部署文件夹重定向和脱机文件

适用范围:Windows Server 2022、Windows 10、Windows 7、Windows 8、Windows 8.1、Windows Vista、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2、Windows Server 2008 R2

本文介绍了将文件夹重定向和脱机文件功能一起部署的要求,包括控制对重定向文件的访问权限所需遵循的步骤。

重要

由于 MS16-072 中所做的安全性变更,我们更新了本文的第 4 步:为文件夹重定向创建 GPO,这样 Windows 就可以正确地应用文件夹重定向策略(而不会在受影响的客户端计算机上还原重定向文件夹)。

有关本文的最近更改列表,请参阅更改历史记录

必备条件

管理要求

  • 若要管理文件夹重定向,必须以域管理员安全组、企业管理员安全组或组策略创建者所有者安全组成员身份登录。
  • 必须有安装了组策略管理和 Active Directory 管理中心的计算机。

文件服务器要求

文件服务器是托管重定向文件夹的计算机。

与远程桌面服务的互操作性

远程访问配置会影响文件服务器、文件共享和策略的配置方式。 如果文件服务器同时托管远程桌面服务,则会有一些不同的部署步骤:

  • 无需为文件夹重定向用户创建安全组。
  • 必须对托管重定向文件夹的文件共享配置不同的权限。
  • 必须为新用户预创建文件夹,并对这些文件夹设置特定权限。

重要

本节其余部分中的大多数过程都适用于这两种配置。 特定于一种配置或另一种配置的过程或步骤都有相应的标记。

限制访问

根据你的配置,将以下更改应用到文件服务器:

  • 所有配置。 请确保只有必需的 IT 管理员才能对文件服务器进行管理访问。 下一步中的过程对各个文件共享配置访问权限。
  • 不同时托管远程桌面服务的服务器。 如果文件服务器不同时托管远程桌面服务,请在文件服务器上禁用远程桌面服务 (termserv)。

与其他存储功能的互操作性

为了确保文件夹重定向和脱机文件能够与其他存储功能正常交互,请检查以下配置。

  • 如果文件共享使用 DFS 命名空间,则 DFS 文件夹(链接)必须具有单个目标,以防止用户在不同服务器上进行互相冲突的编辑。
  • 如果文件共享使用 DFS 复制与另一台服务器复制内容,则用户必须只能够访问源服务器,以防止用户在不同服务器上进行互相冲突的编辑。
  • 使用群集文件共享时,请在文件共享上禁用连续可用性,以避免文件夹重定向和脱机文件出现性能问题。 此外,在用户失去对持续可用的文件共享的访问权限后,脱机文件可能在 3-6 分钟内无法切换到脱机模式,这可能会让还没有使用脱机文件的“始终脱机”模式的用户感到沮丧。

客户端要求

  • 客户端计算机必须运行 Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 或 Windows Server 2008。
  • 客户端计算机必须联接到你正在管理的 Active Directory 域服务 (AD DS) 域。
  • 客户端计算机必须运行基于 x64 或基于 x86 的处理器。 由 ARM 处理器提供支持的 PC 不支持文件夹重定向。

注意

文件夹重定向中的某些较新功能具有额外的客户端计算机和 Active Directory 架构要求。 有关详细信息,请参阅部署主计算机禁用文件夹上的脱机文件启用“始终脱机”模式启用优化文件夹移动

步骤 1:创建文件夹重定向安全组

如果你在文件服务器上运行远程桌面服务,请跳过此步骤,而是在为新用户预创建文件夹时向用户分配权限。

此过程会创建一个安全组,其中包含要向其应用文件夹重定向策略设置的所有用户。

  1. 在安装了 Active Directory 管理中心的计算机上,打开“服务器管理器”。

  2. 依次选择“工具”>“Active Directory 管理中心”。 此时将出现 Active Directory 管理中心。

  3. 右键单击相应的域或 OU,然后依次选择“新建”>“组”。

  4. 在“创建组” 窗口的“组” 部分,指定以下设置:

    • 在“组名”中,输入安全组的名称(例如:“文件夹重定向用户”)。
    • 在“组作用域”中,依次选择“安全性”>“全局”。
  5. 在“成员”部分中选择“添加” 。 此时将出现“选择用户、联系人、计算机、服务帐户或组”对话框。

  6. 输入要向其部署文件夹重定向的用户或组的名称,选择“确定”,然后再次选择“确定”。

步骤 2:为重定向文件夹创建文件共享

如果还没有为重定向文件夹创建文件共享,请在运行 Windows Server 2012 或更高版本的服务器上按照以下过程来创建文件共享。

注意

如果在运行不同版本 Windows Server 的服务器上创建文件共享,有些功能可能会不同或不可用。

  1. 在“服务器管理器”导航窗格中,依次选择“文件和存储服务”>“共享”,以显示“共享”页。

  2. 在“共享”页中,依次选择“任务”>“新建共享”。 此时将出现新建共享向导。

  3. 在“选择配置文件”页上,执行以下操作之一:

    • 如果已安装文件服务器资源管理器,并且要使用文件夹管理属性,请选择“SMB 共享 - 高级”。
    • 如果没有安装文件服务器资源管理器,或没有使用文件夹管理属性,请选择“SMB 共享 - 快速”。
  4. 在“共享位置” 页上,选择你要在其上创建共享的服务器和卷。

  5. 在“共享名”页上的“共享名”框中键入共享的名称(如“Users$”) 。

    提示

    创建共享时,可以通过在共享名后面加上 $ 来隐藏共享。 此更改对普通浏览器隐藏共享。

  6. 在“其他设置”页上,取消选中“启用连续可用性”复选框(若有)。 (可选)选中“启用基于访问的枚举”和“加密数据访问”复选框。

  7. 在“权限”页上,选择“自定义权限”,以打开“高级安全设置”对话框。

  8. 选择“禁用继承”,然后选择“将此对象上的继承权限转换为显式权限” 。

  9. 按照下面的表和图中所示设置权限。

    重要

    你所使用的权限取决于你的远程访问配置,因此请确保使用了正确的表。

    • 没有远程桌面服务的文件服务器的权限:

      用户帐户 权限 适用于
      System 完全控制 此文件夹、子文件夹和文件
      管理员 完全控制 仅此文件夹
      创建者/所有者 完全控制 仅子文件夹和文件
      需要将数据置于共享上的用户的安全组(“文件夹重定向用户”) 列出文件夹/读取数据1
      创建文件夹/追加数据1
      读取属性1
      读取扩展属性1
      读取1
      遍历文件夹/执行文件1
      仅此文件夹
      其他组和帐户 无(删除此表未列出的任何帐户)

      1 高级权限

      Advanced permissions page showing the permissions configuration for the separate server configuration.

    • 有远程桌面服务的文件服务器的权限

      用户帐户或角色 权限 适用于
      System 完全控制 此文件夹、子文件夹和文件
      管理员 完全控制 此文件夹、子文件夹和文件
      创建者/所有者 完全控制 仅子文件夹和文件
      其他组和帐户 无(从访问控制列表中删除其他任何帐户)

      Advanced permissions page showing the permissions configuration for the co-located server configuration.

  10. 如果你在此过程前面选择了“SMB 共享 - 高级”配置文件,请执行以下额外步骤:

    • 在“管理属性”页上,选择“用户文件”作为“文件夹使用”值。
    • (可选)选择一个配额来应用到共享的用户。
  11. 在“确认”页面,选择“创建” 。

第 3 步:在同时托管远程桌面服务的服务器上为新用户预创建文件夹

如果文件服务器同时托管远程桌面服务,请按照以下过程为新用户预创建文件夹,并为这些文件夹分配适当的权限。

  1. 在上一过程创建的文件共享中,转到文件共享的根文件夹。

  2. 新建文件夹。 可以使用下列方法之一:

    • 右键单击根文件夹,然后依次选择“新建”>“文件夹”。 对于文件夹名称,输入新用户的用户名。

    • 或者,若要使用 Windows PowerShell 新建文件夹,请打开“PowerShell 命令提示符”窗口,并运行以下 cmdlet:

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      注意

      在此命令中, <newuser> 表示新用户的用户名。

  3. 右键单击新文件夹,然后依次选择“属性”>“安全性”>“高级”>“所有者”。 验证文件夹所有者是否为“管理员”组。

  4. 按照下面的表和图中所示设置权限。 删除此处未列出的任何组和帐户的权限。

    用户帐户 权限 适用于
    System 完全控制 此文件夹、子文件夹和文件
    管理员 完全控制 此文件夹、子文件夹和文件
    创建者/所有者 完全控制 仅子文件夹和文件
    newuser1 完全控制 此文件夹、子文件夹和文件
    其他组和帐户 无(从访问控制列表中删除其他任何帐户)

    1 newuser 表示新用户帐户的用户名。

    Setting the permissions for newuser’s folder under the root of the Folder Redirection share

第 4 步:为文件夹重定向创建 GPO

如果还没有管理文件夹重定向和脱机文件功能的组策略对象 (GPO),请按照以下过程创建一个。

  1. 在安装了组策略管理的计算机上,打开“服务器管理器”。

  2. 依次选择“工具”>“组策略管理”。

  3. 在“组策略管理”中,右键单击要在其中创建文件夹重定向的域或 OU,然后选择“在此域中创建 GPO 并将它链接在此处”。

  4. 在“新建 GPO”对话框中,输入 GPO 的名称(例如“文件夹重定向设置”),然后选择“确定”。

  5. 右键单击新创建的 GPO,然后取消选中“已启用链接”复选框。 此更改会防止 GPO 在你完成配置它之前被应用。

  6. 选中该 GPO。 依次选择“作用域”>“安全筛选”>“经过身份验证的用户”和“删除”,以防止将 GPO 应用到所有人。

  7. 在“安全筛选”部分中,选择“添加” 。

  8. 在“选择用户、计算机或组”对话框中,根据你的配置执行以下操作之一:

  9. 依次选择“委派”>“添加”,然后输入“经过身份验证的用户”。 选择“确定”,然后再次选择“确定”,以接受默认“读取”权限。

    重要

    由于 MS16-072 中所做的安全性变更,必须执行此步骤,你现在必须向“经过身份验证的用户”组授予对文件夹重定向 GPO 的委派读取权限 - 否则,GPO 不会应用于用户,或者即使已应用,GPO 也会被删除,导致文件夹重定向回本地 PC。 有关详细信息,请参阅部署组策略安全更新 MS16-072

第 5 步:为文件夹重定向和脱机文件配置组策略设置

在为文件夹重定向设置创建 GPO 后,请按照以下步骤操作,编辑用于启用和配置文件夹重定向的组策略设置。

注意

默认情况下,脱机文件功能对 Windows 客户端计算机上的重定向文件夹是启用的,而在 Windows Server 计算机上则是禁用的。 用户可以启用此功能,你也可以使用组策略来控制它。 策略为“允许或不允许使用脱机文件功能”。

有关其他脱机文件组策略设置的信息,请参阅启用高级脱机文件功能为脱机文件配置组策略

  1. 在“组策略管理”中,右键单击创建的 GPO(例如“文件夹重定向设置”),然后选择“编辑” 。

  2. 在“组策略管理编辑器”窗口中,依次转到“用户配置”>“策略”>“Windows 设置”>“文件夹重定向”。

  3. 右键单击要重定向的文件夹(例如“文档”),然后选择“属性” 。

  4. 在“属性”对话框中,从“设置”框中选择“基本 - 将每个人的文件夹重定向到同一位置”。

    注意

    若要将文件夹重定向应用于运行 Windows XP 或 Windows Server 2003 的客户端计算机,请选择“设置”选项卡,然后选中“同时将重定向策略应用到 Windows 2000、Windows 2000 Server、Windows XP 和 Windows Server 2003 操作系统”复选框。

  5. “目标文件夹位置”部分,选择“创建根路径”下的每个用户的文件夹,然后在“根路径”框中,输入存储重定向文件夹的文件共享的路径,例如: \\fs1.corp.contoso.com\users$

  6. (可选)选择“设置”选项卡,然后在“策略删除”部分中,选中“在策略删除后将文件夹重定向回本地用户配置文件位置”(对于管理员和用户,此设置有助于使文件夹重定向行为更具可预测性)。

  7. 选择“确定”,然后在“警告”对话框中选择“是”。

第 6 步:启用文件夹重定向 GPO

在完成配置文件夹重定向组策略设置后,下一步是启用 GPO。 此更改便于将 GPO 应用于受影响的用户。

提示

如果你计划实现主计算机支持或其他策略设置,现在请进行该操作,然后再启用该 GPO。 这会防止在启用主计算机支持之前将用户数据复制到非主计算机。

  1. 打开“组策略管理”。
  2. 右键单击创建的 GPO,然后选择“已启用链接”。 菜单项旁边会出现一个复选框。

第 7 步:测试文件夹重定向

若要测试文件夹重定向,请使用配置为使用重定向文件夹的用户帐户来登录计算机。 然后确认已重定向文件夹和配置文件。

  1. 使用已启用文件夹重定向的用户帐户来登录主计算机(如果已启用主计算机支持的话)。

  2. 如果用户以前已登录到计算机,则打开提升的命令提示符,然后键入以下命令以确保最新的组策略设置已应用到客户端计算机:

    gpupdate /force
    
  3. 打开文件资源管理器。

  4. 右键单击重定向的文件夹(例如文档库中的“我的文档”文件夹),然后选择“属性”。

  5. 选择“位置”选项卡,并确认路径显示的是否是你指定的文件共享,而不是本地路径。

附录 A:用于部署文件夹重定向的清单

完成 任务或项目
准备域和其他先决条件
- 将计算机加入到域
- 创建用户帐户
- 检查文件服务器的先决条件以及与其他服务的兼容性
- 文件服务器是否同时托管远程桌面服务?
- 限制对文件服务器的访问
步骤 1:创建文件夹重定向安全组
- 组名:
- 成员:
步骤 2:为重定向文件夹创建文件共享
- 文件共享名:
第 3 步:在同时托管远程桌面服务的服务器上为新用户预创建文件夹
第 4 步:为文件夹重定向创建 GPO
- GPO 名称:
第 5 步:为文件夹重定向和脱机文件配置组策略设置
- 重定向文件夹:
- 已启用 Windows 2000、Windows XP 和 Windows Server 2003 支持?
- 已启用脱机文件? (在 Windows 客户端计算机上默认启用)
- 已启用“始终脱机”模式?
- 已启用后台文件同步?
- 已启用重定向文件夹的优化移动?
(可选)启用主计算机支持:
- 基于计算机还是基于用户?
- 为用户指定主计算机
- 用户和主计算机映射的位置:
-(可选)为文件夹重定向启用主计算机支持
-(可选)为漫游用户策略文件启用主计算机支持
第 6 步:启用文件夹重定向 GPO
第 7 步:测试文件夹重定向

更改历史记录

下表总结了一些对本主题进行的最重要的更改。

日期 说明 原因
2021 年 3 月 9 日 添加了关于不同配置的说明。 需要更改来改进不同配置中的访问控制。
2017 年 1 月 18 日 为文件夹重定向创建 GPO 中添加了一个步骤,以将读取权限委派给经过身份验证的用户(由于组策略的安全更新,现在必须执行此操作)。 客户反馈。

详细信息