AD域服务器组策略实现文件夹重定向 保护文件安全

 网络管理员或许都遇到过类似的烦恼。如系统崩溃后，原来存放在 C盘的应用程序专署数据都丢失了;或者桌面上的文件莫名其妙少了，等等。有时候，我们也千方百计提醒员工不要把文件存放在桌面上，但是他们总是不听，等到文件丢失了，就在那边骂爹骂娘了。其实，

　　

网络管理员或许都遇到过类似的烦恼。如系统崩溃后，原来存放在C盘的应用程序专署数据都丢失了;或者桌面上的文件莫名其妙少了，等等。有时候，我们也千方百计提醒员工不要把文件存放在桌面上，但是他们总是不听，等到文件丢失了，就在那边骂爹骂娘了。其实，若我们能够充分利用域组策略实现文件重定向功能，则可以轻松的解决这些问题。

 

　　所谓的文件重定向功能，就是把用户本机上的文件夹存储位置转移到域控制器上或者网络上的其他主机，从而实现对数据尽心统一备份与管理。

 

　　具体的来说，我们可以把如下的一些文件夹进行重定向。

 

　　1、应用程序数据文件夹。在微软的操作系统中，有一个非常重要的文件夹，即应用程序数据文件夹，他存储了一些应用软件的专属数据。如即时聊天工具PIS，它的聊天记录、配置文件、帐号信息等等都存放在这个文件夹中;再如，邮件客户端mozila的配置文件与本地文件夹默认情况下也在这个文件夹中。后续若这些应用程序出现问题，只需要把应用程序卸载重新安装，然后恢复这个文件夹中的应用程序专属数据，即可以恢复原有应用程序的配置。不过，这里要注意一点，有些应用程序，如qq等聊天工具，其专属数据在程序安装的时候，会另外设立一个文件夹。遇到这些软件，若采用文件重定向功能的话，则最好在安装的时候，更改他们的路径，使之在这个应用程序数据文件夹内，从而可以统一利用文件夹重定向功能。

 

　　2、对桌面进行重定向。很多员工总是改不掉一个坏习惯，老是喜欢把一些工作文件存放在桌面，他们认为这么处理方便，确不知道这个习惯的话，很容易造成文件的丢失。不过我们也可以利用文件夹的重定向功能，把桌面上的文件重定向到网络的其他位置上。如此的话，用户可以随心所欲的在桌面上保存文件，而又不会影响到文件本身的安全性问题。

 

　　3、重定向我的文档。这个文件夹大家都是最熟悉了，他存储着用户的一些文件。而且，其也是一些办公文件的默认存储位置，所以，也有必要把这个文件夹进行重定向，让其转移到网络上的一个位置，从而实现对这个文件夹中的内容进行备份。

 

　　一、 文件夹重定向的基本步骤

 

　　如我们现在有一个采购部门的OU，现在要把这个OU内的所有用户的桌面都重定向到一台文件服务器中。具体的配置步骤如下：

 

　　第一步：在文件服务器上新建一个文件夹。当然，这个文件服务器必须属于这个域中。文件夹建立好只好，要确认一下这个文件夹的权限，如需要SYSTEM与CREATOROWNER帐户对这个文件夹拥有完全控制的权限。而且，这个文件夹最好能够建立在NTFS格式上，如此的话，可以实现更好的安全性。以后，采购部门OU内的所有用户的桌面文件将被保存到这个位置上。

 

　　然后，把这个文件夹设置为共享文件夹，共享的权限是每个人都有完全控制的共享权限。不过，这么做的话，任何人都可以访问包括自己文件在内的所有文件。所以，为了安全性考虑，最好把这个文件夹进行设置为隐藏。这很简单，只需要在这个文件夹的名字后面加上$字符即可。

 

　　第二步：在域控制器上，利用组策略实现文件家重定向，而不是给每个域帐户设置文件重定向。

 

　　在域控制器上，依次打开“开始”、“管理工具”、“活动目录用户和计算机”、采购部OU、属性、组策略、采购部组策略、编辑。然后找到用户配置、Windows配置、文件夹重定向，在打开的分支中我们可以看到其默认有桌面、我的文档等等。我们此时需要重定向桌面文件，就在这里选择桌面，然后选择我们需要重定向的位置。这里要注意一点，如果我们在上面建立共享文件夹的时候，把文件夹隐藏起来了，即在文件夹名字后输入了$符号，则此时，在输入共享文件夹的位置的时候，也需要把这个服号输入进去。

 

　　第三步：进行测试。当这个组策略应用到每个用户中去后，每个帐户登陆一次，就会在这个共享文件夹下建立一个文件夹。文件夹的名字是以用户的帐户名命名的。如某个采购员名字为sammy，则当这个采购员登陆到域中，就自动在这个文件夹下建立一个以sammy名字命名的文件夹。

 

　　在配置文件夹重定向组策略的时候，需要大致了解其一些默认选项。虽然一般不需要对这些选项进行更改。

 

　　如在组策略“设置”下拉框中有三个选择。

 

　　一个是基本，也就是说将每个帐户的文件家重定向到同以位置。也许我们不是在采购部这个OU级别上配置文件夹重定向组策略，我们可能在其父OU中实现这个策略;又或者采购OU中下面还有采购一组OU与采购二组OU等等。若我们选择这个“基本”的话，也就是说，他们虽然OU的等级不同，但是，在共享文件夹中保存的文件位置都是相同的。或者说，这个组包括下面的各个OU内的帐户，他们的文件夹都将被重定向。这是默认的选项。

 

　　第二个是高级选项。当采购OU下面有采购一组OU与采购二组OU。我们希望采购一组OU的文件重定向到“采购一组”这个文件夹下，而采购二组OU的文件夹重定向到“采购二组”下。要实现这个需求，一种方式是在采购一组OU与采购二组OU上设置组策略。不过如此处理的话，要设置两个组策略，当下面的组多的时候，需要的组策略也会随之增加。当子OU多的时候，这显然设置起来会比较麻烦。另外一种方式，就是在父OU上设置这个组策略，然后选择高级选项，为每个组指定具体的重定向位置。如此的话，只需要建立一个组策略即可。

 

二、 文件夹重定向的具体作用

 

　　文件夹重定向在实际工作中，具有很大的作用，简单地来说，可以实现如下需求。

 

　　1、利用文件夹重定向功能，对相关文件或者文件夹进行统一备份。由于我们把分散在各个主机上的文件都重定向到一台主机上。如此的话，我们只需要对这台主机的文件夹进行备份，就可以达到对员工各台电脑的资料进行备份的目的。如此，这些存储在文件服务器内的数据，网络管理员可以对其进行定期的备份，从而保障数据的安全。

 

　　2、用户访问文件夹的位置，将不受限制。若桌面或者我的文档等资料保存在本地的话，则用户只有登陆本机才能够访问这些文件。而对文件夹进行重定向之后，则只需要员工登陆到这个域后，都可以访问此文件夹，只要保存这些文件的文件服务器可用就行了。

 

　　3、提高用户登陆、注销的效率。如果用户被指定了漫游用户配置文件，即通过漫游配置模式登陆域，那么“我的文档”等文件夹被重定向之后，在漫游用户配置文件的文件夹内将不存储“我的文档”。所以在登陆、读取漫游用户配置文件，或者注销、存储漫游用户配置文件的时候，因为不需要下在、存储“我的文档”，所以，用户登陆、注销的效率就比没有重定向之前要高的多。

 

三、 文件夹重定向安全方面的考虑

 

　　文件重定向之后，由于各个用户的文件夹都保存在网络上的一个共享文件夹内，所以，其是否安全，也是我们网络管理员需要考虑的一个问题。下面我们就来看看文件夹重定向之后可以采用哪些安全策略，来保障文件的安全。

 

　　1、授予用户的独占权限。从上面共享文件夹权限配置上，我们知道，这个共享文件夹对域内的所用用户都具有完全控制权限。也就是说，这个共享文件夹中的文件，用户除了可以访问自己的文件外，还可以访问其他人的文件。这显然是不安全的。为此，在文件夹重定向的时候，我们可以授予用户对这个文件夹以独占的权限。若选中这个选项的话，就只有员工自己对那个自己的文件夹具有完全控制的权限。包括系统管理员在内的其他用户都没有任何访问的权限，包括查询、修改、删除等等。若我们不选择这个选项的话，则这个用户的文件夹将继承其父文件夹的权限，其所有用户对此都具有完全控制权限，可以随意的阅读、修改、删除其他员工的文件。所以，为了提高文件的安全性，还是建议网络管理员选中这个选项。

 

　　2、对原有文件的管理。在应用文件重定向组策略之前，可能已经在桌面或者我的文档中已经有了文件。我们希望利用这个组策略之后，之前的文件也能够转移，而不是只针对后面保存的文件奇效。为此，我们可以选择“将原有文件移动到新位置”选项。如此，在应用组策略之后，就会将原文件夹内的文件也移动到重定向后的文件夹内。

 

　　3、容量大小的控制。在文件夹重定向功能中，有时候还需要对各个帐户的磁盘容量进行控制。否则的话，一些用户把一些电影、歌曲之类的文件进行重定向的话，则很快磁盘就会满。为此，我们可以在服务器上实现“磁盘配额”的功能。这是NTFS格式分区的一个比较实用的功能。我们可以利用之一技术，对用户的存储空间进行限制。

转载于:https://blog.51cto.com/51itxz/478027