AD域服務器組策略實現文件夾重定向 保護文件安全

 網絡管理員或許都遇到過類似的煩惱。如系統崩潰后，原來存放在 C盤的應用程序專署數據都丟失了;或者桌面上的文件莫名其妙少了，等等。有時候，我們也千方百計提醒員工不要把文件存放在桌面上，但是他們總是不聽，等到文件丟失了，就在那邊罵爹罵娘了。其實，

　　

 

網絡管理員或許都遇到過類似的煩惱。如系統崩潰后，原來存放在C盤的應用程序專署數據都丟失了;或者桌面上的文件莫名其妙少了，等等。有時候，我們也千方百計提醒員工不要把文件存放在桌面上，但是他們總是不聽，等到文件丟失了，就在那邊罵爹罵娘了。其實，若我們能夠充分利用域組策略實現文件重定向功能，則可以輕松的解決這些問題。

 

　　所謂的文件重定向功能，就是把用戶本機上的文件夾存儲位置轉移到域控制器上或者網絡上的其他主機，從而實現對數據盡心統一備份與管理。

 

　　具體的來說，我們可以把如下的一些文件夾進行重定向。

 

　　1、應用程序數據文件夾。在微軟的操作系統中，有一個非常重要的文件夾，即應用程序數據文件夾，他存儲了一些應用軟件的專屬數據。如即時聊天工具PIS，它的聊天記錄、配置文件、帳號信息等等都存放在這個文件夾中;再如，郵件客戶端mozila的配置文件與本地文件夾默認情況下也在這個文件夾中。后續若這些應用程序出現問題，只需要把應用程序卸載重新安裝，然后恢復這個文件夾中的應用程序專屬數據，即可以恢復原有應用程序的配置。不過，這里要注意一點，有些應用程序，如qq等聊天工具，其專屬數據在程序安裝的時候，會另外設立一個文件夾。遇到這些軟件，若采用文件重定向功能的話，則最好在安裝的時候，更改他們的路徑，使之在這個應用程序數據文件夾內，從而可以統一利用文件夾重定向功能。

 

　　2、對桌面進行重定向。很多員工總是改不掉一個壞習慣，老是喜歡把一些工作文件存放在桌面，他們認為這么處理方便，確不知道這個習慣的話，很容易造成文件的丟失。不過我們也可以利用文件夾的重定向功能，把桌面上的文件重定向到網絡的其他位置上。如此的話，用戶可以隨心所欲的在桌面上保存文件，而又不會影響到文件本身的安全性問題。

 

　　3、重定向我的文檔。這個文件夾大家都是最熟悉了，他存儲着用戶的一些文件。而且，其也是一些辦公文件的默認存儲位置，所以，也有必要把這個文件夾進行重定向，讓其轉移到網絡上的一個位置，從而實現對這個文件夾中的內容進行備份。

 

　　一、 文件夾重定向的基本步驟

 

　　如我們現在有一個采購部門的OU，現在要把這個OU內的所有用戶的桌面都重定向到一台文件服務器中。具體的配置步驟如下：

 

　　第一步：在文件服務器上新建一個文件夾。當然，這個文件服務器必須屬於這個域中。文件夾建立好只好，要確認一下這個文件夾的權限，如需要SYSTEM與CREATOROWNER帳戶對這個文件夾擁有完全控制的權限。而且，這個文件夾最好能夠建立在NTFS格式上，如此的話，可以實現更好的安全性。以后，采購部門OU內的所有用戶的桌面文件將被保存到這個位置上。

 

　　然后，把這個文件夾設置為共享文件夾，共享的權限是每個人都有完全控制的共享權限。不過，這么做的話，任何人都可以訪問包括自己文件在內的所有文件。所以，為了安全性考慮，最好把這個文件夾進行設置為隱藏。這很簡單，只需要在這個文件夾的名字后面加上$字符即可。

 

　　第二步：在域控制器上，利用組策略實現文件家重定向，而不是給每個域帳戶設置文件重定向。

 

　　在域控制器上，依次打開“開始”、“管理工具”、“活動目錄用戶和計算機”、采購部OU、屬性、組策略、采購部組策略、編輯。然后找到用戶配置、Windows配置、文件夾重定向，在打開的分支中我們可以看到其默認有桌面、我的文檔等等。我們此時需要重定向桌面文件，就在這里選擇桌面，然后選擇我們需要重定向的位置。這里要注意一點，如果我們在上面建立共享文件夾的時候，把文件夾隱藏起來了，即在文件夾名字后輸入了$符號，則此時，在輸入共享文件夾的位置的時候，也需要把這個服號輸入進去。

 

　　第三步：進行測試。當這個組策略應用到每個用戶中去后，每個帳戶登陸一次，就會在這個共享文件夾下建立一個文件夾。文件夾的名字是以用戶的帳戶名命名的。如某個采購員名字為sammy，則當這個采購員登陸到域中，就自動在這個文件夾下建立一個以sammy名字命名的文件夾。

 

　　在配置文件夾重定向組策略的時候，需要大致了解其一些默認選項。雖然一般不需要對這些選項進行更改。

 

　　如在組策略“設置”下拉框中有三個選擇。

 

　　一個是基本，也就是說將每個帳戶的文件家重定向到同以位置。也許我們不是在采購部這個OU級別上配置文件夾重定向組策略，我們可能在其父OU中實現這個策略;又或者采購OU中下面還有采購一組OU與采購二組OU等等。若我們選擇這個“基本”的話，也就是說，他們雖然OU的等級不同，但是，在共享文件夾中保存的文件位置都是相同的。或者說，這個組包括下面的各個OU內的帳戶，他們的文件夾都將被重定向。這是默認的選項。

 

　　第二個是高級選項。當采購OU下面有采購一組OU與采購二組OU。我們希望采購一組OU的文件重定向到“采購一組”這個文件夾下，而采購二組OU的文件夾重定向到“采購二組”下。要實現這個需求，一種方式是在采購一組OU與采購二組OU上設置組策略。不過如此處理的話，要設置兩個組策略，當下面的組多的時候，需要的組策略也會隨之增加。當子OU多的時候，這顯然設置起來會比較麻煩。另外一種方式，就是在父OU上設置這個組策略，然后選擇高級選項，為每個組指定具體的重定向位置。如此的話，只需要建立一個組策略即可。

 

二、 文件夾重定向的具體作用

 

　　文件夾重定向在實際工作中，具有很大的作用，簡單地來說，可以實現如下需求。

 

　　1、利用文件夾重定向功能，對相關文件或者文件夾進行統一備份。由於我們把分散在各個主機上的文件都重定向到一台主機上。如此的話，我們只需要對這台主機的文件夾進行備份，就可以達到對員工各台電腦的資料進行備份的目的。如此，這些存儲在文件服務器內的數據，網絡管理員可以對其進行定期的備份，從而保障數據的安全。

 

　　2、用戶訪問文件夾的位置，將不受限制。若桌面或者我的文檔等資料保存在本地的話，則用戶只有登陸本機才能夠訪問這些文件。而對文件夾進行重定向之后，則只需要員工登陸到這個域后，都可以訪問此文件夾，只要保存這些文件的文件服務器可用就行了。

 

　　3、提高用戶登陸、注銷的效率。如果用戶被指定了漫游用戶配置文件，即通過漫游配置模式登陸域，那么“我的文檔”等文件夾被重定向之后，在漫游用戶配置文件的文件夾內將不存儲“我的文檔”。所以在登陸、讀取漫游用戶配置文件，或者注銷、存儲漫游用戶配置文件的時候，因為不需要下在、存儲“我的文檔”，所以，用戶登陸、注銷的效率就比沒有重定向之前要高的多。

 

三、 文件夾重定向安全方面的考慮

 

　　文件重定向之后，由於各個用戶的文件夾都保存在網絡上的一個共享文件夾內，所以，其是否安全，也是我們網絡管理員需要考慮的一個問題。下面我們就來看看文件夾重定向之后可以采用哪些安全策略，來保障文件的安全。

 

　　1、授予用戶的獨占權限。從上面共享文件夾權限配置上，我們知道，這個共享文件夾對域內的所用用戶都具有完全控制權限。也就是說，這個共享文件夾中的文件，用戶除了可以訪問自己的文件外，還可以訪問其他人的文件。這顯然是不安全的。為此，在文件夾重定向的時候，我們可以授予用戶對這個文件夾以獨占的權限。若選中這個選項的話，就只有員工自己對那個自己的文件夾具有完全控制的權限。包括系統管理員在內的其他用戶都沒有任何訪問的權限，包括查詢、修改、刪除等等。若我們不選擇這個選項的話，則這個用戶的文件夾將繼承其父文件夾的權限，其所有用戶對此都具有完全控制權限，可以隨意的閱讀、修改、刪除其他員工的文件。所以，為了提高文件的安全性，還是建議網絡管理員選中這個選項。

 

　　2、對原有文件的管理。在應用文件重定向組策略之前，可能已經在桌面或者我的文檔中已經有了文件。我們希望利用這個組策略之后，之前的文件也能夠轉移，而不是只針對后面保存的文件奇效。為此，我們可以選擇“將原有文件移動到新位置”選項。如此，在應用組策略之后，就會將原文件夾內的文件也移動到重定向后的文件夾內。

 

　　3、容量大小的控制。在文件夾重定向功能中，有時候還需要對各個帳戶的磁盤容量進行控制。否則的話，一些用戶把一些電影、歌曲之類的文件進行重定向的話，則很快磁盤就會滿。為此，我們可以在服務器上實現“磁盤配額”的功能。這是NTFS格式分區的一個比較實用的功能。我們可以利用之一技術，對用戶的存儲空間進行限制。

轉載於:https://blog.51cto.com/51itxz/478027