Технология рабочих папок (Work Folders) позволяет организовать удаленный доступ пользователей к своим файлам на внутреннем файловом сервере компании и работать с ними в офлайн режиме с любого устройства (ноутбук, планшет или смартфон). При следующем подключения к сети все изменения в файлах на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем, как установить и настроить функционал Work Folders на базе файлового сервера Windows Server 2016 и клиента с Windows 10 .
В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.
Содержание:
- Установка и настройка роли Work Folders в Windows Server 2016
- Настройка клиента Work Folders
- Настройка клиента Work Folders групповыми политиками Windows
- Ошибка синхронизации Work Folders 0x80c80317
- Заключение
Установка и настройка роли Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.
В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).
Установка роли Work Folders с помощью PowerShell выполняется такой командой:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).
Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.
Откройте Server Manager, выберите роль File and Storage Services -> Work Folders. Выберите меню Tasks -> New Sync Share.
Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:\finance.
Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате user@domain.
Затем указывается имя шары.
Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.
Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:
- Encrypt Work Folders – обязательное шифрование данных в каталоге Work Folder на клиенте с помощью BitLocker
- Automatically lock screen and require a password– автоматическая блокировка экрана через 15 минут неактивности устройства и защита его паролем (не менее 6 символов)
На этом настройка новой рабочей папки закончена.
Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе
New-SyncShare "Sales" C:\sales –User "Sales_Users_Remote_WorkFolder"
Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.
Примечание. В тестовой конфигурации сертификат использовать не обязательно, требование наличия сертификата на клиенте можно игнорировать. См. команду ниже.
Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).
Совет. Для подключения внешних клиентов к серверу Work Folder для доступа и синхронизации файлов, нужно соответствующим образом настроить DNS имя сервера во внешней зоне, а также на межсетевом экране разрешить трафик к серверу по портам 80 и/или 443 TCP. Кроме того, для более комплексной защиты можно организовать доступ через сервер Web Application Proxy.
Настройка клиента Work Folders
В данном примере в качестве клиента Work Folders используется устройство с Windows 10. Настройка производится через имеющийся апплет в панели управления Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).
Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.
Далее нужно указать Email пользователя или URL адрес сервера Work Folders.
По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.
На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%\Work Folders и их размер не может превышать 10 Гб.
После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).
Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.
Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.
Через некоторое время данный каталог должен появится на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки Work Folders можно использовать две специализированные групповые политики в разделе User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:
- Specify Work Folders Settings – в ней можно указать URL адрес сервера Work Folders
- Force automatic setup for all users – инициирует автоматическую настройку клинета
Ошибка синхронизации Work Folders 0x80c80317
В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:
There was a problem, but sync will try again (0x80c80317)
В логе сервера при этом содержатся такие записи:
The Windows Sync Share service failed to setup a new sync partnership with a device. Database: \\?\C:\users\SyncShareState\WorkFolders\Metadata; User folder name: \\?\C:\Finance\WORKFOLDERS_ROOT\USER.TEST; Error code: (0x8e5e0408) Unable to read from or write to the database.
Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды
Repair-SyncShare -name Finance -user Domain\user1
Get-SyncUserStatus -syncshare Finance -user Domain\user1
Как правило, это решает проблему поломанной синхронизации.
Заключение
Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.
Технология рабочих папок позволяет пользователям получать удаленный доступ к своим файлам на внутреннем файловом сервере компании и работать с ними в автономном режиме с любого устройства (ноутбука, планшета или смартфона). При следующем подключении к сети все изменения файлов на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем вам, как установить и настроить функцию рабочих папок на основе файлового сервера Windows Server 2016 и клиента Windows 10 .
Файловый сервер под управлением Windows Server 2012 R2 может использоваться в качестве хранилища файлов, поскольку клиентами являются все версии Windows, начиная с Windows 7, а также устройства под управлением Android 4.4 или iOS 8 и более поздних версий (клиент рабочих папок для этих устройств является доступны в Google Play и App Store соответственно). Используя политики безопасности, клиенты рабочих папок могут быть обязаны хранить содержимое рабочих папок в зашифрованном виде, что обеспечивает защиту данных даже в случае утери / кражи устройства.
Роль рабочих папок в Windows Server 2016 можно установить из графического интерфейса диспетчера сервера или через PowerShell.
В первом случае в диспетчере сервера в роли File and Storage Services выберите службу Work Folders (необходимые компоненты IIS Hostable Web Core будут автоматически добавлены в установку).
Установка роли рабочих папок через PowerShell выполняется с помощью следующей команды:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Чтобы предоставить доступ к рабочим книгам в Active Directory, вам необходимо создать группы безопасности, в которые необходимо включить пользователей, которые смогут синхронизировать свои устройства с рабочими книгами на файловом сервере (для более быстрого обслуживания рабочих папок за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в эти группы только учетные записи пользователей, а не другие группы безопасности).
Следующим шагом является создание сетевых каталогов на файловом сервере, с которыми пользователи будут синхронизироваться. Эти каталоги можно создать из консоли Server Manager или из PowerShell.
Откройте диспетчер серверов, выберите «Файловые службы и службы хранения» -> «Роль рабочих папок». Выберите меню Activity -> New sync share.
Далее необходимо указать каталог, к которому будет предоставлен доступ. В нашем примере это папка C: \ financial.
Далее вам нужно выбрать, какая структура папок пользователя будет использоваться. Папки могут быть названы в соответствии с учетной записью пользователя (псевдонимом) или в формате user @ domain.
Затем указывается название шаров.
Далее вам необходимо указать группы доступа, которым вы хотите предоставить доступ к этому каталогу.
Ниже приведены политики безопасности книги, которые необходимо применить к клиенту. Есть две политики:
- Шифровать книги – Требуется шифрование данных в книге на клиенте с помощью BitLocker
- Автоматическая блокировка экрана и запрос пароля: автоматическая блокировка экрана через 15 минут бездействия устройства и защита его паролем (не менее 6 символов)
На этом настройка новой книги завершена.
Те же шаги для создания новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. Например, следующая команда создаст новую папку синхронизации и поделится ею с группой
New-SyncShare "Sales" C:\sales –User "Sales_Users_Remote_WorkFolder"
Чтобы получить доступ к рабочим файлам через безопасный протокол HTTPS, действующий сертификат SSL должен быть связан с веб-сайтом IIS, который обслуживает рабочие книги.
Примечание. В тестовой конфигурации нет необходимости использовать сертификат; требование сертификата на клиенте можно игнорировать. См. Команду ниже.
Самый простой способ – использовать бесплатный SSL-сертификат от Let’s Encrypt. Процесс выдачи и привязки этого сертификата в IIS описан в статье Шифрование сертификата для Windows (IIS).
Совет. Чтобы подключить внешних клиентов к серверу рабочих папок для доступа к файлам и синхронизации, необходимо правильно настроить DNS-имя сервера во внешней зоне, а также разрешить трафик на сервер через TCP-порты 80 и / или 443 на брандмауэре. Кроме того, для более полной защиты доступ может быть предоставлен через прокси-сервер веб-приложения.
Настройка клиента Work Folders
В этом примере в качестве клиента рабочих папок используется устройство под управлением Windows 10. Настройка выполняется с помощью апплета, доступного в Панели управления -> Система и безопасность -> Рабочие папки (этот элемент недоступен в серверных версиях).
Чтобы начать настройку, нажмите кнопку «Настроить книги.
Далее вам необходимо указать электронную почту пользователя или URL-адрес сервера рабочих папок.
По умолчанию клиент подключается к серверу по защищенному протоколу HTTPS. В тестовой среде это требование можно отменить, выполнив команду на клиенте:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным необходимо войти в систему и подтвердить свое согласие с политиками безопасности, которые будут применяться к клиенту.
В клиентах Windows рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге% USERPROFILE% \ Work Folders и не могут превышать 10 ГБ.
После подключения клиента к серверу создается каталог рабочих папок. Если файлы в книгах не изменились, клиент синхронизируется с файловым сервером каждые 10 минут. Синхронизация измененных файлов выполняется немедленно. Кроме того, если есть какие-либо изменения, сервер автоматически уведомляет других клиентов об обновлении своих данных с центрального сервера (поэтому изменения должны появиться как можно быстрее на всех подключенных устройствах).
Статус синхронизации, ошибки, свободное место на сервере можно посмотреть в той же записи панели управления.
Чтобы проверить задание синхронизации, создайте новый каталог в папке «Рабочие папки», затем выберите «Синхронизировать сейчас» в контекстном меню.
Через некоторое время этот каталог должен появиться на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки ваших книг вы можете использовать две специализированные групповые политики в Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Рабочие папки:
- Укажите параметры книги – здесь вы можете указать URL-адрес сервера книги
- Принудительная автоматическая настройка для всех пользователей – запускает автоматическую настройку клиента
Ошибка синхронизации Work Folders 0x80c80317
При тестовой настройке я обнаружил следующую ошибку при синхронизации файлов на клиенте:
Возникла проблема, но синхронизация будет повторяться (0x80c80317)
Журнал сервера содержит следующие записи:
Службе Windows Sync Share не удалось установить новое синхронизирующее взаимодействие с устройством. База данных: \\? \ C: \ users \ SyncShareState \ WorkFolders \ Metadata; Имя папки пользователя: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Код ошибки: (0x8e5e0408) Невозможно прочитать или записать в базу данных.
Эти ошибки указывают на проблему с механизмом синхронизации. В этом случае пользователь должен выполнить команды
Ремонт-SyncShare -name Finance -user Domain \ user1
Get-SyncUserStatus -syncshare Finance -user Domain \ user1
Обычно это решает проблему нарушения синхронизации.
Заключение
Поэтому мы рассмотрели, как настроить и использовать функцию рабочих папок в Windows Server 2016. Эта технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, и вы можете обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на устройство заказчика. Конечно, это решение далеко от удобства и гибкости облачного хранилища Dropbox или OneDrive, но основная проблема здесь заключается в простоте настройки и хранения данных внутри компании, а не в стороннем облаке. Кроме того, в книгах могут использоваться такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка кластеров файлов, управление доступом к данным с помощью динамического контроля доступа и инфраструктура классификации файлов.
Источник изображения: winitpro.ru
Рабочие папки: файлы, которые всегда с тобой
Время на прочтение
6 мин
Количество просмотров 65K
Сегодня нередко возникает необходимость получить доступ к корпоративным файлам во время поездок, командировок, а также во время встреч за пределами офиса. Не всегда для этого удобно использовать рабочее устройство, включенное в домен. Иногда доступ к корпоративным данным нужно получить и с личных устройств. С одной стороны, решение этой проблемы лежит на поверхности – давайте предоставим пользователю доступ к рабочим файлам с личных устройств. Но здесь есть проблема: как обеспечить должный уровень безопасности этих файлов? Выход предоставляют Windows Server 2012 R2 и Windows 8.1 – это использование Рабочих папок (Work Folders).
Рабочие папки – что это?
Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:
- Подключится к корпоративному приложению через браузер;
- Установка с корпоративного портала приложений на устройства (личные и рабочие);
- Синхронизировать рабочие файлы на разных устройствах.
Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.
Установка и настройка
Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:
В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:
- Настройка сервера
- Установка роли Рабочие Папки (Work Folders)
- Создание общего ресурса синхронизации (Sync Share)
- Включение доступа по SMB (дополнительно)
- Настройка клиента, включенного в домен
- Настройка Рабочих Папок (Work Folders) на личном устройстве
- Синхронизация файлов в Рабочих Папках (Work Folders)
Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь):
- KB2883200
- KB2894179
- KB2894029
1. Настройка сервера
1.1. Установка роли Рабочие Папки (Work Folders)
Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:
Данную операцию также можно выполнить с помощью команды PowerShell:
PS C:\> Add-WindowsFeature FS-SyncShareService
1.2. Создание общего ресурса синхронизации (Sync Share)
После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:\SalesShare).
Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.
Далее укажем имя для общего ресурса синхронизации:
На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.
Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».
Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.
Проверим еще раз информацию.
И перейдем к установке.
Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:
PS C:\>New-SyncShare SalesShare –path C:\SalesShare –User MVA\Sales -RequireEncryption $true –RequirePasswordAutoLock $true
В итоге, мы должны получить вот такой результат:
1.3. Включение доступа по SMB (дополнительно)
Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVA\Sales и измените права доступа на «Read/Write»:
Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:
PS C:\> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>
2. Настройка клиента, включенного в домен
Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).
Введите E-mail адрес пользователя.
Укажите, где на устройстве должны быть расположены рабочие папки.
Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.
Теперь рабочие папки установлены на устройство.
Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.
Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.
3. Настройка Рабочих Папок (Work Folders) на личном устройстве
Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.
После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:
4. Синхронизация файлов в Рабочих Папках (Work Folders)
Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.
Надеюсь, информация будет полезна!
Спасибо!
Introduction
In this article, I will show you how to create shared folders in Windows Server 2016, so that you can share it with the people on the other computers in your network or workgroup.
I will explain this shared folder creation process in 8 steps. It is very simple and easy to follow.
Step 1
First step in this process would be opening your Server Manager Dashboard —> go to Tools —> click Computer Management.
Image: Server Manager Dashboard.
Step 2
Once you click Computer Management, it will open up Computer Management Window, where you can see different types of tools and utilities.
Now, expand System Tools —> expand Shared Folders —> Right-click on Shares —> Select New Share.
Image: Computer Management
Step 3
As soon as you click New Share, it will open Create A Shared Folder Wizard —> Click Next.
Image: Create A Shared Folder Wizard.
Step 4
Click Browse or type the path to the folder, where you want to share.
Image: Specify Folder Path
Step 5
As you can see in the screenshot given below, I clicked on Browse and choose the “C” drive. Click Make New Folder to create a new folder in the “C” drive. I named the folder as ImportantDocs and subsequently click OK.
[Note- You can pick an existing folder, but I have added a new folder, which I am going to share.]
Image: Select or Create a Folder to Share.
Step 6
In Step 5, I created a folder called ImportantDocs in the “C” drive to share, which you will see in the screenshot given below.
My folder path is C:\ImportantDocs and click Next.
Image: Folder Path
Step 7
As soon as you click Next in the step given above, you will get some options to add a name and description to the shared folder. You can give a description in this step.
Image: Specify Name and Description to the Shared Folder.
Step 8
In this step, you need to specify Permissions to the shared folder, if you want to. I selected All users have read-only Access, so that it can be accessed by all the users in my network.
I clicked Finish to complete this process.
Image: Permissions to Shared Folders
Now, it should create a shared folder in my “C” drive ( at C:\ImportantDocs Location. You can verify this by navigating to the location.
I navigated to C:\ImportantDocs to see if there’s a folder called “ImportantDocs”, as you can see in the screenshot given below. This folder is now created at this location. This folder can now be accessed by all the people on other computers in my network.
Автор статьи — Андрей Каптелин, участник ИТ-сообщества
В современном мире пользователи организации зачастую используют не только свой рабочий персональный компьютер, но и другие устройства. Ноутбуки, планшеты и телефоны прочно вошли в список рабочих инструментов, на которых пользователи просматривают и создают документы. Потребность в синхронизации файлов решается многими сторонними сервисами, такими как i-cloud, google-drive и прочими решениями, не всегда контролируемыми ИТ-службой. Пользователи применяют разные учетные записи для работы со своими файлами, что вносит дополнительный беспорядок.
В локальной сети задача предоставления пользователю его файлов, вне зависимости от используемого компьютера, решается перенаправлением его папок на сервер компании. Это достаточно удобно, но имеет ряд ограничений. Это и работа только на Windows, и некоторые проблемы с Offline files, и требование хорошей пропускной способности сети до сервера с файлами пользователя.
Удобно и безопасно решить данную задачу теперь поможет внедрение WorkFolders — серверной роли, появившейся в Windows Server 2012 R2. Для синхронизации WorkFolders использует протокол HTTP с шифрованием, что облегчает связь клиента и сервера вне локальной сети через Интернет. Клиент WorkFolders встроен в Windows версии 8.1 и выше, а также доступен в виде обновления для Windows 7. Для мобильных устройств есть приложения для iOS и Android.
Одним из вариантов прозрачного для пользователя внедрения WorkFolders является перенаправление папок «Мои документы» и «Рабочий стол» в синхронизируемую папку. Таким образом обеспечивается централизованное хранение актуальных файлов пользователя и предоставление ему всегда актуальных данных на всех его устройствах.
Рассмотрим установку WorkFolders на примере недавно вышедших Windows Server 2016 и Windows 10 Anniversary Update.
Для установки роли WorkFolders нам понадобятся сервер, который будет хранить данные пользователя, и клиентская станция с Windows 10. На сервере развернута минимальная инфраструктура для домена и добавлен диск D — для будущих данных пользователей.
В диспетчере сервера запустим мастер добавления ролей и в списке служб файлового сервера выберем компонент WorkFolders. Мастер автоматически добавит компонент IIS Hostable Web Core, так как через него и осуществляется доступ пользователей к нашему серверу.
Далее дождемся окончания установки и продолжим конфигурирование. Но перед этим создадим группу безопасности, которая будет включать пользователей этого WorkFoldes-сервера.
Укажем заранее созданную папку, в которой будут храниться файлы пользователей.
Выберем формат названия подпапок пользователя, в данном случае просто по имени. Фильтр синхронизируемых папок заполнять не будем, пусть будет всё содержимое.
Название общего ресурса оставим по умолчанию, в нашем варианте доступ по SMB использоваться не будет.
Добавим группу, созданную ранее.
Политику безопасности отрабатывают не только Windows-системы, но и мобильные клиенты. В данном случае добавим только обязательное шифрование файлов.
Наш первый сервер WorkFolders почти готов.
Для шифрования во время передачи данных между клиентом и сервером понадобится доверенный SSL-сертификат для всех ваших устройств. Например, от StartSSL.
Для просмотра хеша сертификата можно воспользоваться командой PowerShell.
Наш сертификат — wf.contoso.com. В DNS также создана запись CNAME, указывающая на наш сервер.
Установка сертификата для IIS Hostable Web Core выполняется следующей командой:
netsh http add sslcert ipport=0.0.0.0:443 certhash=AD3F3E5596600AACC277B2DC01A7EE4B68CA4148 appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
Здесь appid — ID модуля WorkWolders, а certhash — хеш сертификата.
Проверяем правило, разрешающее доступ по TCP-порту 443 в брандмауэре, и теперь сервер WorkFolders готов.
Настало время для настройки клиентских машин.
Для этого воспользуемся групповой политикой, перенаправив «Рабочий стол» в папку WorkFolders\Desktop.
Папку «Мои документы» перенаправим по аналогии в WorkFolders\Documents. Клиент WorkFolders сконфигурируем на автоматическое подключение и укажем адрес нашего сервера.
На компьютере пользователя после применения данной политики в проводнике появится новый пункт «Рабочие папки», в которые система в фоновом режиме перенесет файлы «Рабочего стола» и «Моих документов».
А в панели управления можно будет увидеть текущий статус синхронизации и доступный объем памяти на сервере.
На iPhone настройка будет выглядеть следующим образом.
После установки из Apple Store запускаем приложение.
Можно как указать адрес сервера, так и ввести адрес своей электронной почты. Во втором случае клиент выполнит автоматическую настройку, добавив к домену почты имя workfolders. Например, в случае, если адрес почты joe@contoso.com, клиент обратится к серверу https://workfolders.contoso.com.
После ввода учетных данных и создания ПИН-кода приложение отобразит содержимое WorkFolders с сервера.
Для Android все выглядит аналогично, потребуется версия 4.4 KitKat или выше.
На этом задача решена. Что дальше?
Можно опубликовать наш сервер WorkFolders в Интернете как обычный веб-сервер, и пользователи будут синхронизироваться как в локальной сети компании, так и находясь за ее пределами.
Можно применить квоты и фильтрацию по расширениям файлов для пользователей на файловом сервере. В панели управления доступное место будет показано в соответствии с квотами.
Можно сделать несколько серверов для разных групп пользователей, чтобы разнести их по территориальному признаку. Для этого надо будет заполнить атрибут msDS-SyncServerUrl учетной записи пользователя. Клиент, подключаясь к серверу WorkFolders, получит указание на нужный сервер.
В мобильных клиентах не обязательно скачивать весь контент, есть возможность скачивать по требованию либо закрепить нужный файл, и клиент будет держать его в актуальном состоянии.
Хотя WorkFolders и не является решением для резервного копирования, ничто не мешает делать копию папок пользователей и возвращать файлы пользователю при утрате всех его устройств.
Вот такое решение штатно существует в продуктах Microsoft уже длительное время и продолжает развиваться. Если ваши пользователи не применяют альтернативное ПО, возможно, это тот случай, когда они оценят данное решение, а ИТ-администраторы возьмут на вооружение еще одну роль Windows Server 2016.