Робочі папки: файли, які завжди з тобою

    Сьогодні нерідко виникає необхідність отримати доступ до корпоративних файлів під час поїздок, відряджень, а також під час зустрічей за межами офісу. Не завжди для цього зручно використовувати робочий пристрій, включене в домен. Іноді доступ до корпоративних даних потрібно отримати і з особистих пристроїв. З одного боку, вирішення цієї проблеми лежить на поверхні — давайте надамо користувачеві доступ до робочих файлів з особистих пристроїв. Але тут є проблема: як забезпечити належний рівень безпеки цих файлів? Вихід надають Windows Server 2012 R2 і Windows 8.1 — це використання Робочих папок (Work Folders).
 
 
 

Робочі папки — що це?

Традиційно, для своєї роботи користувач використовує пристрій, видане йому на роботі і включене в домен. При цьому у кожного вдома є ще ноутбук, смартфон, планшет (іноді все відразу), причому все нове, сучасне, налаштоване для максимальної зручності власника і що зберігає всю потрібну інформацію. У цій ситуації необхідність всюди брати з собою ще й робочий комп'ютер (ноутбук, планшет) пригнічує. Часто виникає необхідність підключиться до робочих файлам ззовні саме з особистого пристрою. На сьогоднішній день для цього існує три можливості:
 
     
  • Підключиться до корпоративного додатка через браузер;
  •  
  • Установка з корпоративного порталу додатків на пристрої (особисті та робочі);
  •  
  • Синхронизировать робочі файли на різних пристроях.
  •  
Одним із способів синхронізувати робочі файли на різних пристроях — як особистих, так і включених до домен — є Робочі папки (Work Folders).
Робочі папки налаштовані на локальному файловому сервері організації. І саме дані в цим папках можуть синхронізуватися з різними пристроями — як з включеними в домен організації, так і з особистими пристроями користувача. Дані, розміщені в Робочих папках, завжди зберігаються на сервері, і до них можна отримати доступ з будь-якого пристрою на якому є Робочі папки. Робочі папки доступні для наступних версій операційних систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Також в планах є зробити доступними Робочі папки і для iOS.
Які ж можливості надають робочі папки?
IT-адміністратор отримує можливість централізовано контролювати корпоративну інформацію і регулювати роботу користувачів з даними. Більш того, у випадку, якщо користувач вирішить видалити Робочі папки зі свого пристрою, то файли все одно збережуться на сервері організації. Це спрощує життя і в разі втрати або крадіжки пристрою, на якому були синхронізовані Робочі папки. За допомогою Windows Intune системний адміністратор може знищити Робочі папки на загубленому пристрої.
Користувач ж отримує доступ до своїх робочих даними зі своїх особистих пристроїв. При цьому вони не повинні бути яким-небудь чином зареєстровані в корпоративному домені або під'єднані до корпоративної мережі. Файли, збережені в робочу папку, синхронізуються на сервер організації і звідти в інші робочі папки цього користувача на іншому пристрої. Під час синхронізації файли передаються в зашифрованому вигляді. Ще однією особливістю робочих папок є те, що вони не надають можливості організувати групову роботу над яким-небудь файлом.
 
 

Установка і настройка

 
Давайте тепер докладно розберемо, як налаштувати робочі папки на сервері, робочому комп'ютері користувача і на його особистому пристрої. Для цього я використовую три машини — сервер і два клієнтських хоста. Сервер і один з вузлів включені в домен, другий хост є особистим пристроєм користувача. Характеристики сервера і хостів представлені нижче:
 
 
 
 
 
 
 
В домені створено групу Sales , в яку доданий користувач User 2. Test з аліасом tuser2 , що використовує OfficeHost . На своєму пристрої HomeHost цей же користувач використовує ім'я user2 .
Процес створення і налаштування робочих папок складається з декількох етапів:
 
     
  1. Налаштування сервера
     
       
    1. Установка ролі Робочі Папки (Work Folders)
    2.  
    3. Створення спільного ресурсу синхронізації (Sync Share)

    4.  
    5. Включення доступу по SMB (додатково)
    6.  
  2.  
  3. Налаштування клієнта, включеного в домен
  4.  
  5. Налаштування Робочих Папок (Work Folders) на особистому влаштуванні
  6.  
  7. Синхронізація файлів в робочій папці (Work Folders)
  8.  
Також переконайтеся, що і на сервер, і на клієнт у вас встановлені наступні оновлення, необхідні для коректної роботи Робочих папок (поновлення можна сказати тут ):
 
     
  • KB2883200
  •  
  • KB2894179
  •  
  • KB2894029
  •  
 
 

1. Налаштування сервера

 
1.1. Установка ролі Робочі Папки (Work Folders)
Перш за все, потрібно встановити роль Робочі Папки (Work Folders) на сервер. Зробити це можна за допомогою майстра додавання ролей і компонентів:
 
 
 
Дану операцію також можна виконати за допомогою команди PowerShell :
 
 
PS C:\> Add-WindowsFeature FS-SyncShareService

 
 
1.2. Створення спільного ресурсу синхронізації (Sync Share)
Після того, як Робочі папки встановлені на сервер, їх необхідно налаштувати для користувачів. Для цього в Диспетчері серверів (Server Manager) переходимо у вкладку Файлові служби та служби сховища (File and Storage Services) і звідти до Робочим теках (Work Folders) . Далі необхідно створити новий загальний ресурс синхронізації (Sync Share) . Загальний ресурс синхронізації (Sync Share) зіставляє локальний шлях до місця розміщення папок користувачів і групи користувачів, які мають доступ до загального ресурсу синхронізації. В майстрі створення ресурсу потрібно вибрати сервер (у нас це WFServer ) і вказати локальний нехай до місця на диску, де і зберігатимуться папки користувача (C: \ SalesShare ).
 
 
 
Далі вибираємо формат імені папок користувача. Ми можемо вибрати, в залежності від потреби, використання просто аліаса користувача tuser2 або ж адреси користувача tuser2@mva.com (якщо хочемо усунути конфлікт однакових алиасов користувачів у різних доменах).
Крім того, адміністратор може встановити, що тільки певна підпапка повинна бути синхронізована на пристроях. Для цього необхідно вибрати пункт «Sync only the following subfolder» і ввести ім'я папки.
 
 
 
Далі вкажемо ім'я для загального ресурсу синхронізації:
 
 
 
На наступному етапі, необхідно вказати групу користувачів, якій буде надано доступ до створюваного ресурсу. У нашому випадку, це раніше створена група Sales . За замовчуванням, адміністратор не має прав на доступ до даних користувача на сервері.
 
 
 
Якщо ви хочете зробити цю можливість доступною, необхідно зробити неактивним пункт «Disable inherited permission and grant users exclusive access to their files» .
 
 
 
Далі визначаємо потрібні нам правила безпеки для пристроїв, на яких використовуватимуться Робочі Папки.
 
 
 
Перевіримо ще раз інформацію.
 
 
 
І перейдемо до установки.
 
 
 
Створити загальний ресурс синхронізації можливо також за допомогою команди PowerShell :
 
 
PS C:\>New-SyncShare SalesShare –path C:\SalesShare –User MVA\Sales -RequireEncryption $true –RequirePasswordAutoLock $true

 
У підсумку, ми повинні отримати ось такий результат:
 
 
 
 
1.3. Включення доступу по SMB (додатково)
Якщо ви хочете включити доступ до папки по SMB, ви повинні через Провідник зайти в місце розташування папки SalesShare , і за допомогою правої кнопки мишки вибрати пункт «Share with» — & gt; «Specific people» . Додайте групу MVA \ Sales і змініть права доступу на «Read / Write» :
 
 
 
До речі, після того, як ви включили доступ до папки по SMB, час синхронізації було встановлено за умовчанням на кожні 5 хвилин. Щоб це змінити, можна використати таку команду PowerShell:
 
 
PS C:\> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>

 
 

2. Налаштування клієнта, включеного в домен

Тепер перейдемо до налаштування Робочих папок на клієнтських машинах. Встановити Робочі папки можна за допомогою: Панель управління (Control Panel) — & gt; Система і безпека (System and Security) — & gt; Робочі папки (Work Folders) .
 
 
 
 
Введіть E-mail адресу користувача.
 
 
 
Вкажіть, де на пристрої повинні бути розташовані робочі папки.
 
 
 
Підтвердіть згоду з необхідними правилами безпеки. До речі, тут хочу додати, що файли буду шифруватися і в разі, якщо операційною системою пристрою є Windows RT 8.1.
 
 
 
Тепер робітники папки встановлені на пристрій.
 
 
 
Адміністратор при цьому контролює скільки місце є на сервері користувачеві, і, отже, скільки інформації може бути синхронізоване.
 
 
 
Тепер ми можемо створити файл в Робочій папці, щоб потім подивитися, як буде проводиться синхронізація.
 
 
 
 

3. Налаштування Робочих Папок (Work Folders) на особистому влаштуванні

Налаштування робочих папок на особистих пристроях відрізняється тільки на одному кроці. На етапі додавання користувача на особистому влаштуванні будуть запитані доменні логін і пароль користувача.
 
 
 
Після завершення установки, відкривши Робочу папку ми побачимо синхронізований файл, створений нами на доменному клієнті:
 
 
 
 

4. Синхронізація файлів в робочій папці (Work Folders)

Тепер подивимося, як же синхронізуються файли в робочій папці, якщо одночасно, на двох машинах редагується один і той же файл.
В цьому випадку, обидва файли будуть збережені і синхронізовані з зазначенням імені комп'ютера, на якому проводилися зміни. Далі користувач вже самостійно має вирішити об'єднати ці файли, або який з них необхідно видалити.
 
 
 
Сподіваюся, інформація буде корисна!
Спасибо!
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.