Домены windows общие папки

Управление общими папками.

Публикация общих папок в Active Directory не является необходимой, хотя и облегчает их поиск и использование. Возможность публикации позволяет размещать папки в ОП в соответствии с тем, пользователи какого подразделения за какие общие ресурсы отвечают.

Создание общей папки.

Чтобы создать новую общую папку, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Общая папка. Также можно выбрать в дереве нужный объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.

В появившемся окне введите имя папки, под которым она будет фигурировать в каталоге Active Directory (поле Имя ) и полный сетевой путь к общей папке.

При указании полного сетевого пути рекомендуется использовать полное DNS-имя компьютера, на котором расположен общий ресурс, т. к. к ресурсам, размещенным в каталоге одного домена, могут обращаться пользователи других доменов Active Directory. Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя ресурса вручную.

Изменение свойств общей папки.

Чтобы просмотреть и изменить свойства общей папки, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните нужный объект общей папки правой кнопкой мыши и в контекстном меню выберите Свойства.

В каталоге Active Directory публикуются и изменяются сведения, предназначенные для быстрого поиска общей папки. Эти свойства не имеют ничего общего с параметрами общей папки, которые отвечают за доступ к ней.

На вкладке Общие вы можете изменить основные сведения об общей папке.

Можно изменить полный путь, например, если она была перемещена с одного компьютера на другой, введите новый полный путь в поле UNC-имя. В поле Описание вы можете ввести произвольное описание данных общей папки и названия подразделений, которым она предназначена.

Щелкнув кнопку Ключевые слова, вы можете изменить список ключевых слов, связанных с общей папкой. Благодаря этому можно осуществлять поиск общих папок не только по имени, но и по ключевым словам.

Ключевым словом может быть целая фраза (хотя это снижает вероятность ее нахождения). После ввода отдельного ключевого слова щелкните кнопку Добавить, чтобы внести его в список. С помощью кнопок Изменить и Удалить вы можете соответственно отредактировать ключевое слово или удалить его из списка.

На вкладке Управляется указывается пользователь, управляющий общей папкой.

Просмотр содержимого общей папки.

Чтобы просмотреть содержимое общей папки с помощью Проводника, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Открыть или Проводник. Откроется новое окно Проводника, в котором будет показано содержимое общей папки.

Подключение сетевого диска.

Чтобы подключить общую папку как сетевой диск, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Подключить сетевой диск. Откроется окно подключения сетевого диска, в котором уже будет заполнено поле Папка.

Домены windows общие папки

Создание и подключение общего сетевого ресурса является одной из задач для комфортной работы в сети для пользователей домена. При создании общего ресурса пользователи смогут спокойно использовать созданный ресурс, обмениваться различными файлами, документами и другими ресурсами, которые нужны для полноценной работы в сети.

Процесс создания ресурса не сложный, занимает не так много времени. Конечно же надо определить место, где будет развернут ресурс. В дальнейшем необходимо настроить права и квоты для пользователей, а также определить правила взаимодействия с вновь созданным каталогом.

Создание и подключение общего доменного ресурса.

1. Нажимаем на соответствующий ярлык для запуска Диспетчера серверов.
   
2. В открывшемся окне проматываем ползунок вниз.
   
3. Выбираем вкладку «Файловые службы и службы хранилища» и нажимаем на эту вкладку.
   
4. В открывшемся окне «Общие ресурсы«, выбираем «ЗАДАЧИ«, затем «Новый общий ресурс. «.
   
5. В окне выбора профиля для общего ресурса производим выбор «Общий ресурс SMB — дополнительные параметры«. Затем нажимаем «Далее«.
   
6. В новом окне указываем сервер и путь к общему ресурсу. В данном случае выбран диск «D» и каталог общего ресурса назван «Distrib» (D:\Distrib). Снова «Далее«.
   
7. Затем задаём имя и описание для общего ресурса. Проверяем локальный и удалённый путь к общему ресурсу, нажимаем «Далее«.
   
8. В связи с тем, что по указанному пути нет каталога «Distrib«, система выдаст соответствующее предупреждение и предложит создать ресурс. После этого нажимаем «ОК«.
   
9. В следующем окне ставим чекбокс напротив «Включить перечисление на основе доступа«. Затем «Далее«.
   
10. Если есть необходимость, то в новом окне можно настроить разрешения на доступ к файлам общего ресурса. Но также эти разрешения можно настроить и после создания и подключения общего ресурса.
    
11. В окне с «Указанием свойств управления папкой» ставим чекбокс напротив «Файлы пользователя». Нажимаем «Далее«.
    
12. Применение квоты к папке или тому — здесь можно сразу настроить квоту на основе шаблона или оставляем «Не применять квоту«. Затем «Далее«.
    
13. В окне «Подтверждение выбора» проверяем все настройки и нажимаем клавишу «Создать«.
    
14. В результате всех этих действий будет создан на сервере общий ресур на диске «D«, имя каталога «Distrib«.
    

Таким образом мы создали общий ресурс на сервере и подключили его для пользователей домена с помощью групповой политики.

Видео по созданию и подключению общего сетевого ресурса в домене можно посмотреть здесь:

Подключение сетевых дисков в Windows через групповую политику

Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share . Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).

В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.

Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):

New-ADGroup «SPB-managers» -path ‘OU=Groups,OU=SPB,dc=test,DC=com’ -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov

Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers .

Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.

1. Откройте консоль управления доменными GPO — Group Policy Management Console ( gpmc.msc );
2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
3. Перейдите в секцию GPO User Configuration ->Preferences ->Windows Settings ->Drive Maps. Создайте новый параметр политики New ->Mapped Drive;
4. На вкладке General укажите параметры подключения сетевого диска:
   • • Action: Update (этот режим используется чаше всего);
     • Location: UNC путь к каталогу, который нужно подключить;
     • Label as: метка диска;
     • Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
     • Drive Letter – назначить букву диска;
     • Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
5. Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
6. Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item ->Security Group -> укажите имя группы;
7. Сохраните изменения;
8. После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.

Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.

Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD ( sAMAccountName ) и назначьте нужные NTFS права.

Создайте еще одно правило подключения дисков в той же самой GPO.

В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser% . В качестве метки диска я указал %LogonUser% — Personal .

Сохраните изменения и обновите политики на компьютерах пользователей командой:

Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.

Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.

Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).

Анонимный доступ к общим папкам и принтерам без пароля

По умолчанию, при доступе к общей сетевой папке на сервере, включенном в домен Active Directory, с компьютеров из рабочей группы (не добавленных в домен) у пользователя появляется запрос на ввод пароля доменной учетной записи. Попробуем разобраться, как разрешить анонимный доступ к общим сетевым папкам и принтерам на доменном сервере с компьютеров рабочей группы без авторизации на примере Windows 10 / Windows Server 2016.

Локальные политики анонимного доступа

На сервере (компьютере), к которому вы хотите предоставить общий доступ неавторизованным пользователям нужно открыть редактор локальной групповой политики – gpedit.msc.

Перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)

Настройте следующие политики:

• Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
• Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
• Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).

В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.

Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.

Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). В секции “Все сети” должен быть выбрана настройка “Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках” и выбрать “Отключить парольную защиту (если вы доверяете всем устройствам в вашей сети)” (см. статью о проблемах обнаружения компьютеров в рабочих группах).

Настройка анонимного доступа к общей папке

Теперь нужно настроить разрешения доступа на общей папке, к который вы хотите предоставить общий доступ. Откройте свойства папки в настройках NTFS разрешений (вкладка Безопасность) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.

Также на вкладке Доступ нужно предоставить права анонимным пользователям на доступ к шаре (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.

Теперь в редакторе локальных политик в секции Локальные политики -> Параметры безопасности нужно в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) указать имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).

Предоставление анонимного доступа к общему сетевому принтеру

Чтобы разрешить анонимный доступ к сетевому принтеру на вашем компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).

Затем на вкладке безопасность для группы “Все” отметить все галки.

После выполнения этих действий вы сможете подключаться к общей папке (\\servername\share) и принтеру на доменном компьютере с компьютеров рабочей группы без ввода имени пользователя и пароля, т.е. анонимно.