”,然后在“警告”对话框中选择“是”。
第 6 步:启用文件夹重定向 GPO
在完成配置文件夹重定向组策略设置后,下一步是启用 GPO。 此更改便于将 GPO 应用于受影响的用户。
提示
如果你计划实现主计算机支持或其他策略设置,现在请进行该操作,然后再启用该 GPO。 实现这些设置可防止在启用主计算机支持之前将用户数据复制到非主计算机。
- 打开“组策略管理”。
- 右键单击创建的 GPO,然后选择“已启用链接”。 菜单项旁边会出现一个复选框。
第 7 步:测试文件夹重定向
若要测试文件夹重定向,请使用配置为使用重定向文件夹的用户帐户来登录计算机。 然后确认已重定向文件夹和配置文件。
使用已启用文件夹重定向的用户帐户来登录主计算机(如果已启用主计算机支持的话)。
如果用户以前已登录到计算机,则打开提升的命令提示符,然后输入以下命令以确保最新的组策略设置已应用到客户端计算机:
gpupdate /force打开文件资源管理器。
右键单击重定向的文件夹(例如文档库中的“我的文档”文件夹),然后选择“属性”。
选择“位置”选项卡,并确认路径显示指定的文件共享,而不是本地路径 。
附录 A:用于部署文件夹重定向的清单
| 完成 | 任务或项目 |
|---|---|
| 准备域和其他先决条件 | |
| - 将计算机加入到域 | |
| - 创建用户帐户 | |
| - 检查文件服务器的先决条件以及与其他服务的兼容性 | |
| - 文件服务器是否同时托管远程桌面服务? | |
| - 限制对文件服务器的访问 | |
| 步骤 1:创建文件夹重定向安全组 | |
| - 组名: | |
| - 成员: | |
| 步骤 2:为重定向文件夹创建文件共享 | |
| - 文件共享名: | |
| 第 3 步:在同时托管远程桌面服务的服务器上为新用户预创建文件夹 | |
| 第 4 步:为文件夹重定向创建 GPO | |
| - GPO 名称: | |
| 第 5 步:为文件夹重定向和脱机文件配置组策略设置 | |
| - 重定向文件夹: | |
| - 已启用 Windows 2000、Windows XP 和 Windows Server 2003 支持? | |
| - 已启用脱机文件? (在 Windows 客户端计算机上默认启用) | |
| - 已启用“始终脱机”模式? | |
| - 已启用后台文件同步? | |
| - 已启用重定向文件夹的优化移动? | |
| (可选)启用主计算机支持: | |
| - 基于计算机还是基于用户? | |
| - 为用户指定主计算机 | |
| - 用户和主计算机映射的位置: | |
| -(可选)为文件夹重定向启用主计算机支持 | |
| -(可选)为漫游用户策略文件启用主计算机支持 | |
| 第 6 步:启用文件夹重定向 GPO | |
| 第 7 步:测试文件夹重定向 |