VietNetwork.Vn

Trong bài đăng này, tôi sẽ chỉ cho bạn cách triển khai Thư mục công việc với máy chủ tệp Windows Server 2016 và máy khách Windows 10. Thư mục công việc cho phép người dùng truy cập tệp của họ từ máy chủ tệp nội bộ từ xa qua Internet.

Khi các tệp được đồng bộ hóa từ máy chủ sang máy khách, có thể sửa đổi các tệp ngoại tuyến. Khi máy tính kết nối mạng trở lại, chúng sẽ đồng bộ hóa với máy chủ tệp trung tâm. Các thư mục công việc có thể được thiết lập bằng cách sử dụng cụm chuyển đổi dự phòng để cung cấp giải pháp chia sẻ tệp có tính sẵn sàng cao.

Máy chủ tệp cung cấp một điểm truy cập trung tâm cho các tệp, sau đó người dùng có thể kết nối với điểm này từ nhiều thiết bị. Chính sách bảo mật có thể được đặt để đảm bảo hệ thống máy khách mã hóa nội dung của bất kỳ thư mục công việc nào, điều này đảm bảo rằng nếu máy khách bị đánh cắp thì các tệp vẫn an toàn.

Dịch vụ vai trò thư mục công việc có thể được cài đặt trong Windows Server 2012 R2 trở lên và cũng có sẵn trong máy khách Windows 7 trở lên. Thậm chí còn có hỗ trợ ứng dụng di động cho Android 4.4 trở lên và iOS 8 trở lên cho iPhone. Các thư mục công việc trên máy chủ phải được lưu trữ trên đĩa được định dạng bằng hệ thống tệp NTFS.

Theo mặc định, các thư mục công việc được lưu trữ trong thư mục %USERPROFILE%\Work Folders trên máy khách và các tệp không được có kích thước lớn hơn 10gb.

1. Cài đặt thư mục công việc

Chúng tôi có thể cài đặt vai trò Thư mục công việc thông qua giao diện người dùng đồ họa (GUI) hoặc giao diện dòng lệnh (CLI).

1.1. Cài đặt GUI

Chỉ cần mở Trình quản lý máy chủ và chọn để thêm vai trò. Từ các vai trò máy chủ có sẵn, chọn Thư mục Công việc được tìm thấy trong Dịch vụ Lưu trữ và Tệp như hình bên dưới. Thao tác này cũng sẽ nhắc bạn thêm tính năng IIS Hostable Web Core cũng được yêu cầu.


1.2. Cài đặt PowerShell

Thay vào đó, chúng ta có thể cài đặt vai trò nhanh hơn nhiều bằng cách sử dụng lệnh ghép ngắn Install-WindowsFeature PowerShell. FS-SyncShareService là dịch vụ Work Folders, trong khi Web-WHC là tính năng IIS Hostable Web Core, được đề xuất khi cài đặt GUI.


2. Tạo nhóm bảo mật

Chúng tôi cần tạo các nhóm cụ thể để cho phép người dùng đồng bộ hóa các chia sẻ. Chúng tôi cần một nhóm cho mỗi chia sẻ sẽ được đồng bộ hóa, nhóm này chứa những người dùng được phép đồng bộ hóa chia sẻ. Chúng tôi cũng có thể tạo một nhóm khác cho quản trị viên thư mục công việc, nhóm này cho phép người dùng bên trong sửa đổi các thuộc tính đối tượng người dùng kiểm soát máy chủ mà mỗi người dùng sẽ sử dụng.

Hai nhóm có thể được tạo trong Active Directory, tên không quan trọng nhưng lý tưởng nhất là phải rõ ràng và có ý nghĩa. Ví dụ: nếu sẽ có một phần được gọi là "Chia sẻ tài chính" thì có lẽ tên nhóm có tên là "Người dùng chia sẻ tài chính" sẽ có ý nghĩa cho mục đích này.


Microsoft khuyên bạn chỉ nên đặt những người dùng cụ thể vào nhóm được yêu cầu thay vì sử dụng các nhóm chung hoặc nhóm hiện có khác, vì nhiều mục hơn có thể làm giảm hiệu suất khi thời gian các thư mục công việc truy vấn Active Directory tăng lên.

3. Tạo chia sẻ đồng bộ hóa

Bây giờ chúng ta đã sẵn sàng để tạo chia sẻ đồng bộ hóa trên máy chủ tệp, đây chỉ đơn giản là một thư mục công việc mà chúng ta đang chia sẻ. Chúng tôi sẽ giới thiệu cách tạo chia sẻ đồng bộ thông qua GUI và với Windows PowerShell.

Trước tiên, hãy mở Trình quản lý máy chủ và chọn Dịch vụ tệp và lưu trữ, sau đó là Thư mục công việc.


Trong ví dụ này, chúng tôi không có bất kỳ thư mục công việc hiện có nào nên chúng tôi chỉ cần nhấp vào văn bản hiển thị bên dưới thư mục công việc. Ngoài ra, nếu bạn đã có các thư mục công việc hiển thị ở đây, bạn sẽ chọn menu thả xuống Tác vụ rồi chọn "Chia sẻ đồng bộ hóa mới". Thao tác này sẽ mở Trình hướng dẫn chia sẻ đồng bộ hóa mới, lưu ý rằng bạn cần dung lượng trống trên đĩa NTFS và các nhóm bảo mật sẵn sàng sử dụng mà chúng tôi đã tạo.


Tiếp theo, chúng ta cần chỉ định máy chủ và đường dẫn đến thư mục mà chúng ta sẽ chia sẻ. Trong ví dụ này, chúng tôi sẽ sử dụng chính máy chủ tệp và đường dẫn thư mục C:\finance, đây là nơi chúng tôi muốn tạo thư mục công việc cho nhóm tài chính.


Tiếp theo, chúng ta có thể chỉ định cấu trúc cho các thư mục người dùng, theo mặc định, bí danh người dùng được chọn, đây là những gì chúng ta sẽ sử dụng ở đây. Chúng ta chỉ có một miền trong ví dụ này nên không cần chỉ định người dùng@miền.


Bây giờ chúng ta có thể đặt tên cho chia sẻ đồng bộ hóa, theo mặc định, trường tên sẽ điền tên của thư mục mà chúng ta đã chọn trước đó, mà chúng ta sẽ sử dụng ở đây.


Giờ đây, chúng tôi có thể cấp quyền truy cập đồng bộ hóa cho nhóm tài chính của mình, chỉ cần nhấp vào nút Thêm và tìm kiếm nhóm trong AD. Chúng tôi có thể thấy rằng nhóm "Người dùng chia sẻ tài chính" mà chúng tôi đã tạo trước đó từ miền VÍ DỤ đã được chỉ định để được phép truy cập vào chia sẻ đồng bộ hóa thư mục công việc tài chính.


Bây giờ chúng ta có thể chỉ định các chính sách bảo mật của mình cho các thư mục công việc trên máy khách. Theo mặc định, tùy chọn tự động khóa màn hình và yêu cầu mật khẩu được chọn. Điều này làm cho hệ thống máy khách tự động khóa màn hình sau 15 phút không hoạt động và yêu cầu mật khẩu tối thiểu sáu ký tự để mở khóa. Tài khoản sẽ bị khóa trong 10 phút sau khi đăng nhập thất bại.

Chúng tôi có thể tùy ý chọn mã hóa các thư mục công việc ở phía máy khách, điều này được khuyến nghị vì nó bảo vệ các tệp trong trường hợp máy bị đánh cắp. Tuy nhiên, nếu BitLocker đang được sử dụng thì điều này có thể không hữu ích.


Cuối cùng, chúng ta sẽ thấy một bản tóm tắt các cài đặt đã chọn, hãy xem lại các cài đặt này và nhấp vào tạo để tiếp tục.


Chúng ta có thể thấy rằng chia sẻ đồng bộ hóa tệp đã được tạo thành công.


Chúng tôi cũng có thể hoàn thành việc này thông qua PowerShell thay vì GUI bằng cách sử dụng lệnh ghép ngắn New-SyncShare. Mặc dù nhóm được chỉ định cần phải tồn tại, nhưng thư mục được chỉ định sẽ được tạo nếu nó chưa tồn tại.

New-SyncShare "sales" C:\sales –User "Sales Share Users"

Quay lại phần Thư mục công việc của Trình quản lý máy chủ, chúng tôi có thể thấy các chia sẻ đồng bộ hóa của chúng tôi được liệt kê với các chi tiết mà chúng tôi đã chỉ định. Chia sẻ đồng bộ hóa tài chính được tạo thông qua GUI, trong khi chia sẻ đồng bộ hóa bán hàng được tạo thông qua PowerShell.


4. Tạo thư mục công việc khách hàng

Trước tiên, chúng ta sẽ thảo luận về cách khách hàng có thể truy cập thư mục công việc theo cách thủ công, tiếp theo là cách điều này có thể được triển khai tự động thông qua chính sách nhóm.

4.1. Định cấu hình thư mục công việc theo cách thủ công

Người dùng đã đăng nhập vào máy trạm Windows của họ có thể thiết lập các thư mục công việc. Lưu ý rằng người dùng phải là thành viên của nhóm được phép truy cập vào chia sẻ đồng bộ hóa. Trong ví dụ này, người dùng mà chúng tôi đang minh họa là thành viên của nhóm "Người dùng chia sẻ tài chính" và sẽ truy cập vào chia sẻ đồng bộ hóa tài chính. Ví dụ cũng diễn ra trong Windows 10.

Trong Pa-nen Điều khiển, chọn Hệ thống và Bảo mật.


Tiếp theo chọn Work Folders, lưu ý tùy chọn này không xuất hiện trên hệ điều hành máy chủ.


Bây giờ chúng ta có thể chọn thiết lập thư mục công việc.


Tại thời điểm này, chúng tôi có thể nhập địa chỉ email công việc của mình hoặc thay vào đó sử dụng URL.


Khi bạn cung cấp thông tin xác thực để đăng nhập, bạn có thể kiểm soát vị trí thư mục công việc trên máy cục bộ sẽ được lưu trữ. Theo mặc định, nó sẽ được lưu trữ trong hồ sơ người dùng, tuy nhiên điều này có thể được thay đổi. Sau đó, người dùng sẽ cần phải đồng ý với các chính sách bảo mật để tiếp tục.

Điều này lưu trữ một bản sao của các tệp từ thư mục trên máy chủ, mọi thay đổi bạn thực hiện đối với các bản sao cục bộ của mình sẽ được đồng bộ hóa với máy chủ.

Theo mặc định, máy khách kết nối với URL máy chủ tệp bằng HTTPS, trong môi trường thử nghiệm, bạn có thể định cấu hình máy khách để sử dụng HTTP bằng mục đăng ký bên dưới. Trong sản xuất, HTTPS được khuyến nghị để các tệp được truyền giữa máy khách và máy chủ được mã hóa.

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
4.2. Tự động cấu hình thư mục công việc

Tạo một GPO mới và chỉnh sửa "Chỉ định cài đặt thư mục công việc" từ trong Cấu hình người dùng > Chính sách > Mẫu quản trị > Cấu phần Windows > WorkFolders. Điều này sẽ chỉ định URL máy chủ thư mục công việc cho người dùng mà chính sách áp dụng.


Tiếp theo, chúng ta cũng cần định cấu hình chính sách "Buộc thiết lập tự động cho tất cả người dùng" từ trong Cấu hình máy tính > Chính sách > Mẫu quản trị > Cấu phần Windows > WorkFolders. Thao tác này sẽ tự động thiết lập Thư mục công việc cho tất cả người dùng truy cập vào máy tính nơi chính sách được áp dụng.


Cả hai tùy chọn thiết lập thư mục công việc thủ công và tự động đều đã tạo một thư mục trên hệ thống máy khách đồng bộ với thư mục trên máy chủ. Theo mặc định, máy khách sẽ cố gắng đồng bộ hóa với máy chủ cứ sau 10 phút nếu không có thay đổi. Nếu hệ thống máy khách thực hiện thay đổi, nó sẽ được đồng bộ hóa với máy chủ ngay lập tức. Ngoài ra, nếu máy khách thực hiện các thay đổi đồng bộ hóa với máy chủ, máy chủ sẽ thông báo cho các máy khách khác đang đồng bộ hóa thư mục này để họ cũng có thể cập nhật. Điều này cho phép người dùng truy cập bất kỳ máy Windows nào có thư mục công việc được định cấu hình để họ có thể xem cùng các tệp từ máy chủ tệp trung tâm. Họ thậm chí có thể lấy các tệp ngoại tuyến, sửa đổi chúng và sau đó chúng sẽ đồng bộ hóa với máy chủ sau khi họ quay lại mạng.

Cũng lưu ý rằng nếu cần truy cập các thư mục công việc qua Internet, bạn cũng cần tạo chứng chỉ hợp lệ cho máy chủ tệp và các mục nhập DNS thích hợp có thể được phân giải thành miền công cộng.

Chúng tôi đã chỉ cho bạn cách triển khai các thư mục công việc trong Windows Server 2016 cho máy chủ tệp và Windows 10 cho máy khách.

Các thư mục công việc hoạt động với các tùy chọn Trình quản lý tài nguyên máy chủ tệp (FSRM) hiện có, bao gồm hạn ngạch tệp để giới hạn dung lượng ổ đĩa mà người dùng có thể sử dụng, sàng lọc tệp để kiểm soát các loại tệp được phép lưu trữ và quy tắc phân loại tệp để phân loại tệp theo tùy chỉnh tính chất.

Work Folders cho phép người dùng khả năng làm việc từ mọi nơi và từ các thiết bị khác nhau, đồng thời cho phép quản trị viên hệ thống có khả năng đảm bảo tài liệu được mã hóa trên thiết bị khách.