在AD中設(shè)置漫游配置文件與文件夾重定向

在域環(huán)境下，域用戶可以在域中的任意一臺客戶端計算機上登錄，由于普通域用戶的權(quán)限比較低，在大多數(shù)情況下只能對自己的用戶配置文件具有完全控制權(quán)限，因而大多數(shù)域用戶都是將數(shù)據(jù)直接保存在用戶配置文件中。用戶配置文件其實是一個文件夾，默認位置在C盤（系統(tǒng)盤）根目錄下一個名字叫“用戶（Users）”的文件夾中，每個在這臺計算機上登錄過的域用戶，都會在這個“用戶”文件夾中創(chuàng)建一個和自己用戶名相同的文件夾，比如“zhangsan”。在用戶配置文件夾中包含了“桌面”、“文檔”、“收藏夾”等個人資料的配置，用戶放在“桌面”或“文檔”中的文件其實都是保存在用戶配置文件中。
系統(tǒng)默認設(shè)置將用戶配置文件存放在客戶端計算機上，但這種方式一是存在一定的安全風(fēng)險，二是當域用戶在別的計算機上登錄時，這些配置文件中的內(nèi)容就看不到了。有兩種方法可以實現(xiàn)配置文件跟隨域用戶漫游：一種方法是在DC上設(shè)置用戶屬性，將用戶配置文件統(tǒng)一存儲到遠程服務(wù)器上；另一種方法是在DC上設(shè)置組策略，將用戶配置文件的存放路徑重定向到遠程服務(wù)器上。這兩種方法都能達到相同的效果，但它們之間是否有所區(qū)別？哪種方法在實踐中更為可取呢？本文將通過實例分別說明這兩種方法的配置過程，并分析比較它們之間的特點。
實驗環(huán)境中所用的域名為“WorldSkills2017.china”，DC的計算機名為R_Server2。在域中已創(chuàng)建了名為“test”的OU，OU中創(chuàng)建了兩個域用戶賬號：“張三（zhangsan）”、“李四（lisi）”，DC和客戶端都采用的是Windows Server 2012 R2系統(tǒng)。

一、配置漫游配置文件

漫游配置文件需要在域用戶屬性中設(shè)置，下面以域用戶“張三”為例，說明配置過程。
① 創(chuàng)建共享文件夾
首先，在DC上創(chuàng)建一個名為profile的共享文件夾，并設(shè)置為Everyone具有讀寫權(quán)限。（在生產(chǎn)環(huán)境中，應(yīng)將共享文件夾設(shè)置在專門的文件服務(wù)器中，而不應(yīng)放在DC上。）
② 配置用戶屬性
在DC上打開“Active Directory用戶和計算機”，打開“張三”的屬性設(shè)置界面，在“配置文件”選項卡中將“配置文件路徑”設(shè)置為\DC\profile\%username%（路徑中的%username%參數(shù)會自動以用戶的登錄名替代）。如圖1所示。

圖 1 設(shè)置漫游配置文件
③ 在客戶端測試
在客戶端計算機上以張三的身份登錄到域，此時張三所在的客戶端電腦會去服務(wù)器上的共享目錄中下載zhangsan的配置文件。但這時在服務(wù)器上并沒有zhangsan的配置文件，所以張三會在本地磁盤創(chuàng)建一個本地配置文件。
對桌面或收藏夾等設(shè)置之后，將用戶注銷，此時zhangsan所在的客戶端電腦會向服務(wù)器上傳剛剛創(chuàng)建的本地配置文件。打開DC上的共享文件夾profile，會發(fā)現(xiàn)其中多出了一個名為“zhangsan.V2”的文件夾，由于這是本地配置文件的一個備份，所以名字中會加上“V2”。

圖 2 上傳到服務(wù)器中的用戶配置文件
然后另換一臺計算機用張三的身份登錄，張三首先會從服務(wù)器的共享文件夾中把自己的所有用戶配置都下載下來，所以發(fā)現(xiàn)剛才所做的配置都已經(jīng)漫游過來了。
④ 小結(jié)
漫游配置文件其實是將配置文件在服務(wù)器的共享文件夾中做了一個備份，當域用戶在客戶端登錄時會先從服務(wù)器中下載配置文件，當域用戶注銷時會把修改過的配置文件再傳到服務(wù)器的共享文件夾中。

二、配置文件夾重定向

文件夾重定向需要在組策略中配置，下面以“test”O(jiān)U為例，說明組策略的配置過程。
① 創(chuàng)建共享文件夾
首先仍是在DC上建立一個名為“folder”的共享文件夾，賦予Everyone“讀取/寫入”權(quán)限。
② 配置組策略對象GPO
打開“組策略管理”工具，在“組策略對象”中新建一個名為“文件夾重定向”的GPO，并對其進行編輯。
在組策略編輯器中依次展開“用戶配置\策略\Windows設(shè)置\文件夾重定向”，其中列出了可以被重定向的配置文件目錄。通常重定向最多的是“桌面”和“文檔”文件夾，下面就將域用戶的“桌面”文件夾改為集中存儲在域控制器上。

在“桌面”上單擊右鍵，選擇“屬性”，打開“桌面屬性”設(shè)置界面。
首先在“目標”選項卡的“設(shè)置”項中選擇“基本-將每個人的文件夾重定向到同一個位置”，并在“目標文件夾位置”中選擇“在根目錄路徑下為每一用戶創(chuàng)建一個文件夾”，在“根路徑”中輸入文件夾重定向后的存放位置，也就是在DC上所設(shè)置的共享文件夾的UNC路徑\DC\folder。如圖3所示。這樣，系統(tǒng)就會在共享文件夾中自動為每一位登錄的用戶分別創(chuàng)建一個專屬文件夾。

圖 3 將“桌面”重定向
③ 將GPO鏈接到OU
關(guān)閉組策略編輯器后，將配置好的組策略對象“文件夾重定向”拖動到“test”O(jiān)U上，這樣，組策略便會對“test”O(jiān)U中的所有域用戶生效。

④ 在客戶端測試
以用戶李四的身份在客戶端計算機上登錄，打開用戶的本地配置文件夾后，發(fā)現(xiàn)里面已經(jīng)沒有了“桌面”文件夾，這是由于“桌面”文件夾的位置已經(jīng)被重定向到了服務(wù)器中。
在DC上打開folder文件夾，可以看到里面自動創(chuàng)建了一個名為“l(fā)isi”的文件夾，其中包括了“Desktop”子文件夾。

注意，如果組策略未生效，可以在客戶端執(zhí)行“gpupdate /force”命令強制刷新組策略。
下面以李四的身份在客戶端的桌面上創(chuàng)建一個測試文件，然后將李四用戶注銷（可以看到在注銷時對文件進行了同步）。然后再到另一臺客戶端計算機上以李四的身份重新登錄，可以看到剛才在“桌面”上創(chuàng)建的測試文件也隨之出現(xiàn)了。
⑤ 小結(jié)
將用戶配置文件中的文件夾重定向之后，在客戶端看到的相應(yīng)文件夾就只是一個指向服務(wù)器中共享文件夾的路徑，數(shù)據(jù)是直接存儲在服務(wù)器中。這樣當域用戶在客戶端登錄或注銷時，就不再需要向服務(wù)器中上傳或是從服務(wù)器中下載文件數(shù)據(jù)了。

三、兩種操作的比較

通過實例比較可以發(fā)現(xiàn)，漫游配置文件是將配置文件在服務(wù)器中做了備份，而文件夾重定向則是直接將配置文件存儲在了服務(wù)器中。這兩種方式孰優(yōu)孰劣呢？
我們可以試想一下，如果域用戶在配置文件中放置的數(shù)據(jù)量很大，那么采用漫游配置文件的方式，就會造成域用戶登錄和注銷的速度變得很慢，而文件夾重定向則不會出現(xiàn)這樣的問題。因而在實踐應(yīng)用中，還是文件夾重定向更具備可操作性。
最后總結(jié)一下，文件夾重定向的作用主要體現(xiàn)在以下兩個方面：
一是可以利用該功能對相關(guān)文件或者文件夾進行統(tǒng)一備份。由于把分散在各個主機上的文件都重定向到一臺服務(wù)器上，如此管理員只需要對這臺服務(wù)器的文件夾進行備份，就可以達到對員工各臺電腦的資料進行備份的目的，從而保障數(shù)據(jù)的安全。
二是用戶訪問文件夾的位置將不受限制。若桌面或者我的文檔等資料保存在本地的話，則用戶只有登錄本機才能夠訪問這些文件。而對文件夾進行重定向之后，則只需要員工登錄到域，就都可以訪問此文件夾。