Советы и рекомендации по работе с профилями пользователей
Для того, чтобы достичь максимального эффекта от работы перемещаемых профилей, важно ознакомиться со всей документацией и тщательно спланировать внедрение. В этой секции приведены рекомендации по работе с перемещаемыми профилями.
Предоставьте системе создание папок для каждого пользователя.
Чтобы достичь оптимальной работы перемещаемых профилей, достаточно создать лишь корневой каталог для хранения профилей на сервере, а далее предоставить возможность системе создать папки для каждого пользователя. Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы выдаете правильные разрешения. Подробнее о требуемых разрешениях Вы можете прочесть в разделе Аспекты безопасности при настройке перемещаемых профилей пользователей.
Не используйте кэширование автономных папок в общих каталогах перемещаемых профилей.
Обязательно отключите использование автономных папкок на общих ресурсах, хранящих перемещаемые профили. Если этого не сделать, могут возникнуть проблемы с синхронизацией. Как автономные папки, так и перемещаемые профили будут пытаться синхронизировать файлы в профиле пользователя.
Примечание. Это не исключает возможности использования автономных папок с перенаправленными папками, такими как «Мои документы».
Отключите оптимизацию быстрого входа в систему.
Если используется быстрый вход в систему, то при переходе пользователя с локального профиля на перемещаемый на каждом компьютере требуется дважды войти в систему для вступления изменений в силу. Это происходит потому, что вход зарегистрированных пользователей осуществляется с помощью кэшированных учетных сведений. Следовательно, системе требуется один вход, чтобы обнаружить перемещаемый статус пользователя, а при втором входе уже применяются данные настройки.
Лучше всего включить политику Всегда ожидать инициализации сети при загрузке и входе в систему (Always wait for the network at computer startup and logon), расположенную в разделе Конфигурация компьютера\Административные шаблоны\Система\Вход в систему (Computer Configuration\Administrative Templates\System\Logon) оснастки групповых политик.
Перемещение между различными версиями операционных систем.
Хотя перемещение между Windows 2000 и Windows XP должно происходить безболезненно, следует предпринять некоторые меры предосторожности, чтобы свести возможные неполадки к минимуму:
- По возможности избегайте перемещения между различными версиями операционных систем. По своей природе перемещение профилей не вызывает проблем, однако данные, размещаемые приложениями в профиле, могут непреднамеренно повлиять на работу других версий операционных систем.
- Убедитесь, что у вас установлены одинаковые версии приложений.
- Убедитесь, что пути к приложениям одинаковы.
- Убедитесь, что различные версии операционных систем установлены в одинаковые каталоги %windir% на одинаковые тома %systemdrive%.
- Если пользователи перемещаются между компьютерами под управлением Windows NT 4.0 и машинами под управлением Windows 2000 / XP, то на последних имеет смысл задать путь к профилю при установке операционной системы, задействовав файл ответов. Различия в путях к системным профилям (%windir%\Profiles и %systemdrive%\Documents and Settings соответственно) могут вызвать проблемы для пользователей, перемещающихся от клиентов Windows NT 4.0 к клиентам Windows 2000 / XP и обратно. Чтобы уменьшить вероятность возникновения проблем, убедитесь, что путь к профилям у вас везде одинаков.
Перенаправьте расположение папки «Мои документы» за пределы перемещаемого профиля пользователя.
Перенаправление папки «Мои документы» за пределы перемещаемого профиля рекомендуется для того, чтобы уменьшить время, требуемое для первого входа в систему на новом компьютере. Лучше всего это осуществить при помощи перенаправления папок. Если Вы не используете службу каталогов Active Directory, можно задействовать сценарий входа в систему или объяснить пользователям, как произвести перенаправление папки вручную.
Не используйте шифрованную файловую систему (EFS) для файлов перемещаемого профиля пользователя.
Шифрованная файловая система несовместима с файлами, находящимися в перемещаемом профиле пользователя. Если зашифровать папки или файлы профиля, его невозможно будет переместить.
Примечание. Это не влияет на шифрование файлов на удаленных общих ресурсах.
Не устанавливайте слишком низкие значения дисковых квот для пользователей с перемещаемыми профилями.
Синхронизация перемещаемых профилей пользователей может не сработать в случае, если пользователю назначены слишком низкие дисковые квоты. Убедитесь, что выделено достаточно места для создания временной точной копии профиля, которая необходима для процесса синхронизации. Поскольку эти временные файлы рассматриваются системой как пользовательские, их размер учитывается при подсчете дисковых квот.
Продуманно применяйте групповую политику «Режим обработки замыкания пользовательской групповой политики», если используете перемещаемые профили.
Политика Режим обработки замыкания пользовательской групповой политики (Group Policy loopback processing) позволяет применять другой набор пользовательских групповых политик в зависимости от того, на какой компьютер производится вход. Данную политику удобно применять в случае, когда Вам нужно применить некие пользовательские политики на определенных компьютерах. Это можно сделать двумя способами. Первый способ позволяет осуществлять не только обработку набора пользовательских политик, основывающегося на расположении объекта пользователя, но и применение политик, установленных на компьютере, на который входит пользователь. Второй метод применяет лишь политики, базирующиеся на списке объектов групповых политик компьютера.
Осторожно подходите к применению вышеупомянутой политики, особенно когда Ваши пользователи перемещаются между компьютерами под управлением Windows 2000 / XP и Windows NT 4.0. Дело в том, что приложения могут сохранять настройки политик в разделе реестра HKCU\Software\Policies вне зависимости от версии операционной системы. К тому же Windows NT 4.0 хранит некоторые параметры политик Проводника в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Policies, а Windows 2000 и Windows XP очищают эти параметры каждый раз, перед тем как заново применить текущие политики. Но поскольку Windows NT 4.0 не очищает эти параметры, они могут остаться в реестре при перемещении с машины под управлением Windows 2000 / XP.
Наверх страницы
Обзор технологии перенаправления папок
Перенаправление папок является технологией IntelliMirror, позволяющей пользователям и администраторам перенаправить путь папки в другое место. Перенаправление можно осуществить в другую папку локального компьютера или в общий каталог на сетевом ресурсе. Например, Вы можете перенаправить на сетевой ресурс папку «Мои документы», обычно располагающуюся на локальном диске. Документы папки будут доступны пользователю с любого компьютера Вашей сети. В Windows XP и Windows 2000 папка «Мои документы» расположена в профиле пользователя, а ярлык вынесен на рабочий стол.
Ранее системным администраторам приходилось использовать сценарии входа для перенаправления папок на сетевой ресурс. В Windows XP эту задачу можно решить при помощи групповых политик.
Преимущества перенаправления папок
Перенаправление папок обладает рядом преимуществ. Некоторые из перечисленных ниже особенностей относятся к любым папкам, но именно перенаправление папки «Мои документы» раскрывает все достоинства технологии.
- Даже если пользователь входит на различные компьютеры сети, его документы всегда под рукой.
- Системный администратор может применить групповые политики, устанавливая дисковые квоты и таким образом снижая количество дискового пространства, занимаемого папками пользователей.
- Параметры пользователя можно перенаправить на другой логический или физический диск локального компьютера, отделив их от файлов операционной системы. Это сохраняет пользовательские данные при переустановке операционной системы.
- Резервное копирование данных, хранящихся на сервере, становится не более чем рутинным процессом системного администрирования. Это безопаснее, и не требует никакого участия пользователя.
Вы также можете скомбинировать перенаправление папок с перемещаемыми профилями пользователей. Это уменьшит время, требуемое для входа в систему перемещаемым и мобильным пользователям. Помимо улучшенной доступности данных и преимуществ хранения их резервных копий на сервере, пользователи получают возможность быстрее работать в условиях низкоскоростной сетевой инфраструктуры и последовательных входов в систему.
Совмещение перенаправления папок с перемещаемыми профилями упрощает процесс замены компьютеров. Пользовательские данные можно легко восстановить на новом компьютере в случае неисправности или плановой замены старого. Используя перенаправление папок «Мои документы» и Application Data в сочетании с перемещаемым профилем и установкой риложений ef="/file/club.html" targe может легко перемещать ключевые параметры пользователей на сетевой ресурс. Это означает, что документы, настройки и приложения следуют за пользователем вне зависимости от того, на какой компьютер под управлением Windows XP осуществляется вход.
Можно сделать документы еще более доступными, задействовав технологию автономных файлов, тем самым обеспечивая доступ к папке даже тем пользователям, которые не подключены к сети. Это особенно удобно пользователям портативных компьютеров. Дополнительную информацию можно получить в разделе Связанные технологии ниже в этой статье.
Папки, которые можно перенаправить
Вы можете перенаправить папки «Мои документы», «Мои рисунки», Application Data, «Рабочий стол» и «Главное меню». Поскольку эти папки могут содержать важные пользовательские данные и параметры, они были определены как ключевые для перенаправления в пределах Вашей организации. Перенаправление каждой из папок дает несколько преимуществ, полезность которых зависит от нужд Вашей организации.
- Мои документы. Место в оболочке для хранения пользовательских документов и рисунков. Поскольку общие диалоговые окна Windows XP (Открыть и Сохранить как) по умолчанию ведут к папке «Мои документы», пользователи чаще хранят свои файлы именно в этой папке. Таким образом, резервное копирование пользовательских данных, хранящихся на сервере, становится не более чем рутинным процессом системного администрирования. Это безопаснее, и не требует никакого участия пользователя.
- Мои рисунки. Папка является расположением по умолчанию для пользовательских изображений и фотографий. Рекомендуется произвести настройку таким образом, чтобы папка «Мои рисунки» следовала за папкой «Мои документы».
- Application Data. Нередко приложения хранят большие объемы данных (например, вспомогательные словари) в профиле пользователя. Для этого используется папка Application Data, перемещаемая вслед за пользователем. С целью увеличения производительности она была включена в список папок, которые можно перенаправить. Иными словами, пользователи сохраняют доступ к данным в Application Data, обходясь без загрузки файлов (возможно, весьма больших) при каждом входе в систему.
- Рабочий стол. Некоторые организации предпочитают настраивать рабочий стол одинаково для всех пользователей. Перенаправив рабочий стол для группы пользователей, Вы можете обеспечить всем пользователям единый рабочий стол, с одинаковыми элементами на нем.
- Главное меню. Для совместимости с Windows NT 4.0 операционная система Windows XP позволяет перенаправить папку «Главное меню», хранящую элементы меню Пуск. К перенаправлению этой папки применяется слегка иной подход. Содержимое папки «Главное меню» не копируется в папку назначения. Предполагается, что меню Пуск заранее сконфигурировано администратором, и что у всех пользователей это меню одинаковое. Для компьютеров под управлением Windows XP лучше всего контролировать содержимое меню Пуск при помощи групповых политик, вместо перенаправления папки «Главное меню».
Усовершенствования перенаправления папок в Windows XP
В этом разделе описаны различия между Windows 2000 и Windows XP.
Перенаправленные папки по умолчанию доступны автономно.
По умолчанию в Windows XP перенаправленные папки пользовательской оболочки (например, «Мои документы», Application Data, «Рабочий стол» и «Главное меню») автоматически становятся доступны автономно. Чтобы достичь такого эффекта в Windows 2000, администраторам приходилось конфигурировать политику «Административно назначенные автономные файлы» (“Administratively assigned offline files”). Ее было неудобно использовать в случае расширенного перенаправления папок, что вызывало дополнительную головную боль у системных администраторов.
Поведение по умолчанию можно изменить, включив политику Не делать перенаправляемые папки доступными в автономном режиме автоматически (Do not automatically make redirected folders available offline), расположенную в разделе Конфигурация пользователя\Административные шаблоны\Сеть\Автономные файлы (User Configuration\Administrative Templates\Network\Offline File) оснастки групповых политик.
Перенаправление папок и переменные среды.
Перенаправление папок обрабатывает на компьютере клиента лишь две переменные: %username% and %userprofile%. Такие переменные среды, как %logonserver%, %homedrive% и %homepath% с перенаправлением папок не работают.
Изменение настроек после применения политики перенаправления папок.
Вы можете изменить настройки перенаправленных папок на вкладке Параметры (Settings) уже после того, как политика была применена. Однако измененное значение параметра Предоставить права монопольного доступа к папке (Grant the user exclusive rights to ) будет применено лишь к новым пользователям, на которых распространится действие политики. У существующих пользователей, к которым политика уже была применена ранее, останется преженее значение параметра.
Перенаправление папок и подключение сетевых дисков.
Перенаправление папок обрабатывается на ранних этапах процесса входа в систему. Как следствие, сетевые диски, подключенные при помощи сценариев входа в систему (включая домашний диск любых папок, кроме папки «Мои документы»), не могут быть использованы для перенаправления папок в расположения, указанные в сценариях. Поскольку на момент перенаправления сетевые диски еще не подключены, перенаправление папок не сработает.
Наверх страницы
Настройка перенаправления папок
Администраторы могут управлять параметрами перенаправления папок при помощи оснастки групповых политик.
Для настройки перенаправления папок:
- Чтобы запустить оснастку групповые политики из оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers), нажмите на кнопку Пуск (Start), перейдите в Программы (Programs), а затем из группы Администрирование (Administrative Tools) выберите Active Directory - пользователи и компьютеры.
- В дереве консоли щелкните правой кнопкой мыши домен или подразделение, для которых требуется задать групповую политику. Выберите Свойства (Properties) и откройте вкладку Групповая политика (Group Policy).
- Нажмите кнопку Создать (New) для создания нового объекта групповой политики, и задайте имя объекта (например, Redirect My Documents).
- Щелкните Изменить (Edit), чтобы открыть новый объект и изменить его.
- В оснастке групповых политик раскройте узлы Конфигурация пользователя (User Configuration), Конфигурация Windows (Windows Settings) и Перенаправление папки (Folder Redirection). Вы увидите значки персональных папок, доступных для перенаправления.
- Для перенаправления любой из этих папок щелкните правой кнопкой мыши на названии папки, выберите Свойства (Properties), а затем укажите одно из значений раскрывающегося списка:
- Простое - перенаправлять папки всех пользователей в одно место (Basic - Redirect everyone's folder to the same location). Все папки, на которые распространяется действие объекта групповой политики, будут храниться на одном общем сетевом ресурсе.
- Расширенное - указать различные места для разных групп пользователей (Advanced – Specify locations for various user groups). Папки перенаправляются на различные общие ресурсы в зависимости от членства в группе безопасности. Например, папки, принадлежащие к группе Бухгалтеры, могут быть перенаправлены на сервер Финансы, в то время как папки группы Продажи могут быть перенаправлены на сервер Маркетинг.
- В область Размещение конечной папки (Target folder location) введите имя общей сетевой папки или нажмите на кнопку Обзор (Browse), чтобы найти ее. Например, введите \\FolderServer\MyDocumentsFolders\%username%. В приведенном выше примере используется переменная среды %username% . Это позволяет применить единственную политику для всех пользователей и использовать перенаправление папок для создания папок каждого пользователя. При этом названиями папок будут служить имена пользователей.
- В Свойствах (Properties) папки выберите вкладку Параметры (Settings), сконфигурируйте желаемые настройки, и нажмите кнопку Применить (Finish). Вам будут доступны следующие настройки:
- Предоставить права монопольного доступа к папке «Мои документы» (Grant the user exclusive rights to My Documents). Устанавливает для папки дескриптор безопасности NTFS в Полный доступ (Full Control) только для пользователя и Local System. Это означает, что администраторы и другие пользователи не будут иметь доступа к этой папке. Эта настройка включена по умолчанию.
- Перемещение содержимого специальной папки в новое место (Move the contents of My Documents to the new location). Перемещает все документы из локальной папки «Мои документы» на общий сетевой ресурс. Эта настройка включена по умолчанию.
- При удалении политики папка останется в новом размещении (Leave the folder in the new location when policy is removed). Предписывает файлам оставаться в новом расположении, даже если объект групповой политики более не применяется. Эта настройка включена по умолчанию.
- После удаления политики перенаправить папку обратно в расположение профиля пользователя (Redirect the folder back to the local user profile location when policy is removed). Предписывает копирование файлов обратно в локальный профиль, если объект групповой политики более не применяется.
Вкладка Параметры (Settings) папки «Мои документы» позволяет сконфигурировать две дополнительные настройки для папки «Мои рисунки».
- Сделать «Мои рисунки» подпапкой папки мои «Мои документы» (Make My Pictures a subfolder of My Documents). Когда перенаправляется папка «Мои документы», папка «Мои рисунки» остается подпапкой в «Мои документы». По умолчанию папка «Мои рисунки» следует за папкой «Мои документы».
- Не указывать политику для папки «Мои рисунки» (Do not specify administrative policy for My Pictures). Если выбрана эта настройка, то расположение папки «Мои рисунки» определяется профилем пользователя, а групповая политика не контролирует ее расположение.
Важное примечание. Вам не нужно заранее создавать индивидуальные папки для пользователей. Перенаправление папок автоматически задаст корректные параметры списков управления доступом на папку. Если Вы решите создавать пользовательские папки самостоятельно, убедитесь, что Вы устанавливаете правильные разрешения (смотрите раздел Аспекты безопасности при настройке перенаправления папок ниже в этой статье).
Дополнительную информацию о работе с оснасткой групповых политик и расширением перенаправления папок Вы можете найти в файле справки Microsoft® Windows Server™ 2003 Windows 2000 Server online Help (EN), размещенном на веб-узле Microsoft, и Пошаговом руководстве по работе с пользовательскими данными и настройками Step-by-step Guide to User Data and User Settings (EN).
Устранение неполадок, связанных с перенаправлением папок
Процесс перенаправления папок происходит в пять этапов:
- При входе в систему определяется, какие папки подлежат перенаправлению в зависимости от изменения в политиках.
- Определяется конечное расположение для перенаправления и проверятся его доступность.
- Если папка не существует, она создается вместе с списками контроля доступа (ACL).
- Если папка существует, то проверяются списки контроля доступа и владелец.
- В случае необходимости содержимое перемещается.
В случае, когда перенаправление папок не срабатывает, это означает, что папки неверно сконфигурированы . Если Вы заранее создаете папки вместо того, чтобы предоставить эту работу расширению перенаправления папок, то не исключены следующие распространенные ошибки:
- Перенаправление в папку, для которой неверно настроены списки контроля доступа (ACL).
- Пользователь не является владельцем папки.
- Конечное расположение папки не существует.
Включение протоколирования
Помимо записей в журнал событий приложений, можно получить и детальный отчет, который поможет устранить неполадки в работе перенаправления папок. Чтобы создать такой журнал, откройте редактор реестра и в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics, создайте параметр REG_DWORD с именем FdeployDebugLevel и значением 0x0f. Файл с отчетом будет располагаться в %windir%\debug\usermode\fdeploy.log.
Использование сценариев входа в систему для перенаправления папок
Несмотря на то, что рекомендуется перенаправлять папки пользователей при помощи групповых политик, можно достичь схожих результатов иными методами. Вы можете задействовать сценарии входа в систему, чтобы задать в реестре параметры пользовательских папок оболочки (User Shell Folders). Идя таким путем, можно добиться базовой функциональности, схожей с перенаправлением папок при помощи одноименного расширения групповых политик.
Другой способ заключается в использовании системных политик Windows NT 4.0, задающих параметры реестра. Однако, избрав этот способ, Вы не сможете воспользоваться преимуществами групповых политик, позволяющих задать пути к папкам. Например, невозможно будет осуществить автоматическое перемещение файлов при изменении пути, так как параметры реестра будут иметь приоритет.
Наверх страницы
Аспекты безопасности при настройке перенаправления папок
Создавая общий каталог для перенаправления, выдавайте доступ только тем пользователям, которым он необходим.
Поскольку перенаправленные папки содержат документы пользователя, сертификаты EFS и другую персональную информацию, необходимо как можно надежнее защитить пользовательские данные. Ниже излагается общий подход:
- Доступ к общему ресурсу должны иметь только пользователи, которым он необходим. Создвайте группу безопасности для пользователей, чьи перенаправленные папки хранятся в определенном общем каталоге, и предоставляйте доступ к данному каталогу лишь этой группе.
- Скрывайте создаваемый общий ресурс, ставя символ $ в конце имени папки. Это скроет общий каталог от случайного просмотра, сделав его невидимым в сетевом окружении.
- Давайте возможность системе создать папки для пользователей. Предварительно создание папок имеет смысл лишь в том случае, если Вам нужно дать на них особые разрешения.
- Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 6. Разрешения NTFS для корневого каталога.
Учетная запись | Минимальные требования к разрешениям |
Создатель/Владелец | Полный доступ (только подпапки и файлы) |
Администраторы | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) |
Все | Разрешения отсутствуют |
Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 7. Разрешения на общий доступ (SMB) к корневому каталогу.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
Все | Полный доступ | Нет разрешений |
Группа безопасности пользователей, чьи данные будут храниться на сервер | Неприменимо | Полный доступ |
Таблица 8. Разрешения NTFS для каждой перенаправленной папки пользователя.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
%Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) |
Локальная система (SYSTEM) | Полный доступ | Полный доступ |
Администраторы | Разрешения отсутствуют | Разрешения отсутствуют |
Все | Разрешения отсутствуют | Разрешения отсутствуют |
Используйте Windows 2000 Server или более новые серверные операционные системы для хранения общего каталога перенаправленных папок.
Перенаправляемые папки пользователей содержат личную информацию, которая копируется с клиентского компьютера на сервер и обратно. Поэтому очень важно обеспечить защиту данных, перемещаемых по сети.
Наибольшую потенциальную угрозу для конфиденциальности и целостности данных представляют:
- перехват, осуществляемый во время передачи данных по сети,
- манипулирование данными (tampering), переправляемыми по сети,
- имитация подлинности (spoofing) сервера, хранящего пользовательские данные.
Ряд особенностей Windows 2000 Server поможет обезопасить Ваши данные:
- Kerberos. Протокол защиты данных Kerberos является стандартом во всех изданиях Windows 2000 Server и обеспечивает максимальный уровень безопасности сетевых ресурсов. Kerberos производит проверку подлинности как клиента, так и сервера, в то время как протокол NTLM ограничивается лишь проверкой клиента. При использовании NTLM клиент не может установить подлинность сервера, что является важным аспектом обмена персональными данными между клиентом и сервером, как в случае с перенаправляемыми папками. Протокол Kerberos, недоступный в Windows NT 4.0, обеспечивает более высокий уровень безопасности, чем NTLM.
- IPSec. Протокол безопасности IPSec предоставляет проверку подлинности на уровне сети, а также целостность и шифрование данных. Таким образом, перемещаемые данные:
- Защищены от изменения на пути следования.
- Защищены от перехвата, просмотра или копирования.
- Защищены от неавторизованного доступа со стороны.
- Подписывание SMB. Протокол аутентификации SMB (Server Message Block) поддерживает проверку подлинности сообщений, что предотвращает атаки сообщений, а также атаки типа «man-in-the-middle». Подписывание SMB осуществляет проверку подлинности, помещая цифровую подпись в каждый блок сообщений SMB. Затем цифровая подпись проверяется как клиентом, так и сервером. Чтобы приступить к использованию подписывания SMB, Вам нужно включить или затребовать его на SMB-клиенте и SMB-сервере. Примечание. За преимущества подписывания SMB приходится расплачиваться быстродействием. Несмотря на то, что работа протокола не требует затрат сетевого трафика, процессорам сервера и клиента требуются дополнительные циклы для подписывания SMB.
Всегда используйте файловую систему NTFS на томах, хранящих пользовательские данные.
Для обеспечения максимальной безопасности используйте файловую систему NTFS на серверах, задействованных для хранения перенаправленных папок. В отличие от FAT, в NTFS можно использовать избирательные списки управления доступом (DACL) и системные списки управления доступом (SACL). При помощи этих списков можно контролировать, кому позволена работа с файлами и какие события вызывают протоколирование действий, произведенных с файлами.
Не рассчитывайте на EFS для шифрования пользовательских файлов во время их перемещения по сети.
Шифрование файлов на удаленном сервере при помощи шифрованной файловой системы (EFS) распространяется только на файлы, хранящиеся на диске. На данные, передаваемые по сети, шифрование EFS не распространяется.
Исключением являются случаи, когда Ваша система использует протокол безопасности IPSec или протокол WebDAV (Web Distributed Authoring and Versioning). Например, IPSec шифрует данные, переправляемые по протоколу TCP/IP. В случае с WebDAV, если файл зашифрован до копирования или перемещения в папку или на сервер WebDAV, он остается зашифрованным во время перемещения и хранения на сервере.
Зашифруйте кэш автономных файлов.
Несмотря на то, что автономные файлы по умолчанию защищены на NTFS томах при помощи списков управления доступом, шифрование файлов увеличивает уровень безопасности на локальном компьютере. По умолчанию кэшированные файлы локального компьютера не зашифрованы. Как следствие, любые шифрованные файлы, полученные из кэша сервера, окажутся незашифрованными на локальной машине. В некоторых случаях это может представлять угрозу безопасности.
Если шифрование включено, то весь кэш автономных файлов автоматически шифруется. Это распространяется как на существующие файлы, так и на файлы, добавленные впоследствии. Включая шифрование кэшированных файлов, Вы шифруете файлы локального компьютера, а не соответствующую им серверную копию.
Зашифровать кэш можно одним из двух способов:
- При помощи групповых политик, включив политику Шифровать кэш автономных файлов (Encrypt the Offline Files Cache) в разделе Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы (Computer Configuration\Administrative Templates\Network\Offline Files) редактора групповых политик.
- Вручную, выбрав в Проводнике из меню Сервис (Tools) пункт Свойства папки (Folder options), где перейти на вкладку Автономные файлы (Offline files) и установить флажок Шифровать автономные файлы для защиты данных (Encrypt offline files to secure data).
Примечание. Шифрование автономных файлов доступно лишь в Windows XP и более поздних операционных системах. На компьютере под управлением Windows 2000 зашифровать кэш невозможно.
Дополнительную информацию о шифровании автономных файлов можно найти в статье Как зашифровать автономные файлы How to Encrypt Offline Files (EN).
Предоставьте системе создание папок для каждого пользователя.
Чтобы достичь оптимальной работы перенаправления папок, достаточно создать лишь корневой каталог для хранения профилей на сервере, а далее дать возможность системе создать папки для каждого пользователя. Перенаправление папок автоматически создаст пользователям папки и обеспечит необходимый уровень безопасности.
Если Вам совершенно необходимо создавать пользовательские папки самостоятельно, убедитесь, что Вы даете правильные разрешения. Также обратите внимание, что при создании папок Вам нужно снять флажок Предоставить права монопольного доступа к папке (Grant the user exclusive rights to My Documents) на вкладке Параметры (Settings) диалогового окна свойств папки. Если Вы не снимите флажок, перенаправление папок сначала проверит заранее созданную папку, чтобы убедиться, что пользователь является ее владельцем. Если папка была создана администратором, то она не пройдет эту проверку, и перенаправление будет прервано. В таком случае в журнал событий приложений будет внесена следующая запись:
Тип: Ошибка
Источник: Folder Redirection
Категория: Отсутствует
Код (ID): 101
Дата: Дата
Время: Время
Пользователь: имя_домена\имя_пользователя.
Компьютер: имя_компьютера
Описание: Не удалось выполнить перенаправление папки . Не удалось создать новые каталоги для перенаправленной папки. Эта папка была настроена на перенаправление в \\имя_компьютера\общая_папка_для_перенаправления, конечный развернутый путь \\имя_компьютера\общая_папка_для_перенаправления. Произошла следующая ошибка: Этот код защиты не может соответствовать владельцу объекта.
Настоятельно рекомендуется не создавать папки для пользователей заранее, а предоставить эту работу технологии перенаправления папок.
Осуществляя перенаправление в домашнюю папку пользователя, убедитесь, что для нее установлены правильные разрешения.
Операционная система Windows XP позволяет Вам произвести перенаправление папки «Мои документы» в домашнюю папку пользователя. При перенаправлении в домашнюю папку стандартная проверка безопасности не производится. Иными словами, не проверяются существующие разрешения для папки, и то, является ли пользователь ее владельцем. Поскольку это домашняя папка пользователя, предполагается, что разрешения на нее уже заданы правильно.
Производя перенаправление в домашнюю папку, убедитесь, что для нее заданы правильные разрешения.
Наверх страницы