Рабочие папки: файлы, которые всегда с тобой
Время на прочтение
6 мин
Количество просмотров 65K
Сегодня нередко возникает необходимость получить доступ к корпоративным файлам во время поездок, командировок, а также во время встреч за пределами офиса. Не всегда для этого удобно использовать рабочее устройство, включенное в домен. Иногда доступ к корпоративным данным нужно получить и с личных устройств. С одной стороны, решение этой проблемы лежит на поверхности – давайте предоставим пользователю доступ к рабочим файлам с личных устройств. Но здесь есть проблема: как обеспечить должный уровень безопасности этих файлов? Выход предоставляют Windows Server 2012 R2 и Windows 8.1 – это использование Рабочих папок (Work Folders).
Рабочие папки – что это?
Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:
- Подключится к корпоративному приложению через браузер;
- Установка с корпоративного портала приложений на устройства (личные и рабочие);
- Синхронизировать рабочие файлы на разных устройствах.
Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.
Установка и настройка
Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:
В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:
- Настройка сервера
- Установка роли Рабочие Папки (Work Folders)
- Создание общего ресурса синхронизации (Sync Share)
- Включение доступа по SMB (дополнительно)
- Настройка клиента, включенного в домен
- Настройка Рабочих Папок (Work Folders) на личном устройстве
- Синхронизация файлов в Рабочих Папках (Work Folders)
Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь):
- KB2883200
- KB2894179
- KB2894029
1. Настройка сервера
1.1. Установка роли Рабочие Папки (Work Folders)
Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:
Данную операцию также можно выполнить с помощью команды PowerShell:
PS C:\> Add-WindowsFeature FS-SyncShareService
1.2. Создание общего ресурса синхронизации (Sync Share)
После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:\SalesShare).
Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.
Далее укажем имя для общего ресурса синхронизации:
На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.
Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».
Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.
Проверим еще раз информацию.
И перейдем к установке.
Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:
PS C:\>New-SyncShare SalesShare –path C:\SalesShare –User MVA\Sales -RequireEncryption $true –RequirePasswordAutoLock $true
В итоге, мы должны получить вот такой результат:
1.3. Включение доступа по SMB (дополнительно)
Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVA\Sales и измените права доступа на «Read/Write»:
Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:
PS C:\> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>
2. Настройка клиента, включенного в домен
Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).
Введите E-mail адрес пользователя.
Укажите, где на устройстве должны быть расположены рабочие папки.
Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.
Теперь рабочие папки установлены на устройство.
Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.
Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.
3. Настройка Рабочих Папок (Work Folders) на личном устройстве
Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.
После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:
4. Синхронизация файлов в Рабочих Папках (Work Folders)
Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.
Надеюсь, информация будет полезна!
Спасибо!
Популярность смартфонов, планшетов, ноутбуков и прочих мобильных устройств вынуждает компании принимать политику, позволяющую сотрудникам использовать персональные электронные устройства для работы и доступа к корпоративным ресурсам. Однако внедрение этой концепции порождает ряд проблем
:
- Возникает угроза безопасности корпоративных данных, поскольку устройство может быть украдено или потеряно.
- Хранение данных пользователя только на локальном жестком диске ноутбука или планшета неэффективно. В такой ситуации, например, невозможно управлять процессом создания резервных копий, а это означает, что в случае выхода жесткого диска из строя данные могут быть утрачены.
- Пользователи часто работают с несколькими устройствами (например, с ноутбуком и планшетом или планшетом и смартфоном), что затрудняет синхронизацию данных. Для обеспечения актуальности данных на всех используемых устройствах часто применяется Microsoft SkyDrive, Dropbox, Google Drive или аналогичное «облачное» хранилище. Однако эти службы изначально предназначены для хранения пользовательских, а не корпоративных данных. Хранение данных компании в таком месте ставит под угрозу их безопасность. Кроме того, администратор не может управлять работой этих служб на личных компьютерах пользователей, что затрудняет их применение в корпоративной среде.
- Пользователям, работающим на мобильных компьютерах (ноутбуках, планшетах и др.), включенных в корпоративный домен Active Directory, часто требуется доступ к данным компании, когда они находятся в автономном режиме. В Windows Server 2012 и более ранних версиях Windows для обеспечения локальной доступности данных на компьютере пользователя даже при отсутствии подключения к сети преимущественно применяется технология автономных файлов Offline Files. Однако при этом файлы синхронизируются только при подключении пользователя к локальной корпоративной сети. При продолжительном нахождении в автономном режиме существует большая вероятность, что данные, с которыми работает пользователь, окажутся устаревшими.
Для решения всех этих проблем в Windows Server 2012 R2 реализована новая технология рабочих папок Work Folders, позволяющая пользователю получать доступ к корпоративным данным независимо от его местонахождения, а администратору – управлять параметрами этой функции и данными пользователя.
Функция Work Folders открывает доступ к актуальным данным независимо от того, имеет ли пользователь подключение к локальной сети, то есть выполняет практически те же функции, что и «облачные» службы, с одним лишь отличием, которое заключается в том, что рабочие папки управляемы. Work Folders позволяет администратору управлять данными пользователей и их подключениями к рабочим папкам. Администратор может применять шифрование, управлять доступом пользователей к этой функции, а также принудительно устанавливать параметры безопасности на устройствах, использующих Work Folders, даже если они не принадлежат домену.
Применение Work Folders доступно для различных типов устройств независимо от их доменной принадлежности и наличия подключения к локальной сети (например, дома или в дороге). В отличие от других технологий аналогичного назначения в более ранних версиях Windows, рабочие папки могут быть опубликованы в интернете с помощью Web Application Proxy (возможность, также впервые реализованная в Server 2012 R2), что позволяет пользователям синхронизировать данные в любом месте, где есть подключение к интернету. Для публикации рабочих папок можно применять и другие механизмы, такие как Microsoft Forefront Unified Access Gateway (UAG). Можно также задействовать Forefront Threat Management Gateway (TMG), но это решение является устаревшим.
Реализация Work Folders
На момент написания этой статьи клиентская поддержка Work Folders доступна только для устройств под управлением Windows 8.1 и Windows RT 8.1. Однако Microsoft планирует распространить поддержку на устройства под Windows 8, Windows 7, а также на устройства на базе Apple iOS, такие как iPad. Есть сведения, что будут поддерживаться и устройства на базе Google Android. Так или иначе, очевидно, что Microsoft открывает двери AD для других платформ, от чего клиенты только выиграют.
Для включения Work Folders необходим, как минимум, один файловый сервер Server 2012 R2. Должны быть применены обновления схемы Server 2012 R2 по причинам, которые будут изложены ниже. Для полной реализации возможностей Work Folders (например, для использования групповой политики для установки параметров клиентов) рекомендуется (не обязательно) иметь, как минимум, один контроллер домена (DC) под управлением Server 2012 R2.
Применение Work Folders не требует повышения функционального уровня домена до Server 2012. Функциональность Work Folders фактически составляет подмножество роли файловых служб и служб хранилища File and Storage Services и легко устанавливается с помощью диспетчера серверов. Для более эффективного управления данными пользователя рекомендуется (не обязательно) также установить диспетчер ресурсов файлового сервера и включить дедупликацию данных. Диспетчер ресурсов файлового сервера File Server Resource Manager позволяет устанавливать квоты и политики блокировки файлов для папок пользователей. Дедупликация данных, впервые появившаяся в Server 2012, позволяет оптимизировать использование дискового пространства за счет того, что идентичные блоки данных записываются лишь однократно. Для защиты критически важных корпоративных данных, хранящихся в рабочих папках, рекомендуется также использовать службу управления правами Active Directory (AD RMS) или шифрованную файловую систему (EFS).
При установке функции Work Folders устанавливаются также ведущий базовый экземпляр IIS (Hostable Web Core) и средства управления IIS. Настройка параметров IIS не требуется, но необходимо назначить доверенный SSL-сертификат файловому серверу в консоли IIS и привязать его к порту 443 для веб-сайта по умолчанию. Сертификат должен содержать имя файлового сервера и имя, под которым будут публиковаться рабочие папки (если эти имена не совпадают). Сертификат должен быть доверенным для клиентов. Обычно доверенный статус не проблема для устройств, принадлежащих домену, но для собственных устройств, используемых в рамках концепции BYOD, могут понадобиться дополнительные действия (например, импорт сертификата Root CA в локальное хранилище сертификатов Trusted Root CA клиента), кроме тех случаев, когда используется общий сертификат от удостоверяющего центра (СА), который является доверенным в глобальном масштабе. Если предполагается задействовать функцию автообнаружения, которая будет рассматриваться ниже, то в сертификате должно быть указано SAN-имя workfolders.имя домена, где имя домена – это DNS-имя вашего домена.
После установки Work Folders подготовьте общий ресурс для хранения данных пользователя. Общий ресурс может располагаться в любом месте, доступном для файлового сервера, на котором установлены Work Folders. Для созданного корневого общего ресурса рекомендуется оставить предусмотренные по умолчанию разрешения для общего ресурса и разрешения NTFS и включить перечисление на основе доступа. Если перечисление на основе доступа включено, пользователи могут видеть только те папки, к которым им разрешен доступ.
Когда создан корневой общий ресурс, в диспетчере серверов запустите мастер создания общего ресурса синхронизации New Sync Share Wizard. В диспетчере серверов нажмите File and Storage Services, затем Work Folders, и в меню Tasks выберите New Sync Share. Мастер последовательно проходит процесс создания структуры рабочих папок. После выбора корневой папки, подготовленной в качестве общего ресурса, выберите формат образования имен вложенных папок («псевдоним пользователя» или «псевдоним@домен»). Если в лесу AD DS имеется несколько доменов, для образования имен рекомендуется использовать формат «псевдоним@домен».
Управление доступом к рабочим папкам может быть организовано по пользователям или группам. Соответствующая установка выполняется на странице Sync Access (см. экран 1). Пользователи или группа должны быть частью домена AD DS. Это означает, что, хотя принадлежность домену не является обязательной для устройств, пользователи все же должны иметь достоверные учетные данные Active Directory (AD). Для облегчения последующего управления рекомендуется задать группу. Рекомендуется также отключить наследование разрешений для Work Folders, чтобы каждый пользователь имел монопольный доступ к своим файлам.
Экран 1. Управление доступом к рабочим папкам |
На последней странице мастера можно задать дополнительные параметры безопасности для устройств, используемых для доступа к рабочим папкам. Как показано на экране 2, можно задать шифрование и автоматическую блокировку экрана, которая снимается после ввода пароля.
Экран 2. Настройка дополнительных параметров безопасности на устройствах, используемых для?доступа к рабочим папкам |
Отметим, что применение параметров безопасности, относящихся к Work Folders, осуществляется не с помощью групповой политики. Параметры вступают в силу, когда пользователь устанавливает соединение с Work Folders, и применяются на компьютерах, как принадлежащих, так и не принадлежащих домену.
Настройка Work Folders на клиентах
На клиентах Windows 8.1 и Windows RT 8.1 настройка Work Folders может выполняться вручную или автоматически с помощь групповой политики. На компьютерах, принадлежащих домену, параметры проще устанавливать с помощью групповой политики, но в этом случае необходимо иметь, как минимум, один контроллер домена Server 2012 R2. Настройка клиентов, не принадлежащих домену, выполняется вручную. Рассмотрим оба метода, а также случай, когда имеется несколько файловых серверов.
Настройка клиентов с помощью групповой политики. Автоматическая настройка Work Folders на клиентах с помощью групповой политики требует установки нескольких параметров объектов групповой политики (GPO). Рабочие папки организованы по пользователям, поэтому в редакторе групповой политики (GPE) перейдите к разделу User Configuration\Policies\Administrative Templates\Windows Components\Work Folders и включите политику Specify Work Folders settings. Укажите URL-адрес рабочих папок, определяя местонахождение файлового сервера, где выполнена установка Work Folders. Обычно таким адресом является https://fileserverFQDN, где fileserverFQDN – полное доменное имя файлового сервера (FQDN).
Существует возможность принудительной автоматической настройки для каждого пользователя, которую следует применять с осторожностью, так как при ее включении у всех пользователей, к которым применим данный объект GPO, на каждом устройстве, где они будут регистрироваться (если это устройство поддерживает Work Folders), будет выполняться настройка Work Folders без запроса на подтверждение данного действия. В некоторых случаях (например, если пользователи работают на многих рабочих станциях) это может оказаться нежелательным.
При желании в разделе Computer Configuration\Policies\Administrative Templates\Windows Components\Work Folders редактора групповой политики можно применить параметр, предусматривающий автоматическую настройку Work Folders для всех пользователей. После этого на компьютерах, где применен данный параметр объекта GPO, для каждого пользователя, выполняющего процедуру регистрации, будет выполнена соответствующая настройка Work Folders, если этому пользователю разрешено применение Work Folders.
После применения этих параметров к пользователям (и, при желании, к компьютерам), пользователи домена смогут задействовать Work Folders после обновления групповой политики или перезапуска клиентского компьютера. Если параметры Work Folders не применяются с помощью групповой политики, проверьте сертификат файлового сервера, который чаще всего является причиной проблем. Сертификат должен иметь достоверное имя, должен быть выдан доверенным корневым центром сертификации и назначен порту 443 веб-сайта по умолчанию. Также убедитесь в том, что на сервере, где выполнена настройка Work Folders, работает служба общих папок синхронизации Windows. Хотя эта служба автоматически запускается при установке Work Folders, мне доводилось наблюдать случаи, когда она прекращала работу.
Настройка клиентов вручную. Для компьютера (например, планшета), не принадлежащего домену, включение Work Folders выполняется из панели управления. В Windows 8.1 и Windows RT 8.1 на панели управления есть приложение Work Folders (см. экран 3).
Экран 3. Приложение Work Folders на панели управления |
Технология Work Folders имеет функцию автообнаружения, которая позволяет системам, не принадлежащим домену, легко находить нужный файловый сервер, где размещены Work Folders. Для использования этой функции необходимо, чтобы в общей зоне DNS был прописан узел размещения рабочих папок или псевдоним, указывающий на нужный файловый сервер. В этом случае пользователю для настройки приложения Work Folders на устройстве, не принадлежащем домену, достаточно ввести почтовый адрес. По той части почтового адреса, которая указывает на домен, устройство выполнит поиск узла размещения рабочих папок или псевдонима в DNS. Пользователь также должен указать корректные имя и пароль доменной учетной записи, для которой разрешено применение Work Folders.
Если функция автообнаружения использоваться не будет, то пользователи при настройке приложения Work Folders могут указывать URL-адрес файлового сервера (см. экран 4).
Экран 4. Ввод URL-адреса сервера, где размещаются Work?Folders |
В этом случае вручную введите URL-адрес, используемый для публикации файлового сервера, где размещаются Work Folders, в интернете. Если функция автообнаружения не включена, URL-адрес может быть любым. Как видно из примера, приведенного на экране 4, соединение устанавливается по протоколу HTTP Secure (HTTPS), что значительно упрощает публикацию Work Folders. Пользователь, регистрирующийся как локальный пользователь, после ввода URL-адреса должен указать достоверные учетные данные AD, после чего на его устройстве выполняется настройка Work Folders. Пользователь также должен принять политики безопасности, показанные на экране 5. Таким образом он выражает согласие с тем, что администратор будет управлять данными в его рабочей папке и применять меры безопасности к его устройству.
Экран 5. Принятие политик безопасности в отношении устройства, используемого для доступа к Work Folders |
Несколько файловых серверов. Если имеется несколько файловых серверов, используемых для размещения Work Folders, то для указания местоположения правильного экземпляра Work Folders для каждого пользователя можно воспользоваться новым атрибутом пользователя msDS-SyncServerUrl в AD DS (включен в схему Server 2012 R2). Этот атрибут можно найти на вкладке Attribute Editor в свойствах учетной записи пользователя. После настройки данного атрибута пользователь будет направляться к заданному файловому серверу для доступа к своему экземпляру Work Folder. Настойка этого атрибута не является обязательной в сценариях развертывания, когда для размещения Work Folders используется только один файловый сервер или если Work Folders настраивается без участия функции автообнаружения.
Использование Work Folders
После применения параметров Work Folders пользователи могут получать доступ к своим рабочим папкам. Независимо от доменной принадлежности их устройств, в проводнике появляется новый значок (см. экран 6). Используются рабочие папки так же, как и любые другие локальные папки. Единственное отличие состоит в том, что в списке возможных вариантов, открываемом щелчком правой кнопки мыши на значке Work Folders, присутствует возможность применения синхронизации с сервером. Если синхронизация не работает, убедитесь, что у вас есть локальные административные полномочия на клиентской системе, чтобы применить политики безопасности с сервера.
Экран 6. Значок Work Folders в «Проводнике» |
При желании пользователь может контролировать состояние рабочей папки независимо от доменной принадлежности своего устройства. Как показано на экране 7, можно выяснить, сколько доступного пространства имеется на сервере и когда файлы были синхронизированы в последний раз.
Экран 7. Контроль состояния рабочих папок из панели управления |
Управление Work Folders
Администраторы могут управлять рабочими папками через интерфейс Work Folders, интегрированный с консолью диспетчера серверов. В любой момент можно увидеть, какие пользователи подключены к Work Folders, как показано на экране 8.
Экран 8. Информация о пользователях, подключенных к Work Folders в данный момент |
Щелчком правой кнопки мыши на имени пользователя открываются два варианта: Properties и Suspend User (см. экран 9).
Экран 9. Переход к подробной информации |
При выборе Properties можно увидеть, сколько устройств у выбранного пользователя ассоциировано с его рабочей папкой (см. экран 10). Выбор Suspend User останавливает синхронизацию между локальной рабочей папкой пользователя и его рабочей папкой на сервере. При этом пользователь по-прежнему имеет доступ к локальной копии данных. Для возобновления синхронизации щелкните правой кнопкой на имени пользователя и выберите соответствующий вариант.
Экран 10. Отображение информации о том, сколько устройств у данного пользователя ассоциировано с его рабочей папкой |
По умолчанию администратор не имеет доступа к серверной копии рабочей папки пользователя, поскольку разрешения автоматически устанавливаются только для владельца. Однако при необходимости можно вступить во владение папкой и получить доступ к данным. Каждый пользователь имеет доступ к серверной копии своих данных. При этом другие папки для него недоступны, и в случае, если включено перечисление на основе доступа, этот пользователь даже не будет видеть других папок.
Work Folders в Server 2012 R2 – большой шаг вперед по сравнению с существующими технологиями синхронизации и обеспечения доступности данных. Функция обладает преимуществами «облачного» решения, но позволяет администраторам управлять параметрами технологии и данными пользователя. Рабочие папки могут быть очень удобны для мобильных пользователей, особенно в среде, организованной по принципу BYOD. Если Microsoft, как и было обещано, откроет эту технологию для других платформ, то пользователи смогут всегда иметь доступ к своим данным.
Начинаем знакомиться с новыми возможностями и ключевыми усовершенствованиями, которые нас ожидают в новом обновлении серверной линейки Microsoft — Windows Server 2012 R2, До даты официального выпуска осталось чуть больше месяца (а это, напомним, случится 18 октября 2013 года). Сегодня речь пойдет о новом функционале Windows Server 2012 R2 под названием Work Folders.
Нередка ситуация, когда работник для работы с корпоративными данными используется больше чем два устройства (например, ноутбук и планшет). В этой ситуации, чтобы пользователи всегда работали с актуальными версиями своих данных, перед ИТ-службой встает задача синхронизации файлов. Для этих целей можно воспользоваться SkyDrive, DropBox или походим сервисом. Однако не всегда возможно хранить данные в «облаке», хотя бы из соображений конфиденциальности и безопасности. Новая функция Windows Server 2012 R2 Work Folders (или «Рабочие папки») – позволяет пользователям синхронизировать свои личные файлы в корпоративной сети с любыми своими устройствами. По сути, Work Folders является аналогом Dropbox для корпоративных пользователей.
Благодаря «Рабочим папкам» на платформе Windows Server 2012 R2 возможно организовать функциональный и безопасный сервис репликации файлов пользователей между несколькими устройствами. Work Folders на базе файлового сервера позволяет организовать «корпоративный SkyDrive. Помимо всего прочего, к пользовательским данным на корпоративном файловом сервере можно применять такие политики, как квотирование (Quota), блокировка запрещенных типов файлов (File Screening), а также динамический контроль доступа (Dynamic Access Control) и т.д., т.е. полный комплекс мер по обеспечению защиты информации.
Как и Dropbox, Work Folders позволяет хранить копии файлов на стороне сервера и клиента, и при каждом подключении клиента к серверу выполняется синхронизация данных. Благодаря данной функции пользователь может синхронизировать свои рабочие папки со своим мобильным устройством (ноутбуком, планшетом и т.д.) и осуществлять редактирование документов, даже без подключения к корпоративной сети (offline). При следующем соединении с корпоративной сетью клиент Work Folders осуществит синхронизацию изменений.
На данный момент технологию Work Folders поддерживают только устройства под управлением Windows 8.1, в которую клиент Work Folders уже встроен. В ближайшем будущем будет добавлена поддержка популярных мобильных устройств: девайсов на Windows 7, Windows 8, Android, а также iOS.
Служба синхронизации Work Folder должна работать на Windows 2012 R2 с установленной ролью файлового сервера. Work Folder также возможно интегрировать со службой Active Directory Rights Management Services, позволяющей обеспечить защиту пользовательских данных.
Настройка Work Folder на Windows Server 2012 R2
Функционал Work Folders в Windows Server 2012 R2 входит в состав роли File and Storage Services и включить его можно с помощью консоли Server Manager или PowerShell.
При установке функционала Work Folders также будет установлен сервер IIS Web Core, являющийся обязательным компонентом технологии и необходимый для обслуживания клиентов.
После установки функции, нужно открыть консоль Server Manager ->File Server -> Work Folders и указать каталог, в котором будут храниться «Рабочие папки» пользователей.
Следующий шаг – выбор структуры папок. Имена подпапкок (каталоги конечных пользователей сервиса) могут содержать только имена пользователей (псевдонимы) или их полные email адреса.
Затем нужно указать список пользователей и групп, имеющих доступ к данной папке. Если нужно, чтобы у администратора сервера не было доступа к данным пользователей, отметьте флажок «Disable inherited permissions and grant users exclusive access to their files».
Далее необходимо указать будут ли на клиентских устройствах применяться политики защиты данных, такие как шифрование (на клиенте Windows 8.1 используется EFS) и защита данных паролем.
«Рабочие папки» синхронизируется посредством веб сервера IIS по протоколу HTTPS, поэтому для работы придется настроить на IIS шифрование SSL/TLS. После окончания работы мастера, нужно создать новый сертификат типа Web Server Template, содержащий FQDN имя сервера.
Совет.
- Если для подключения предполагается использовать внешний домен, необходимо в соответствующей DNS зоне создать CNAME/ A запись.
- Для предоставления удаленного доступа к Work Folders возможно воспользоваться DirectAccess или новой функцией Windows Server 2012 R2 — Web Application Proxy
Данный сертификат необходимо выбрать в качестве SSLсертификата на сайте IIS.
Настройка Work Folder на клиенте
Следующий этап – настройка клиента Work Folder на пользовательском девайсе. Отметим, что для работы «Рабочих папок», клиент не обязательно должен состоять в тот же домене Windows, что и сервер Work Folder.
Примечание. Напомним, что на момент выхода статьи, клиент Work Folder доступен только для Windows 8.1.
- Откройте панель управления и запустите апплет Work Folders.
- Система предложит указать email адрес пользователя (требует корректной настройки DNS зоны домена), или Url сервера с ролью Work Folders.
- Т.к. политка на сервере Work Folders требует защиты данных с помощью шифрования и пароля, необходимо подтвердить, что вы согласны применить эти политики на своем устройстве.
- После этого в панели управления появится информация о «Рабочих папках» (объем доступного пространства на сервер, время последней синхронизации, ошибки и т.д.).
- Содержимое «Рабочих папок» доступно их проводника Windows или любого файлового менеджера (по умолчанию Work Folders хранятся в каталоге c:\users\username\WorkFolders).
- Если скопировать или переместить в данную папку любой файл, то после следующей синхронизации, он будет скопирован на корпоративный файловый сервер и будет доступен пользователю на других мобильных и стационарных устройствах пользователя с настроенными Рабочими папками.
Примечание. К сожалению, нам не получилось обнаружить в проводнике никакой визуальной информации о статусе синхронизации, так что понять был синхронизирован конкретный каталог или нет невозможно…
Настройка Work Folder с помощью групповой политики
Настроить Work Folder на клиентах возможно также с помощью групповой политик. Это удобно в случае необходимости массовой использования данной технологии на ПК домена. Интересующая нас политика находится в разделе Users Configurations-> Policies > Administrative Templates > Windows Components > Work Folders и называется Specify Work Folders settings. Чтобы задать сервер «Рабочих папок», активируйте эту политику и укажите URL путь к серверу.
Чтобы клиенты настраивали оставшиеся параметры Work Folders автоматически, также активируйте политику Force automatic setup for all users (раздел GPO: Computer Configurations> Policies > Administrative Templates > Windows Components > Work Folders.
Примечание. Информация в этой статье основана на доступных на данный момент Windows 8.1 Preview and Windows Server 2012 R2 Preview, в дальнейшем она будет обновлена на основании изменений в RTM версиях.
Функционал Work Folder разработан Microsoft в рамках общего ИТ тренда под названием BYOD (Bring Your Own Device), в концепции которого пользователи могут использоваться свои личные мобильные устройства для прозрачного и безопасного доступа к корпоративным ресурсам. Одно из главных преимуществ концепции BYOD для копаний – отсутствие необходимости обеспечения сотрудников устройствами доступа (ноутбуки, телефоны, планшетные компьютеры), все, что нужно от компании – предоставить пользователям удобные службы удаленного подключений к корпоративной сети и сервисы предоставления корпоративных ресурсов.
хорошая статья.
но внесу немного поправок (текст ПРИМЕЧАНИЯ: )
Начинаем знакомиться с новыми возможностями и ключевыми усовершенствованиями, которые нас ожидают в новом обновлении серверной линейки Microsoft — Windows Server 2012 R2, До даты официального выпуска осталось чуть больше месяца (а это, напомним, случится 18 октября 2013 года). Сегодня речь пойдет о новом функционале Windows Server 2012 R2 под названием Work Folders.
Нередка ситуация, когда работник для работы с корпоративными данными используется больше чем два устройства (например, ноутбук и планшет). В этой ситуации, чтобы пользователи всегда работали с актуальными версиями своих данных, перед ИТ-службой встает задача синхронизации файлов. Для этих целей можно воспользоваться SkyDrive, DropBox или походим сервисом. Однако не всегда возможно хранить данные в «облаке», хотя бы из соображений конфиденциальности и безопасности. Новая функция Windows Server 2012 R2 Work Folders (или «Рабочие папки») – позволяет пользователям синхронизировать свои личные файлы в корпоративной сети с любыми своими устройствами. По сути, Work Folders является аналогом Dropbox для корпоративных пользователей.
Благодаря «Рабочим папкам» на платформе Windows Server 2012 R2 возможно организовать функциональный и безопасный сервис репликации файлов пользователей между несколькими устройствами. Work Folders на базе файлового сервера позволяет организовать «корпоративный SkyDrive. Помимо всего прочего, к пользовательским данным на корпоративном файловом сервере можно применять такие политики, как квотирование (Quota), блокировка запрещенных типов файлов (File Screening), а также динамический контроль доступа (Dynamic Access Control) и т.д., т.е. полный комплекс мер по обеспечению защиты информации.
Как и Dropbox, Work Folders позволяет хранить копии файлов на стороне сервера и клиента, и при каждом подключении клиента к серверу выполняется синхронизация данных. Благодаря данной функции пользователь может синхронизировать свои рабочие папки со своим мобильным устройством (ноутбуком, планшетом и т.д.) и осуществлять редактирование документов, даже без подключения к корпоративной сети (offline). При следующем соединении с корпоративной сетью клиент Work Folders осуществит синхронизацию изменений.
На данный момент технологию Work Folders поддерживают только устройства под управлением Windows 8.1, в которую клиент Work Folders уже встроен. В ближайшем будущем будет добавлена поддержка популярных мобильных устройств: девайсов на Windows 7, Windows 8, Android, а также iOS.
Служба синхронизации Work Folder должна работать на Windows 2012 R2 с установленной ролью файлового сервера. Work Folder также возможно интегрировать со службой Active Directory Rights Management Services, позволяющей обеспечить защиту пользовательских данных.
Функционал Work Folders в Windows Server 2012 R2 входит в состав роли File and Storage Services и включить его можно с помощью консоли Server Manager или PowerShell.
При установке функционала Work Folders также будет установлен сервер IIS Web Core, являющийся обязательным компонентом технологии и необходимый для обслуживания клиентов.
После установки функции, нужно открыть консоль Server Manager ->File Server -> Work Folders и указать каталог, в котором будут храниться «Рабочие папки» пользователей.
ПРИМЕЧАНИЯ:
желательно папку Work Folders сразу расшарить по сети. Права по сети – полный доступ, NTFS права не назначаем.
Следующий шаг – выбор структуры папок. Имена подпапкок (каталоги конечных пользователей сервиса) могут содержать только имена пользователей (псевдонимы) или их полные email адреса.
ПРИМЕЧАНИЯ:
есть смысл в тестовом варианте выбрать User Alias.
Затем нужно указать список пользователей и групп, имеющих доступ к данной папке. Если нужно, чтобы у администратора сервера не было доступа к данным пользователей, отметьте флажок «Disable inherited permissions and grant users exclusive access to their files».
ПРИМЕЧАНИЯ:
Можно группу не создавать. В тестовом варианте работает и с обычной учетной записью.
Далее необходимо указать будут ли на клиентских устройствах применяться политики защиты данных, такие как шифрование (на клиенте Windows 8.1 используется EFS) и защита данных паролем.
ПРИМЕЧАНИЕ:
EFS можно и не отмечать.Дома стояла Windows 8.1 со бновлениями за 02-2015, синхронизация сработала.
«Рабочие папки» синхронизируется посредством веб сервера IIS по протоколу HTTPS, поэтому для работы придется настроить на IIS шифрование SSL/TLS. После окончания работы мастера, нужно создать новый сертификат типа Web Server Template, содержащий FQDN имя сервера.
Совет.
- Если для подключения предполагается использовать внешний домен, необходимо в соответствующей DNS зоне создать CNAME/ A запись.
- Для предоставления удаленного доступа к Work Folders возможно воспользоваться DirectAccess или новой функцией Windows Server 2012 R2 — Web Application Proxy
Примечания:
Сертификат нужно выпустить на Enterprise CA. Важно чтобы ваш клиентский компьютер доверял сертификату.
Как выпустить сертификат:
В консоли CA назначаем на шаблон ВЕБ СЕРВЕР права учетной записи компьютера и учетной записи пользователя Enfoll и Read.
Заходим в консоль НА КОМПЬЮТЕРЕ КОТОРЫЙ БУДЕТ СЕРВЕРОМ Work Folders и делаем запрос на сертификат.
Certificates – Personal – New Reqest.
Выбираем Web Server и кнопку Properties.
Заполняем поля CN и DNS.
В поле DNS всавляем ВСЕ возможные имена сертификата.
(*.myfirma.ru, workfolders.myfirma.ru, server1.domen.local, server1):
ОБЯЗАТЕЛЬНО сделайте у вашего провайдера в редакторе ДНС запись тип “А”о внешнем имени подключения. workfolders.myfirma.ru
Если все совсем плохо, тогда попробуйте выпустить сертификат на внешний IP адрес и подключаться вроде как https://200.100.15.45 (возможно сработает).
Вставляем Frendli name:
делаем отметку что ключ можно экспортировать (может пригодится):
Если все хорошо, то будет активна кнопка Enroll
И отметив Web Server сертификат можно выпустить:
Сертификат будет помещен Certificates – Local Computer – Personal.
Обязательная отметка – Нарисованный “ключик” на самом сертификате (левый верхний уголок).
Если что то пойдет не так, то выпускаем запрос на сертификат, потом импортируем запрос Submin new Request.
Далее сертификат импортируем на наш сервер в Certificates – Local Computer – Personal
После этого на IIS сертификат можно будет использовать.
Данный сертификат необходимо выбрать в качестве SSLсертификата на сайте IIS.
ПРИМЕЧАНИЯ:
Я опубликовал сервер через TMG по 443 порту.
для этого создал свое определение протокола на 443 порту:
Внутренний IP адрес сервера в сети:
Настройка Work Folder на клиенте
Следующий этап – настройка клиента Work Folder на пользовательском девайсе. Отметим, что для работы «Рабочих папок», клиент не обязательно должен состоять в тот же домене Windows, что и сервер Work Folder.
Примечание:
Для всех учетных записей на вашем домашнем компьютере должны стоять пароли.
Примечание. Напомним, что на момент выхода статьи, клиент Work Folder доступен только для Windows 8.1.
Откройте панель управления и запустите апплет Work Folders.
Система предложит указать email адрес пользователя (требует корректной настройки DNS зоны домена), или Url сервера с ролью Work Folders.
Т.к. политка на сервере Work Folders требует защиты данных с помощью шифрования и пароля, необходимо подтвердить, что вы согласны применить эти политики на своем устройстве.
После этого в панели управления появится информация о «Рабочих папках» (объем доступного пространства на сервер, время последней синхронизации, ошибки и т.д.).
ПРИМЕЧАНИЯ:
Синхронизация немного запаздывает, примерно на 2-5 мин задержка – обычное дело.
Содержимое «Рабочих папок» доступно их проводника Windows или любого файлового менеджера (по умолчанию Work Folders хранятся в каталоге c:\users\username\WorkFolders).
Если скопировать или переместить в данную папку любой файл, то после следующей синхронизации, он будет скопирован на корпоративный файловый сервер и будет доступен пользователю на других мобильных и стационарных устройствах пользователя с настроенными Рабочими папками.
Примечание. К сожалению, нам не получилось обнаружить в проводнике никакой визуальной информации о статусе синхронизации, так что понять был синхронизирован конкретный каталог или нет невозможно…
Настройка Work Folder с помощью групповой политики
Настроить Work Folder на клиентах возможно также с помощью групповой политик. Это удобно в случае необходимости массовой использования данной технологии на ПК домена. Интересующая нас политика находится в разделе Users Configurations-> Policies > Administrative Templates > Windows Components > Work Folders и называется Specify Work Folders settings. Чтобы задать сервер «Рабочих папок», активируйте эту политику и укажите URL путь к серверу.
Чтобы клиенты настраивали оставшиеся параметры Work Folders автоматически, также активируйте политику Force automatic setup for all users (раздел GPO: Computer Configurations> Policies > Administrative Templates > Windows Components > Work Folders.
Примечание. Информация в этой статье основана на доступных на данный момент Windows 8.1 Preview and Windows Server 2012 R2 Preview, в дальнейшем она будет обновлена на основании изменений в RTM версиях.
Функционал Work Folder разработан Microsoft в рамках общего ИТ тренда под названием BYOD (Bring Your OwnDevice), в концепции которого пользователи могут использоваться свои личные мобильные устройства для прозрачного и безопасного доступа к корпоративным ресурсам. Одно из главных преимуществ концепции BYOD для копаний – отсутствие необходимости обеспечения сотрудников устройствами доступа (ноутбуки, телефоны, планшетные компьютеры), все, что нужно от компании – предоставить пользователям удобные службы удаленного подключений к корпоративной сети и сервисы предоставления корпоративных ресурсов
взято тут:
http://winitpro.ru/index.php/2013/09/11/windows-server-2012-r2-work-folders-sinxronizaciya-fajlov-mezhdu-ustrojstvami/
Search code, repositories, users, issues, pull requests…
Provide feedback
Saved searches
Use saved searches to filter your results more quickly
Sign up