Введение.
После основной конфигурации терминальной фермы, профиль пользователя нужно централизованно подгружать на каждый из серверов сеанса удаленного рабочего стола. По умолчанию используется User Profile Disks начиная с Windows Server 2012R2, конечно мы не говорим об устаревших технологиях по типу перенаправляемых профилей\папок, но также есть и другие решения, в данном случае мы применяем FSlogix.
FSLogix Profile Container преобразует профиль пользователя в VHD\X-файл и перенаправляет его на общий сетевой ресурс (Fileshare). Пока пользователь входит в систему, агент подключается к FileShare и проверяет, существует ли VHD\X-файл для вошедшего в систему пользователя. Если это так, то виртуальный диск монтируется к папке C:\Users\. Если соответствующий VHD\X-файл не найден в FileShare, для пользователя создаётся и монтируется новый VHD\X-файл.
How to Install Work Folder on Windows Server?
Now, let’s start to install Work Folders on Windows Server 2022. If you want to use work folders in Windows server 2019/2016/2012, you can refer to the following steps. The steps are very similar.
Step 1. Type Server Manager in the search box and select it. Then, click Add Roles and Features.
Step 2. Under the installation type page, choose Role-based or feature-based installation and click Next.
Step 3. Select the server and click Next.
Step 4. Expand File and Storage Services > File and iSCSI Services. Then, check Work Folders.
Step 5. Then, you are asked to install IIS(Internet Information Services) Hostable Web Core. Click Add Features.
Step 6. Follow the on-screen instructions and finish the rest of the steps.
Ошибка синхронизации Work Folders 0x80c80317
При тестовой настройке я обнаружил следующую ошибку при синхронизации файлов на клиенте:
Возникла проблема, но синхронизация будет повторяться (0x80c80317)
Журнал сервера содержит следующие записи:
Службе Windows Sync Share не удалось установить новое синхронизирующее взаимодействие с устройством. База данных: \? C: users SyncShareState WorkFolders Metadata; Имя папки пользователя: \? C: Finance WORKFOLDERS_ROOT USER.TEST; Код ошибки: (0x8e5e0408) Невозможно прочитать или записать в базу данных.
Эти ошибки указывают на проблему с механизмом синхронизации. В этом случае пользователь должен выполнить команды
Обычно это решает проблему нарушения синхронизации.
Установка и настройка роли Work Folders в Windows Server 2016
Роль рабочих папок в Windows Server 2016 можно установить из графического интерфейса диспетчера сервера или через PowerShell.
В первом случае в диспетчере сервера в роли File and Storage Services выберите службу Work Folders (необходимые компоненты IIS Hostable Web Core будут автоматически добавлены в установку).
Установка роли рабочих папок через PowerShell выполняется с помощью следующей команды:
Чтобы предоставить доступ к рабочим книгам в Active Directory, вам необходимо создать группы безопасности, в которые необходимо включить пользователей, которые смогут синхронизировать свои устройства с рабочими книгами на файловом сервере (для более быстрого обслуживания рабочих папок за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в эти группы только учетные записи пользователей, а не другие группы безопасности).
Следующим шагом является создание сетевых каталогов на файловом сервере, с которыми пользователи будут синхронизироваться. Эти каталоги можно создать из консоли Server Manager или из PowerShell.
Откройте диспетчер серверов, выберите «Файловые службы и службы хранения» -> «Роль рабочих папок». Выберите меню Activity -> New sync share.
Далее необходимо указать каталог, к которому будет предоставлен доступ. В нашем примере это папка C: \ financial.
Далее вам нужно выбрать, какая структура папок пользователя будет использоваться. Папки могут быть названы в соответствии с учетной записью пользователя (псевдонимом) или в формате user @ domain.
Затем указывается название шаров.
Далее вам необходимо указать группы доступа, которым вы хотите предоставить доступ к этому каталогу.
Ниже приведены политики безопасности книги, которые необходимо применить к клиенту. Есть две политики:
- Шифровать книги – Требуется шифрование данных в книге на клиенте с помощью BitLocker
- Автоматическая блокировка экрана и запрос пароля: автоматическая блокировка экрана через 15 минут бездействия устройства и защита его паролем (не менее 6 символов)
На этом настройка новой книги завершена.
Те же шаги для создания новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. Например, следующая команда создаст новую папку синхронизации и поделится ею с группой
Чтобы получить доступ к рабочим файлам через безопасный протокол HTTPS, действующий сертификат SSL должен быть связан с веб-сайтом IIS, который обслуживает рабочие книги.
Примечание. В тестовой конфигурации нет необходимости использовать сертификат; требование сертификата на клиенте можно игнорировать. См. Команду ниже.
Самый простой способ – использовать бесплатный SSL-сертификат от Let’s Encrypt. Процесс выдачи и привязки этого сертификата в IIS описан в статье Шифрование сертификата для Windows (IIS).
Совет. Чтобы подключить внешних клиентов к серверу рабочих папок для доступа к файлам и синхронизации, необходимо правильно настроить DNS-имя сервера во внешней зоне, а также разрешить трафик на сервер через TCP-порты 80 и / или 443 на брандмауэре. Кроме того, для более полной защиты доступ может быть предоставлен через прокси-сервер веб-приложения.
Обзор
Если говорить о разнице UPD и FSLogix, у последнего больше возможностей и преимуществ. Для простых сред всё так же может использоваться UDP, но чисто практически я не вижу в этом ни какого смысла, UDP ни как не развивается Microsoft, имеет свои некоторые проблемы и недостатки.
1. Недостатки UDP:
- Периодическое зависание диска и создание Temp профиля. При том, что даже была создана групповая политика, предотвращающая создание временного профиля, но это не помогло избежать данной проблемы. Как результат, приходиться очищать в реестре bak запись, чтоб профиль корректно вновь стал подгружаться.
- При росте профиля, более длительный вход и выход из системы.
- Техническая реализация UDP не позволяет обращаться программам в TEMP\TMP папки. С последним с чем столкнулся, это невозможность установить плагины для браузера. Костыли которые предлагают в интернете по перемещению этих папок вызывают другие проблемы.
- Каждый раз, когда загружается профиль, пересоздается кэш индекса, что вызывает дополнительную нагрузку и проблемы с поиском.
- Создаются backup папки профилей, которые дублируются и не очищаются.
2. Преимущества FSLogix:
- Полнофункциональное решение для перемещаемых профилей. Он заботится обо всем, что происходит в папке C:\Users\%username%. Системные папки (например, Рабочий стол, Загрузки и т.д.) Присутствуют вместе со всеми пользовательскими настройками и предпочтениями ( То есть Реестром, данными приложений и т.д.). Поскольку компоненты Office 365 подпадают под эти категории, все, что с ними связано, обрабатывается как часть контейнера профиля.
- Более высокая производительность.
- Сокращает время входа в систему и выхода из системы.
- Снижает трафик и нагрузку на файловые серверы.
- Оптимизирован для Office 365.
- Расширенные групповые политики.
- Маскировка приложений (Application Masking) может управлять доступом к приложениям, шрифтам, принтерам и прочим элементам. Доступ может контролироваться на уровне пользователей, диапазонов IP-адресов или прочих критериев.
- Контроль версий Java (Java Version Control) может указывать версию Java, которая будет использоваться определенными URL и/или приложениями.
How to Open Work Folders on Windows 10
Just now, we have introduced how to download Work Folders on Windows 7. Now, we will introduce how to open Work Folders on Windows 10 (you don’t need to download it).
Way 2: Via Command Prompt
Step 1: Type cmd in the Search box and choose Run as administrator to open Command Prompt.
Step 2: Input workfolders.exe and press Enter.
Step 1: Right-click the Start menu to choose Windows PowerShell (Admin).
Step 2: Type workfolders and click Enter.
Way 5: Via Control Panel
Step 1: Type Control Panel in the Search box to open it.
Step 2: Type work in the top-right search box, and select Work Folders or Manage Work Folders.
How to Set up Work Folders on Windows 10
After opening Work Folders, you can set up it. Here is how to do that:
Step 2: Then, enter the username and password that you use on your company’s network.
Step 3: Type the URL address of your company’s Work Folders server and click Next.
Step 4: You can information about the Work Folders feature and where your files will be saved on your computer. Click Next.
Step 5: Select I Accept These Policies on My PC and click Set up Work Folders.
Создание smb-шары на файловом сервере#
Мы будем использовать в качестве сервера Windows server 2012r2.
Для сетевых шар я бы рекомендовал использовать отдельный диск. При его заполнении работа ОС не будет нарушена и расширять пространство (производить любые манипуляции) диска проще, когда на нем нет ОС.
Создаём каталог redirection, назначаем его сетевым.
Редактируем ACL
. Нам требуется, чтобы каждый пользователь имел доступ только к своему каталогу. Группа администраторов имела доступ ко всем.
Каталоги пользователей должны создаваться автоматически, и права, значит, должны назначаться автоматически владельцам каталогов. Помогут нам в этом особые настройки ACL.
Свойства каталога — вкладка Безопасность — Дополнительно
Первым делом нужно отключить наследование.
Сделаем перенаправление папок только для одной группы пользователей. Для неё и нужны особые права доступа. Добавляем нужную группу и нажимаем Изменить. Включаем отображение дополнительных разрешений.
Нужно лишь разрешение Создание папок / дозапись данных
Пользователь должен иметь полный доступ к своему каталогу — добавляем субъект создатель-владелец и даем ему полный доступ только для подпапок и файлов. Еще нужно добавить субъект система, группу системных администраторов и дать им полный доступ для этой папки и её подпапок.
Настройка роли
Возможность управлять ролью находится на вкладе «Файловые службы»:
Во вкладке по работе с разделов выберем один из них и нажмем правой кнопкой мыши. В выплывающей меню мы увидим «Настройка дедупликации данных»:
По умолчанию дедупликация отключена. У нас есть выбор из трех вариантов:
- Файловый сервер общего назначения;
- Сервер инфраструктуры виртуальных рабочих столов (VDI);
- Виртуализированный резервный сервер.
Каждый из этих режимов устанавливается с рекомендуемыми настройками и дальнейшие изменения можно пропустить:
Важной настройкой является установка возраста файла (область 1), который будет проходить процесс оптимизации. Новые файлы пользователей могут активно меняться в течение нескольких дней, что в пустую увеличит нагрузку на сервер при дедупликации, а затем не открываться вовсе. Если установить значение 0, то дедупликация не будет учитывать возраст файла вовсе
Если установить значение 0, то дедупликация не будет учитывать возраст файла вовсе.
В области 2 указываются расширения файлов для исключения из процессов дедупликации. Рекомендую установить несколько расширений, которые не несут значительную роль. Затем, через недели две, оценить нагрузку на сервер и, если она будет удовлетворительной, убрать исключение. Вы можете сделать и обратную операцию, добавив в исключения расширения уже после оценки нагрузки, но этот вариант не настолько очевиден как первый. Проблема будет в том, что исключенные файлы не раздедуплицируются автоматически (только с Powershell) и они все так же будут нуждаться в поддержке и ресурсах. В области 3 исключаются папки.
В окне расписания мы можем настроить следующее:
- Фоновая оптимизация (Enable background optimization) — включена по умолчанию. Работает с низким приоритетом не мешая основным процессам. При высокой нагрузке останавливается автоматически. Срабатывает один раз в час;
- Включить оптимизацию пропускной способности (Enable throughput optimization) — расписание, когда дедупликация может выполнятся без ограничения в ресурсах. Можно настроить на выходные дни например;
- Создать второе расписание оптимизации пропускной способности (Create a second schedule for throughput optimization) — расписание аналогично предыдущему. Можно настроить на вечернее время.
На этом настройки, которые выполняются через интерфейс заканчиваются. Если снять галочку, которая включает дедупликацию, все процессы поиска и дедупликации остановятся, но файлы не вернуться в исходное положение. Для обратного преобразования файлов нужно запускать процесс Unoptimization, который выполняется в Powershell и описан ниже.
Использование удаленного веб-доступа
Необходимо включить удаленный веб-доступ на сервере, чтобы осуществлять доступ к веб-сайту удаленного веб-доступа. Дополнительные сведения об управлении удаленными Веб-доступ см. в разделе Manage remote веб-доступ.
Отправка и загрузка файлов в системе удаленного веб-доступа
На вкладке Общие папки удаленного веб-доступа можно отправлять и загружать файлы. дополнительные сведения см. в разделе Upload и загрузка файлов в удаленном Веб-доступ. в разделе Использование удаленного веб-доступ.
Отправка и загрузка файлов в системе удаленного веб-доступа
На вкладке Общие папки удаленного веб-доступа можно отправлять и загружать файлы. дополнительные сведения см. в разделе Upload и загрузка файлов в удаленном Веб-доступ. в разделе Использование удаленного веб-доступ.
Файловый сервер
FTP-сервер Linux может понадобиться для обмена документами и загрузки файлов. Существует несколько версий таких ресурсов: vsFTPd, Samba, proFTPd.
Подробнее остановимся на vsFTPd. Его можно установить и запустить одной командой — «sudo apt-get install vsftpd». Дальнейшие настройки зависят от ваших предпочтений и от того, какой сервис вы хотите сделать. Для изменения параметров могут понадобиться права администратора.
- Сразу после загрузки программы система создаёт нового пользователя и добавляет в домашнюю директорию папку, которая предназначена для работы с серверным хранилищем. Также в каталоге «etc» появляется файл «ftpusers». Туда можно добавлять пользователей, которым запрещён доступ к файлам.
- После установки лучше сменить директорию, в которой должны находиться файлы, в папку «var». Для этого от имени администратора напишите команду «usermod -d /var/ftp ftp && rmdir /home/ftp».
- Создайте новую группу пользователей. Например, «userftp». Напечатайте в консоли «addgroup userftp».
- Добавьте в неё новый аккаунт (для простоты назовём пользователя и группу одинаково). Используйте команду «useradd -a /var/ftp -g userftp userftp». Она заодно создаёт пользователя. Чтобы включить в группу уже существующий никнейм, вместо «useradd» напишите «usermod».
- Надо придумать пароль новому пользователю. Введите в терминале «passwd userftp».
- Напечатайте «chmod 555 /var/ftp && chown root:userftp /var/ftp», чтобы предоставить аккаунту доступ к корневой папке файлового сервера.
- Теперь создайте публичную директорию. Последовательно введите «mkdir /var/ftp/pub» и «chown userftp:userftp /var/ftp/pub».
Изначально FTP запускается в автономном режиме. У неё есть скрипт, который играет роль демона. При такой функциональности доступно несколько команд. Они вводятся после строки «sudo service vsftpd».
- Stop и Start. Отключение и включение.
- Restart и Reload. Перезапуск. Нужен для применения новых настроек. Разница между командами в том, что во второй перезагрузка происходит без полного отключения.
- Status. Информация о состоянии.
Дальнейшая настройка сервера заключается в переписывании файла конфигурации, который находится в etc/vsftpd.conf. У него простая и понятная структура. Разобраться в нём достаточно просто. Хотя для этого нужны определённые знания. Перед изменением этого файла имеет смысл сделать его резервную копию. Чтобы в случае выявления ошибок можно было всё восстановить. Введите команду «cp /etc/vsftpd.conf /etc/vsftpd_old.conf» и информация будет сохранена.
После этого можно приступать к редактированию.
- В параметре «listen=» напишите «YES». Тогда сервер будет работать в независимом режиме.
- «Local_enable» разрешает вход локальным пользователям.
- «Write_enable» даёт им доступ в домашние каталоги.
- «Anonymous_enable». Можно ограничить права анонимных пользователей, если поставить «NO». Также есть опция «no_anon_password» — анонимные входят без пароля. Её тоже можно запретить.
Если вы хотите делать публичный сервер, то после строки «listen» надо добавить несколько дополнительных параметров.
- «Max_clients». Количество одновременных соединений.
- «Idle_session_timeout» и «data_connection_timeout». Таймауты сессии.
- «Ftpd_banner». Приветственное сообщение для посетителей. Можно написать, к примеру, «Hello!».
What Is Work Folders
Work Folders is a feature in Windows 10 that allows you to access your work files from your personal computer or device. With Work Folders, you can keep copies of your work files on your personal devices and have them sync automatically to your company’s data center.
The Work Folders feature applies to Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7, iOS, and Android.
Administrators can use Work Folders to provide users with access to their work files while maintaining centralized storage and control of organizational data. Some specific applications for Work Folders include:
- Provides a single point of access to work files from users’ work and personal computers and devices.
- Access work files offline, then sync with a central file server the next time your PC or device is connected to the Internet or intranet.
- Deploy using existing deployments of Folder Redirection, Offline Files, and Home Folders.
- Manage user data using existing file server management techniques, such as file classification and folder quotas.
- Specify security policies to instruct users’ PCs and devices to encrypt Work Folders and use lock screen passwords.
- Using Failover Clustering with Work Folders for a high availability solution.
System Requirements
Work Folders has the following software requirements for the file server and your network infrastructure:
- A server running Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 to host a sync share with user files.
- A volume formatted with the NTFS file system for storing user files.
- To enforce password policies on Windows 7 PCs, you must use Group Policy Password Policies. You must also exclude Windows 7 PCs from the Work Folders password policy.
- A server certificate for each file server that will host Work Folders. These certificates should come from a certificate authority (CA) that users trust, preferably a public CA.
Note:
If you want to sync across the Internet, there are additional requirements:
- The ability to make servers accessible from the Internet by creating publishing rules in your organization’s reverse proxy or network gateway.
- Publicly registered domain names and the ability to create additional public DNS records for the domain.
Work Folders has the following software requirements for client computers:
PCs and devices must be running one of the following operating systems:
- Windows 10
- Windows 8.1
- Windows RT 8.1
- Windows 7
- Android 4.4 KitKat and above
- iOS 10.2 and later
Отключение элементов панели управления
С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных групповые политики — Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера.
Надеюсь, прочитав эту статью, администратору будет немного спокойнее — ведь теперь пользователи смогут сделать гораздо меньше, чего стоит только отключение командной строки и PowerShell.
Популярные услуги
Виртуальный сервер (VDS/VPS) на базе Windows Server (Xelent)
Windows Server от Microsoft — самая популярная операционная система в мире для серверного оборудования. Она применяется для организации файловых каталогов, службы DNS, службы веб-приложений и т. д. Мы предлагаем нашим клиентам арендовать виртуальный server VDS/VPS на базе Windows Server.
VDS Windows сервер
Любой постоянно развивающийся интернет-проект в определенный момент своего существования начинает нуждаться в неограниченном трафике. С помощью VPS Windows сервера можно быстро решить проблему с масштабированием ресурсов в рамках крупной системы.
Виртуальный дата-центр
Храните и получайте данные в любом объеме, в нужный момент масштабируясь под возрастающие нагрузки.
Конвертация профилей UDP в FSLogix.
Моя ферма каждый день насчитывает примерно 400~ активных сеансов. Профилей около 500.
Конвертацию я начал с 9 вечера. До 8 утра успешно конвертировались все 500 профилей.
Скрипт который я использовал: convert-udp-fslogix
В интернете можно найти и аналоги, но этот быстрый, простой, удобный и делает исключения, которые не нужно переносить:
Ключом $updroot мы указываем путь до UDP профилей.Ключом $fslogixroot указываем новое расположение профилей FSLogix.
На выходе получим папки с профилями SID_%username%, но как выше мы помним, мы поменяли политикой имя папки на %username%_SID, потому после конвертации и отдельным скриптом делаю переименование:
Хотя то же самое можно поменять и в самом скрипте.
Запрещаем доступ к командной строке и PowerShell
Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.
Рис. 4. Запрещаем использование командной строки в Windows Server
Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell_ise.exe (рис. 5).
Рис. 5. Запрет запуска PowerShell
Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.
See also
Content type | References |
---|---|
Product evaluation | — Work Folders for Android – Released (blog post)— Work Folders for iOS – iPad App Release (blog post)— Introducing Work Folders on Windows Server 2012 R2 (blog post)— Work Folders Test Lab Deployment (blog post)— Work Folders for Windows 7 (blog post) |
Deployment | — Designing a Work Folders Implementation— Deploying Work Folders— Deploying Work Folders with AD FS and Web Application Proxy (WAP)— Deploying Work Folders with Azure AD Application Proxy— Offline Files (CSC) to Work Folders Migration Guide— Performance Considerations for Work Folders Deployments— Work Folders for Windows 7 (64-bit download)— Work Folders for Windows 7 (32-bit download) |
Operations | — Work Folders iPad app: FAQ (for users)— Work Folders Certificate Management (blog post)— Monitoring Windows Server 2012 R2 Work Folders Deployments (blog post)— SyncShare (Work Folders) Cmdlets in Windows PowerShell— Storage and File Services PowerShell Cmdlets Quick Reference Card For Windows Server 2012 R2 Preview Edition |
Troubleshooting | — Windows Server 2012 R2 – Resolving Port Conflict with IIS Websites and Work Folders (blog post)— Common Errors in Work Folders |
Community resources | — File Services and Storage Forum— Storage at Microsoft Blogs— Ask the Directory Services Team Blog |
Related technologies | — Storage in Windows Server 2016— File and Storage Services— File Server Resource Manager— Folder Redirection, Offline Files, and Roaming User Profiles— BranchCache— DFS Namespaces and DFS Replication |
Можно ли удалить папку Windows Installer?
Напоминаю, что в папке C:\Windows\Installer лежат инсталляторы программ, которые используются для их правильного удаления, восстановления. Простой пример, когда вы заходите в панель управления Windows, то на большинстве программ вы видите эти статусы.
Простой пример из жизни, один из моих приятелей удалил содержимое Installer, в итоге получил ситуацию, что когда ему нужно было удалить Microsoft Office и поставить новую версию, он получил ошибку, что этого сделать нельзя.
Полностью удалять содержимое папки Windows Installer НЕЛЬЗЯ!!!!
Так, что если Windows Installer занимает много места, не стоит ее сразу полностью удалять, к этому делу нужно отнестись, очень избирательно. Как мы поняли, она точно нужна и отвечает за ваши программы, но парадокс операционной системы Windows в том, что когда вы удалил какую-то программу, ее инсталлятор, останется лежать в данной папке, в виде мусора и занимать дисковое пространство, вам ведь это не нужно. Так что приступам к ее чистке.