Сегодня нередко возникает необходимость получить доступ к корпоративным файлам во время поездок, командировок, а также во время встреч за пределами офиса. Не всегда для этого удобно использовать рабочее устройство, включенное в домен. Иногда доступ к корпоративным данным нужно получить и с личных устройств. С одной стороны, решение этой проблемы лежит на поверхности – давайте предоставим пользователю доступ к рабочим файлам с личных устройств. Но здесь есть проблема: как обеспечить должный уровень безопасности этих файлов? Выход предоставляют Windows Server 2012 R2 и Windows 8.1 – это использование Рабочих папок (Work Folders).

Рабочие папки – что это?

Традиционно, для своей работы пользователь использует устройство, выданное ему на работе и включенное в домен. При этом у каждого дома есть еще ноутбук, смартфон, планшет (иногда все сразу), причем все новое, современное, настроенное для максимального удобства владельца и хранящее всю нужную информацию. В этой ситуации необходимость повсюду брать с собой еще и рабочий компьютер (ноутбук, планшет) удручает. Часто возникает необходимость подключится к рабочим файлам извне именно с личного устройства. На сегодняшний день для этого существует три возможности:

• Подключится к корпоративному приложению через браузер;
• Установка с корпоративного портала приложений на устройства (личные и рабочие);
• Синхронизировать рабочие файлы на разных устройствах.

Одним из способов синхронизировать рабочие файлы на разных устройствах – как личных, так и включенных в домен – являются Рабочие папки (Work Folders).
Рабочие папки сконфигурированы на локальном файловом сервере организации. И именно данные в этим папках могут синхронизироваться с различными устройствами – как с включенными в домен организации, так и с личными устройствами пользователя. Данные, размещенные в Рабочих папках, всегда хранятся на сервере, и к ним можно получить доступ с любого устройства на котором есть Рабочие папки. Рабочие папки доступны для следующих версий операционных систем: Windows 7 SP1, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2. Также в планах есть сделать доступными Рабочие папки и для iOS.
Какие же возможности предоставляют рабочие папки?
IT-администратор получает возможность централизованно контролировать корпоративную информацию и регулировать работу пользователей с данными. Более того, в случае, если пользователь решит удалить Рабочие папки со своего устройства, то файлы все равно сохранятся на сервере организации. Это упрощает жизнь и в случае потери или кражи устройства, на котором были синхронизированы Рабочие папки. С помощью Windows Intune системный администратор может уничтожить Рабочие папки на утерянном устройстве.
Пользователь же получает доступ к своим рабочим данным со своих личных устройств. При этом они не должны быть каким-либо образом зарегистрированы в корпоративном домене или подсоединены к корпоративной сети. Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Во время синхронизации файлы передаются в зашифрованном виде. Еще одной особенностью рабочих папок является то, что они не предоставляют возможности организовать групповую работу над каким-либо файлом.

Установка и настройка

Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:

В домене создана группа Sales, в которую добавлен пользователь User 2. Test с алиасом tuser2, использующий OfficeHost. На своем устройстве HomeHost этот же пользователь использует имя user2.
Процесс создания и настройки рабочих папок состоит из нескольких этапов:

1. Настройка сервера
   1. Установка роли Рабочие Папки (Work Folders)
   2. Создание общего ресурса синхронизации (Sync Share)
   3. Включение доступа по SMB (дополнительно)
2. Настройка клиента, включенного в домен
3. Настройка Рабочих Папок (Work Folders) на личном устройстве
4. Синхронизация файлов в Рабочих Папках (Work Folders)

Также убедитесь, что и на сервер, и на клиент у вас установлены следующие обновления, необходимые для корректной работы Рабочих папок (обновления можно сказать здесь ^[1]):

• KB2883200
• KB2894179
• KB2894029

1. Настройка сервера

1.1. Установка роли Рабочие Папки (Work Folders)

Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:

Данную операцию также можно выполнить с помощью команды PowerShell:

PS C:> Add-WindowsFeature FS-SyncShareService

1.2. Создание общего ресурса синхронизации (Sync Share)

После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:SalesShare).

Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.

Далее укажем имя для общего ресурса синхронизации:

На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.

Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».

Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.

Проверим еще раз информацию.

И перейдем к установке.

Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:

PS C:>New-SyncShare SalesShare –path C:SalesShare –User MVASales -RequireEncryption $true –RequirePasswordAutoLock $true

В итоге, мы должны получить вот такой результат:

1.3. Включение доступа по SMB (дополнительно)

Если вы хотите включить доступ к папке по SMB, вы должны через Проводник зайти в место расположение папки SalesShare, и с помощью правой кнопки мышки выбрать пункт «Share with» -> «Specific people». Добавьте группу MVASales и измените права доступа на «Read/Write»:

Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:

PS C:> Set-SyncServerSetting -MinimumChangeDetectionMins <NumberInMinutes>

2. Настройка клиента, включенного в домен

Теперь перейдем к настройке Рабочих папок на клиентских машинах. Установить Рабочие папки можно с помощью: Панель управления (Control Panel) -> Система и безопасность (System and Security) -> Рабочие папки (Work Folders).

Введите E-mail адрес пользователя.

Укажите, где на устройстве должны быть расположены рабочие папки.

Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.

Теперь рабочие папки установлены на устройство.

Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.

Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.

3. Настройка Рабочих Папок (Work Folders) на личном устройстве

Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.

После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:

4. Синхронизация файлов в Рабочих Папках (Work Folders)

Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.

Надеюсь, информация будет полезна!
Спасибо!

Автор: m_berzin

Источник ^[2]