null

Настройка сервиса личных папок для пользователей.

Как было описано в предыдущей заметке, в инфраструктуре одного из заказчиков был развернут сервис личных пользовательских папок на сервере под управлением Win 2012 R2.

После проведенного тестирования настроенных прав доступа, необходимо настроить access-based enumeration для отображения только доступной пользователю папки, а также квоты на размер папок для каждого пользователя, во избежание переполнения дисков.

Также с целью обеспечения безопасности было решено запретить хранить в личных папках исполняемые и мультимедиа-файлы.

Для начала настроим ABE.

Для включения Access Based Enumeration необходима роль сервера File and Storage Services, которая уже установлена на файловом сервисе. В случае, если процесс настройки происходит с нуля, необходимо убедиться в наличии этой роли.

Переходим в раздел Shares  - Server Manager\File and Storage Services\Shares , выбираем нужную нам шару и заходим в ее свойства –

Выбираем Enable Access Based Enumeration

Настройка ABE для папки завершена. Отметим, что возможно централизованное управление ABE через Group Policies Preferences для расшаренных папок, но в данном случае оно не применялось.

Следует особо отметить, что если пользователь создает новую папку, он должен переименовать ее, иначе другой пользователь не сможет создать папку(имя New Folder уже существует, однако пользователь не видит ее из-за ABE). Поэтому немедленное переименование создаваемых папок обязательно.

После настройки Access Based Enumeration перейдем к назначению квот.

Заходим в оснастку консоли MMC в диспетчере ресурсов файлового сервера (File Server Resource Manager, FSRM), или же Control Panel\All Control Panel Items\Administrative Tools\ File Server Resource Manager.

Создаем новый шаблон квоты –

Пошагово описывать создание шаблона здесь будет излишне – достаточно следовать предлагаемым шагам, указав необходимые параметры. В нашем случае было выставлено ограничение на объем 20Gb и жесткий тип квоты(hard quota).

Переходим в раздел Quotes, и создаем новую, указав нужный путь (I:\workfiles) и  в качестве шаблона – созданный в предыдущем шаге. Также выбираем пункт «auto apply template and create quotas on existing and new subfolders», чтобы все новосозданные пользователями папки также попадали под действие квоты.

Настройка квоты завершена.

Переходим к ограничению типов файлов, доступных для сохранения – File screening manager.

Процесс по сути аналогичный, настариваем файловый экран из предложенных шаблонов или создаем свой, после чего можно поменять параметры, в случае если необходима более точная настройка.

Выбираем следующее –

После нажатия ОК и применения файлового экрана, пользователи смогут сохранять только разрешенные типы файлов.

На этом основная настойка сервиса личных папок завершена, но отметим, что описанные инструменты позволяют куда более гибкую настройку, в том числе мониторинг использования, оповещение по E-mail и т.д., что описано в соответствующих статьях Technet.

 

Использованные материалы:

https://technet.microsoft.com/ru-ru/library/cc875785(v=ws.10).aspx

https://technet.microsoft.com/en-us/library/dd772681(v=ws.10).aspx

Коротко о себе:

Работаю инженером в компании Tune IT.

Ничего не найдено. n is 0