Настройка рабочих папок (Work Folders) в Windows Server 2016

Технология рабочих папок (Work Folders) позволяет организовать удаленный доступ пользователей к своим файлам на внутреннем файловом сервере компании и работать с ними в офлайн режиме с любого устройства (ноутбук, планшет или смартфон). При следующем подключения к сети все изменения в файлах на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем, как установить и настроить функционал Work Folders на базе файлового сервера Windows Server 2016 и клиента с Windows 10 .

В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.

Установка и настройка роли Work Folders в Windows Server 2016

Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.

В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).

Установка роли Work Folders с помощью PowerShell выполняется такой командой:

Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).

Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.

Откройте Server Manager, выберите роль File and Storage Services -> Work Folders. Выберите меню Tasks -> New Sync Share.

Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:\finance.

Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате user@domain.

Затем указывается имя шары.

Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.

Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:

• Encrypt Work Folders – обязательное шифрование данных в каталоге Work Folder на клиенте с помощью BitLocker
• Automatically lock screen and require a password– автоматическая блокировка экрана через 15 минут неактивности устройства и защита его паролем (не менее 6 символов)

На этом настройка новой рабочей папки закончена.

Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе

New-SyncShare «Sales» C:\sales –User «Sales_Users_Remote_WorkFolder»

Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.

Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).

Настройка клиента Work Folders

В данном примере в качестве клиента Work Folders используется устройство с Windows 10. Настройка производится через имеющийся апплет в панели управления Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).

Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.

Далее нужно указать Email пользователя или URL адрес сервера Work Folders.

По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1

Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.

На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%\Work Folders и их размер не может превышать 10 Гб.

После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).

Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.

Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.

Через некоторое время данный каталог должен появится на сервере.

Настройка клиента Work Folders групповыми политиками Windows

Для автоматической настройки Work Folders можно использовать две специализированные групповые политики в разделе User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:

• Specify Work Folders Settings – в ней можно указать URL адрес сервера Work Folders
• Force automatic setup for all users – инициирует автоматическую настройку клинета

Ошибка синхронизации Work Folders 0x80c80317

В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:

В логе сервера при этом содержатся такие записи:

Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды

Repair-SyncShare -name Finance -user Domain\user1
Get-SyncUserStatus -syncshare Finance -user Domain\user1

Как правило, это решает проблему поломанной синхронизации.

Заключение

Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.

Отключаем службу CDPUserSvc

Продвинутые пользователи Windows 10 часто обращают внимание на службу CDPUserSvc. Подозрение вызывает её название, которое может меняться за счёт добавления пяти сгенерированных символов, например, «CDPUserSvc_30ebf». А вместо описания в диспетчере служб содержится ошибка «Error Code: 15100».

Название службы расшифровывается как « Connected Devices Platform User Service » или по русски — служба платформы подключенных пользовательских устройств. Пусть перевод не смущает, на деле название не совпадает с реальным назначением. В некоторых версиях Windows служба запускается при старте системы, а в некоторых — только когда пользователь, приложение или сервис требуют этого от системы. Кроме этого, есть следующая информация:

• Исполняемый файл:
  %SystemRoot%\System32\CDPSvc.dll .
• Ключ системного реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc .
• Запуск осуществляется через:
  %SystemRoot%\system32\svchost.exe -k UnistackSvcGroup .

Почему в описании ошибка «Failed to Read Description. Error Code: 15100»? Официальный ответ на этот вопрос в компании Microsoft не дают. Есть мнение, что они просто не хотят разглашать её реальное назначение и это не просто так.

Что делает CDPUserSvc

Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это нужный системный процесс. Для чего же системному процессу менять своё название. Скорее всего, это мера для предотвращения автоматического завершения и удаления службы из системы.

Изучив детально процесс, можно выяснить, что он получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows. И вот с какими службами взаимодействует CDPUserSvc:

• OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные.
• PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах.
• UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения.
• UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя.

Другими словами, процесс имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений.

Отключаем CDPUserSvc

Чтобы отключить CDPUserSvc сначала узнаём точное название файла. Нажимаем кнопку «Пуск» и в строке поиска вводим «services.msc». Клик по Enter и откроется окно в котором ищем CDPUserSvc_xxxxx, где xxxxx — 5 сгенерированных случайным образом символов. Эти символы потребуются при вводе команд удаления.

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе». Поэтому заходим в системный каталог %SystemRoot%\system32\ и ищем «cmd.exe». Для запуска с полными правами вызываем контекстное меню и выбираем команду «Запуск от имени администратора». Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран. Операционная система при этом запустит восстановление и ничего не удалится.

Перезагрузите компьютер и в редакторе реестра найдите ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services . Удалите в ней следующие ключи:

В комментариях Евгений выложил готовый скрипт для автоматического удаления службы. Скачать его можно по этой ссылке.

Для большей безопасности также можно ограничить доступ к серверам Microsoft, добавив в конец файла « C:\Windows\System32\drivers\etc\hosts » строки отсюда — hosts.txt.

Я просто поменял «start» у всех этих служб (кроме тех, что с рандомными цифрами, т.к они с каждым перезапуском разные) на 4 и перезагрузился. Синих экранов не было, а все эти службы теперь «остановлены», и даже с новыми рандомными цифрами, т.к эти рандомные цифры копируются из тех сервисов, где этих цифр нет, и где я поставил start=4, вот.

Win10 10.0.14393.576 x64 Enterprise LTSB

Это всё обвязка магазина и облачных приложений и связь этих приложений с соц. сетями, rss, новостными каналами… а так-же для рекламы, маркетинга, доп сбора пользовательской статистики, стандартизации покупательских предпочтений, оценки напряжений в обществе по геополитическим, социальным, религиозным группам и ещё чёрт знает чего, они сами уже не знают всего, что там происходит, так как эти системы уже живут собственной жизнью и уже давно диктуют собственные правила развития операционных систем, тех обеспечения, IT-индустрии, да и общества в целом…

«Нет, мы не наблюдаем за вами в туалете! Нет-нет! Что вы… Но мы подадим вам туалетную бумагу, в тот момент, когда последний виток с рулона коснётся вашей жопы — в этом вы можете на нас положиться!»

Когда тебе постоянно что-то впаривают с таким остервенелым фанатизмом, появляется почва для развития неврозов.

Службы по списку грохнул — экран разноцветный, всё в порядке.
обновления системы на сегодня актуализированы.

Консоль с правами Администратора можно проще открыть.

Win+X и выбираем Командная строка (Администратор)

Этот код закинуть в текстовый файл, сохранить как .bat и запустить от админа
Все службы эти отрубятся, включая хитрые названия.

1. Для Отключения этих служб:

2. Для перевода этих служб обратно в режим по умолчанию

Обратил внимание на CDPUserSvs по тем же причинам: грузит диск на 100%, память…
У меня он был под именем CDPUserSvs_57f22. В свойствах оказалось, что программа говорит на японском (или китайском). Удалить или остановить не удалось. Потом попал к вам на форум.
Все проделал как и советовали — синего экрана не было, но служба пару раз появлялась под другим номером.

В итоге:
1. В управлении компом в службах присутствует под последним именем CPDUserSvs_30ace, тип запуска «Автоматически».
2. В свойствах тип запуска «Отключена», состояние «Остановлена».
3. В Диспетчере задач тоже присутствует, но — остановлена.

Остановил также задачи OneSyncSvc_30ace, WpnUserService_30ace и MessagingService_30ace.

Грузить комп перестал.
Спасибо.

Спасибо тема актуальная!, и хотелось бы, что бы, разведка была по службам, а так вашим стараниям и любопытству здоровый респект и уважуха.

Производительность ЦП выросла с 6.9 до 7.2.

Зачем изобретать велосипед?

Панель управления -> Администрирование -> Службы -> CDPUserSvc_480c6c -> Свойства -> Тип запуска: Отключена

У меня на Win 10 Pro тоже все норм. Спасибо. Вполне вероятно что некоторые уникумы проделали данные действия не с оригинальным дистрибутивом, а со сборкой, отсюда и проблемы.

Вот вам батник написал…
Можете добавить службы на отключение
Дерзайте…

Огромное спасибо Евгений.
Замечательный bat-ник! (только русские надписи в командной строке неправильно отображаются)

Причем, как я понял после его выполнения, он отключает указанные в нем службы для каждого пользователя в системе (причем находит сам все номера ххххх для CDPUserSvc_xxxxx и других служб).
У меня на пк нашел аж 8 CDPUserSvc_xxxxx для всех пользователей начиная с пользователя «Default» и заканчивая пользователем «Общие».

Оказывается я до этого по инструкции выше вручную удалял службы только для одного пользователя!

Спасибо вам за скрипт, надеюсь что эти службы снова не установятся в ближайшем будущем…

НО в вашем скрипте записи в реестре не удаляются (как описано в инструкции выше), а службам присваивается значение 4 — язапуск службы отключен.

Почему нужно отключать запуск службы (значение 4 в реестре), а не удалять значение реестра (как в инструкции выше).
Чтобы windows не установила службу снова.

P.S.: Что еще отключить в Windows 10 (Центр обновления Windows уже отключен), чтобы эти службы не ставились снова.

Замечательный bat-ник! (только русские надписи в командной строке неправильно отображаются)

Причем, как я понял после его выполнения, он отключает указанные в нем службы для каждого пользователя в системе (причем находит сам все номера ххххх для CDPUserSvc_xxxxx и других служб).
У меня на пк нашел аж 8 CDPUserSvc_xxxxx для всех пользователей начиная с пользователя «Default» и заканчивая пользователем «Общие».

Почему нужно отключать запуск службы (значение 4 в реестре), а не удалять значение реестра (как в инструкции выше).
Чтобы windows не установила службу снова.

Спасибо за разъяснения про алгоритм скрипта.

Теперь буду пробовать пользоваться скриптом (установка значений реестра 4), вместо удаления служб (sc delete xxx). Посмотрим, каким методом меньше тормозов в Windows будет -> читай -> загруженность диска…

Еще один вопрос, Евгений!

Процесс «Поиск» или SearchUI.exe или Cortana (microsoft.windows.cortana_cw5n1h2txyewy) тормозит загрузку ПК и, кажется, его работу в целом.

Попробовал завершить процесс в диспетчере задач и быстро переименовать файл в C:/Windows/SystemApps этой командой:
ren Microsoft.Windows.Cortana_cw5n1h2txyewy Microsoft.Windows.Cortana_cw5n1h2txyewy.bak

Вот по этой статье: https://pandoon.info/ru/windows-10-comment-desactiver-cortana-completement-4/

Вопрос: переименование файла Cortana не влияет на работу системы?? и после переименования cartana больше не будет запускаться и что-либо синхронизировать… или Windows 10 не будет глючить без неё?

Если без неё скорость работы ПК возрастет, то хорошо бы, чтобы вы включили в ваш bat-ник код отключения Cortana : остановить процесс SearchUI.exe и переименовать файл с cortana C:/Windows/SystemApps/Microsoft.Windows.Cortana_cw5n1h2txyewy.bak

… хорошо бы, чтобы вы включили в ваш bat-ник код отключения Cortana: остановить процесс SearchUI.exe и переименовать файл с cortana…

«O&O ShutUp10» — я пользовался и ей, НО:

«После каждого нового запуска показывает, что проклятые янки ОПЯТЬ ОБРАТНО включили…» — поэтому я и решил использовать ваш файл .bat, решив, что «ручками» поотключаю службы и они больше не поставятся (т.к. отключена служба центра обновления Windows) — но службы иногда появляются снова…
А вот эту службу я вообще не могу удалить: sc delete DevicesFlowUserSvc_1343c3 — пишет отказано в доступе, хотя командную строку запускал от имени локального администратора… Надо будет в безопасном режиме попробовать… хотя я сомневаюсь.

Помнится была утилита от Sysinternals для установки/удаления служб — нужно будет ей попробовать удалить.

Еще вопрос, Евгений!

Скрипт работает на Windows 10, возможно и на Windows 8, а вот на Windows 7 — он стопорится:
первая строка на черном экране — действия над ====WerSvc===
далее у меня белеберда из русских символов, а потом строка Операция успешно завершена.
и скрипт висит — дальше не выполняется.

На чем он в Windows 7 зависает… что исключить из bat-ника?

Спасибо, русские буква теперь отображает, DevicesFlowUserSvc — удалил, хотя я сам пытался его удалить от имени администратора — в ответ выводилось что отказано в доступе.
Хотя у меня еще была служба DevicesFlowUserSvc_1343c3 (отображаемое имя DevicesFlow_1343c3) — пытался удалить от имени администратора — отказано в доступе.
В описании написано: Обнаружение устройств и подключение

СКРИПТ отрабатывает
=== CDPUserSvc ===
ПОПЫТКА УДАЛИТЬ СЕРВИС CDPUserSvc
СЕРВИС CDPUserSvc НЕ ОБРАБОТАН [ОТСУТСТВУЕТ]
— И все — я так понимаю это @pause > nul — вывести бы еще на экран сообщение «Работа скрипта завершена! Нажмите любую клавишу для закрытия окна» — ну это так, украшательства)))

Скачал выш .bat файл, дальше как её использовать? Скачанный файл открывается на блокноте. Пожалуйста объясните подробнее, что делать с этим файлом.

привет. удалил вручную. потом прогнал скриптом еще раз. однако у меня появились новые службы (*ука) (после обновления). И их вручную не удалить. Либо я не отключил (не нашел) связанные с ними другие службы.
DeviceFlowUserSvc
DevicepickerUserSvc
PrintWorkflowUserSvc
BcastDVRUserService

Существует несколько решений для устранения этой ошибки, как некоторые из них приведены ниже.

1- Сканирование вашей системы: Некоторое время из-за вредоносного ПО мы сталкиваемся с такой ошибкой и прекращением работы системы. Итак, мы должны сканировать нашу систему с помощью любого антивируса или для Windows 10 пользователи могут использовать защитник Windows для сканирования вашей системы.

2- Восстановление системы: опция восстановления системы также является хорошим и небольшим техническим способом избавиться от этой ошибки. Восстановление поисковой системы на панели поиска Windows> нажмите, чтобы создать пункт точки восстановления> Кнопка восстановления системы> Далее> Выберите нужную точку восстановления> Далее и следуйте инструкциям на экране, чтобы завершить эту процедуру. Infect, вы можете следовать https://windowserrors.org/disable-cdpusersvc-error-code-15100-windows-10/, чтобы получить больше методов с полной детализацией.

Доброго времени суток.
Данный метод помог (не с первого раза, пришлось поэкспериментировать) нацарапал батничек, прогнал несколько раз. Все гуд!
На данный момент есть комп с такой же бедой. Только на нем батник от имени администратора не выполнить. Запускаешь, а кнопка «ДА» отсутствует, только кнопка «НЕТ».
Может кто подскажет, как с данной модификацией бороться? Или все ручками через реестр?

З.Ы. Из служб не все службы с индексом _ххххх ушли, некоторые остались в списке, но они неактивны и не мешают. Вероятно в реестре остались. Особо не мешает.

Всё прекрасно, и Евгению — спасибо.
Но вот переставший работать Скайп — это печаль ((( Мессенджер ужасным стал, но традиционно вся коммуникация по работе выстроена вокруг него…
Подскажите, плиз, какая именно служба ему нужна, чтоб работать (сейчас запускается, загружается, и закрывается 🙂 ), и как её восстановить, если, конечно, это возможно.

PS: кстати, старый скайп (который просто for Windows, а не for Windows 10) отлично работает.

Набор скриптов чистит эту нечисть раз в сутки в 12:10 дня:
https://onedrive.live.com/redir?resid=F23D12D9AE35A395%214268

Для установки распаковать архив, и запустить с правами админа install.bat.
После установки распакованное можно удалять.

Почистить немедленно можно командами:
ApplySettingsProfile
CleanWindows

После чистки рекомендуется перезагрузить.

После отключения службы с именем «служба платформы подключенных пользовательских устройств»(В описании отображалась как «CDPSvc») в панели служб и последующей перезагрузки начали появляться другие службы с символами «_xxxxx» на конце. Именно после этого данная служба почему-то сменила имя на «CDPUserSvc_xxxxx» в описании после перезагрузки. Снес все перечисленные вами службы по вашим скриптам через cmd. После перезагрузки в реестре, почему-то не обнаружил ключи, которые вы перечислили. Возможно, винда где-то ещё их припрятала. После повторной попытки удаления всех перечисленных вами служб с новыми рандомными символами командная строка их не обнаруживает.
Всё это в чистой Win 10 Enterprice LTSC 2019 c установленными последними обновами и настроенной вручную через меню настроек конфединциальностью(если, конечно, все эти тумблерочки хоть на что-то влияют), а так же ковыряние в групповых политиках и выполнение других рекомендаций из вашей предыдущей статьи.

Но меня смущают службы, которые тоже теперь после каждой перезагрузки меняют имена:
CaptureService_6465f
ConsentUxUserSvc_6465f
Пользовательская служба DVR для игр и трансляции_6465f(PrintWorkflowUserSvc_6465f)
Пользовательская служба push-уведомлений Windows_6465f(BcastDVRUserService_6465f)
Пользовательская служба буфера обмена_6465f(cbdhsvc_6465f)
Служба поддержки пользователей Bluetooth_6465f(BluetoothUserService_6465f)
Служба хранения данных пользователя_6465f(UnistoreSvc_6465f)

После их завершения и перевода на ручной запуск ничего не изменилась, система так же работала. На данный момент оставил так. Как думаете, можно их полностью отключить и удалить из системы? Хотелось бы узнать ваше мнение по этому поводу

При попытке смены типа запуска данных служб на «отключено» выбивает предупреждение «Параметр задан неверно!».

через консоль пока что стремаюсь их удалять