Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Wdrażanie folderów roboczych

Jason Gerend|Ostatnia aktualizacja: 14.04.2017
|
1 Współautor

Dotyczy: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1, Windows 7

W tym temacie omówiono kroki wymagane w celu wdrożenia folderów roboczych. Jego treść opracowano przy założeniu, że temat Planowanie wdrożeń folderów roboczych został już przeczytany.

Aby wdrożyć foldery robocze, który to proces może obejmować wiele serwerów i technologii, wykonaj niżej opisane kroki.

Porada

Najprostsze wdrożenie folderów roboczych to pojedynczy serwer plików (często nazywany serwerem synchronizacji) bez obsługi synchronizowania za pośrednictwem Internetu, co może być przydatne w przypadku laboratoriów testowych lub rozwiązań synchronizacji dla komputerów klienckich przyłączonych do domeny. Poniżej przedstawiono podstawowe kroki, które należy wykonać, aby zrealizować proste wdrożenie:

  • Krok 1: Uzyskiwanie certyfikatów protokołu SSL
  • Krok 2: Tworzenie rekordów DNS
  • Krok 3: Instalowanie folderów roboczych na serwerach plików
  • Krok 4: Określanie powiązań certyfikatu protokołu SSL na serwerach synchronizacji
  • Krok 5: Tworzenie grup zabezpieczeń dla folderów roboczych
  • Krok 7: Tworzenie udziałów synchronizacji na potrzeby danych użytkowników

Krok 1: Uzyskiwanie certyfikatów protokołu SSL

Aby zezwolić użytkownikom na synchronizacje przez Internet, należy chronić adres URL opublikowany przez foldery robocze za pomocą certyfikatu protokołu SSL. Wymagania dotyczące certyfikatów protokołu SSL używanych przez foldery robocze są następujące:

  • Certyfikat musi być wystawiony przez zaufany urząd certyfikacji. W przypadku większości wdrożeń folderów roboczych zaleca się skorzystanie z urzędu certyfikacji powszechnie uznawanego za zaufany, ponieważ certyfikaty będą używane przez urządzenia internetowe nieprzyłączone do domeny.

  • Certyfikat musi być ważny.

  • Musi być dostępna możliwość eksportu klucza prywatnego certyfikatu (ponieważ konieczna jest instalacja certyfikatu na wielu serwerach).

  • Nazwa podmiotu certyfikatu musi zawierać publiczny adres URL folderów roboczych używany do odnajdowania usługi folderów roboczych przez Internet — musi on mieć format workfolders..

  • Certyfikat musi zawierać alternatywne nazwy podmiotów (SAN) obejmujące nazwy wszelkich używanych serwerów synchronizacji.

    Zarządzanie certyfikatami folderów roboczych blog oferuje dodatkowe informacje na temat używania certyfikatów z folderów roboczych.

Krok 2: Tworzenie rekordów DNS

Aby zezwolić użytkownikom na synchronizacje przez Internet, należy utworzyć rekord hosta (A) w publicznym systemie DNS, dzięki czemu klienci internetowi będą mogli rozpoznawać adres URL folderów roboczych. Ten rekord DNS powinien prowadzić do zewnętrznego interfejsu zwrotnego serwera proxy.

W sieci wewnętrznej należy utworzyć rekord CNAME w systemie DNS o nazwie workfolders, który jest rozpoznawany jako FDQN serwera folderów roboczych. Gdy klient folderów roboczych używa autowykrywania, adres URL używany do odnajdowania serwera folderów roboczych to https://workfolders.domain.com. Jeśli planujesz użyć autowykrywania, rekord folderów roboczych CNAME musi istnieć w systemie DNS.

Krok 3: Instalowanie folderów roboczych na serwerach plików

Foldery robocze można zainstalować na serwerze przyłączonym do domeny, korzystając z Menedżera serwera lub środowiska Windows PowerShell — lokalnie lub zdalnie przez sieć. Funkcja ta jest przydatna w przypadku konfigurowania wielu serwerów synchronizacji w sieci.

Aby wdrożyć rolę w Menedżerze serwera, zrób tak:

  1. Uruchom Kreatorw dodawania ról i funkcji.

  2. Na stronie Wybieranie typu instalacji wybierz opcję Wdrożenie oparte na rolach lub oparte na funkcjach.

  3. Na stronie Wybieranie serwera docelowego wybierz serwer, na którym chcesz zainstalować foldery robocze.

  4. Na stronie Wybieranie ról serwera rozwiń opcję Usługi plików i magazynowania, rozwiń węzeł Usługi plików i iSCSI, a następnie wybierz opcję Foldery robocze.

  5. Po wyświetleniu monitu o instalację składnika Zasoby sieci Web mogące pełnić rolę hosta usług IIS kliknij przycisk OK, aby zainstalować minimalną wersję usług Internet Information Services (IIS) wymaganą przez foldery robocze.

  6. Klikaj przycisk Dalej, aż zakończysz pracę z kreatorem.

    Aby wdrożyć rolę za pomocą środowiska Windows PowerShell, użyj następującego polecenia cmdlet:

Add-WindowsFeature FS-SyncShareService  

Krok 4: Określanie powiązań certyfikatu protokołu SSL na serwerach synchronizacji

Foldery robocze instalują Zasoby sieci Web mogące pełnić rolę hosta usług IIS, czyli składnik usług IIS umożliwiający korzystanie z usług sieci Web bez pełnej instalacji usług IIS. Po zainstalowaniu składnika Zasoby sieci Web mogące pełnić rolę hosta usług IIS należy powiązać certyfikat protokołu SSL serwera z domyślną witryną sieci Web na serwerze plików. Jednak składnik Zasoby sieci Web mogące pełnić rolę hosta usług IIS nie instaluje konsoli zarządzania usług IIS.

Dostępne są dwie opcje wiązania certyfikatu z domyślnym interfejsem sieci Web. Każda z tych opcji wymaga instalacji klucza prywatnego dla certyfikatu w magazynie osobistym komputera.

  • Skorzystaj z konsoli zarządzania usługami IIS na serwerze, na którym została ona zainstalowana. Z poziomu konsoli połącz się z serwerem plików, którym chcesz zarządzać, a następnie wybierz domyślną witrynę sieci Web dla tego serwera. Opcja Domyślna witryna sieci Web będzie wyświetlana jako wyłączona, ale mimo to można edytować powiązania witryny i wybrać certyfikat, aby powiązać go z tą witryną sieci Web.

  • Użyj polecenia netsh, aby powiązać certyfikat z interfejsem https domyślnej witryny sieci Web. Polecenie to wygląda następująco:

    netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY  
    

Krok 5: Tworzenie grup zabezpieczeń dla folderów roboczych

Przed utworzeniem udziałów synchronizacji członek grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa musi utworzyć kilka grup zabezpieczeń w usługach Active Directory Domain Services (AD DS) dla folderów roboczych (może również zdecydować się na oddelegowanie części kontroli zgodnie z opisem przedstawionym w kroku 6). Oto potrzebne grupy:

  • Jedna grupa na udział synchronizacji, umożliwiająca określenie użytkowników, którzy mogą przeprowadzać synchronizacje z danym udziałem synchronizacji

  • Jedna grupa dla wszystkich administratorów folderów roboczych, co umożliwia edycję atrybutu dla poszczególnych obiektów użytkownika, który łączy użytkownika z właściwym serwerem synchronizacji (jw przypadku korzystania z wielu serwerów synchronizacji)

    Należy przestrzegać standardowej konwencji nazewnictwa grup i używać grup tylko w ramach folderów roboczych, aby uniknąć potencjalnych konfliktów z innymi wymaganiami zabezpieczeń.

    W celu utworzenia odpowiednich grup zabezpieczeń posłuż się poniższą procedurą — jeden raz na każdy udział synchronizacji i jeden raz, by opcjonalnie utworzyć grupę dla administratorów serwera plików.

Aby utworzyć grupy zabezpieczeń dla folderów roboczych

  1. Uruchom Menedżera serwera na komputerze z systemem Windows Server 2012 R2 or Windows Server 2016 z zainstalowanym Centrum administracyjnym usługi Active Directory.

  2. W menu Narzędzia kliknij pozycję Centrum administracyjne usługi Active Directory. Pojawi się Centrum administracyjne usługi Active Directory.

  3. Kliknij prawym przyciskiem myszy kontener, w którym chcesz utworzyć nową grupę (na przykład kontener użytkowników odpowiedniej domeny lub jednostki organizacyjnej), kliknij przycisk Nowy, a następnie kliknij przycisk Grupa.

  4. W oknie Tworzenie grupy, w sekcji Grupa określ następujące ustawienia:

    • W sekcji Nazwa grupy wpisz nazwę grupy zabezpieczeń, na przykład: Użytkownicy udziału synchronizacji HR lub Administratorzy folderów roboczych.

    • W sekcji Zakres grupy kliknij pozycję Zabezpieczenia, a następnie pozycję Globalne.

  5. W sekcji Członkowie kliknij przycisk Dodaj. Pojawi się okno dialogowe Wybieranie użytkowników, kontaktów, komputerów, kont usług lub grup.

  6. Wpisz nazwy użytkowników lub grup, którym udzielasz dostępu do określonego udziału synchronizacji (w przypadku tworzenia grup na potrzeby kontroli dostępu do udziału synchronizacji) lub wpisz nazwy administratorów folderów roboczych (jeśli zamierzasz skonfigurować konta użytkowników do automatycznego odnajdowania odpowiedniego serwera synchronizacji), kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.

    Aby utworzyć grupę zabezpieczeń przy użyciu środowiska Windows PowerShell, użyj następujących poleceń cmdlet:

$GroupName = "Work Folders Administrators"  
$DC = "DC1.contoso.com"  
$ADGroupPath = "CN=Users,DC=contoso,DC=com"  
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"  

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC  
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC  

Krok 6: Opcjonalne delegowanie kontroli atrybutów użytkowników do administratorów folderów roboczych

Jeśli wdrażasz wiele serwerów synchronizacji i chcesz, aby użytkownicy byli automatycznie kierowani do właściwego serwera synchronizacji, musisz uaktualnić atrybut na każdym koncie użytkownika w usługach AD DS. Zwykle jednak wymaga to aktualizacji atrybutów przez członka grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa, co może szybko stać się dokuczliwe, jeśli użytkownicy są często dodawani lub przenoszeni między serwerami synchronizacji.

Dlatego członek grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa może chcieć oddelegować uprawnienia do modyfikowania właściwości msDS-SyncServerURL obiektów USER do grupy Administratorzy folderów roboczych utworzonej w kroku 5, zgodnie z opisem podanym w poniższej procedurze.

Delegowanie możliwości edycji właściwości msDS-SyncServerURL obiektów USER w usługach AD DS

  1. Uruchom Menedżera serwera na komputerze z systemem Windows Server 2012 R2 lub Windows Server 2016 i zainstalowaną przystawką Użytkownicy i komputery usługi Active Directory.

  2. W menu Narzędzia kliknij pozycję Użytkownicy i komputery usługi Active Directory. Pojawi się przystawka Użytkownicy i komputery usługi Active Directory.

  3. Kliknij prawym przyciskiem myszy jednostkę organizacyjną, do której należą wszystkie obiekty użytkowników folderów roboczych (jeśli użytkownicy są przechowywani w wielu jednostkach organizacyjnych lub domenach, kliknij prawym przyciskiem myszy kontener wspólny dla wszystkich użytkowników), a następnie kliknij pozycję Deleguj kontrolę. Pojawi się Kreator delegowania kontroli.

  4. Na stronie Użytkownicy lub grupy kliknij przycisk Dodaj…. , a następnie określ grupę utworzoną dla administratorów folderów roboczych (na przykład Administratorzy folderów roboczych).

  5. Na stronie Zadania do oddelegowania kliknij pozycję Utwórz zadanie niestandardowe do delegowania.

  6. Na stronie Typ obiektu usługi Active Directory kliknij pozycję Tylko następujące obiekty w tym folderze, a następnie zaznacz pole wyboru Obiekty USER.

  7. Na stronie Uprawnienia wyczyść pole wyboru Ogólne, zaznacz pole wyboru Zależnie od właściwości, a następnie zaznacz pola wyboru Odczyt właściwości msDS-SyncServerUrl i Zapis właściwości msDS-SyncServerUrl.

    Aby oddelegować uprawnienia do edycji właściwości msDS-SyncServerURL w obiektach USER przy użyciu środowiska Windows PowerShell, użyj następującego skryptu przykładowego, który wykorzystano polecenie DsAcls.

$GroupName = "Contoso\Work Folders Administrators"  
$ADGroupPath = "CN=Users,dc=contoso,dc=com"  

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"  
Uwaga

W przypadku domen z dużą liczbą użytkowników wykonanie operacji delegowania uprawnień może potrwać dłuższy czas.

Krok 7: Tworzenie udziałów synchronizacji na potrzeby danych użytkowników

Teraz możesz wyznaczyć folder na serwerze synchronizacji, w którym mają być przechowywane pliki użytkownika. Folder ten nosi nazwę udziału synchronizacji. Aby go utworzyć, możesz skorzystać z następującej procedury.

  1. Jeśli jeszcze nie masz woluminem NTFS z wystarczającą ilością wolnego miejsca na udział synchronizacji i pliki użytkownika, które ma on zawierać, utwórz nowy wolumin i sformatuj go przy użyciu systemu plików NTFS.

  2. W Menedżerze serwera kliknij pozycję Usługi plików i magazynowania, a następnie kliknij pozycję Foldery robocze.

  3. W górnej części okienka szczegółów będzie widoczna lista wszystkich istniejących udziałów synchronizacji. Aby utworzyć nowy udział synchronizacji, w menu Zadania wybierz pozycję Nowy udział synchronizacji. Pojawi się Kreator nowego udziału synchronizacji.

  4. Na stronie Wybieranie serwera i ścieżki określ miejsce przechowywania udziału synchronizacji. Jeśli masz już udział plików utworzony dla tych danych użytkownika, możesz wybrać ten udział. Możesz też utworzyć nowy folder.

    Uwaga

    Domyślnie udziały synchronizacji nie są dostępne za pośrednictwem udziału plików (chyba że wybrano istniejący już udział plików). Jeśli udział synchronizacji ma być dostępny za pośrednictwem udziału plików, użyj kafelka Udziały w Menedżerze serwera lub polecenia cmdlet New-SmbShare, aby utworzyć udział plików, najlepiej z włączonym wyliczaniem opartym na dostępie.

  5. Na stronie Określanie struktury folderów użytkownika wybierz konwencję nazewnictwa folderów użytkowników w obrębie udziału synchronizacji. Dostępne są dwie opcje:

    • Opcja Alias użytkownika powoduje tworzenie folderów użytkownika niezawierających nazwy domeny. W przypadku korzystania z udziału plików, który jest już używany z funkcją Przekierowanie folderu lub innym rozwiązaniem danych użytkownika, wybierz tę konwencję nazewnictwa. Opcjonalnie możesz zaznaczyć pole wyboru Synchronizuj tylko następujący podfolder, aby zsynchronizować tylko określony podfolder, np. folder Dokumenty.

    • Opcja Alias_użytkownika@domena powoduje tworzenie folderów użytkownika, które zawierają nazwę domeny. Jeśli nie używasz udziału plików używanego już przez usługę Przekierowanie folderu lub innego rozwiązania danych użytkownika, zaznacz tę konwencję nazewnictwa w celu wyeliminowania konfliktów nazw folderów, gdy wielu użytkowników udziału ma identyczne aliasy (co może się zdarzyć, jeśli użytkownicy należą do różnych domen).

  6. Na stronie Wprowadzanie nazwy udziału synchronizacji określ nazwę i opis udziału synchronizacji. Nie jest on anonsowany w sieci, ale jest widoczny w Menedżerze serwera i programie Windows Powershell, co ułatwia odróżnienie udziałów synchronizacji od siebie.

  7. Na stronie Udzielanie grupom dostępu do synchronizacji określ utworzoną grupę z listą użytkowników, którzy mogą używać tego udziału synchronizacji.

    Ważne

    W celu poprawy wydajności i bezpieczeństwa udzielaj dostępu grupom (nie poszczególnym użytkownikom), maksymalnie je precyzując, tj. unikając stosowania grup ogólnych, takich jak Użytkownicy uwierzytelnieni czy Użytkownicy domeny. Udzielanie dostępu grupom liczącym wielu użytkowników wydłuża czas potrzebny na przesyłanie zapytań przez foldery robocze do usług AD DS. Jeśli masz dużą liczbę użytkowników, utwórz wiele udziałów synchronizacji, aby poprawić rozłożenie obciążenia.

  8. Na stronie Określ zasady urządzeń określ, czy mają być żądane jakiekolwiek ograniczenia zabezpieczeń na komputerach i urządzeniach klienckich. Dostępne są dwie zasady urządzeń, które można z osobna wybierać:

    • Szyfruj foldery robocze Wysyła żądanie szyfrowania folderów roboczych na komputerach i urządzeniach klienckich

    • Automatycznie blokuj ekran i wymagaj hasła Wysyła żądanie automatycznego blokowania ekranów komputerów i urządzeń klienckich po 15 minutach, wymaga hasła o długości co najmniej 6 znaków w celu odblokowania ekranu oraz aktywuje tryb blokady urządzenia po 10 nieudanych próbach

      Ważne

      Aby wymusić zasady haseł na komputerach z systemem Windows 7 oraz w przypadku użytkowników innych niż administratorzy na komputerach przyłączonych do domeny, użyj zasad hasła zasad grupy w odniesieniu do domen komputerów i wyklucz te domeny z zasad haseł folderów roboczych. Domeny można wykluczyć przy użyciu polecenia cmdlet Set-Syncshare - PasswordAutoExcludeDomain po utworzeniu udziału synchronizacji. Aby uzyskać informacje na temat określania zasad haseł zasad grupy, zobacz Zasady haseł.

  9. Przejrzyj wybrane opcje i zakończ pracę kreatora, aby utworzyć udział synchronizacji.

    Udziały synchronizacji można tworzyć przy użyciu środowiska Windows PowerShell i polecenia cmdlet New-SyncShare. Poniżej przedstawiono przykład tej metody:

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"  

W powyższym przykładzie jest tworzony nowy udział synchronizacji o nazwie Udzial-1 i ścieżce K:\Udział-1 i dostępie przydzielonym grupie o nazwie Użytkownicy udziału synchronizacji HR

Porada

Po utworzeniu udziałów synchronizacji zarządzać danymi w tych udziałach za pomocą funkcji Menedżera zasobów serwera plików. Można na przykład użyć kafelka Limit przydziału na stronie Foldery robocze w Menedżerze serwera, aby określić limity przydziału dla folderów użytkowników. Można też użyć funkcji Zarządzanie osłonami plików do kontroli typów plików synchronizowanych przez foldery robocze lub skorzystać ze scenariuszy opisanych w temacie Dynamiczna kontrola dostępu — omówienie scenariusza w przypadku bardziej złożonych zadań klasyfikacji plików.

Krok 8: Opcjonalne określenie adresu e-mail pomocy technicznej oraz uwierzytelnianie usług federacyjnych Active Directory

Po zainstalowaniu folderów roboczych na serwerze plików można określić adres e-mail kontaktu administracyjnego serwera, a następnie włączyć uwierzytelnianie usług federacyjnych Active Directory (Active Directory Federation Services, AD FS). W celu wykonania dowolnego z tych zadań należy zastosować następującą procedurę:

Określanie adresu e-mail kontaktu administracyjnego oraz uwierzytelnianie usług AD FS

  1. W Menedżerze serwera kliknij pozycję Usługi plików i magazynowania, a następnie kliknij pozycję Serwery.

  2. Kliknij prawym przyciskiem myszy serwer synchronizacji, a następnie kliknij pozycję Ustawienia folderów roboczych. Pojawi się okno Ustawienia folderów roboczych.

  3. Na stronie Uwierzytelnianie wybierz opcjonalnie pozycję Usługi federacyjne Active Directory i określ adres URL usług federacyjnych. Aby uzyskać więcej informacji na temat usług AD FS, zobacz Usługi Active Directory Federation Services i Wdrażanie folderów roboczych przy użyciu usług AD FS i serwera proxy aplikacji sieci Web (WAP).

    Uwaga

    Jeśli serwer synchronizacji nie znajduje się w tej samej lokacji usługi Active Directory co serwer usług AD FS, a ruch sieciowy musi przechodzić przez serwer proxy, należy skonfigurować serwer synchronizacji do korzystania z właściwej konfiguracji serwera proxy. Aby uzyskać więcej informacji, zobacz następujący temat: Jak skonfigurować serwer proxy dla usługi folderów roboczych.

  4. W okienku nawigacji kliknij pozycję Adres e-mail pomocy technicznej i wpisz adresy e-mail, na które użytkownicy powinni wysyłać wiadomości e-mail w celu uzyskania pomocy dotyczącej folderów roboczych. Po zakończeniu kliknij przycisk OK.

    Użytkownicy folderów roboczych mogą kliknąć link w elemencie Foldery robocze w Panelu sterowania, co spowoduje wysłanie wiadomości e-mail zawierającej informacje diagnostyczne o komputerze klienckim na adresy określone w tym miejscu.

Krok 9: Opcjonalne konfigurowanie automatycznego odnajdowania serwerów

W przypadku hostowania wielu serwerów synchronizacji w swoim środowisku możesz skonfigurować automatyczne odnajdowanie serwerów, definiując właściwość msDS-SyncServerURL na kontach użytkowników w usługach AD DS.

W tym celu musisz zainstalować kontroler domeny systemu Windows Server 2012 R2 lub uaktualnić schematy lasu i domeny przy użyciu poleceń Adprep /forestprep i Adprep /domainprep. Aby uzyskać informacje na temat bezpiecznego uruchamiania tych poleceń, zobacz Uruchamianie narzędzia Adprep.exe.

Przydatne może być też utworzenie grupy zabezpieczeń dla administratorów serwerów plików i nadanie im oddelegowanych uprawnień do modyfikowania tego określonego atrybutu użytkownika zgodnie z opisem podanym w kroku 5 i 6. Bez tych kroków trzeba by poprosić członka grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa o konfigurowanie automatycznego odnajdowania dla poszczególnych użytkowników.

Aby określić serwer synchronizacji dla użytkowników

  1. Otwórz Menedżera serwera na komputerze z zainstalowanymi narzędziami administracyjnymi usługi Active Directory.

  2. W menu Narzędzia kliknij pozycję Centrum administracyjne usługi Active Directory. Pojawi się Centrum administracyjne usługi Active Directory.

  3. Przejdź do kontenera Użytkownicy w odpowiedniej domenie, kliknij prawym przyciskiem myszy użytkownika, którego chcesz przypisać do udziału synchronizacji, a następnie kliknij pozycję Właściwości.

  4. W okienku nawigacji kliknij pozycję Rozszerzenia.

  5. Kliknij kartę Edytor atrybutów, zaznacz opcję msDS-SyncServerUrl, a następnie kliknij pozycję Edytuj. Pojawi się okno dialogowe Edytor ciągów z wieloma wartościami.

  6. W polu Wartość do dodania wpisz adres URL serwera synchronizacji, z którym powinna być przeprowadzana synchronizacja w przypadku tego użytkownika, kliknij przycisk Dodaj, kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.

    Uwaga

    Adres URL serwera synchronizacji to po prostu prefiks https:// lub http:// (w zależności od tego, czy jest wymagane bezpieczne połączenie), po którym następuje w pełni kwalifikowana nazwa domeny serwera synchronizacji. Na przykład https://sync1.contoso.com.

    W celu wypełnienia atrybutu dla wielu użytkowników należy użyć środowiska PowerShell usługi Active Directory Poniżej zamieszczono przykład, w którym atrybut jest wypełniany dla wszystkich członków grupy Użytkownicy udziału synchronizacji HR omówionej w kroku 5.

$SyncServerURL = "https://sync1.contoso.com"  
$GroupName = "HR Sync Share Users"  

Get-ADGroupMember -Identity $GroupName |  
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}  

Krok 10: Konfigurowanie serwera proxy aplikacji sieci Web lub innego zwrotnego serwera proxy

Aby umożliwić użytkownikom synchronizację swoich folderów roboczych przez Internet, trzeba opublikować foldery robocze przez zwrotny serwer proxy, udostępniając foldery robocze na zewnątrz w Internecie. Do opublikowania folderów roboczych w Internecie można użyć serwera proxy aplikacji sieci Web dołączonego do usług federacyjnych Active Directory (AD FS). Można też użyć innego rozwiązania zwrotnego serwera proxy.

Aby zapoznać się z przewodnikiem konfigurowania folderów roboczych przy użyciu usług AD FS i serwera proxy aplikacji sieci Web, zobacz Wdrażanie folderów roboczych przy użyciu usług AD FS i serwera proxy aplikacji sieci Web (WAP). Aby uzyskać informacje ogólne dotyczące serwera proxy aplikacji sieci Web, zobacz Serwer proxy aplikacji sieci Web w systemie Windows Server 2016. Aby uzyskać szczegółowe informacje na temat publikowania aplikacji takich jak Foldery robocze w Internecie za pośrednictwem serwera proxy aplikacji sieci Web, zobacz Publikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS.

Krok 11: Opcjonalne wykorzystanie zasad grupy do skonfigurowania komputerów przyłączonych do domeny

W przypadku występowania wielu komputerów przyłączonych do domeny, na których chcesz wdrożyć foldery robocze, możesz użyć zasad grupy w celu wykonania następujących zadań konfiguracji komputera klienckiego:

  • Określenie serwera synchronizacji, z którym powinni przeprowadzać synchronizację użytkownicy

  • Wymuszenie automatycznej konfiguracji folderów roboczych przy użyciu ustawień domyślnych (najpierw przejrzyj omówienie zasad grupy w temacie Projektowanie wdrożeń folderów roboczych)

    W celu kontrolowania tych ustawień utwórz nowy obiekt zasad grupy (GPO) dla folderów roboczych, a następnie skonfiguruj — stosownie do potrzeb — następujące ustawienia zasad grupy:

  • Ustawienie zasad „Określ ustawienia folderów roboczych” w sekcji Konfiguracja użytkownika\Zasady\Szablony administracyjne\Składniki systemu Windows\Foldery robocze

  • Ustawienie zasad „Wymuś konfigurowanie automatyczne dla wszystkich użytkowników” w sekcji Konfiguracja komputera\Zasady\Szablony administracyjne\Składniki systemu Windows\Foldery robocze

Uwaga

Te ustawienia zasad są dostępne tylko podczas edytowania zasad grupy na komputerze z narzędziem zarządzania zasadami grupy w systemie Windows 8.1, Windows Server 2012 R2 lub nowszym. Ustawienie to nie jest dostępne w przypadku narzędzia zarządzania zasadami grupy w starszych systemach operacyjnych. Te ustawienia zasad mają zastosowanie do komputerów z systemem Windows 7, na których zainstalowano aplikację Foldery robocze dla systemu Windows 7.

Zobacz też

Dodatkowe powiązane informacje znajdują się w następujących zasobach.

Typ zawartościOdwołania
Opis funkcji- Foldery robocze
Planowanie- Projektowanie wdrożeń folderów roboczych
Wdrożenie- Wdrażanie folderów roboczych przy użyciu usług AD FS i serwera proxy aplikacji sieci Web (WAP)
- Wdrażanie laboratorium testowego folderów roboczych (wpis w blogu)
- Nowy atrybut użytkownika dla adresu URL serwera folderów roboczych (wpis w blogu)
Informacje techniczne- Logowanie interakcyjne: próg blokady konta komputera
- Polecenia cmdlet udziału synchronizacji
© 2017 Microsoft