在AD中设置漫游配置文件与文件夹重定向

在域环境下，域用户可以在域中的任意一台客户端计算机上登录，由于普通域用户的权限比较低，在大多数情况下只能对自己的用户配置文件具有完全控制权限，因而大多数域用户都是将数据直接保存在用户配置文件中。用户配置文件其实是一个文件夹，默认位置在C盘（系统盘）根目录下一个名字叫“用户（Users）”的文件夹中，每个在这台计算机上登录过的域用户，都会在这个“用户”文件夹中创建一个和自己用户名相同的文件夹，比如“zhangsan”。在用户配置文件夹中包含了“桌面”、“文档”、“收藏夹”等个人资料的配置，用户放在“桌面”或“文档”中的文件其实都是保存在用户配置文件中。
系统默认设置将用户配置文件存放在客户端计算机上，但这种方式一是存在一定的安全风险，二是当域用户在别的计算机上登录时，这些配置文件中的内容就看不到了。有两种方法可以实现配置文件跟随域用户漫游：一种方法是在DC上设置用户属性，将用户配置文件统一存储到远程服务器上；另一种方法是在DC上设置组策略，将用户配置文件的存放路径重定向到远程服务器上。这两种方法都能达到相同的效果，但它们之间是否有所区别？哪种方法在实践中更为可取呢？本文将通过实例分别说明这两种方法的配置过程，并分析比较它们之间的特点。
实验环境中所用的域名为“WorldSkills2017.china”，DC的计算机名为R_Server2。在域中已创建了名为“test”的OU，OU中创建了两个域用户账号：“张三（zhangsan）”、“李四（lisi）”，DC和客户端都采用的是Windows Server 2012 R2系统。

一、配置漫游配置文件

漫游配置文件需要在域用户属性中设置，下面以域用户“张三”为例，说明配置过程。
① 创建共享文件夹
首先，在DC上创建一个名为profile的共享文件夹，并设置为Everyone具有读写权限。（在生产环境中，应将共享文件夹设置在专门的文件服务器中，而不应放在DC上。）
② 配置用户属性
在DC上打开“Active Directory用户和计算机”，打开“张三”的属性设置界面，在“配置文件”选项卡中将“配置文件路径”设置为\DC\profile\%username%（路径中的%username%参数会自动以用户的登录名替代）。如图1所示。

图 1 设置漫游配置文件
③ 在客户端测试
在客户端计算机上以张三的身份登录到域，此时张三所在的客户端电脑会去服务器上的共享目录中下载zhangsan的配置文件。但这时在服务器上并没有zhangsan的配置文件，所以张三会在本地磁盘创建一个本地配置文件。
对桌面或收藏夹等设置之后，将用户注销，此时zhangsan所在的客户端电脑会向服务器上传刚刚创建的本地配置文件。打开DC上的共享文件夹profile，会发现其中多出了一个名为“zhangsan.V2”的文件夹，由于这是本地配置文件的一个备份，所以名字中会加上“V2”。

图 2 上传到服务器中的用户配置文件
然后另换一台计算机用张三的身份登录，张三首先会从服务器的共享文件夹中把自己的所有用户配置都下载下来，所以发现刚才所做的配置都已经漫游过来了。
④ 小结
漫游配置文件其实是将配置文件在服务器的共享文件夹中做了一个备份，当域用户在客户端登录时会先从服务器中下载配置文件，当域用户注销时会把修改过的配置文件再传到服务器的共享文件夹中。

二、配置文件夹重定向

文件夹重定向需要在组策略中配置，下面以“test”OU为例，说明组策略的配置过程。
① 创建共享文件夹
首先仍是在DC上建立一个名为“folder”的共享文件夹，赋予Everyone“读取/写入”权限。
② 配置组策略对象GPO
打开“组策略管理”工具，在“组策略对象”中新建一个名为“文件夹重定向”的GPO，并对其进行编辑。
在组策略编辑器中依次展开“用户配置\策略\Windows设置\文件夹重定向”，其中列出了可以被重定向的配置文件目录。通常重定向最多的是“桌面”和“文档”文件夹，下面就将域用户的“桌面”文件夹改为集中存储在域控制器上。

在“桌面”上单击右键，选择“属性”，打开“桌面属性”设置界面。
首先在“目标”选项卡的“设置”项中选择“基本-将每个人的文件夹重定向到同一个位置”，并在“目标文件夹位置”中选择“在根目录路径下为每一用户创建一个文件夹”，在“根路径”中输入文件夹重定向后的存放位置，也就是在DC上所设置的共享文件夹的UNC路径\DC\folder。如图3所示。这样，系统就会在共享文件夹中自动为每一位登录的用户分别创建一个专属文件夹。

图 3 将“桌面”重定向
③ 将GPO链接到OU
关闭组策略编辑器后，将配置好的组策略对象“文件夹重定向”拖动到“test”OU上，这样，组策略便会对“test”OU中的所有域用户生效。

④ 在客户端测试
以用户李四的身份在客户端计算机上登录，打开用户的本地配置文件夹后，发现里面已经没有了“桌面”文件夹，这是由于“桌面”文件夹的位置已经被重定向到了服务器中。
在DC上打开folder文件夹，可以看到里面自动创建了一个名为“lisi”的文件夹，其中包括了“Desktop”子文件夹。

注意，如果组策略未生效，可以在客户端执行“gpupdate /force”命令强制刷新组策略。
下面以李四的身份在客户端的桌面上创建一个测试文件，然后将李四用户注销（可以看到在注销时对文件进行了同步）。然后再到另一台客户端计算机上以李四的身份重新登录，可以看到刚才在“桌面”上创建的测试文件也随之出现了。
⑤ 小结
将用户配置文件中的文件夹重定向之后，在客户端看到的相应文件夹就只是一个指向服务器中共享文件夹的路径，数据是直接存储在服务器中。这样当域用户在客户端登录或注销时，就不再需要向服务器中上传或是从服务器中下载文件数据了。

三、两种操作的比较

通过实例比较可以发现，漫游配置文件是将配置文件在服务器中做了备份，而文件夹重定向则是直接将配置文件存储在了服务器中。这两种方式孰优孰劣呢？
我们可以试想一下，如果域用户在配置文件中放置的数据量很大，那么采用漫游配置文件的方式，就会造成域用户登录和注销的速度变得很慢，而文件夹重定向则不会出现这样的问题。因而在实践应用中，还是文件夹重定向更具备可操作性。
最后总结一下，文件夹重定向的作用主要体现在以下两个方面：
一是可以利用该功能对相关文件或者文件夹进行统一备份。由于把分散在各个主机上的文件都重定向到一台服务器上，如此管理员只需要对这台服务器的文件夹进行备份，就可以达到对员工各台电脑的资料进行备份的目的，从而保障数据的安全。
二是用户访问文件夹的位置将不受限制。若桌面或者我的文档等资料保存在本地的话，则用户只有登录本机才能够访问这些文件。而对文件夹进行重定向之后，则只需要员工登录到域，就都可以访问此文件夹。

转自：https://blog.51cto.com/yttitan/2061840