Совместно используйте частную папку на сервере для каждого пользователя Active Directory и автоматического монтирования при входе в систему
Я в значительной степени плохо знаком с серверами Windows.
Чего я хочу достигнуть:
- Позвольте пользователям входить в использующие центральные учетные данные от любого на Клиенте ПК в LAN/WLAN.
- Они не получают доступ к рабочему столу сервера даже с их допустимыми учетными данными. Это должно быть только для аутентификации в клиенте ПК.
- Им нужно определить местоположение частной папки на сервере, к которому они могут сохранить свои персональные файлы.
- Эта частная папка должна быть автосмонтирована (с буквой диска) на ПК, где они входят в систему.
Я читал об Общей домашней папке, но я предпочитаю другую папку без важности в масштабе всей системы, такой как пользовательский корневой каталог. - (Дополнительно) должна быть опция сохранить их файлы в локальной системе вместо доли сервера (#2, № 3 выше), если они хотят.
Читая вокруг techNet руководств и различный ТАК ответы, я получил подсказку, что Active Directory может быть полезным для моей цели. Но я не уверен, о которой Серверной версии я должен использовать, и как я установил бы всю систему. Сделайте мне нужны любые дополнительные инструменты для установки этого.
Это все возможно достигнуть их, не устанавливая специальной настройки на клиенте ПК? Я имею в виду только путем установки сервера некоторым конкретным способом!
Это (Как "обработать в пакетном режиме", создают папки для сетевого диска Пользователей Active Directory?) появляется как ближе к моим потребностям, но я не могу полностью понять это.
По-видимому, этому нужен сценарий монтирования, который будет выполнен на клиенте ПК при входе в систему, который я меньше предпочитаю.
Любопытно, я хотел бы знать, возможна ли эта установка, не используя Сервер ОС вообще. Например, версия Windows 8.1 Desktop с немногими дополнительными установленными инструментами Windows.
Сколько пользователей? Я спрашиваю из-за личных папок, и это в основном потому, что их настройка может быть утомительной, если у вас много пользователей (хотя вы могли бы написать это скриптом.)
- Настройте Active Directory на Server версии Windows (выделено из-за вашего вопроса о запуске всего этого на операционных системах рабочих станций). По умолчанию рабочие станции (как операционная система рабочих станций), добавленные в домен, имеют «пользователей домена» в качестве разрешенных пользователей для входа в систему и «администраторов домена» в качестве администраторов.
- По умолчанию серверы (например, серверная операционная система), добавленные в домен, имеют администраторов домена в группе администраторов и не разрешают вход на рабочий стол кому-либо, кроме администраторов или пользователей удаленного рабочего стола.
- Похоже, вы просто нужны общие ресурсы, а не перемещаемые профили . Обычно не рекомендуется размещать общие ресурсы на контроллерах домена, если можно избежать этого, но такие продукты, как Small Business Server, делают это , а это случается . Если вам просто нужны общие ресурсы, создайте папку с именем, например, с именем пользователя, с вложенными папками, названными в честь каждого пользователя, а затем поделитесь каждой папкой с пользователем и только с пользователем и назовите общий ресурс после имени пользователя. (Например:
d: \ usershares \ usernameдля имени пользователяusername, совместно используемого как\\ yourserver \ username.) - Назначьте сценарий входа в систему для пользователей с чем-то вроде
net use S: \\ yourserver \% username%или эквивалентом PowerShell. - Здесь звучит так, будто вы говорите, что вы не хотят перемещаемые профили.
(Что касается «Почему бы и нет?» - это не рекомендуется, потому что предпочтительно, чтобы вы не добавляли какую-либо «поверхность атаки» к вашему контроллеру домена, а любая добавленная служба является поверхностью атаки.)
Я, вероятно, также должен добавить, что лучше всего иметь два контроллера домена на случай отказа одного из них. (Виртуализация по-прежнему будет помещать оба яйца в одну корзину, поэтому я бы не рекомендовал этого. Это потребует больше администрирования без снижения риска.)
- В Widnows лучшим вариантом будет Active Directory. Компьютеры должны быть членами домена в Active Directory.
- По умолчанию на рядовом сервере AD (Active Directory) вход на удаленный рабочий стол разрешен только для группы администраторов домена.
- Я использую распределенную файловую систему (DFS), настроенное пространство имен для "Домашний" корневой каталог (\\ domain.local \ home) и установите для него квоту.
- Это можно сделать с помощью групповой политики. Вкладка «Профиль» на свойствах пользовательских объектов AD - вам нужно «скопировать пользователя» при создании нового или создать скрипт, если вы не хотите редактировать его вручную. Последним является
NET USEв качестве сценария входа.
Но я не уверен, какую версию сервера мне следует использовать и как мне настроить всю систему.
Windows Server 2012 R2 Standard. Один для контроллера домена, один для сервера хранения с домашними каталогами. Оба на отдельных физических машинах.
Более того, вам нужны лицензии CAL для каждого пользователя ИЛИ устройства, подключающегося к Active Directory. CAL на пользователя / CAL на устройство.
Все ли это возможно для достижения этих целей без каких-либо специальных настроек на клиентских ПК?
На ПК должна быть установлена как минимум версия Windows Professional (XP, 7, Vista, 8,8.1, 10). Вам нужно только добавить компьютер в Active Directory.
Вы можете использовать «Рабочие папки» в Windows Server 2012 R2. Это позволяет любым машинам с Windows 7 и выше (не присоединенным к домену) монтировать личную папку на сервере. Вам нужно только создать учетные записи в AD, а затем сгенерировать сертификат SSL. Затем клиентский ПК может получить доступ к общему ресурсу, используя учетную запись, созданную в AD.
Однако он может не соответствовать вашему Требованию 4, поскольку не отображается с использованием буквы диска.
Источник: https: // technet.microsoft.com/en-us/library/dn265974.aspx?f=255&MSPPError=-2147217396