Início > Directory Services, Group Policy, Windows Client/Server > Utilizando/configurando o recurso de Folder Redirection no Windows Server 2008/R2

Utilizando/configurando o recurso de Folder Redirection no Windows Server 2008/R2

maio 18, 2014

Olá pessoal,

Hoje eu vou escrever um pouco sobre um recurso chamado Folder Redirection e mostrar como utilizar/configurar este recurso.

Em um ambiente corporativo onde é possível ter centenas ou milhares de usuários, assegurar que seus arquivos estejam disponível em qualquer estações onde você estiver poupa tempo e dores de cabeça para os profissionais que gerem uma infraestrutura de estações de trabalho.

Infelizmente, é um processo comum a perca de estações, seja por problemas físicos ou lógicos e pode se tornar uma grande dor de cabeça a perda de arquivos de usuários pelo simples fato de tê-los armazenados localmente.

Imagine você recebendo a informação de que a estação de trabalho do CEO ou CIO deixou de funcionar devido a um problema no disco local e quem haviam arquivos de alta criticidade armazenados nestes locais? É muito comum o armazenamento de arquivos em locais como a Área de Trabalho, devido a facilidade de acesso por parte dos usuários.

No entanto, deixar que diretórios como C:\Users\%UserName%\Desktop, C:\Users\%UserName%\Documents, etc. continuem sendo armazenados localmente não é uma boa prática e como exemplificado anteriormente, pode se tornar um grande pesadelo no caso da perda de arquivos.

Então se armazenar arquivos localmente não é um boa prática de segurança, como contornar este tipo de situação?

Simples! O recurso de Folder Redirection é uma solução. Com este recurso é possível direcionar diretórios do perfil do usuário que seriam criados localmente por padrão para um local centralizado (um servidor de arquivos, um NAS, um SAN, etc.), deixando a liberdade de se usar qualquer computador, pois indiferente de onde o usuário esteja logado, seus arquivos estaram sempre disponíveis.

Mesmo sendo um recurso muito simples de ser configurado, frequentemente pessoas encontram dificuldades na implementação devido a não ter todo o conceito necessário sobre a configuração correta das permissões de compartilhamento/locais, escopo de políticas de grupo, criação de OUs, criação de grupos, etc.

Por esta razão, eu vou detalhar aqui os passos necessário para que este recurso seja utilizado e configurado de forma correta para produzir o resultado experado – movimentar um ou mais diretórios locais para um destino remoto.

Para começarmos, vamos falar mesmo que brevemente sobre a organização de um infraestrutura do Active Directory Domain Services.

É muito importante que isso seja feito de forma correta, para garantir que os objetos que serão o alvo da política de grupo que aplicará o redirecionamento de pasta funcione.

Não existe uma única regra para a organização da estrutura de OUs e o que eu posso dizer é que você precisa ter bom senso e criar uma estrutura que reflita a estrutura organizacional da empresa onde você gerencia este AD DS.

Em seguida, é importante separar os objetos (usuários, computadores, grupos, contas de serviço, etc.) de forma que isso fique organizado e facilite o gerenciamento.

Abaixo você pode ver uma imagem com um exemplo de organização de OU refletindo estrutura organizacional da empresa + a organização de objetos:

ds-folder-redirection-0001

Presumindo que você tenha um AD DS estruturado corretamente, o primeiro passo que precisamos dar é a definição de onde serão armazenados os diretórios do usuário. Neste exemplo existe um volume chamado H onde serão armazenado os diretórios e um Alias (CNAME) no DNS chamado HOMEFOLDER apontando para o servidor onde o volume H está localizado.

Definido o local onde serão armazenados os diretórios, vamos então criar a estrutura necessária para receber o redirecionamento.

Na organização Alkaholics a estrutura corporativa está dividida da seguinte forma:

ds-folder-redirection-0002

A divisão da estrutura organizacional pode ser visualisada na imagem a seguir:

ds-folder-redirection-0003
Vamos então criar a estrutura de diretórios em H:\CorporateStructure como mostrado na imagem abaixo:

ds-folder-redirection-0004

Após concluir a criação dos diretórios, vamos iniciar o compartilhamento e permissionamento para permitir que seja possível a gravação dos diretórios dos usuários.

Clique com o botão direito do mouse sobre o diretório, neste exemplo CorporateStructure, escolha Properties, selecione a guia Sharing e clique no botão Advanced Sharing.

Faça a configuração do compartilhamento de acordo com a imagem abaixo e detalhe, todos os objetos inseridos na permissão devem possuir a permissão de Full Control.

ds-folder-redirection-0005

Concluída a parte do permissionamento no compartilhamento, vamos agora definir as permissões locais NTFS nos diretório CorporateStructure.

O primeiro passo a ser feito é retirar a herança do diretório para que as alterações feitas no nível superior não afetem as permissões locais deste diretório.

Selecione a guia Security e clique no botão Advanced para visualizar a janela de edição avançada de permissões.

Desmarque a caixa Include inheritable permissions from this object’s parent e na janela que irá surgir perguntando se você deseja preservar as permissões atuais, clique em Add para executar esta ação como mostrador na imgem abaixo.

ds-folder-redirection-0006

Em seguida, remova os dois itens relacionados ao grupo local Users e adicione a conta Everyone. Na nova janela de permissões para a conta Everyone, selecione as opções e permissões tal como estão na imagem abaixo:

ds-folder-redirection-0007

Desta forma você estará garantindo que todos os usuários possam acessar e listar somente o conteúdo do diretório H:\CorporateStructure.

Agora vamos assegurar que somente os usuários de cada localidade tenham acesso apenas ao diretório de sua localidade e seu diretório. É importante um bom desenho do AD DS para que seja facilitada a gestão dos grupos, usuários e o acesso a recursos como este, tal como uma boa documentação de qual é a finalidade de cada grupo existente.

Nesta infraestrutura, cada departamento possui um grupo local de nome composto da seguinte forma: LOCALIDADE_DEPARTAMENTO_HOMEFOLDER ou por exemplo, JAMESTOWN_CUSTOMER_SUPPORT_HOMEFOLDER.

O Grupo JAMESTOWN_CUSTOMER_SUPPORT_HOMEFOLDER contem como membro o grupo de usuário da localidade chamado JAMESTOWN_CUSTOMER_SUPPORT_USERS.

Há ainda um outro grupo chamado JAMESTOWN_HOMEFOLDER que contem como membros todos os grupos locais que permitem o acesso ao homefolder de cada localidade (JAMESTOWN_CUSTOMER_SUPPORT_HOMEFOLDER, JAMESTOWN_IT_HOMEFOLDER, etc.).

Você pode estar se perguntando, por que 3 níveis de grupos? A resposta é que a implementação inicial contemplava um terceiro nível de diretórios segmentando o homefolder por setores, por exemplo, \\HomeFolder\CorporateStructure$\Jamestown\Customer_Support\%USerName%\UserFolder, \\HomeFolder\CorporateStructure$\Jamestown\IT\%USerName%\UserFolder, etc.

Recomendo que você crie o mesmo tipo de estrutura de grupos para acompanhar todo o progresso deste artigo e após entender a mecânica do processo, adaptar para o seu ambiente.

Voltando para o foco, clique com o botão direito sobre o diretório H:\CorporateStructure\Jamestown, escolha Properties, selecione a guia Security e clique no botão Advanced.

Remova novamente a marca na caixa referente a herança Include inheritable permissions from this object’s parent e preserve as permissões atuais clicando em Add na janela informativa.

Remova os itens relacionados ao grupo local Users novamente e faça a inclusão do grupo da localidade, neste caso, JAMESTOWN_HOMEFOLDER e configure as permissões e opções para este grupo tal como está mostrado na imagem abaixo:

ds-folder-redirection-0008

Verifique e garanta que a conta Creator Owner esteja permissionada com Full Control e configurado tal como na imagem abaixo neste diretório:

ds-folder-redirection-0009

Feito estas verificações e configurações já temos o diretório, compartilhamento, permissões de compartilhamento e NTFS preparados para receberem o redirecionamento de pastas de forma segura. Agora, vamos configurar a política de grupo e associá-la as OUs necessárias.

Abra o console Group Policy Management e navegue até o container Group Policy Management > Forest: YourDomain.YourExtension > Domains > YourDomain.YourExtension > Group Policy Objects.

Clique com o botão direito sobre Group Policy Objects e escolha New e na nova Janela escolha o nome da sua política, deixe como None o campo Source Starter GPO e clique em Ok.

No painel ao lado direito, clique com o botão direito sobre a GPO que acabamos de criar e escolha Edit para abrir o Group Policy Management Editor. Navegue até o seguinte container User Configuration > Windows Settings > Folder Redirection.

Selecione o item Documents, clique com o botão direito sobre ele e escolha Properties. Na janela selecione a guia Target, escolha a opção Advanced – Specify locations for various user groups e clique no botão Add na parte inferior da janela.

Configure as opções como as mostradas na imagem abaixo:

ds-folder-redirection-0010

Selecione a guia Settings e configure as opções da mesma forma que as exibidas na imagem abaixo:

ds-folder-redirection-0011

Clique em Ok, feche o console Group Policy Management Editor e agora nós iremos associar esta política a uma OU. Tenha em mente que você deve sempre associar uma política a uma OU onde os objetos são alvos do escopo da GPO, ou seja, uma política que traga configurações abaixo do container User Configuration deve ser aplicada em uma OU que contenha contas de usuários, configurações abaixo do cotainer Computer Comfiguration devem ser aplicadas em uma OU que contenha contas de computadores.

Existe um caso onde você pode fazer com que configurações de usuários sejam aplicadas em um computador, mas isto é algo específico e não é possível realizar este tipo de ação sem as configurações necessárias. A título de conhecimento, este recurso se chama Group Policy Loopback Processing, mas este é outro assunto e eu não irei entrar em detalhes sobre o mesmo, pois não é o escopo deste artigo.

Frequentemente profissionais passam por problemas com políticas pelo simples fato de não seguirem regras básicas e tendo como resultado algo diferente do esperado com a política.

Selecione a OU onde estão os usuários que irão receber a política, neste caso, Coporate_Structure > Jamestown > Customer_Support > Users, clique com o botão direito sobre a OU Users, escolha Link an existing GPO…, selecione na lista de políticas a política que você acabou de criar para fazer o Folder Redirection e clique em Ok.

ds-folder-redirection-0012

Pronto! Já temos o recurso configurado e pronto para ser utilizado. Agora é preciso colocar em prática para validar o comportamento. Faça o logon em uma estação de trabalho com um usuário que esteja dentro da OU onde foi aplicada a política de Folder Redirection. Neste exemplo que vou utilizar três usuários para mostrar o recurso em ação: Eddy Lynch, Ivan Garrison e Neil Wolf.

ds-folder-redirection-0013

ds-folder-redirection-0014

ds-folder-redirection-0015

ds-folder-redirection-0016

Como podemos visualizar, todos os usuários tiveram seu diretório Documents direcionado para o novo local centralizado após efetuarem o logon em suas estações.

Outra configuração que pode ser feita para aumentar a segurança é habilitar o recurso ABE ou Access Based-On Enumeration. Com este recurso habilitado no compartilhamento todos os usuários serão capazes de ver apenas os diretórios para os quais eles tem permissões como na imagem abaixo:

ds-folder-redirection-0017

Acesse o console Shared and Storage Management através das Ferramentas Administrativas, selecione o container Shared and Storage Management (Local), no painel do lado direito selecione com um clique o item relacionado ao seu compartilhamento, clique com o botão direito, escolha Properties, na guia Sharing clique no botão Advanced e na próxima janela marque a opção Enable Access Based-On Enumeration como mostrado da imagem abaixo:

ds-folder-redirection-0018

É isso pessoal! Espero que este seja um procedimento que possa ajudar no momento de configurarem este recurso em sua infraestrutura.

Até o próximo post…

%d blogueiros gostam disto: