DESCRIZIONE INFRASTRUTTURA
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2. Durante tutte le fasi sono stati utilizzati i valori di default proposti.
+ DOMAIN CONTROLLER WINDOWS SERVER 2012 R2
Nome Computer: DC2012
Dominio: DCCORPTEST.PRV
IPv4: 192.168.0.1
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.100
DNS: 192.168.0.1
Unità Organizzativa: Utenti
Gruppo di Sicurezza: Group-Folder_Redirection
Utenti: User001, User002 e User003
+ FILE SERVER WINDOWS SERVER 2012 R2
Nome Computer: FS2012
IPv4: 192.168.0.2
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.100
DNS: 192.168.0.1
+ CLIENT WINDOWS XP
Nome Computer: WXP
IPv4: 192.168.0.10
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.100
DNS: 192.168.0.1
+ CLIENT WINDOWS 7
Nome Computer: W7
IPv4: 192.168.0.5
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.100
DNS: 192.168.0.1
CREAZIONE GRUPPO DI SICUREZZA
Per gestire gli accessi alla cartella condivisa che conterrà i dati degli utenti utilizziamo un Gruppo di Sicurezza.
Questo ci permetterà di utilizzare permessi di accesso più restrittivi.
Inserire il nome da dare al gruppo (Es: Group-Folder_Redirection) e cliccare su OK
Il gruppo appena creato dovrà essere popolato con gli Utenti e i Computers a cui vorremo dare la possibilità di avere le Folder Redirection.
CREAZIONE CARTELLA CONDIVISA
La fase successiva è quella di creare lo spazio disco per la memorizzazione dei dati utenti.
Il disco sarà ospitato dal File Server.
Creare la cartella sul File Server
Cliccare col tasto destro sulla cartella quindi selezionare Properties.
Posizionarsi sul tab Sharing
Spuntare Share this Folder quindi dare in nome alla share (Es: FolderRedirect$)
ATTENZIONE: Per evitare che la cartella condivisa sia visibile a tutti aggiungere il carattere $ alla fine del nome.
Cliccare su Permissions
Attribuire tutti i diritti al gruppo everyone come mostrato nella figura sovrastante
Cliccare OK
Selezionare l’opzione No Files or programs from the shared folder are available offline se non ci sono utenti che hanno la necessità di lavorare in modalità offline.
Cliccare su OK
Posizionarsi sul tab Security quindi cliccare su Advanced
Selezionare il tasto Disable inheritance per disattivare l’ereditarietà dei permessi
Cliccare su Convert inherited permissions into explicit permissionson this object
Se è tutto coretto dovremmo vedere una schermata come mostrato nell’immagine precedente dove nella colonna Inherited From è tutto disattivato.
Rimuoviamo tutte le autorizazione relative al Gruppo User
Cliccare su Add per aggiungere un nuovo gruppo
Cliccare su Select a principal per aggiungere un nuovo gruppo
Inserire il nome del gruppo creato in precedenza (Group-Folder_Redirection) quindi cliccare OK
Cliccare su Show Advanced Permissions
Impostare i seguenti paramentri (vedi figura sovrastante):
Applies to: This Folder
Traverse folder / execute file
List folder / read data
Read attributes
Read extended attributes
Create folders / append data
Read Permissions
Cliccare OK
Se è tutto corretto dovremmo vedere una shcermata come mostrato nella figura sovrastante
Cliccare OK per completare la configurazione
CREAZIONE POLICY – ACTIVE DIRECTORY
Aprire Group Policy Management
Posizionarsi sulla OU dove sono presenti gli utenti a cui abilitare la Folder Redirection.
Cliccare con il tasto destro e selzionare Create a GPO in this domain, and Link it here…
Dare un nome alla policy e cliccare su OK
Cliccare con il tasto destro sulla GPO creata e selezionare Edit…
Cliccare su User Configuration -> Policies -> Windows Settings -> Folder Redirection
Espandendo Folder Redirection è possibile vedere tutte le cartelle su cui possiamo fare il redirect
Selezionare come Setting – Basic – Redirect…..
Quindi inserire la root path creata in precedenza sul file server
Lasciare tutto invariato e cliccare su OK
Cliccare su Yes per continuare
Ripetere la stessa procedura per tutte le cartelle su cui vogliamo abilitare il Folder Redirection
TEST SU PC WINDOWS XP E WINDOWS 7
Se adesso proviamo a fare logon sui PC noteremo che all’interno della share FolderRedirect$ creata sul file server compariranno delle cartelle con lo stesso nome delle logonid degli utenti.
Lato client per verificare che sia tutto ok basta creare una cartella sul Desktop o in Documenti (basta scegliere un path dove è abilitato il Folder Redirection)
Se è tutto ok dovremmo vedere nel path della cartella il percorso che punta al file server (vedi figura sopra)
Sono Raffaele Chiatto, un appassionato di informatica a 360°…
Mi sono avvicinato al mondo dell’informatica nel lontano 1996 con Windows 95 e da allora non ho più smesso di dedicarmi allo studio ed approfondimento di questo settore.
Laureato in Ingegneria Informatica nel 2009, lavoro nel campo dell’IT dal lontano 2001.
Ciao,
adesso è un bel po che non implemneto le folder redirection però posso garantirti che su quelle che ho implementato il gruppo Administrators locale del server accede senza problemi sia alle root folder che alle sotto cartelle.
Detto ciò l’unica strada perseguibile a mio parere è fare uno script in pwershell che ti inserisca nelle ACL delle cartelle dove non riesci ad accedere l’utente Administrator
Il cmdlet da utilizzare è set-acl. Con questo e un file excel dovresti riuscire a fare tutto senza problemi e senza perdere tempo.
Ciao
Riprendo il post di Matteo, avendo la stessa necessità:
“ciao raffaele, ho aggiunto il gruppo domani admin in full controlla, sia sulla cartella principale “share$” che sulla cartella documenti dell utente ma nulla non mi fa accedere dal server, chiaramente accedo al server come administator.
sai come posso fare ??? grazie mille”
Si riesce ad accedere alla folder principale condivisa ma non alle cartelle dei singoli utenti creati automaticamente con l’accesso (impostando utilizzo esclusivo delgli utenti, naturalmente).
Dal server come amministratore non fa accedere alle relative sottocartelle. Per campiare i diritti devo per forza diventare proprietario della cartelle utenti ma così facendo (con ereditarietà altrimenti non funge) si eliminano anche i permessi già impostati per ogni cartella utente con relativo permesso di accedervi in modo esclusivo dell’utente oltre che l’amministratore.
Potrei aggiungere singolarmente i permessi dell’utente e amministratore per la singola sottocartella utente ma quando sono tantisismi pc diventa un’impresa. E’ assurdo questa politica di non dare comunque accesso di default anche all’amministratore, oltre che l’utente che crea la cartella. Non impostando lenne policy “accesso esclusivo” tutti i membri del dominio possono accedere alle cartelle di altri utenti e nemmeno questo può essere. Come si potrebbe fare, giacchè si ha anche la necessità di accedere ai file da parte dell’amministratore per politiche di backup?
Ti ringrazio in anticipo
L unica soluzione in alternativa a passare su ogni singolo pc è fare uno script che parta allo startup del pc che elimini il profilo locale. Non vedo alternative….
Ciao, ottima guida.
Da qualche anno ho implementato il redirect delle cartelle Desktop – Documenti e AppData.
Nasce l’esigenza di cambiare server, dove sono ospitate le cartelle redirette, ovviamente cambia sia il nome server che l’ip, Funziona tutto, se l’utente effettua il login su una postazione mai usata, se invece e questo è il caso più comune, usa la sua postazione abituale per effettuare il login, si ritrova ancora le cartelle redirette con il path sul vecchio server, anche se non accessibili, cioè non può ne leggere ne scrivere.
L’unica cosa è passare su ogni pc ed eliminare il profilo locale, cosa non possibile con 600 postazioni.
Fatto gpupdate /force sui i client e riavvia come se non ci fosse un domani, situazione sempre uguale.
Suggerimenti?
Grazie
Ciao,
volevo sapere se non sarebbe corretto anche assegnare il criterio ai soli utenti che appartengono al gruppo Folder Redirect.
Grazie
Ciao Matteo nella share relativa al folder redirect c’è everyone? Se riesci mandami delle schermate della config così vedo dove è il problema .
ciao raffaele, ho aggiunto il gruppo domani admin in full controlla, sia sulla cartella principale “share$” che sulla cartella documenti dell utente ma nulla non mi fa accedere dal server, chiaramente accedo al server come administator.
sai come posso fare ??? grazie mille
Ciao Matteo puoi verificare le permission sulla cartella incriminata e se non presente aggiungi il gruppo domain admins in full control.
Fammi sapere
Ciao
Complimenti per la guida! ottima e funziona.
Una domanda, io come amministratore di rete ho la necessita comunque di avere accesso alle cartelle “my document” dei vari utenti, se provo mi dice che non ho i permessi, mi puoi aiutare , restando che comunque le cartelle siano non accessibili per tutti gli utenti sfogliando la rete, spero di essere stato chiaro!
grazieeeee!!!!matteo