Установка и настройка рабочих папок в системе Windows 10
Рабочие папки служат для хранения рабочих файлов и позволяют использовать их на любом из собственных компьютеров или устройств (даже в автономном режиме).
Ниже приведены ответы на наиболее часто задаваемые вопросы об использовании функции Рабочие папки.
Как настроить Рабочие папки
Функцию Рабочих папок настраивает администратор IT-инфраструктуры в организации. Как только ваш счет будет настроен, в поле поиска на панели задач введите Рабочие папки, выберите пункт Рабочие папки → Настроить папки «Черновики», а затем следуйте инструкциям.
Если у вас есть проблемы с настройкой функции Рабочие папки или доступа к файлам, обратитесь к администратору.
Где хранятся мои файлы
Файлы, сохраненные с помощью функции Рабочие папки, находятся:
Как перенести Рабочие папки на другой компьютер
Рекомендуется использовать папку по умолчанию, в которой хранятся файлы функции Рабочие папки (C:\Пользователи\имя_пользователя\Рабочие папки, где имя_пользователя – это имя пользователя Windows).
Однако, если вам нужно изменить расположение:
Примечание: Вы можете выбрать папку на другом диске с большим количеством свободного места, если он был отформатирован с помощью файловой системы NTFS и постоянно подключен к компьютеру.
Не получается переместить рабочие папки
Вы не можете использовать некоторые места на вашем компьютере, которые зарезервированы операционной системой Windows или зашифрованы.
Если попытаться выбрать одно из этих мест в качестве папки файлов для функции Рабочие папки, появится сообщение «Это расположение не работает».
Следующие места зарезервированы системой Windows:
Если место, которое Вы хотите использовать в качестве папки с файлами функции Рабочие папки, зашифровано, вы можете выбрать другое расположение или расшифровать это место и повторить попытку.
Вот как расшифровать местоположение:
Почему имена файлов в Рабочей папке зеленые
Как расшифровать файл в Рабочей папке
Вы не можете расшифровать зашифрованные файлы, хранящийся в Рабочей папке, потому что только ваша организация решает, должен ли быть файл зашифрован.
Однако, если вы сохраните личный файл в Рабочей папке, а затем перенесёте его в другое место, правила безопасности, действующие в вашей организации, по-прежнему будут применяться к файлу.
Зашифрованные файлы можно узнать по зеленому цвету в их названии.
Чтобы отключить действие правили организации в отношении ваших личных файлов:
Почему я должен повторно вводить пароль
Правила в отношении паролей в рамках функции Рабочие папки определяет организация, поэтому иногда может потребоваться повторно ввести пароль.
Файлы с ошибками в Рабочей папке
Если файлы не синхронизируются правильно, функция Рабочие папки отображает список файлов и причину неправильной синхронизации.
Ниже приведены попробовать несколько способов, которые могут помочь в решении проблем с синхронизацией:
Как открыть файлы рабочей папки в Office
В любом приложении Office выберите Открыть → Этот компьютер, затем найти Рабочие папки на вашем компьютере (по умолчанию это C:\Пользователи\имя_пользователя\Рабочие папки).
Для того, чтобы дополнительно облегчить доступ к этим файлам, добавьте Рабочие папки к списку файлов в меню Открыть и Сохранить как. Просто откройте приложение Office и выберите пункт Файл → Открыть → Добавить место → Рабочие папки.
Как перестать использовать рабочие папки
Сначала перенесите личные файлы в другое место. Если файлы зашифрованы, щелкните их правой кнопкой мыши и выберите пункт Удалить корпоративный контроль, чтобы расшифровать файлы.
Затем в поле поиска на панели задач, выполните поиск строки Рабочие папки и выберите пункт Рабочие папки → Прекратить использование рабочих папок. Если компьютером управляет ваша организация, эта опция может быть недоступна.
Развертывание рабочих папок
область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7
В этом разделе рассматриваются шаги, необходимые для развертывания рабочих папок. Предполагается, что вы прочитали раздел Планирование развертывания рабочих папок.
Для развертывания рабочих папок — процесса, для которого может потребоваться несколько серверов и технологий, — следуйте приведенным ниже инструкциям.
Простейшее развертывание рабочих папок — это один файловый сервер (который часто называют сервером синхронизации) без поддержки синхронизации через Интернет. Такое развертывание полезно для лаборатории тестирования или в качестве решения для синхронизации клиентских компьютеров, подключенных к домену. Для создания простого развертывания необходимо выполнить следующие минимальные шаги.
Шаг 1. Получение сертификатов SSL
Рабочие папки используют протокол HTTPS для безопасной синхронизации файлов между клиентами рабочих папок и сервером рабочих папок. К используемым рабочими папками SSL-сертификатам предъявляются следующие требования.
Этот сертификат должен быть выдан доверенным центром сертификации. Для большей части реализаций рабочих папок рекомендуется использовать открытый доверенный центр сертификации, так как сертификатами будут пользоваться не присоединенные к домену веб-устройства.
Сертификат должен быть действительным.
Должна быть возможность экспорта закрытого ключа, так как вам понадобится установить сертификат на нескольких серверах.
В сертификате должны присутствовать альтернативные имена субъектов, включающие имена всех используемых серверов синхронизации.
Блог об управлении сертификатами рабочих папок содержит дополнительные сведения об использовании сертификатов с рабочими папками.
Шаг 2. Создание записей DNS
Чтобы предоставить пользователям возможность синхронизации через Интернет, необходимо создать запись узла (A) на общедоступном DNS-сервере, что позволит веб-клиентам разрешать URL-адрес ваших рабочих папок. Эта запись DNS должна разрешаться во внешний интерфейс обратного прокси-сервера.
Во внутренней сети создайте запись CNAME в DNS с именем workfolders, которая разрешается в FQDN сервера рабочих папок. Когда клиенты рабочих папок используют автоматическое обнаружение, URL-адрес, используемый для обнаружения сервера рабочих папок, — это https://workfolders.domain.com. Если вы собираетесь использовать автоматическое обнаружение, в DNS должна присутствовать запись CNAME рабочих папок.
Шаг 3. Установка рабочих папок на файловых серверах
Установить рабочие папки на присоединенных к домену серверах можно с помощью диспетчера сервера или Windows PowerShell локально или удаленно по сети. Это полезно, если вы настраиваете в своей сети несколько серверов синхронизации.
Чтобы развернуть роль в диспетчере сервера, выполните следующие действия.
Запустите мастер добавления ролей и компонентов.
На странице Выбор типа установки выберите Развертывание ролей или компонентов.
На странице Выбор целевого сервера выберите сервер, на котором следует установить рабочие папки.
На странице Выбор ролей сервера разверните Файловые службы и службы хранилища, разверните Файловые службы и службы iSCSI, а затем выберите Рабочие папки.
Если появится запрос на установку ведущего базового веб-экземпляра IIS, нажмите кнопку ОК, чтобы установить минимальную версию служб IIS, необходимую для рабочих папок.
Нажимайте кнопку Далее до завершения мастера.
Для развертывания роли с помощью Windows PowerShell используйте следующий командлет.
Шаг 4. Привязка SSL-сертификата на серверах синхронизации
Рабочие папки устанавливают ведущий базовый веб-экземпляр IIS, который представляет собой компонент IIS, предназначенный для обеспечения работы веб-служб без полной установки IIS. После установки ведущего базового веб-экземпляра IIS необходимо привязать SSL-сертификат для сервера к веб-сайту по умолчанию на файловом сервере. Однако ведущий базовый веб-экземпляр IIS не устанавливает консоль управления IIS.
Существуют две возможности привязки сертификата к веб-интерфейсу по умолчанию. В обоих случаях необходимо установить закрытый ключ для сертификата в личное хранилище сертификатов компьютера.
Используйте консоль управления IIS на том сервере, где она установлена. С консоли подключитесь к файловому серверу, которым следует управлять, и выберите веб-сайт по умолчанию для этого сервера. Веб-сайт по умолчанию отобразится в отключенном состоянии, но вы по-прежнему можете изменить привязки для сайта и выбрать сертификат для привязки к этому веб-сайту.
Используйте команду netsh, чтобы привязать сертификат к https-интерфейсу веб-сайта по умолчанию. Команда выглядит следующим образом:
Шаг 5. Создание групп безопасности для рабочих папок
Перед созданием общих ресурсов синхронизации член группы администраторов домена или администраторов предприятия должен создать группы безопасности в доменных службах Active Directory (AD DS) для рабочих папок (возможно, также потребуется частично делегировать управление, как описано в шаге 6). Вам нужны следующие группы.
Одна группа на общий ресурс синхронизации, указывающая, какие пользователи имеют право проводить синхронизацию с этим общим ресурсом.
Одна группа для всех администраторов рабочих папок, чтобы они могли изменять атрибут каждого объекта-пользователя, который связывает пользователя с нужным сервером синхронизации (если вы используете несколько серверов).
Для групп следует выбирать стандартный формат имен, а группы нужно использовать только для рабочих папок, чтобы избежать потенциальных конфликтов с другими требованиями безопасности.
Чтобы создать нужные группы безопасности, используйте следующую процедуру несколько раз — один раз для каждого общего ресурса синхронизации и один раз для создания группы для администраторов файлового сервера (необязательно).
Создание групп безопасности для рабочих папок
Откройте диспетчер сервера на компьютере под управлением Windows Server 2012 R2 или Windows Server 2016 с установленным центром администрирования Active Directory.
В меню Средства щелкните Центр администрирования Active Directory. Отобразится центр администрирования Active Directory.
Щелкните правой кнопкой мыши контейнер, в котором вы хотите создать новую группу (например, контейнер «Пользователи» соответствующего домена или подразделения), выберите Создать и щелкните Группа.
В окне Создание группы в разделе Группа укажите следующие параметры.
В поле Имя группы введите имя группы безопасности, например Пользователи общего ресурса синхронизации отдела кадров или Администраторы рабочих папок.
В разделе Область действия группы щелкните Безопасность и выберите Глобальная.
В разделе Члены группы нажмите кнопку Добавить. Откроется диалоговое окно «Выбор пользователей, контактов, компьютеров, учетных записей служб или групп».
Чтобы создать группу безопасности с помощью Windows PowerShell, используйте следующий командлет.
Шаг 6. Делегирование управления атрибутами пользователей администраторам рабочих папок (необязательно)
Если вы развертываете несколько серверов синхронизации и хотите автоматически перенаправлять пользователей на нужный сервер синхронизации, вам понадобится обновить атрибут каждой учетной записи пользователя в AD DS. Тем не менее для обновления атрибутов обычно требуется член группы администраторов домена или администраторов предприятия, и это может стать проблемой, если есть необходимость часто добавлять пользователей или перемещать их между серверами синхронизации.
По этой причине член группы администраторов домена или администраторов предприятия может решить делегировать возможность изменять свойство msDS-SyncServerURL объектов-пользователей члену группы администраторов рабочих папок, созданной на шаге 5, как описано в следующей процедуре.
Делегирование возможности изменять свойство msDS-SyncServerURL объектов-пользователей в AD DS
Откройте диспетчер сервера на компьютере под управлением Windows Server 2012 R2 или Windows Server 2016 с установленным компонентом «Пользователи и компьютеры Active Directory».
В меню Средства щелкните Пользователи и компьютеры Active Directory. Отобразится компонент «Пользователи и компьютеры Active Directory».
На странице Пользователи или группы щелкните Добавить и укажите группу, созданную для администраторов рабочих папок (например, Администраторы рабочих папок).
На странице Делегируемые задачи щелкните Создать особую задачу для делегирования.
На странице Тип объекта Active Directory щелкните Только следующие объекты в папке и установите флажок Объекты-пользователи.
На странице Разрешения снимите флажок Общие, установите флажок Разрешения для свойств, затем установите флажки Чтение msDS-SyncServerUrl и Запись msDS-SyncServerUrl.
Чтобы делегировать возможность изменения свойства msDS-SyncServerURL объектов-пользователей с помощью Windows PowerShell, используйте следующий пример сценария с командой DsAcls.
В домене с большим количеством пользователей выполнение операции делегирования может занять некоторое время.
Шаг 7. Создание общих ресурсов синхронизации для данных пользователей
Теперь вы готовы назначить на сервере синхронизации папку для хранения файлов пользователей. Эта папка называется общим ресурсом синхронизации, и для ее создания необходимо сделать следующее.
Если у вас нет тома NTFS со свободным дисковым пространством для общего ресурса синхронизации и файлов пользователей, которые будут там храниться, создайте новый том и отформатируйте его в файловой системе NTFS.
В диспетчере сервера щелкните Файловые службы и службы хранилища, а затем выберите Рабочие папки.
На странице Выбор сервера и пути укажите, где следует хранить общий ресурс синхронизации. Если у вас уже есть общий файловый ресурс для этих данных пользователей, вы можете выбрать его или создать новую папку.
По умолчанию общие ресурсы синхронизации недоступны напрямую через общий файловый ресурс (если вы не выбрали существующий файловый ресурс). Если вы хотите обеспечить доступ к общему ресурсу синхронизации через общий файловый ресурс, используйте плитку диспетчера сервера Общие ресурсы или командлет New-SmbShare для создания общего файлового ресурса, предпочтительно с включенным перечислением на основе доступа.
На странице Укажите структуру для пользовательских папок выберите формат имен для папок пользователей в рамках общего ресурса синхронизации. Есть два варианта.
Псевдоним пользователя создает папки пользователя, не включающие имя домена. Если вы используете общий файловый ресурс, который уже используется службой перенаправления папок или другим решением для хранения данных пользователя, выберите этот формат имен. Вы можете установить флажок Синхронизировать только следующую вложенную папку, чтобы синхронизировать только конкретную вложенную папку, например папку документов.
Пользователь alias@domain создает папки пользователя, включающие имя домена. Если вы не используете общий файловый ресурс, который уже используется службой перенаправления папок или другим решением для хранения данных пользователя, выберите формат имен, который исключит вероятность конфликтов в случае, когда у нескольких пользователей общего ресурса одинаковые псевдонимы (что может случиться, если пользователи принадлежат к разным доменам).
На странице Введите имя общего ресурса синхронизации укажите имя и описание общего ресурса синхронизации. Это данные не объявляются в сети, но видны в диспетчере сервера и Windows Powershell и помогают отличить ресурсы друг от друга.
На странице Предоставление доступа к синхронизации для групп укажите созданную вами группу, где перечислены пользователи, которым разрешено использовать этот общий ресурс синхронизации.
Чтобы повысить производительность и безопасность, предоставляйте доступ группам, а не отдельным пользователям. Внимательно подходите к членству в группах и избегайте использования универсальных групп, таких как «Прошедшие проверку пользователи» и «Пользователи домена». При предоставлении доступа группам с большим количеством пользователей время обработки запроса от рабочих папок в AD DS увеличивается. Если у вас много пользователей, создайте несколько общих ресурсов синхронизации, чтобы распределить нагрузку.
На странице Указать политики устройств укажите, следует ли требовать каких-либо ограничений безопасности на клиентских компьютерах или устройствах. Существуют две политики устройств, из которых вы можете выбрать.
Шифрование рабочих папок. Требует шифрования рабочих папок на клиентских компьютерах и устройствах.
Автоматически блокировать экран и требовать пароль. Требует, чтобы клиентские компьютеры и устройства автоматически блокировали экраны через 15 минут, а также требует наличия пароля минимум из шести символов для разблокировки экрана и активирования режима отключения устройства после 10 неудачных попыток ввода пароля.
Просмотрите выбранные параметры и завершите мастер, чтобы создать общий ресурс синхронизации.
Общие ресурсы синхронизации можно создать через Windows PowerShell с помощью командлета New-SyncShare. Ниже приведен пример использования этого метода.
Приведенный выше пример создает новый общий ресурс синхронизации с именем Share01, путем K:\Share-1 и доступом, предоставленным группе с именем Пользователи общего ресурса синхронизации отдела кадров
После создания общего ресурса синхронизации для управления содержащимися в нем данными можно воспользоваться диспетчером ресурсов файлового сервера. Например, можно использовать плитку Квота на странице рабочих папок в диспетчере сервера, чтобы установить квоты на папки пользователей. Вы также можете использовать Управление блокировкой файлов, чтобы управлять типами файлов, которые будут синхронизированы в рабочих папках, или воспользоваться сценариями, описанными в разделе Динамический контроль доступа, для более сложных задач классификации файлов.
Шаг 8. При необходимости укажите адрес электронной почты технической поддержки
После установки рабочих папок на файловом сервере вам может потребоваться указать адрес электронной почты администратора для сервера. Чтобы добавить адрес электронной почты, выполните следующие действия.
Предоставление адреса электронной почты администратора
В диспетчере сервера щелкните Файловые службы и службы хранилища, а затем щелкните Серверы.
Щелкните сервер правой кнопкой мыши и выберите команду Параметры рабочих папок. Отобразится окно «Параметры рабочих папок».
Пользователи рабочих папок могут щелкнуть ссылку на панели управления рабочими папками, которая отправит электронное сообщение, содержащее сведения диагностики клиентского компьютера, на указанные здесь адреса.
Шаг 9. Настройка автоматического обнаружения сервера (необязательно)
Если в вашей среде размещено несколько серверов синхронизации, необходимо настроить автоматическое обнаружение сервера путем заполнения свойства msDS-SyncServerURL учетных записей пользователей в AD DS.
Свойство msDS-SyncServerURL в Active Directory не следует определять для удаленных пользователей, которые обращаются к рабочим папкам через обратный прокси-сервер, например прокси-сервер веб-приложения или прокси-сервер приложения Azure AD. Если определено свойство msDS-Синксерверурл, клиент рабочих папок попытается получить доступ к внутреннему URL-адресу, который недоступен через решение для обратных прокси-серверов. При использовании прокси-сервера веб-приложения или прокси-сервера приложения Azure AD необходимо создать уникальные приложения прокси-сервера для каждого сервера рабочих папок. Дополнительные сведения см. в обзоре, посвященном развертыванию рабочих папок с помощью служб федерации Active Directory и прокси-сервера приложений, или в разделе Развертывание рабочих папок с помощью прокси-сервера приложения Azure AD.
Возможно, вы также захотите создать группу безопасности для администраторов файлового сервера и делегировать им разрешения на изменение определенного атрибута пользователя, как описано в шагах 5 и 6. Без этих шагов вам понадобится привлечь члена группы администраторов домена или администраторов предприятия, чтобы настроить автоматическое обнаружение для каждого пользователя.
Указание сервера синхронизации для пользователя
Откройте диспетчер сервера на компьютере с установленными средствами администрирования Active Directory.
В меню Средства щелкните Центр администрирования Active Directory. Отобразится центр администрирования Active Directory.
Перейдите в контейнер Пользователи в соответствующем домене, щелкните правой кнопкой мыши пользователя, которому следует назначить общий ресурс синхронизации, и выберите Свойства.
В области навигации щелкните Расширения.
Откройте вкладку Редактор атрибутов, выберите msDS-SyncServerUrl и нажмите кнопку Изменить. Отобразится диалоговое окно «Редактор многозначных строк».
В поле Добавляемое значение введите URL-адрес сервера синхронизации, который должен использовать этот пользователь, и нажмите кнопки Добавить, ОК и снова ОК.
URL-адрес сервера синхронизации — это просто https:// или http:// (в зависимости от того, собираетесь ли вы требовать безопасного подключения), за которым следует полное имя домена сервера синхронизации. Например, https://sync1.contoso.com.
Чтобы заполнить атрибут для нескольких пользователей, воспользуйтесь Active Directory PowerShell. Ниже приведен пример, который заполняет атрибуты для всех членов группы Пользователи общего ресурса синхронизации отдела кадров, речь о которой шла в шаге 5.
Шаг 10. При необходимости настройте прокси-сервер веб-приложений, прокси-сервер приложений Azure AD или другой обратный прокси-сервер
Чтобы предоставить удаленным пользователям возможность осуществлять доступ к их файлам, необходимо опубликовать сервер рабочих папок через обратный прокси-сервер, предоставив к ним внешний доступ через Интернет. Можно использовать прокси-сервер веб-приложений, прокси-сервер приложений Azure Active Directory или другой обратный прокси-сервер.
Чтобы настроить доступ рабочих папок с помощью AD FS и прокси-сервера веб-приложения, см. раздел Развертывание рабочих папок с помощью AD FS и прокси-сервера веб-приложения (WAP). Общие сведения о прокси-сервере веб-приложения см. в разделе Прокси-служба веб-приложения в Windows Server 2016. Подробные сведения о публикации приложений, таких как рабочие папки, в Интернете с помощью прокси-службы веб-приложения см. в разделе Публикация приложений с использованием предварительной проверки подлинности AD FS.
Для настройки доступа рабочих папок с помощью прокси-сервера приложения Active Directory Azure см. раздел Реализация удаленного доступа для рабочих папок с помощью прокси-сервера приложения Active Directory Azure
Шаг 11. Использование групповой политики для настройки присоединенных к домену компьютеров (необязательно)
Если у вас есть большое количество присоединенных к домену компьютеров, для которых вы хотите развернуть рабочие папки, можно использовать групповую политику для выполнения следующих задач настройки клиентских компьютеров.
Выбор сервера синхронизации для использования пользователями
Принудительная автоматическая настройка рабочих папок с помощью параметров по умолчанию (прежде чем сделать это, перечитайте обсуждение групповой политики в разделе о проектировании реализации рабочих папок)
Чтобы управлять этими параметрами, создайте новый объект групповой политики (GPO) для рабочих папок и настройте соответствующим образом следующие параметры групповой политики.
Параметр политики «Указать параметры рабочих папок» в расположении «Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Рабочие папки»
Параметр политики «Принудительная автоматическая настройка для всех пользователей» в расположении «Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Рабочие папки»
Эти параметры политики доступны только при изменении групповой политики с компьютера, на котором работает управление групповой политикой, под управлением Windows 8.1, Windows Server 2012 R2 или более поздней версии. В версиях управления групповой политикой более старых операционных систем эти параметры недоступны. Эти параметры политики применяются для компьютеров с Windows 7, на которых установлено приложение Рабочие папки для Windows 7.
См. также раздел
Дополнительные сведения по данной теме см. на следующих ресурсах.