Windows Server 2012 R2: Folder Redirection

La sicurezza dei dati utente è uno dei fattori che principalmente spinge gli IT ad utilizzare i Folder Redirection ed il Roaming User Profiles. Eseguire un costante e puntuale backup dei dati utente presenti su ogni singola postazione risulta, molto spesso, difficoltosa. Difficoltà, oltre che operativa, anche economica. Negli ultimi anni molti produttori di soluzioni di backup offrono prodotti completi ed integrati per Server e Client. Qualcuno integra la funzionalità di backup all’interno degli Antivirus Endpoint.

Quali sono le sostanziali differenze tra Folder Redirection e Roaming User Profiles?

Folder Redirection: Viene utilizzata per memorizzare i dati dell’utente all’interno di cartelle condivise centralizzate su server. La scelta delle cartelle da centralizzare dipende dalle singole esigenze. Generalmente si dà priorità alla cartella “Documenti”. Quindi i dati dell’utente non risiedono sul PC ma su uno o più Server. La conseguenza pratica è quella di poter eseguire un unico backup centralizzato. Questo si traduce in finestre di backup più brevi, minor traffico sulla rete e politiche di sicurezza più semplici.

Roaming User Profiles: A differenza della soluzione precedente, in questo caso, l’intero profilo utente è memorizzato in una cartella condivisa centralizzata. Il profilo, quindi, è sganciato dal singolo PC. Tutte le impostazioni applicate al profilo sono “replicate” su ogni singolo PC a cui l’utente accede, di conseguenza l’utente avrà una migliore esperienza d’utilizzo in quanto ritroverà il proprio Desktop, i propri files, le proprie impostazioni su ogni PC. Rispetto al Folder Redirection, implementare il Roaming User Profiles risulta più complesso in tutte quelle situazioni in cui ci sia coesistenza di differenti Sistemi Operativi Client (Windows 7, Windows 8, Windows 8.1, Windows 10).

Ovviamente, è possibile utilizzare contemporaneamente i due approcci, ottenendo così il meglio delle due soluzioni.

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio: testerlab.local

Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Unità Organizzativa: OU-01
Gruppo di Sicurezza: Gruppo_Folder_Redirection
Utenti: ut01, ut02

Per gestire gli accessi alla cartella condivisa che conterrà i dati degli utenti utilizziamo un Gruppo di Sicurezza. Questo ci permetterà di utilizzare permessi di accesso più restrittivi.

Creazione Gruppo di Sicurezza
Selezioniamo l’ambito di applicazione della Group Policy, nel nostro caso l’Unità Organizzativa (OU) precedentemente creata OU-01. Dal menu a discesa selezioniamo “Nuovo” > “Gruppo”. Indichiamo il nome e premiamo “Ok”.
fo_re-02
fo_re-03
fo_re-04

Il gruppo appena aggiunto dovrà essere popolato con gli utenti a cui vorremo dare la possibilità di utilizzare il Folder Redirection.
fo_re-05

Nell’esempio il gruppo “Gruppo_Folder_Redirection” è composto dagli utenti “Ut01 –  Ut02”. Gli stessi utenti saranno aggiunti all’interno dell’Unità Organizzativa “OU-01”.
fo_re-07

Creazione cartella condivisa
La fase successiva è quella di creare lo spazio disco per la memorizzazione dei dati utenti. Per questa attività utilizzerò Server Manager che offre una visione di insieme delle risorse disponibili.

Selezionare “Condivisioni” e nell’ambito delle attività “Nuova condivisione”.
fo_re-07

Scegliere “Condivisione SMB – rapida” e premere “Avanti”. Successivamente selezionare lo storage tra quelli disponibili.
fo_re-08
fo_re-09

Nella schermata successiva indicare il nome della condivisione ed una eventuale descrizione. Per evitare che la cartella condivisa sia visibile a tutti aggiungere il carattere $ alla fine del nome. Nell’esempio il nome utilizzato è “SUtenti$“.
Eliminare il flag “Consenti memorizzazione nella cache della condivisione” se non ci sono utenti che lavorano in modalità offline.
fo_re-10
fo_re-11

Come già detto in precedenza andremo a personalizzare la sicurezza della cartella condivisa appena creata.
Premere il pulsante “Personalizza autorizzazioni”, nella pagina seguente premere il pulsante “Disabilità ereditarietà” e confermare la scelta.
fo_re-12fo_re-13fo_re-13a

Alla fine, come evidenziato nella seguente screen non avremo nessuna eredità.
fo_re-14

A questo punto andiamo ad impostare le autorizzazioni corrette eliminando dall’elenco delle entità il gruppo Users ed aggiungendo il Gruppo di Sicurezza precedentemente creato (Gruppo_Folder_Redirection). Per completare l’attività premere il tasto “Ok”.
fo_re-15

Aggiungere ed assegnare al Gruppo di Sicurezza le seguenti autorizzazioni:
Visualizza contenuto cartella/Lettura dati
Creazione cartelle/Aggiunta dati

Per visualizzare le autorizzazioni speciali è necessario premere sul link “Mostra autorizzazioni avanzate“.

fo_re-17
fo_re-18

Dopo aver modificato le autorizzazioni completiamo il wizard per la creazione della cartella condivisa.
fo_re-19
fo_re-20
fo_re-21

Creazione Group Policy
Completate le prime due fasi passiamo alla creazione della Group Policy che andremo ad applicare all’Unità Organizzativa.

Selezioniamo l’Unità Organizzativa (OU-01) e creiamo un oggetto Criterio di gruppo. Indichiamo il nome e premiamo il pulsante “Ok”. Nel nostro caso, il nome scelto è “Folder Redirection“.
fo_re-22

Di default il filtro di sicurezza della Group Policy è impostata su Authenticated Users. Noi vogliamo restringere il campo di applicazione al Gruppo di Sicurezza creato in precedenza. Sarà dunque questa la prima modifica che andremo ad effettuare.
fo_re-25
fo_re-26

Modifichiamo il criterio precedentemente creato.
In particolare, per la nostra attività, ci concentreremo su:
> Configurazione utente
>> Criteri
>>> Impostazioni di Windows
>>>> Reindirizzamento
fo_re-27

Essendo la cartella “Documenti” quella più utilizzata per la memorizzazione dei dati utente, andremo a reindirizzare proprio tale cartella.

Dal menu a discesa selezioniamo “Proprietà” per impostare i valori che riterremo più idonei alle nostre esigenze.
Nell’esempio vengono utilizzate le “Impostazioni Base” e la creazione di una cartella differente per ogni singolo utente.
Nel campo “Percorso radice” indicheremo il percorso della cartella condivisa precedentemente creata (SUtenti$).
fo_re-28
fo_re-29
fo_re-30

Una segnalazione ci indicherà che sono presenti delle impostazioni incompatibili con alcune precedenti versioni si Sistema Operativo.
fo_re-30a

Siamo dunque pronti per applicare la nostra nuova Group Policy e per forzarne l’applicazione possiamo eseguire un GPUpdate /force.
Lato client possiamo verificare l’applicazione delle Group Policy attraverso il comando GPResult. In particolare, dato che si tratta di un’applicazione di Group Policy lato utente possiamo eseguire GPResult /USER nome_utente /SCOPE USER /Z.

Di seguito la screen della cartella condivisa contenete le sottocartelle di riferimento dei due utenti di test.
fo_re-31

…a seguire (spero presto) Roaming User Profiles 🙂

Approfondimenti
GPUpdate
GPResult
Deploy Folder Redirection with Offline Files
Deploy Roaming User Profiles

2 thoughts on “Windows Server 2012 R2: Folder Redirection

  1. dcbaule

    Ciao,
    ti ringrazio per gli articoli mi sono stati utilissimi e sono davvero molto chiari.

    Ho una domanda riguardo il tuo consiglio “Ovviamente, è possibile utilizzare contemporaneamente i due approcci, ottenendo così il meglio delle due soluzioni.”
    Quale è il metodo per implementarle contemporaneamente ? Nel caso in cui entrambe le soluzioni vengano attivate ad esempio la cartella Documents verrà gestita dal “Folder redirect” o dal “Roaming User Profiles ?
    Quali sono le cartelle che sarebbe meglio gestire con il folder redirect e quali con il roaming ? La directory “App Data” ad esempio in che modo è meglio gestirla?

    Grazie!

    Reply
    1. testerlabblog

      Ciao, scusa il ritardo…

      Partendo dal basso. AppData potrebbe creare qualche problema se il volume di dati da scambiare è elevato. Molto dipende dalle applicazioni installate e dalla larghezza di banda.
      Per quanto riguarda il discorso su quale impostazione verrà utilizzata dipende dall’applicazione delle policy. Ovviamente devi scegliere in maniera adeguata le combinazioni. Es. Roaming Profiles su una share (share_1) e Folder Redirect su una share separata (share_2).
      In ogni caso Roaming Profiles viene utilizzato per centralizzare le impostazioni (profili) utenti mentre Folder Redirection per centralizzare i dati.

      Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *