AD主文件夹实现个人的存储及漫游的功能.doc

AD主文件夹实现iPC用户个人存储漫游 测试背景： 某局项目使用IPC方案，用户希望对只对自己的IE收藏夹进行漫游处理。 IPC对整个桌面及文档漫游可以采用用户配置文件的方式来实现的。但是大规模的应用对IPC或其他XPE及RDP终端应用都会导致比较大的网络及文件服务器的磁盘压力。 在对一些部分文件夹的漫游及数据存储漫游的解决可以使用AD主文件夹的特性来实现。即把这些需要漫游的文件定位到网络的1台文件服务器上的个人文件夹中。并且在账号登录时，自动和网络个人文件夹进行磁盘映射。 如果不采用AD主文件夹的方案，在大规模部署中，会遇到很大一些部署问题，主要为： 1： 在文件服务器上手工大量的创建共享文件夹。 2： 共享文件夹分别设置为一个单独的用户账号的访问权限。 3： 在终端上访问自己的权限的共享文件夹，并映射。 对于1，2两点虽然也可以做，但是第三点iPC基本上无法实施。 采用了AD主文件夹的方案，可以结合win2003(用户的环境为win2003 sp2)下的 CREATOR_OWNER或CREATOR_GROUP来实现快速的部署。 CREATOR_OWNER和CREATOR_GROUP的一个最主要的特性就是：谁创建（文件夹）谁拥有权限。 下面是一个具体的部署过程。 1：首先有1个AD环境，有AD用户账号。并且最好是集中在1个或多个OU中。如下所示：  2：有1个域成员的文件服务器(本文是在AD服务器上测试的)，并且共享的磁盘分区是NTFS格式。 新建1个共享文件夹ie share，添加到CREATOR_OWNER组中，并把ERYONE和CREATOR_OWNER的共享权限都设置为完全控制。 再进行具体的安全设置。默认下的几个系统的用户（组）权权限都无法删除。 点上图的高级-在父系继承权中进行删除。 点删除后清空，然后再添加CREATOR_OWNER组 点高级-编辑。应用到只有子文件夹及文件 完全权限。 保留1个adminstrator账号进行观察，及整个文件夹的管理。（最后部署完毕可删除） 3：创建主文件夹并应用。 \\192.168.100.100\ie share\01 01的子文件夹会被自动创建，并赋予user01的权限。 在user02下，同样创建\\192.168.100.100\ie share\02 4：验证 User01登录后，自动连接到01并映射到z盘。 User02登录后，自动连接到02并映射到z盘。 账号use02直接去访问ie share或者是\\192.168.100.100\ie share\01 都报告权限的警告。 User02直接访问\\192.168.100.100\ie share\02则允许。 部署完毕，按需要可以把ie share这个文件夹的安全中的amdinistrator权限取消。 5：部署IE 收藏夹漫游 有非常多的免费或者共享工具可以更改IE收藏夹的位置，如超级兔子等。下面以注册表为例修改IE收藏夹的存放位置。 打开注册表编辑器：开始—运行—输入regedit—确定，依次展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，双击右侧窗口中的Favorites，在打开的编辑字符串窗口中，更改数据数值 %USERPROFILE%\Favorites 为 Z:\ 该操作在超级工作站下保存一次。或者利用ADM工具把该注册表导入成1个组策略进行部署。