Dacă desfășurați mai multe servere de sincronizare și doriți să redirecționați automat utilizatorii către serverul de sincronizare necesar, va trebui să actualizați atributul fiecărui cont de utilizator în AD DS. Cu toate acestea, pentru a actualiza atributele, de obicei aveți nevoie de un membru al grupului de administratori de domenii sau de administratori de întreprinderi, iar aceasta poate fi o problemă dacă frecvent trebuie să adăugați utilizatori sau să le mutați între serverele de sincronizare.
Din acest motiv, un membru al Admins de domeniu sau Enterprise Admins poate decide să delege capacitatea de a schimba proprietatea MSDS-SyncServerURL obiecte utilizatorul este un membru al grupului de administratori dosare create în etapa 5 de lucru, așa cum este descris în următoarea procedură.
Delegarea abilității de a modifica proprietatea msDS-SyncServerURL a obiectelor utilizator în AD DS
În meniul Instrumente, faceți clic pe Utilizatori și computere Active Directory. Se afișează componenta Utilizatori și computere Active Directory.
Faceți clic dreapta OU în care sunt toate obiectele de utilizator în folderul de lucru (în cazul în care utilizatorii sunt stocate în mai multe departamente sau domenii, faceți clic dreapta pe un container comun pentru toți utilizatorii), apoi selectați Delegat de control. . Va apărea Expertul de gestionare a delegației.
Pe pagina Utilizatori sau Grupuri, faceți clic pe Adăugare și specificați grupul care a fost creat pentru administratorii dosarelor de lucru (de exemplu, administratorii dosarelor de lucru).
În pagina Sarcini delegate, faceți clic pe Creare sarcină personalizată pentru delegare.
În pagina Tip de obiect Active Directory, faceți clic pe Doar următoarele obiecte din dosar, apoi selectați caseta de validare Obiecte utilizator.
În pagina Permisiuni, debifați caseta de selectare generală. selectați caseta de selectare Permisiuni pentru proprietăți. apoi verificați citirea înregistrărilor msDS-SyncServerUrl și msDS-SyncServerUrl.
Pentru a delega abilitatea de a schimba proprietatea msDS-SyncServerURL a obiectelor utilizator folosind Windows PowerShell, utilizați exemplul de script următor cu comanda DsAcls.
Acum sunteți gata să atribuiți un dosar pe serverul de sincronizare pentru stocarea fișierelor de utilizator. Acest dosar se numește partajare de sincronizare și trebuie să faceți următoarele pentru al crea.
Dacă nu aveți un volum NTFS cu spațiu liber pe disc pentru partajarea sincronizării și fișierele de utilizator care vor fi stocate acolo, creați un volum nou și formatați-l în sistemul de fișiere NTFS.
În Server Manager, faceți clic pe Fișier și servicii de stocare. apoi faceți clic pe Foldere de lucru.
În partea superioară a panoului de detalii, este afișată o listă cu resursele de sincronizare partajate existente. Pentru a crea o nouă partajare de sincronizare, din meniul Sarcini, faceți clic pe Partajare nouă de sincronizare. . Se deschide asistentul Resurse noi de sincronizare generică.
Pe pagina Selectați server și cale, specificați unde să stocați partajarea sincronizării. Dacă aveți deja o partajare de fișiere obișnuită pentru aceste date de utilizator, o puteți selecta sau puteți crea un nou folder.
Implicit, resursele de sincronizare partajate nu sunt disponibile direct prin partajarea fișierelor (cu excepția cazului în care ați selectat o partajare de fișiere existentă). Dacă doriți să ofere acces la o resursă partajată de sincronizare printr-o partajare de fișiere folosind Acțiuni tile Server Manager sau cmdletului New-SmbShare a crea o partajare de fișiere, de preferință, cu enumerare inclus pe bază de acces.
În pagina Specificați structura pentru foldere personalizate, selectați formatul de nume pentru folderele utilizatorilor din cadrul partajării de sincronizare. Există două opțiuni.
Aliasul utilizatorului creează dosare de utilizatori care nu includ numele de domeniu. Dacă utilizați o partajare de fișiere care este deja utilizată de către serviciul de redirecționare a folderelor sau o altă soluție pentru stocarea datelor de utilizator, selectați acest format de nume. Puteți selecta caseta de selectare Sincronizați numai următoarea subfolder. Pentru a sincroniza numai un subfolder specific, de exemplu, un dosar de documente.
Domeniul alias @ al utilizatorului creează dosare de utilizatori care includ numele de domeniu. Dacă nu utilizați o cotă de fișier care este deja utilizat de către redirecționarea dosarul de serviciu sau de altă soluție pentru stocarea datelor de utilizator, selectați formatul de nume, care va elimina posibilitatea conflictelor în cazul în care mai multe parts utilizatorul același alias (care se poate întâmpla în cazul în care utilizatorii aparțin domenii diferite).
În Introduceți un nume pentru pagina de partajare a sincronizării, specificați numele și descrierea partajării de sincronizare. Aceste date nu sunt publicate în rețea, dar sunt vizibile în managerul de servere și în Windows Powershell și ajută la distingerea resurselor unul față de celălalt.
În pagina Grant acces la sincronizare pentru grupuri, specificați grupul pe care l-ați creat, care listează utilizatorii cărora li se permite să utilizeze această partajare de sincronizare.
Pentru a îmbunătăți performanța și securitatea, asigurați accesul la grupuri, nu la utilizatori individuali. Aplicați cu atenție apartenența la grup și evitați utilizarea grupurilor universale, cum ar fi "Utilizatori autentificați" și "Utilizatori de domeniu". Când acordați acces la grupuri cu un număr mare de utilizatori, timpul de procesare a interogării din dosarele de lucru din AD DS crește. Dacă aveți mulți utilizatori, creați mai multe resurse comune de sincronizare pentru a distribui sarcina.
În pagina Specificați politici de dispozitive, specificați dacă doriți să impuneți orice restricții de securitate pe computerele sau pe dispozitivele client. Există două politici pentru dispozitive, de la care puteți alege.
Criptarea dosarelor de lucru. Necesită criptarea dosarelor de lucru pe computerele și dispozitivele client.
Blocați automat ecranul și solicitați o parolă. Necesită ca computerele și dispozitivele client să blocheze automat ecrane după 15 minute și necesită o parolă de cel puțin șase caractere pentru a debloca ecranul și a activa modul de deconectare a dispozitivului după 10 încercări de parolă eșuate.
Pentru a pune în aplicare politicile de parolă pentru Windows 7 calculatoare și pentru utilizatorii care nu sunt administratori de pe PC-ul conectat la domeniul, utilizați politica de politică de grup pentru calculatoare parole de domeniu și de a elimina aceste domenii de politici parolă dosare de lucru. Domeniile pot fi excluse prin utilizarea cmdletului Set-Syncshare -PasswordAutoExcludeDomain după crearea unei cote de sincronizare. Pentru informații despre setarea politicilor de parolă pentru politica de grup, consultați parola.
Puteți crea resurse de sincronizare utilizând cmdletul Windows PowerShell New-SyncShare. Următoarea este un exemplu de utilizare a acestei metode.
Dacă aveți mai multe servere de sincronizare în mediul dvs., trebuie să configurați descoperirea automată a serverului populând proprietatea msDS-SyncServerURL a conturilor utilizator în AD DS.
De asemenea, poate doriți să creați un grup de securitate pentru administratorii serverului de fișiere și să le delege pentru a avea permisiunea de a modifica atributele specifice ale utilizatorilor, așa cum este descris în etapele 5 și 6. Fără acești pași, va trebui să atragă un membru al Admins de domeniu sau Enterprise admini pentru a configura automat descoperire pentru toată lumea utilizatorului.
Specificați serverul de sincronizare pentru utilizator
Deschideți Managerul de Server de pe computerul cu instrumentele de administrare Active Directory instalate.
În meniul Instrumente, faceți clic pe Centrul de administrare Active Directory. Administrarea centrală Active Directory este afișată.
Navigați la containerul Utilizatori din domeniul corespunzător, faceți clic dreapta pe utilizatorul căruia doriți să-l alocați partajării de sincronizare și selectați Proprietăți.
În panoul de navigare, faceți clic pe Extensii.
Pentru a umple atributul pentru mai mulți utilizatori, utilizați Active Directory PowerShell. Următoarea este un exemplu care completează atributele pentru toți membrii grupului Utilizatori de sincronizare a resurselor umane. care a fost discutată în etapa 5.