Compartilhe uma pasta privada no servidor para cada usuário do diretório ativo e monte automaticamente no login

Navegue suas respostas
1

Sou praticamente novo em servidores Windows.

O que eu quero alcançar:

  1. Permitir que os usuários efetuem login usando credenciais centrais de qualquer um dos PCs clientes na LAN / WLAN.
  2. Eles não têm acesso à área de trabalho do servidor, mesmo com suas credenciais válidas. Isso deve ser apenas para autenticação em PCs clientes.
  3. Eles devem ter uma pasta privada localizada no servidor para o qual eles podem salvar seus arquivos pessoais.
  4. Esta pasta privada deve ser montada automaticamente (com a letra da unidade) no computador em que eles efetuam login. Eu li sobre a pasta inicial Compartilhada, mas estou preferindo uma pasta diferente sem uma importância ampla para o sistema como o diretório inicial do usuário.
  5. (opcional) Deve haver uma opção para manter seus arquivos no sistema local em vez do compartilhamento de servidor (nº 2, nº 3 acima), se quiserem.

Lendo os manuais do techNet e várias respostas SO, recebi uma sugestão de que o Active Directory pode ser útil para o meu propósito. Mas não tenho certeza sobre qual versão do servidor devo usar e como configuro todo o sistema. Preciso de ferramentas adicionais para configurá-lo.

Tudo isso é possível para conseguir isso sem fazer nenhuma configuração especial nos PCs do cliente? Quero dizer, apenas configurando o servidor de alguma maneira particular!

Isso ( Como "lote" criar pastas para a unidade de rede dos usuários do Active Directory? ) aparece mais perto das minhas necessidades, mas não consigo entender totalmente isso.
Aparentemente, ele precisa do script de montagem para ser executado no PC cliente no login, que eu menos prefiro.

Curiosamente, eu gostaria de saber se essa configuração é possível sem usar um sistema operacional do servidor. Por exemplo, a versão do Windows 8.1 Desktop com algumas ferramentas adicionais do Windows instaladas.

    
por Izhar Aazmi 30.10.2015 / 22:37

3 respostas

1

Quantos usuários? Eu pergunto por causa das pastas privadas, e isso principalmente porque pode ser entediante configurá-las se você tiver muitos usuários (embora você possa fazer script disso).

  1. Configure o Active Directory em uma versão Servidor do Windows (ênfase por causa de sua pergunta sobre a execução de tudo isso em sistemas operacionais de estação de trabalho). Por padrão, as estações de trabalho (como em um sistema operacional de estação de trabalho) adicionadas ao domínio têm "usuários de domínio" como usuários de logon permitidos e "administradores de domínio" como administradores.
  2. Por padrão, os servidores (como em um sistema operacional de servidor) adicionados ao domínio possuem administradores de domínio no grupo de administradores e não permitem logins da área de trabalho a ninguém, exceto administradores ou usuários de área de trabalho remota.
  3. Parece que você só quer compartilhar em vez de perfis de roaming . Em geral, é desencorajado colocar compartilhamentos em controladores de domínio se você puder evitá-los, mas produtos como o Small Business Server fazem isso e acontece . Se você quiser apenas compartilhamentos, crie uma pasta com o nome de usuários compartilhados com subpastas nomeadas após cada usuário e, em seguida, compartilhe cada pasta com o usuário e apenas o usuário e nomeie o compartilhamento após o nome de usuário. (Por exemplo: d:\usershares\username para um nome de usuário de username , compartilhado como \yourserver\username .)
  4. Atribua um script de logon aos usuários com algo como net use S: \yourserver\%username% ou um equivalente ao PowerShell.
  5. É aqui que parece que você está dizendo que não deseja perfis em roaming.

(Quanto a "Por que não?" - É desencorajado porque é preferível que você não adicione nenhum tipo de "superfície de ataque" ao seu controlador de domínio, e qualquer serviço adicionado é uma superfície de ataque.)

Provavelmente, também devo acrescentar que a melhor prática é ter dois controladores de domínio caso um deles falhe. (A virtualização ainda colocaria os dois ovos em uma cesta, então eu não recomendaria isso. Seria mais administração sem redução de risco.)

    
por 31.10.2015 / 21:37
0
  1. No Widnows, o melhor será o Active Directory. Os computadores devem ser membros do domínio no Active Directory.
  2. Por padrão, no servidor membro do AD (Active Directory), o login da Área de Trabalho Remota é permitido apenas para o grupo Admins. do Domínio.
  3. Estou usando o DFS (Distributed file system), namespace configurado para o local raiz "Home" (\\ domain.local \ home) e defino a Cota nele.
  4. Isso pode ser feito pela Diretiva de Grupo. Guia de perfil em properites de objeto de usuário do AD - você precisa "copiar usuário" ao criar um novo ou criar script se não quiser editá-lo manualmente. O último é NET USE como script de logon.

But I am unsure about which Server version I should use, and how would I setup the entire system.

Windows Server 2012 R2 Standard. Um para o controlador de domínio, um para o servidor de armazenamento com diretórios base. Ambos em máquinas físicas separadas.

Além disso, você precisa de licenças de CAL para cada usuário OU dispositivo conectado ao Active Directory. CAL por usuário / CAL por dispositivo.

Is that all possible to achieve these without making any special setting on the client PCs?

Os PCs devem ter pelo menos a edição do Windows Professional (XP, 7, Vista, 8,8,1,10). Você só precisa adicionar um PC ao Active Directory.

    
por 31.10.2015 / 11:17
0

Você pode usar "Pastas de Trabalho" no Windows Server 2012 R2. Isso permite que qualquer máquina com Windows 7 ou superior (não associada ao domínio) monte uma pasta particular no servidor. Você só precisa criar as contas no AD e, em seguida, gerar um certificado SSL. O PC do cliente pode acessar o compartilhamento usando a conta que você criou no AD.

No entanto, ele pode não atender ao seu Requisito 4, pois não mapeia usando a letra da unidade.

Fonte: link

    
por 31.10.2015 / 22:44

Tags

frequência de logrotate - quando e de quando OpenVPN no AWS: erro inesperado: invalid_profile: não é possível encontrar um perfil bloqueado pelo servidor ou login automático para este usuário