:

  • Возникает угроза безопасности корпоративных данных, поскольку устройство может быть украдено или потеряно.
  • Хранение данных пользователя только на локальном жестком диске ноутбука или планшета неэффективно. В такой ситуации, например, невозможно управлять процессом создания резервных копий, а это означает, что в случае выхода жесткого диска из строя данные могут быть утрачены.
  • Пользователи часто работают с несколькими устройствами (например, с ноутбуком и планшетом или планшетом и смартфоном), что затрудняет синхронизацию данных. Для обеспечения актуальности данных на всех используемых устройствах часто применяется Microsoft SkyDrive, Dropbox, Google Drive или аналогичное «облачное» хранилище. Однако эти службы изначально предназначены для хранения пользовательских, а не корпоративных данных. Хранение данных компании в таком месте ставит под угрозу их безопасность. Кроме того, администратор не может управлять работой этих служб на личных компьютерах пользователей, что затрудняет их применение в корпоративной среде.
  • Пользователям, работающим на мобильных компьютерах (ноутбуках, планшетах и др.), включенных в корпоративный домен Active Directory, часто требуется доступ к данным компании, когда они находятся в автономном режиме. В Windows Server 2012 и более ранних версиях Windows для обеспечения локальной доступности данных на компьютере пользователя даже при отсутствии подключения к сети преимущественно применяется технология автономных файлов Offline Files. Однако при этом файлы синхронизируются только при подключении пользователя к локальной корпоративной сети. При продолжительном нахождении в автономном режиме существует большая вероятность, что данные, с которыми работает пользователь, окажутся устаревшими.

Для решения всех этих проблем в Windows Server 2012 R2 реализована новая технология рабочих папок Work Folders, позволяющая пользователю получать доступ к корпоративным данным независимо от его местонахождения, а администратору – управлять параметрами этой функции и данными пользователя.

Функция Work Folders открывает доступ к актуальным данным независимо от того, имеет ли пользователь подключение к локальной сети, то есть выполняет практически те же функции, что и «облачные» службы, с одним лишь отличием, которое заключается в том, что рабочие папки управляемы. Work Folders позволяет администратору управлять данными пользователей и их подключениями к рабочим папкам. Администратор может применять шифрование, управлять доступом пользователей к этой функции, а также принудительно устанавливать параметры безопасности на устройствах, использующих Work Folders, даже если они не принадлежат домену.

Применение Work Folders доступно для различных типов устройств независимо от их доменной принадлежности и наличия подключения к локальной сети (например, дома или в дороге). В отличие от других технологий аналогичного назначения в более ранних версиях Windows, рабочие папки могут быть опубликованы в интернете с помощью Web Application Proxy (возможность, также впервые реализованная в Server 2012 R2), что позволяет пользователям синхронизировать данные в любом месте, где есть подключение к интернету. Для публикации рабочих папок можно применять и другие механизмы, такие как Microsoft Forefront Unified Access Gateway (UAG). Можно также задействовать Forefront Threat Management Gateway (TMG), но это решение является устаревшим.

Реализация Work Folders

На момент написания этой статьи клиентская поддержка Work Folders доступна только для устройств под управлением Windows 8.1 и Windows RT 8.1. Однако Microsoft планирует распространить поддержку на устройства под Windows 8, Windows 7, а также на устройства на базе Apple iOS, такие как iPad. Есть сведения, что будут поддерживаться и устройства на базе Google Android. Так или иначе, очевидно, что Microsoft открывает двери AD для других платформ, от чего клиенты только выиграют.

Для включения Work Folders необходим, как минимум, один файловый сервер Server 2012 R2. Должны быть применены обновления схемы Server 2012 R2 по причинам, которые будут изложены ниже. Для полной реализации возможностей Work Folders (например, для использования групповой политики для установки параметров клиентов) рекомендуется (не обязательно) иметь, как минимум, один контроллер домена (DC) под управлением Server 2012 R2.

Применение Work Folders не требует повышения функционального уровня домена до Server 2012. Функциональность Work Folders фактически составляет подмножество роли файловых служб и служб хранилища File and Storage Services и легко устанавливается с помощью диспетчера серверов. Для более эффективного управления данными пользователя рекомендуется (не обязательно) также установить диспетчер ресурсов файлового сервера и включить дедупликацию данных. Диспетчер ресурсов файлового сервера File Server Resource Manager позволяет устанавливать квоты и политики блокировки файлов для папок пользователей. Дедупликация данных, впервые появившаяся в Server 2012, позволяет оптимизировать использование дискового пространства за счет того, что идентичные блоки данных записываются лишь однократно. Для защиты критически важных корпоративных данных, хранящихся в рабочих папках, рекомендуется также использовать службу управления правами Active Directory (AD RMS) или шифрованную файловую систему (EFS).

При установке функции Work Folders устанавливаются также ведущий базовый экземпляр IIS (Hostable Web Core) и средства управления IIS. Настройка параметров IIS не требуется, но необходимо назначить доверенный SSL-сертификат файловому серверу в консоли IIS и привязать его к порту 443 для веб-сайта по умолчанию. Сертификат должен содержать имя файлового сервера и имя, под которым будут публиковаться рабочие папки (если эти имена не совпадают). Сертификат должен быть доверенным для клиентов. Обычно доверенный статус не проблема для устройств, принадлежащих домену, но для собственных устройств, используемых в рамках концепции BYOD, могут понадобиться дополнительные действия (например, импорт сертификата Root CA в локальное хранилище сертификатов Trusted Root CA клиента), кроме тех случаев, когда используется общий сертификат от удостоверяющего центра (СА), который является доверенным в глобальном масштабе. Если предполагается задействовать функцию автообнаружения, которая будет рассматриваться ниже, то в сертификате должно быть указано SAN-имя workfolders.имя домена, где имя домена – это DNS-имя вашего домена.

После установки Work Folders подготовьте общий ресурс для хранения данных пользователя. Общий ресурс может располагаться в любом месте, доступном для файлового сервера, на котором установлены Work Folders. Для созданного корневого общего ресурса рекомендуется оставить предусмотренные по умолчанию разрешения для общего ресурса и разрешения NTFS и включить перечисление на основе доступа. Если перечисление на основе доступа включено, пользователи могут видеть только те папки, к которым им разрешен доступ.

Когда создан корневой общий ресурс, в диспетчере серверов запустите мастер создания общего ресурса синхронизации New Sync Share Wizard. В диспетчере серверов нажмите File and Storage Services, затем Work Folders, и в меню Tasks выберите New Sync Share. Мастер последовательно проходит процесс создания структуры рабочих папок. После выбора корневой папки, подготовленной в качестве общего ресурса, выберите формат образования имен вложенных папок («псевдоним пользователя» или «псевдоним@домен»). Если в лесу AD DS имеется несколько доменов, для образования имен рекомендуется использовать формат «псевдоним@домен».

Управление доступом к рабочим папкам может быть организовано по пользователям или группам. Соответствующая установка выполняется на странице Sync Access (см. экран 1). Пользователи или группа должны быть частью домена AD DS. Это означает, что, хотя принадлежность домену не является обязательной для устройств, пользователи все же должны иметь достоверные учетные данные Active Directory (AD). Для облегчения последующего управления рекомендуется задать группу. Рекомендуется также отключить наследование разрешений для Work Folders, чтобы каждый пользователь имел монопольный доступ к своим файлам.

 

Управление доступом к рабочим папкам
Экран 1. Управление доступом к рабочим папкам

На последней странице мастера можно задать дополнительные параметры безопасности для устройств, используемых для доступа к рабочим папкам. Как показано на экране 2, можно задать шифрование и автоматическую блокировку экрана, которая снимается после ввода пароля.

 

Настройка дополнительных параметров безопасности на устройствах, используемых для?доступа к рабочим папкам
Экран 2. Настройка дополнительных параметров безопасности на устройствах, используемых для?доступа к рабочим папкам

Отметим, что применение параметров безопасности, относящихся к Work Folders, осуществляется не с помощью групповой политики. Параметры вступают в силу, когда пользователь устанавливает соединение с Work Folders, и применяются на компьютерах, как принадлежащих, так и не принадлежащих домену.

Настройка Work Folders на клиентах

На клиентах Windows 8.1 и Windows RT 8.1 настройка Work Folders может выполняться вручную или автоматически с помощь групповой политики. На компьютерах, принадлежащих домену, параметры проще устанавливать с помощью групповой политики, но в этом случае необходимо иметь, как минимум, один контроллер домена Server 2012 R2. Настройка клиентов, не принадлежащих домену, выполняется вручную. Рассмотрим оба метода, а также случай, когда имеется несколько файловых серверов.

Настройка клиентов с помощью групповой политики. Автоматическая настройка Work Folders на клиентах с помощью групповой политики требует установки нескольких параметров объектов групповой политики (GPO). Рабочие папки организованы по пользователям, поэтому в редакторе групповой политики (GPE) перейдите к разделу User Configuration\Policies\Administrative Templates\Windows Components\Work Folders и включите политику Specify Work Folders settings. Укажите URL-адрес рабочих папок, определяя местонахождение файлового сервера, где выполнена установка Work Folders. Обычно таким адресом является https://fileserverFQDN, где fileserverFQDN – полное доменное имя файлового сервера (FQDN).

Существует возможность принудительной автоматической настройки для каждого пользователя, которую следует применять с осторожностью, так как при ее включении у всех пользователей, к которым применим данный объект GPO, на каждом устройстве, где они будут регистрироваться (если это устройство поддерживает Work Folders), будет выполняться настройка Work Folders без запроса на подтверждение данного действия. В некоторых случаях (например, если пользователи работают на многих рабочих станциях) это может оказаться нежелательным.

При желании в разделе Computer Configuration\Policies\Administrative Templates\Windows Components\Work Folders редактора групповой политики можно применить параметр, предусматривающий автоматическую настройку Work Folders для всех пользователей. После этого на компьютерах, где применен данный параметр объекта GPO, для каждого пользователя, выполняющего процедуру регистрации, будет выполнена соответствующая настройка Work Folders, если этому пользователю разрешено применение Work Folders.

После применения этих параметров к пользователям (и, при желании, к компьютерам), пользователи домена смогут задействовать Work Folders после обновления групповой политики или перезапуска клиентского компьютера. Если параметры Work Folders не применяются с помощью групповой политики, проверьте сертификат файлового сервера, который чаще всего является причиной проблем. Сертификат должен иметь достоверное имя, должен быть выдан доверенным корневым центром сертификации и назначен порту 443 веб-сайта по умолчанию. Также убедитесь в том, что на сервере, где выполнена настройка Work Folders, работает служба общих папок синхронизации Windows. Хотя эта служба автоматически запускается при установке Work Folders, мне доводилось наблюдать случаи, когда она прекращала работу.

Настройка клиентов вручную. Для компьютера (например, планшета), не принадлежащего домену, включение Work Folders выполняется из панели управления. В Windows 8.1 и Windows RT 8.1 на панели управления есть приложение Work Folders (см. экран 3).

 

Приложение Work Folders на панели управления
Экран 3. Приложение Work Folders на панели управления

Технология Work Folders имеет функцию автообнаружения, которая позволяет системам, не принадлежащим домену, легко находить нужный файловый сервер, где размещены Work Folders. Для использования этой функции необходимо, чтобы в общей зоне DNS был прописан узел размещения рабочих папок или псевдоним, указывающий на нужный файловый сервер. В этом случае пользователю для настройки приложения Work Folders на устройстве, не принадлежащем домену, достаточно ввести почтовый адрес. По той части почтового адреса, которая указывает на домен, устройство выполнит поиск узла размещения рабочих папок или псевдонима в DNS. Пользователь также должен указать корректные имя и пароль доменной учетной записи, для которой разрешено применение Work Folders.

Если функция автообнаружения использоваться не будет, то пользователи при настройке приложения Work Folders могут указывать URL-адрес файлового сервера (см. экран 4).

 

Ввод URL-адреса сервера, где размещаются Work?Folders
Экран 4. Ввод URL-адреса сервера, где размещаются Work?Folders

В этом случае вручную введите URL-адрес, используемый для публикации файлового сервера, где размещаются Work Folders, в интернете. Если функция автообнаружения не включена, URL-адрес может быть любым. Как видно из примера, приведенного на экране 4, соединение устанавливается по протоколу HTTP Secure (HTTPS), что значительно упрощает публикацию Work Folders. Пользователь, регистрирующийся как локальный пользователь, после ввода URL-адреса должен указать достоверные учетные данные AD, после чего на его устройстве выполняется настройка Work Folders. Пользователь также должен принять политики безопасности, показанные на экране 5. Таким образом он выражает согласие с тем, что администратор будет управлять данными в его рабочей папке и применять меры безопасности к его устройству.

 

Принятие политик безопасности в отношении устройства, используемого для доступа к Work Folders
Экран 5. Принятие политик безопасности в отношении устройства, используемого для доступа к Work Folders

Несколько файловых серверов. Если имеется несколько файловых серверов, используемых для размещения Work Folders, то для указания местоположения правильного экземпляра Work Folders для каждого пользователя можно воспользоваться новым атрибутом пользователя msDS-SyncServerUrl в AD DS (включен в схему Server 2012 R2). Этот атрибут можно найти на вкладке Attribute Editor в свойствах учетной записи пользователя. После настройки данного атрибута пользователь будет направляться к заданному файловому серверу для доступа к своему экземпляру Work Folder. Настойка этого атрибута не является обязательной в сценариях развертывания, когда для размещения Work Folders используется только один файловый сервер или если Work Folders настраивается без участия функции автообнаружения.

Использование Work Folders

После применения параметров Work Folders пользователи могут получать доступ к своим рабочим папкам. Независимо от доменной принадлежности их устройств, в проводнике появляется новый значок (см. экран 6). Используются рабочие папки так же, как и любые другие локальные папки. Единственное отличие состоит в том, что в списке возможных вариантов, открываемом щелчком правой кнопки мыши на значке Work Folders, присутствует возможность применения синхронизации с сервером. Если синхронизация не работает, убедитесь, что у вас есть локальные административные полномочия на клиентской системе, чтобы применить политики безопасности с сервера.

 

Значок Work Folders в «Проводнике»
Экран 6. Значок Work Folders в «Проводнике»

При желании пользователь может контролировать состояние рабочей папки независимо от доменной принадлежности своего устройства. Как показано на экране 7, можно выяснить, сколько доступного пространства имеется на сервере и когда файлы были синхронизированы в последний раз.

 

Контроль состояния рабочих папок из панели управления
Экран 7. Контроль состояния рабочих папок из панели управления

Управление Work Folders

Администраторы могут управлять рабочими папками через интерфейс Work Folders, интегрированный с консолью диспетчера серверов. В любой момент можно увидеть, какие пользователи подключены к Work Folders, как показано на экране 8.

 

Информация о пользователях, подключенных к Work Folders в данный момент
Экран 8. Информация о пользователях, подключенных к Work Folders в данный момент

Щелчком правой кнопки мыши на имени пользователя открываются два варианта: Properties и Suspend User (см. экран 9).

 

Переход к подробной информации
Экран 9. Переход к подробной информации

При выборе Properties можно увидеть, сколько устройств у выбранного пользователя ассоциировано с его рабочей папкой (см. экран 10). Выбор Suspend User останавливает синхронизацию между локальной рабочей папкой пользователя и его рабочей папкой на сервере. При этом пользователь по-прежнему имеет доступ к локальной копии данных. Для возобновления синхронизации щелкните правой кнопкой на имени пользователя и выберите соответствующий вариант.

 

Отображение информации о том, сколько устройств у данного пользователя ассоциировано с его рабочей папкой
Экран 10. Отображение информации о том, сколько устройств у данного пользователя ассоциировано с его рабочей папкой

По умолчанию администратор не имеет доступа к серверной копии рабочей папки пользователя, поскольку разрешения автоматически устанавливаются только для владельца. Однако при необходимости можно вступить во владение папкой и получить доступ к данным. Каждый пользователь имеет доступ к серверной копии своих данных. При этом другие папки для него недоступны, и в случае, если включено перечисление на основе доступа, этот пользователь даже не будет видеть других папок.

Work Folders в Server 2012 R2 – большой шаг вперед по сравнению с существующими технологиями синхронизации и обеспечения доступности данных. Функция обладает преимуществами «облачного» решения, но позволяет администраторам управлять параметрами технологии и данными пользователя. Рабочие папки могут быть очень удобны для мобильных пользователей, особенно в среде, организованной по принципу BYOD. Если Microsoft, как и было обещано, откроет эту технологию для других платформ, то пользователи смогут всегда иметь доступ к своим данным.