使用组策略配置用户文件夹重定向

文件夹重定向使您能够将一些用户配置文件文件夹（桌面、文档、图片、下载等特殊文件夹）存储在文件服务器上的共享网络文件夹中。重定向文件夹的工作方式与映射网络驱动器类似（用户通过文件服务器上的网络访问其配置文件中的文件）。在本文中，我们将了解如何使用组策略在 Active Directory 域中的用户计算机上启用文件夹重定向。

使用重定向文件夹的优点：

• 您可以在文件服务器上配置集中式用户数据备份（而不是在每个工作站上启用备份）；

• 当用户登录到任何计算机时，他们可以访问他们的个人配置文件；

• 您可以管理不同文件中允许的内容（使用 Windows Server 中的 FSRM 角色）或使用 NTFS 磁盘配额限制用户配置文件的大小；

• 您可以将重定向文件夹用于工作站和终端服务器（远程桌面服务/RDS 场）；

• 您可以将 RDS 中的文件夹重定向与漫游配置文件（用户配置文件磁盘或 FSLogix 配置文件容器）一起使用。这可以减少网络负载并加快配置文件的加载速度，因为您不必在登录时将数据从重定向的文件夹复制到 RDS 主机，并在注销时再次复制回来。

您可以通过两个步骤在 Active Directory 环境中配置重定向文件夹：

1. 在文件服务器上创建共享网络文件夹并授予权限；

2. 使用组策略配置文件夹重定向选项。

创建要为其启用文件夹重定向的用户域组。您可以创建一个新的 AD 组并使用 PowerShell 或 ADUC mmc 管理单元向其中添加用户：

New-ADGroup munFolderRedirection -path 'OU=Groups,OU=Munich,dc=a-d,DC=com' -GroupScope Global -PassThru -Verbose
Add-AdGroupMember -Identity munFolderRedirection -Members user1,user2,user3

创建共享文件夹共享以在文件服务器上存储用户的重定向文件夹。

最好使用具有 Windows 故障转移群集或 DFS 的高可用性配置，和/或为运行 Windows Server（您将在其上存储个人用户文件夹）的文件服务器提供虚拟化级别（VMware HA、Hyper-V 群集等）的弹性。

要存储用户文件夹，建议使用单独的磁盘（系统驱动器 C: 除外）。使用 Windows 资源管理器或使用 New-SmbShare PowerShell cmdlet 创建并共享网络文件夹：

New-SmbShare -Name RedirFolder -Path D:\RedirFolder -description "Target location for user's redirected folders"

然后，您需要在该文件夹上配置正确的 NTFS 权限，以便每个用户只能访问自己的文件。

打开文件夹属性并导航至安全选项卡。单击“高级”，然后单击禁用继承。出现警告时，选择将继承的权限转换为对象的显式权限。

从 NTFS 权限列表中删除用户/经过身份验证的用户，并保留以下权限：

• 管理员（完全控制，此文件夹、子文件夹和文件）

• SYSTEM（完全控制，此文件夹、子文件夹和文件）

• 创建者所有者（完全控制，仅限子文件夹和文件）

现在添加 munFolderRedirection 安全组并授予对根文件夹的以下权限（仅适用于 -> 此文件夹）：

• 遍历文件夹/执行文件

• 列出文件夹/读取数据

• 读取属性

• 读取扩展属性

• 创建文件夹/追加数据

• 读取权限

授予完全控制权限

Authenticated Users

网络共享属性中的组（共享 -> 高级共享 -> 权限）。

通过这样的配置，用户可以在根目录中创建文件夹，并且只有所有者才能访问子文件夹的内容。

然后您可以为用户创建文件夹重定向组策略。打开域组策略管理控制台（

gpmc.msc

），创建一个新的 GPO，并将其链接到具有目标用户帐户的组织单位 (OU)。

要仅将策略应用于特定用户，请从安全过滤中删除经过身份验证的用户组，然后添加munFolderRedirection和域计算机组。

编辑新的 GPO 并展开用户配置 -> 策略 -> Windows 设置 -> 文件夹重定向。

以下是重定向不同用户配置文件文件夹的选项。在此示例中，我将仅为 Documents 文件夹配置重定向（您可以以相同的方式为其他配置文件文件夹启用文件夹重定向）。

的重定向

AppData (roaming)

文件夹很少使用。

打开文档文件夹属性并配置以下文件夹重定向选项：

• 设置： - 基本，将每个人的文件夹重定向到同一位置

• 目标文件夹位置：在根路径下为每个用户创建一个文件夹

• 根路径：

  \mun-fs1\RedirFolder

  （指定先前创建的共享文件夹的 UNC 路径）

设置选项卡有一些选项：

• 授予用户对文档的独占权限 - 可以禁用，因为我们已经提前配置了正确的 NTFS 权限；

• 将文档内容移动到新位置 - 用户文档中的现有文件是否应移动到文件服务器上的重定向文件夹；

• 删除策略后将文件夹重定向回本地用户配置文件位置 - 此选项允许脱机访问数据（使用 Windows 中的脱机文件）并确定禁用 GPO 时的行为。

  

使用计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 安全页面下的站点到区域分配列表 GPO 设置将文件服务器和/或域添加到受信任的本地 Intranet。

在策略设置中，按以下格式指定受信任服务器列表：

• 服务器或域名（格式为：

  file://hostname

  ,

  \hostame

  或其IP地址）

• 区域编号（

  1

  - 对于本地 Intranet）

如果不配置此选项，从重定向目录运行快捷方式和可执行文件可能会导致 Windows 安全警告。

注销并登录用户的计算机（这将更新设备上的组策略设置）。

然后打开“文档”文件夹属性，并确保文件服务器上共享文件夹的 UNC 路径显示为“位置”。

您可以在“文档”文件夹中创建文件和文件夹，域中任何计算机上的用户都可以使用它们。