Рабочие папки: файлы, которые всегда с тобой

в 7:07, , рубрики: BYOD, windows 7, Windows 8.1, Windows Server, windows server 2012 r2, Блог компании Microsoft, ит-инфраструктура, общий доступ, рабочие папки, системное администрирование, системное администрирование windows, удаленная работа, удалённый доступ

Сегодня нередко возникает необходимость получить доступ к корпоративным файлам во время поездок, командировок, а также во время встреч за пределами офиса. Не всегда для этого удобно использовать рабочее устройство, включенное в домен. Иногда доступ к корпоративным данным нужно получить и с личных устройств. С одной стороны, решение этой проблемы лежит на поверхности – давайте предоставим пользователю доступ к рабочим файлам с личных устройств. Но здесь есть проблема: как обеспечить должный уровень безопасности этих файлов? Выход предоставляют Windows Server 2012 R2 и Windows 8.1 – это использование Рабочих папок (Work Folders).

Рабочие папки: файлы, которые всегда с тобой

Рабочие папки – что это?

Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:

  • Подключится к корпоративному приложению через браузер;
  • Установка с корпоративного портала приложений на устройства (личные и рабочие);
  • Синхронизировать рабочие файлы на разных устройствах.

Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.

Установка и настройка

Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:

Рабочие папки: файлы, которые всегда с тобой
Рабочие папки: файлы, которые всегда с тобой
Рабочие папки: файлы, которые всегда с тобой

В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:

  1. Настройка сервера
    1. Установка роли Рабочие Папки (Work Folders)
    2. Создание общего ресурса синхронизации (Sync Share)
    3. Включение доступа по SMB (дополнительно)
  2. Настройка клиента, включенного в домен
  3. Настройка Рабочих Папок (Work Folders) на личном устройстве
  4. Синхронизация файлов в Рабочих Папках (Work Folders)

Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь):

  • KB2883200
  • KB2894179
  • KB2894029

1. Настройка сервера

1.1. Установка роли Рабочие Папки (Work Folders)

Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:

Рабочие папки: файлы, которые всегда с тобой

Данную операцию также можно выполнить с помощью команды PowerShell:

PS C:> Add-WindowsFeature FS-SyncShareService
1.2. Создание общего ресурса синхронизации (Sync Share)

После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:SalesShare).

Рабочие папки: файлы, которые всегда с тобой

Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.

Рабочие папки: файлы, которые всегда с тобой

Далее укажем имя для общего ресурса синхронизации:

Рабочие папки: файлы, которые всегда с тобой

На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.

Рабочие папки: файлы, которые всегда с тобой

Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».

Рабочие папки: файлы, которые всегда с тобой

Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.

Рабочие папки: файлы, которые всегда с тобой

Проверим еще раз информацию.

Рабочие папки: файлы, которые всегда с тобой

И перейдем к установке.

Рабочие папки: файлы, которые всегда с тобой

Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:

PS C:>New-SyncShare SalesShare –path C:SalesShare –User MVASales -RequireEncryption $true –RequirePasswordAutoLock $true

В итоге, мы должны получить вот такой результат:

Рабочие папки: файлы, которые всегда с тобой
1.3. Включение доступа по SMB (дополнительно)

Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVASales и измените права доступа на «Read/Write»:

Рабочие папки: файлы, которые всегда с тобой

Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:

PS C:> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>

2. Настройка клиента, включенного в домен

Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).

Рабочие папки: файлы, которые всегда с тобой

Рабочие папки: файлы, которые всегда с тобой

Введите E-mail адрес пользователя.

Рабочие папки: файлы, которые всегда с тобой

Укажите, где на устройстве должны быть расположены рабочие папки.

Рабочие папки: файлы, которые всегда с тобой

Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.

Рабочие папки: файлы, которые всегда с тобой

Теперь рабочие папки установлены на устройство.

Рабочие папки: файлы, которые всегда с тобой

Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.

Рабочие папки: файлы, которые всегда с тобой

Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.

Рабочие папки: файлы, которые всегда с тобой

3. Настройка Рабочих Папок (Work Folders) на личном устройстве

Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.

Рабочие папки: файлы, которые всегда с тобой

После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:

Рабочие папки: файлы, которые всегда с тобой

4. Синхронизация файлов в Рабочих Папках (Work Folders)

Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.

Рабочие папки: файлы, которые всегда с тобой

Надеюсь, информация будет полезна!
Спасибо!

Автор: m_berzin

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js