在AD中設置漫遊配置文件與文件夾重定向

在域環境下，域用戶能夠在域中的任意一臺客戶端計算機上登陸，因爲普通域用戶的權限比較低，在大多數狀況下只能對本身的用戶配置文件具備徹底控制權限，於是大多數域用戶都是將數據直接保存在用戶配置文件中。用戶配置文件實際上是一個文件夾，默認位置在C盤（系統盤）根目錄下一個名字叫「用戶（Users）」的文件夾中，每一個在這臺計算機上登陸過的域用戶，都會在這個「用戶」文件夾中建立一個和本身用戶名相同的文件夾，好比「zhangsan」。在用戶配置文件夾中包含了「桌面」、「文檔」、「收藏夾」等我的資料的配置，用戶放在「桌面」或「文檔」中的文件其實都是保存在用戶配置文件中。
系統默認設置將用戶配置文件存放在客戶端計算機上，但這種方式一是存在必定的安全風險，二是當域用戶在別的計算機上登陸時，這些配置文件中的內容就看不到了。有兩種方法能夠實現配置文件跟隨域用戶漫遊：一種方法是在DC上設置用戶屬性，將用戶配置文件統一存儲到遠程服務器上；另外一種方法是在DC上設置組策略，將用戶配置文件的存放路徑重定向到遠程服務器上。這兩種方法都能達到相同的效果，但它們之間是否有所區別？哪一種方法在實踐中更爲可取呢？本文將經過實例分別說明這兩種方法的配置過程，並分析比較它們之間的特色。
實驗環境中所用的域名爲「WorldSkills2017.china」，DC的計算機名爲R_Server2。在域中已建立了名爲「test」的OU，OU中建立了兩個域用戶帳號：「張三（zhangsan）」、「李四（lisi）」，DC和客戶端都採用的是Windows Server 2012 R2系統。

1、配置漫遊配置文件

漫遊配置文件須要在域用戶屬性中設置，下面以域用戶「張三」爲例，說明配置過程。
① 建立共享文件夾
首先，在DC上建立一個名爲profile的共享文件夾，並設置爲Everyone具備讀寫權限。（在生產環境中，應將共享文件夾設置在專門的文件服務器中，而不該放在DC上。）
② 配置用戶屬性
在DC上打開「Active Directory用戶和計算機」，打開「張三」的屬性設置界面，在「配置文件」選項卡中將「配置文件路徑」設置爲\DC\profile\%username%（路徑中的%username%參數會自動以用戶的登陸名替代）。如圖1所示。

圖 1 設置漫遊配置文件
③ 在客戶端測試
在客戶端計算機上以張三的身份登陸到域，此時張三所在的客戶端電腦會去服務器上的共享目錄中下載zhangsan的配置文件。但這時在服務器上並無zhangsan的配置文件，因此張三會在本地磁盤建立一個本地配置文件。
對桌面或收藏夾等設置以後，將用戶註銷，此時zhangsan所在的客戶端電腦會向服務器上傳剛剛建立的本地配置文件。打開DC上的共享文件夾profile，會發現其中多出了一個名爲「zhangsan.V2」的文件夾，因爲這是本地配置文件的一個備份，因此名字中會加上「V2」。

圖 2 上傳到服務器中的用戶配置文件
而後另換一臺計算機用張三的身份登陸，張三首先會從服務器的共享文件夾中把本身的全部用戶配置都下載下來，因此發現剛纔所作的配置都已經漫遊過來了。
④ 小結
漫遊配置文件實際上是將配置文件在服務器的共享文件夾中作了一個備份，當域用戶在客戶端登陸時會先從服務器中下載配置文件，當域用戶註銷時會把修改過的配置文件再傳到服務器的共享文件夾中。

2、配置文件夾重定向

文件夾重定向須要在組策略中配置，下面以「test」OU爲例，說明組策略的配置過程。
① 建立共享文件夾
首先還是在DC上創建一個名爲「folder」的共享文件夾，賦予Everyone「讀取/寫入」權限。
② 配置組策略對象GPO
打開「組策略管理」工具，在「組策略對象」中新建一個名爲「文件夾重定向」的GPO，並對其進行編輯。
在組策略編輯器中依次展開「用戶配置\策略\Windows設置\文件夾重定向」，其中列出了能夠被重定向的配置文件目錄。一般重定向最多的是「桌面」和「文檔」文件夾，下面就將域用戶的「桌面」文件夾改成集中存儲在域控制器上。

在「桌面」上單擊右鍵，選擇「屬性」，打開「桌面屬性」設置界面。
首先在「目標」選項卡的「設置」項中選擇「基本-將每一個人的文件夾重定向到同一個位置」，並在「目標文件夾位置」中選擇「在根目錄路徑下爲每一用戶建立一個文件夾」，在「根路徑」中輸入文件夾重定向後的存放位置，也就是在DC上所設置的共享文件夾的UNC路徑\DC\folder。如圖3所示。這樣，系統就會在共享文件夾中自動爲每一位登陸的用戶分別建立一個專屬文件夾。

圖 3 將「桌面」重定向
③ 將GPO連接到OU
關閉組策略編輯器後，將配置好的組策略對象「文件夾重定向」拖動到「test」OU上，這樣，組策略便會對「test」OU中的全部域用戶生效。

④ 在客戶端測試
以用戶李四的身份在客戶端計算機上登陸，打開用戶的本地配置文件夾後，發現裏面已經沒有了「桌面」文件夾，這是因爲「桌面」文件夾的位置已經被重定向到了服務器中。
在DC上打開folder文件夾，能夠看到裏面自動建立了一個名爲「lisi」的文件夾，其中包括了「Desktop」子文件夾。

注意，若是組策略未生效，能夠在客戶端執行「gpupdate /force」命令強制刷新組策略。
下面以李四的身份在客戶端的桌面上建立一個測試文件，而後將李四用戶註銷（能夠看到在註銷時對文件進行了同步）。而後再到另外一臺客戶端計算機上以李四的身份從新登陸，能夠看到剛纔在「桌面」上建立的測試文件也隨之出現了。
⑤ 小結
將用戶配置文件中的文件夾重定向以後，在客戶端看到的相應文件夾就只是一個指向服務器中共享文件夾的路徑，數據是直接存儲在服務器中。這樣當域用戶在客戶端登陸或註銷時，就再也不須要向服務器中上傳或是從服務器中下載文件數據了。

3、兩種操做的比較

經過實例比較能夠發現，漫遊配置文件是將配置文件在服務器中作了備份，而文件夾重定向則是直接將配置文件存儲在了服務器中。這兩種方式孰優孰劣呢？
咱們能夠試想一下，若是域用戶在配置文件中放置的數據量很大，那麼採用漫遊配置文件的方式，就會形成域用戶登陸和註銷的速度變得很慢，而文件夾重定向則不會出現這樣的問題。於是在實踐應用中，仍是文件夾重定向更具有可操做性。
最後總結一下，文件夾重定向的做用主要體如今如下兩個方面：
一是能夠利用該功能對相關文件或者文件夾進行統一備份。因爲把分散在各個主機上的文件都重定向到一臺服務器上，如此管理員只須要對這臺服務器的文件夾進行備份，就能夠達到對員工各臺電腦的資料進行備份的目的，從而保障數據的安全。
二是用戶訪問文件夾的位置將不受限制。若桌面或者個人文檔等資料保存在本地的話，則用戶只有登陸本機纔可以訪問這些文件。而對文件夾進行重定向以後，則只須要員工登陸到域，就均可以訪問此文件夾。