Якщо ви розгортаєте кілька серверів синхронізації і хочете автоматично перенаправляти користувачів на потрібний сервер синхронізації, вам знадобиться оновити атрибут кожного облікового запису користувача в AD DS. Проте для поновлення атрибутів звичайно потрібно член групи адміністраторів домену або адміністраторів підприємства, і це може стати проблемою, якщо є необхідність часто додавати користувачів або переміщати їх між серверами синхронізації.
З цієї причини член групи адміністраторів домену або адміністраторів підприємства може вирішити делегувати можливість змінювати властивість msDS-SyncServerURL об'єктів-користувачів члену групи адміністраторів робочих папок, створеної на кроці 5, як описано в наступній процедурі.
Делегування можливості змінювати властивість msDS-SyncServerURL об'єктів-користувачів в AD DS
У меню Засоби клацніть Користувачі і комп'ютери Active Directory. З'явиться компонент "Користувачі та комп'ютери Active Directory".
Клацніть правою кнопкою миші підрозділ, в якому існують всі об'єкти-користувачі для робочих папок (якщо користувачі зберігаються в кількох підрозділах або доменах, клацніть правою кнопкою миші загальний контейнер для всіх користувачів), а потім виберіть Делегування управління. . З'явиться майстер делегування управління.
На сторінці Користувачі або групи клацніть Додати та вкажіть групу, створену для адміністраторів робочих папок (наприклад, Адміністратори робочих папок).
На сторінці делегованих завдань клацніть Створити особливе завдання для делегування.
На сторінці Тип об'єкта Active Directory клацніть Тільки такі об'єкти в папці і встановіть прапорець Об'єкти-користувачі.
На сторінці Дозволи зніміть прапорець Загальні. встановіть прапорець Дозволи для властивостей. потім встановіть прапорці Читання msDS-SyncServerUrl і Запис msDS-SyncServerUrl.
Щоб делегувати можливість зміни властивості msDS-SyncServerURL об'єктів-користувачів за допомогою Windows PowerShell, використовуйте наступний приклад сценарію з командою DsAcls.
Тепер ви готові призначити на сервері синхронізації папку для зберігання файлів користувачів. Ця папка називається загальним ресурсом синхронізації, і для її створення необхідно зробити наступне.
Якщо у вас немає томи NTFS з вільним дисковим простором для загального ресурсу синхронізації і файлів користувачів, які будуть там зберігатися, створіть новий том і відформатуйте його в файлової системі NTFS.
У диспетчері сервера клацніть Файлові служби та служби сховища. а потім виберіть Робочі папки.
У верхній частині області відомостей відображається список існуючих загальних ресурсів синхронізації. Щоб створити новий спільний ресурс синхронізації, в меню Завдання виберіть Новий загальний ресурс синхронізації. . Відкриється майстер створення загальних ресурсів синхронізації.
На сторінці Вибір сервера і шляхи вкажіть, де слід зберігати загальний ресурс синхронізації. Якщо у вас вже є загальний файловий ресурс для цих даних користувачів, ви можете вибрати його або створити нову папку.
За замовчуванням загальні ресурси синхронізації недоступні безпосередньо через загальний файловий ресурс (якщо ви не вибрали існуючий файловий ресурс). Якщо потрібно забезпечити доступ до загального ресурсу синхронізації через загальний файловий ресурс, за допомогою плитки диспетчера сервера Загальні ресурси або командлет New-SmbShare створіть загальний файловий ресурс, переважно з включеним перерахуванням на основі доступу.
На сторінці Вкажіть структуру для користувача тек виберіть формат імен для папок користувачів в рамках загального ресурсу синхронізації. Є два варіанта.
Ім'я створює папки користувача, що не включають ім'я домену. Якщо ви використовуєте загальний файловий ресурс, який вже використовується службою перенаправлення папок або іншим рішенням для зберігання даних користувача, виберіть цей формат імен. Ви можете встановити прапорець Синхронізувати лише таку вкладену папку. щоб синхронізувати тільки конкретну вкладену папку, наприклад папку документів.
Користувач alias @ domain створює папки користувача, що включають ім'я домену. Якщо ви не використовуєте загальний файловий ресурс, який вже використовується службою перенаправлення папок або іншим рішенням для зберігання даних користувача, виберіть формат імен, який виключить ймовірність конфліктів в разі, коли у декількох користувачів загального ресурсу однакові псевдоніми (що може трапитися, якщо користувачі належать до різним доменів).
На сторінці Введіть ім'я загального ресурсу синхронізації вкажіть ім'я та опис загального ресурсу синхронізації. Це дані не оголошуються в мережі, але видно в диспетчері сервера і Windows Powershell і допомагають відрізнити ресурси один від одного.
На сторінці Надання доступу до синхронізації для груп вкажіть створену вами групу, де перераховані користувачі, яким дозволено використовувати цей загальний ресурс синхронізації.
Щоб підвищити продуктивність і безпеку, надавайте доступ групам, а не окремим користувачам. Уважно підходите до членства в групах і уникайте використання універсальних груп, таких як "Минулі перевірку користувачі" і "Користувачі домена". При наданні доступу групам з великою кількістю користувачів час обробки запиту від робочих папок в AD DS збільшується. Якщо у вас багато користувачів, створіть кілька загальних ресурсів синхронізації, щоб розподілити навантаження.
На сторінці Вказати політики пристроїв вкажіть, чи слід вимагати будь-яких обмежень безпеки на клієнтських комп'ютерах або пристроях. Існують дві політики пристроїв, з яких ви можете вибрати.
Шифрування робочих папок. Вимагає шифрування робочих папок на клієнтських комп'ютерах і пристроях.
Автоматично блокувати екран і вимагати пароль. Вимагає, щоб клієнтські комп'ютери і пристрої автоматично блокували екрани через 15 хвилин, а також вимагає наявності пароля мінімум з шести символів для розблокування екрану і активування режиму відключення пристрою після 10 невдалих спроб введення пароля.
Щоб забезпечити виконання політик паролів для комп'ютерів Windows 7 і для користувачів, які не є адміністраторами на приєднаних до домену ПК, використовуйте політики паролів групової політики для доменів комп'ютерів і виключіть ці домени з політик паролів робочих папок. Домени можна виключити за допомогою командлета Set-Syncshare -PasswordAutoExcludeDomain після створення загального ресурсу синхронізації. Відомості про встановлення політик паролів групової політики див. В розділі Політика паролів.
Загальні ресурси синхронізації можна створити за допомогою командлета Windows PowerShell New-SyncShare. Нижче наведено приклад використання цього методу.
Якщо у вашому середовищі розміщено кілька серверів синхронізації, необхідно налаштувати автоматичне виявлення сервера шляхом заповнення властивості msDS-SyncServerURL облікових записів користувачів в AD DS.
Можливо, ви також захочете створити групу безпеки для адміністраторів файлового сервера і делегувати їм дозволу на зміну певного атрибута користувача, як описано в кроках 5 та 6. Без цих кроків вам знадобиться залучити члена групи адміністраторів домену або адміністраторів підприємства, щоб налаштувати автоматичне виявлення для кожного користувача.
Вказівка сервера синхронізації для користувача
Відкрийте диспетчер сервера на комп'ютері з встановленими засобами адміністрування Active Directory.
У меню Засоби клацніть Центр адміністрування Active Directory. З'явиться центр адміністрування Active Directory.
Перейдіть в контейнер Користувачі у відповідному домені, клацніть правою кнопкою миші користувача, якому слід призначити загальний ресурс синхронізації, і виберіть Властивості.
В області переходів клацніть Розширення.
Щоб заповнити атрибут для декількох користувачів, скористайтеся Active Directory PowerShell. Нижче наведено приклад, який заповнює атрибути для всіх членів групи Користувачі загального ресурсу синхронізації відділу кадрів. мова про яку йшла в кроці 5.