Cel mai bun mod pentru a realiza folder redirection ar fi sa incepem prin a configura Group Policies pentru utilizarea cu Terminal Services astfel incat sa se aplice userilor doar cand incearca sa se logheze pe Terminal Server . Iata cum :
- Creati un OU (organizational unit) care va contine Terminal Serverele dvs.
- Blocati Policy inheritance pe OU (Properties-> Group Policy). Asta impiedica replicarea setarilor catre serverele de TS dintr-un AD mai sus in forest.
- Mutati Obiectele – Terminal Server in OU-ul pe care l-ati creat. Dar nu puneti nici un user account in acest OU.
- Creati un Security Group in Active Directory numit “Terminal Servers” de exemplu (sau ceva care sa va ajute sa-l identificati usor) si asaugati Terminal Serverele din OU in acest grup.
- Creati o GPO numita “TS Machine Policy” aplicata acestui OU
- Bifati “Disable User Configuration settings” in GPO
- Dati enable la Loopback Policy Processing in GPO
- Modificati campul Security al Policy-ului astfel incat Apply Policy va fi setat pe “Authenticated Users” si Security Group-ul creat mai devreme.
- Creati alte GPO-uri in functie de necesitati – TS Users, TS Administrator cu drepturile dorite.
- Bifati de asemenea pt toate GPO-urile create optunea “Disable Computer Configuration settings”.
- Editati campul Security astfel incat GPO-urile sa se aplice user configuration-ului pentru OU sis a nu se aplice pt userii care nu au fost intentionati sa intre sub influenta lor.
Cu GPO-urlie configurate astfel, faceti diferenta intre drepturile userilor in domeniu si efectiv pe masinile de TS pe care se vor autentifica.
Setarile pentru folder redirection se gasesc in user configuration -> windows settings -> folder redirections:
Pentru a configure un obiect (item) right click-> Properties. In fereastra care se va deschide puteti configure redirectionarea unui folder pentru toti userii carora li se aplica GPO-ul sau puteti seta redirectiona in functie de apartenenta la un grup al userilor.
Pentru a asigura functionarea corecta a folder redirection-ului destinatia redirectionarii trebuie sa aiba NTFS si Share Permissions configurate correct:
Everyone –full control
NTFS permissions:
Everyone – read and execute
Daca policyul creat face redirectionarea catre o locatie unde va crea automat un folder atunci permisiunile urmatoare trebuie aplicate folderului parinte :
Share permissions :
Everyone – full control
NTFS permissions:
Everyone – create folder/append Data (this folder only)
Everyone – list folder/read data (this folder only)
Everyone – read attributes ( this folder only)
Everyone – traverse folder/ execute file (this folder only)
Creator owner- full control (subfolders and files)
Important de stiut este ca atunci cand redirectionarea implica foldere de genul my documents catre o locatie deja existent cum ar fi User’s Home Folder exista o setare esentiala ca totul sa mearga correct , ownershipul. Daca utilizatorul nu este owner-ului folderului destinatie atunci redirectionarea va esua. In acest caz trebuie deselectata optiunea “grant the user exclusive rights to My Documents”:
Daca nu veti debifa optiunea urmatoarea eroare va aparea in event log-ul de pe serverul de TS accesat cu userul care are acest redirect :
Event ID: 101
User: username
Computer: computername
Description:
Failed to perform redirection of folder foldername. The new directories for the redirected folder could not be created. The folder is configured to be redirected to \\servername\sharename\%username%, the final expanded path was \\servername\sharename\username. The following error occurred:
Access is denied.
Note :
- Setarile din Group Policy intra in vigoare la primul logon al userilor dupa ce policy-ul a fost salvad si s-a facut replicarea
- Setarile serverului din Group Policy intra in vigoare dupa restart si dupa ce se initializeaza sau se logheaza in Active Directory.