使用離線檔案部署資料夾重新導向
**
本文說明將「資料夾重新導向」和「離線檔案」一起部署的需求,包括對重新導向的檔案進行存取控制所需執行的步驟。
必要條件
開始之前,請先確定您的環境符合下列需求。
管理需求
- 若要管理資料夾重新導向,您必須以網域系統管理員安全性群組、企業系統管理員安全性群組或 群組原則建立者擁有者安全性群組的成員身分登入。
- 必須有一部電腦安裝了群組原則管理與 Active Directory 系統管理中心。
檔案伺服器需求
檔案伺服器是裝載重新導向資料夾的電腦。 請確定您的檔案伺服器符合下列需求。
與遠端桌面服務的互通性
遠端存取設定將會影響您設定檔案伺服器、檔案共用和原則的方式。 如果您的檔案伺服器也裝載了遠端桌面服務,則會有若干不同的部署步驟。
- 您無須建立資料夾重新導向使用者的安全性群組。
- 您必須對裝載重新導向資料夾的檔案共用設定不同的權限。
- 您必須為新的使用者預先建立資料夾,並設定這些資料夾的特定權限。
重要
本節其餘部分的多數程序對於這兩種遠端存取設定都適用。 一種設定或另一種設定專用的程序或步驟,會加上對應的標籤。
限制存取
根據您的設定,將下列變更套用至檔案伺服器:
- 所有設定:請確定只有必要的 IT 系統管理員具有檔案伺服器的管理存取權。 下一個步驟中的程序會設定個別檔案共用的存取權。
- 未同時裝載遠端桌面服務的伺服器:如果您的檔案伺服器未同時裝載遠端桌面服務,請停用遠端桌面服務 (
termserv)。
與其他儲存功能的互通性
若要確保「資料夾重新導向」和「離線檔案」可與其他儲存功能正確互動,請檢查下列設定。
- 如果檔案共用使用 DFS 命名空間,DFS 資料夾 (連結) 必須有單一的目標,以防止使用者在不同伺服器上進行衝突的編輯。
- 如果檔案共用使用 DFS 複寫與與另一部伺服器複寫內容,使用者必須只能存取來源伺服器,以防止使用者在不同伺服器上進行衝突的編輯。
- 使用叢集檔案共用時,請停用檔案共用上的持續可用性,以避免發生資料夾重新導向和離線檔案的效能問題。 持續可用性啟用時,在使用者失去檔案共用的存取權之後,「離線檔案」可能無法在 3-6 分鐘內轉換至離線模式。 尚未使用「離線檔案」永遠離線模式的使用者可能因這類延遲而受阻。
用戶端需求
- 用戶端電腦必須執行 Windows 11、Windows 10、Windows Server 2022、Windows Server 2019 或 Windows Server 2016。
- 用戶端電腦必須加入您所管理的 Active Directory Domain Services (AD DS) 網域。
- 用戶端電腦必須執行 x64 型或 x86 型處理器。 採用 ARM 處理器的電腦不支援「資料夾重新導向」。
重要
資料夾重新導向中較新的功能還會有其他用戶端電腦和 Active Directory 結構描述需求。 如需詳細資訊,請參閱部署資料夾重新導向及漫遊使用者設定檔的主要電腦、停用個別重新導向資料夾上的離線檔案、啟用永遠離線模式以供更快存取檔案,以及啟用重新導向資料夾的最佳移動方式。
步驟 1:建立資料夾重新導向安全性群組
如果您在檔案伺服器上執行遠端桌面服務,請略過此步驟。 您應在為新使用者預先建立資料夾時,將權限指派給使用者。
此程序會建立一個安全性群組,其中包含所有要套用「資料夾重新導向」原則設定的使用者。
在已安裝 Active Directory 系統管理中心的電腦上,開啟伺服器管理員。
選取 [工具]>[Active Directory 系統管理中心]。 [Active Directory 系統管理中心] 隨即顯示。
以滑鼠右鍵按一下適當的網域或 OU,然後選取 [新增]>[群組]。
在 [建立群組] 視窗內的 [群組] 區段中,指定下列設定:
- 在 [群組名稱] 中輸入安全性群組的名稱,例如:資料夾重新導向使用者。
- 在 [群組範圍] 中,選取 [安全性]>[全域]。
在 [成員] 區段中,選取 [新增]。 [選取使用者、連絡人、電腦、服務帳戶或群組] 對話方塊隨即顯示。
輸入要部署「資料夾重新導向」的使用者或群組名稱,選取 [確定],然後再次選取 [確定]。
步驟 2:為重新導向資料夾建立檔案共用
如果您還沒有重新導向資料夾的檔案共用,請使用下列程序,在執行 Windows Server 2016 或更新版本的伺服器上建立檔案共用。
注意
如果您在執行不同版本的 Windows Server 的伺服器上建立檔案共用,某些功能可能不同或無法使用。
在 [伺服器管理員] 瀏覽窗格中,選取 [檔案和存放服務]>[共用],以顯示 [共用] 頁面。
在 [共用] 頁面中,選取 [工作]>[新增共用]。 「新增共用精靈」隨即顯示。
在 [選取設定檔] 頁面上,選擇對應至檔案伺服器資源管理員設定的選項:
- 如果您已安裝檔案伺服器資源管理員,並使用資料夾管理屬性,請選取 [SMB 共用 - 進階]。
- 如果您未安裝檔案伺服器資源管理員,或未使用資料夾管理屬性,則改為選取 [SMB 共用 - 快速]。
在 [共用位置] 頁面上,選取您要在上面建立共用的伺服器和磁碟區。
在 [共用名稱] 頁面的 [共用名稱] 方塊中,輸入共用的名稱 (例如
Users$)。提示
建立共用時,在共用名稱後面放置一個
$(貨幣符號),可隱藏共用。 此變更會隱藏共用,而無法任意瀏覽。在 [其他設定] 頁面上,清除 [啟用持續可用性] 核取方塊 (如果有的話)。 選擇性選取 [啟用存取型列舉] 和 [加密資料存取] 核取方塊。
在 [權限] 頁面上選取 [自訂權限],以開啟 [進階安全性設定] 對話方塊。
選取 [停用繼承],然後選取 [將繼承的權限轉換成此物件中的明確權限]。
依照下表和圖例的說明設定權限。
重要
您使用的權限取決於您的遠端存取設定,因此務必使用正確的表格。
沒有遠端桌面服務的檔案伺服器的權限
使用者帳戶 權限 適用於 系統 完全控制 此資料夾、子資料夾和檔案 管理員 完全控制 只有這個資料夾 建立者/擁有者 完全控制 子資料夾及檔案 需要將資料放在共用上的使用者安全性群組 (資料夾重新導向使用者) 列出資料夾/讀取資料1
建立資料夾/附加資料1
讀取屬性1
讀取擴充屬性1
讀取權限1
周遊資料夾/執行檔案1只有這個資料夾 其他群組與帳戶 無 (移除此資料表未列出的任何帳戶) 1 進階權限
具有遠端桌面服務的檔案伺服器的權限
使用者帳戶或角色 權限 適用於 系統 完全控制 此資料夾、子資料夾和檔案 管理員 完全控制 此資料夾、子資料夾和檔案 建立者/擁有者 完全控制 子資料夾及檔案 其他群組與帳戶 無 (從存取控制清單中移除任何其他帳戶) ![[進階許可權] 頁面的螢幕快照,其中顯示共置伺服器組態的許可權設定。](media/deploy-folder-redirection/co-located-config-folder-redirect-perms.png)
如果您先前在此程序中選擇了 SMB 共用 - 進階設定檔,請執行下列額外的步驟:
- 在 [管理屬性] 頁面上,選取 [使用者檔案] 資料夾使用方式值。
- 選擇性地選取要為共用的使用者套用的配額。
在 [確認] 頁面中,選取 [建立]。
步驟 3:為同時裝載了遠端桌面服務的伺服器上的新使用者預先建立資料夾
如果檔案伺服器也裝載了遠端桌面服務,請使用下列程序為新的使用者預先建立資料夾,並指派資料夾的適當權限。
在您從上一個程序建立的檔案共用中,瀏覽至檔案共用的根資料夾。
使用下列其中一種方法來建立新的資料夾。
以滑鼠右鍵按一下根資料夾,然後選取 [新增]>[資料夾]。 針對資料夾的名稱,輸入新使用者的使用者名稱。
或者,若要使用 Windows PowerShell 建立新的資料夾,請開啟 PowerShell 命令提示字元視窗,然後執行下列 Cmdlet:
New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory在此命令中,<newuser> 代表新使用者的使用者名稱。
以滑鼠右鍵按一下新資料夾,然後選取 [屬性]>[安全性]>[進階]>[擁有者]。 確認資料夾擁有者是系統管理員群組。
依照下表和圖例的說明設定權限。 移除此處未列出的任何群組和帳戶的權限。
使用者帳戶 權限 適用於 System 完全控制 此資料夾、子資料夾和檔案 管理員 完全控制 此資料夾、子資料夾和檔案 建立者/擁有者 完全控制 子資料夾及檔案 newuser1 完全控制 此資料夾、子資料夾和檔案 其他群組與帳戶 無 (從存取控制清單中移除任何其他帳戶) 1 個 newuser 代表新用戶帳戶的用戶名稱。
步驟 4:建立資料夾重新導向的 GPO
如果您還沒有用來管理「資料夾重新導向」和「離線檔案」功能的群組原則物件 (GPO),請使用下列程序建立一個。
在已安裝群組原則管理的電腦上,開啟伺服器管理員。
選取 [工具]>[群組原則管理]。
在群組原則管理中,以滑鼠右鍵按一下要設定「資料夾重新導向」的網域或 OU,然後選取 [在這個網域中建立 GPO 並連結]。
在 [新增 GPO] 對話方塊中,輸入 GPO 的名稱 (例如資料夾重新導向設定),然後選取 [確定]。
以滑鼠右鍵按一下新建立的 GPO,然後清除 [啟用連結] 核取方塊。 此變更可防止在您完成設定之前就套用 GPO。
選取 GPO。 選取 [範圍]>[安全性篩選]>[已驗證的使用者],然後選取 [移除],使 GPO 不會對所有人套用。
在 [安全性篩選] 區段中,選取 [新增]。
在 [選取使用者、電腦或群組] 對話方塊中,設定與您的設定相對應的選項:
選取 [委派]>[新增],然後輸入 [已驗證的使用者]。 選取 [確定],然後再次選取 [確定] 以接受預設讀取權限。
重要
基於 MS16-072 中所做的安全性變更,這是必要步驟。 您必須為「已驗證的使用者」群組授與「資料夾重新導向」GPO 的委派讀取權限。 若未授與,就不會對使用者套用 GPO,若加以套用,GPO 將會遭到移除,且資料夾會重新導向回本機電腦。 如需詳細資訊,請參閱部署群組原則安全性更新 MS16-072。
步驟 5:設定資料夾重新導向和離線檔案的群組原則設定
建立資料夾重新導向設定的 GPO 之後,請依照下列程序,編輯啟用及設定「資料夾重新導向」的群組原則設定。
注意
根據預設,會在 Windows 用戶端電腦上針對重新導向資料夾啟用「離線檔案」功能,並在 Windows Server 電腦上停用。 使用者可以啟用此功能,或者,您可以使用群組原則加以控制。 原則為允許或禁止使用離線檔案功能。
如需其他離線檔案群組原則設定的詳細資訊,請參閱啟用進階離線檔案功能和設定離線檔案群組原則。
在 [群組原則管理] 中,以滑鼠右鍵按一下您建立的 GPO (例如,[資料夾重新導向設定]),然後選取 [編輯]。
在 [群組原則管理編輯器] 視窗中,瀏覽至 [使用者設定]>[原則]>[Windows 設定]>[資料夾重新導向]。
以滑鼠右鍵按一下您想要重新導向的資料夾 (例如 [文件]),然後選取 [屬性]。
在 [屬性] 對話方塊中,從 [設定] 方塊中選取 [基本 - 將每個人的資料夾重新導向到相同的位置]。
(選擇性) 在 [原則移除] 區段中,選取 [當原則移除時,將資料夾重新導向回本機使用者設定檔位置]。 此設定有助於讓「資料夾重新導向」的行為更符合系統管理員和使用者的預期。
在 [目標檔案夾位置] 區段中,選取 [為每個使用者在根路徑建立一個資料夾]。
在 [根路徑] 方塊中,輸入儲存重新導向資料夾的檔案共用路徑,例如
\\fs1.corp.contoso.com\users$。選取 [確定],然後在 [警告] 對話方塊中選取 [是]。
步驟 6:啟用資料夾重新導向 GPO
設定「資料夾重新導向」群組原則設定之後,下一個步驟是啟用 GPO。 此變更可讓 GPO 套用至受影響的使用者。
提示
如果您計劃實作主要電腦支援或其他原則設定,請立即進行此動作,才能啟用 GPO。 實作這些設定,可防止使用者資料在啟用主要電腦支援之前被複製到非主要電腦。
- 開啟 [群組原則管理]。
- 以滑鼠右鍵按一下您建立的 GPO,然後選取 [啟用連結]。 功能表項目旁會顯示核取方塊。
步驟 7:測試資料夾重新導向
若要測試「檔案夾重新導向」,請使用設定為使用重新導向資料夾的使用者帳戶登入電腦。 然後,確認資料夾和設定檔已重新導向。
使用已啟用「資料夾重新導向」的使用者帳戶登入主要電腦 (如果您已啟用主要電腦支援)。
如果使用者先前已登入電腦,請開啟提升權限的命令提示字元,然後輸入下列命令,以確保最新的群組原則設定會套用至用戶端電腦:
gpupdate /force開啟檔案總管。
以滑鼠右鍵按一下重新導向資料夾 (例如,文件庫中的 [我的文件] 資料夾),然後選取 [屬性]。
選取 [位置] 索引標籤,並確認路徑顯示的是您指定的檔案共用,而不是本機路徑。
附錄 A:部署資料夾重新導向的檢查清單
| 完成 | 工作或項目 |
|---|---|
| 準備網域和其他必要條件 | |
| - 將電腦加入網域 | |
| - 建立使用者帳戶 | |
| - 檢查檔案伺服器必要條件和其他服務的相容性 | |
| - 檔案伺服器是否也裝載了遠端桌面服務? | |
| - 限制對檔案伺服器的存取 | |
| 步驟 1:建立資料夾重新導向安全性群組 | |
| - 群組名稱: | |
| - 成員: | |
| 步驟 2:為重新導向資料夾建立檔案共用 | |
| - 檔案共用名稱: | |
| 步驟 3:為同時裝載了遠端桌面服務的伺服器上的新使用者預先建立資料夾 | |
| 步驟 4:建立資料夾重新導向的 GPO | |
| - GPO 名稱: | |
| 步驟 5:設定資料夾重新導向和離線檔案的群組原則設定 | |
| - 重新導向資料夾: | |
| - 是否已啟用 Windows 2000、Windows XP 和 Windows Server 2003 支援? | |
| - 是否已啟用離線檔案? (Windows 用戶端電腦依預設會啟用) | |
| - 是否已啟用永遠離線模式? | |
| - 是否已啟用背景檔案同步? | |
| - 是否已啟用重新導向資料夾的最佳移動方式? | |
| (選用) 啟用主要電腦支援: | |
| - 以電腦為目標或使用者為目標? | |
| - 指定使用者的主要電腦 | |
| - 使用者與主要電腦的位置對應: | |
| - (選用) 啟用資料夾重新導向的主要電腦支援 | |
| - (選用) 啟用漫遊使用者設定檔的主要電腦支援 | |
| 步驟 6:啟用資料夾重新導向 GPO | |
| 步驟 7:測試資料夾重新導向 |