Arbeitsordner (Work Folders) mit Gruppenrichtlinien konfigurieren

    Dateien synchronisieren über ArbeitsordnerDie mit Windows Server 2012 R2 einge­führten Arbeits­ordner erweitern die Datei­dienste um die Fähig­keit, Verzeich­nisse mit verschie­denen Clients zu synchroni­sieren. Die Konfigu­ration von Windows-PCs, die Mitglied in einer Domäne sind, lässt sich zentral über Gruppen­richtlinien erledigen.

    Eine komplette Infrastruktur für Work Folders erfordert die Installation einer entsprechenden Rolle auf dem Server, ein SSL-Zertifikat zur Absicherung der Kommunikation zwischen den beteiligten Maschinen, einen Reverse Proxy für den Zugriff externer Geräte sowie die Konfiguration der Clients (siehe dazu meine Anleitung zum Einrichten von Work Folders).

    Client-Konfiguration über DNS

    Während die beteiligten Server und alle Benutzer einer AD-Domäne angehören müssen, gilt das für die Endgeräte nicht. Das ermöglicht auch die Unterstützung für Windows RT und Plattformen anderer Anbieter, die etwa für das iPad schon angekündigt ist.

    Aus diesem Grund nutzen Work Folders einfache und Windows-unabhängige Mechanismen zur Anbindung von Clients. Ein solcher besteht in der Eingabe der geschäftlichen Mail-Adresse durch den Benutzer, aus der das System den Namen der Domäne entnimmt und dann einen DNS-Eintrag nach dem Muster workfolders.domain-der-mail-adresse.de sucht. Dieser soll als Alias (CNAME) auf die IP-Adresse des Workfolder-Servers verweisen.

    Die Konfiguration des Clients mittels Mail-Adresse setzt ein DNS-Alias für den Workfolder-Server voraus.

    Während dieses Verfahren für Endbenutzer einfach und ohne besondere Fehlerquellen zu bewältigen ist, weil sie nur ihre geschäftliche Mail-Adresse eingeben müssen, erfordert es einen größeren Konfigurationsaufwand, wenn man mehrere Server für dieses Feature nutzt. In diesem Fall benötigt man für das Autodetect des zuständigen Arbeitsordners einen Domänen-Controller unter Windows Server 2012 R2.

    Verteilung von URLs

    Als Alternative zur Mail-Adresse kann man daher an die Benutzer die URL ihres Servers weitergeben. Damit ist ein gewisser Aufwand verbunden, weil man diese Informationen per Mail an die jeweiligen Gruppen oder Abteilungen verschicken muss.

    Wenn die Workfolder-URL per GPO übermittelt wurde, dann gelangt der User sofort zum 2. Schritt.

    Für Windows-PCs, die Mitglied in einer Domäne sind, kann man diesen Prozess vereinfachen, indem man die URLs über Gruppenrichtlinien zuteilt. Damit ist der Anwender der Aufgabe entledigt, die Adresse des Servers selbst eingeben zu müssen. Die GPO-Methode kann aber noch darüber hinausgehen, indem sie Workfolders ohne Zutun der User komplett konfiguriert und sie auf allen Geräten mit diesem Feature zwangsbeglückt.

    Kombination aus Benutzer- und Computerkonfiguration

    Die Einstellung für die Zuordnung der URL findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Arbeitsordner => Festlegen der Arbeitsordnereinstellungen. Beschränkt man sich auf die Eingabe der URL, dann können die Benutzer die Sync-Ordner über die Systemsteuerung selbständig einrichten und dabei den Speicherort der lokalen Arbeitsordner ändern.

    Man kann über diese Einstellung nur die Workfolder-URL zuweisen oder das Feature automatisch aktivieren.

    Will man das unterbinden, dann muss man zusätzlich die Checkbox Automatische Einrichtung erzwingen aktivieren. In diesem Fall richtet das System auf allen Rechnern, an denen sich die betroffenen Benutzer anmelden, Arbeitsordner unter %USERPROFILE%\Work Folders automatisch ein und synchronisiert die darin enthaltenen Dateien mit dem Server und anderen PCs.

    Arbeitsordner auf bestimmte PCs einschränken

    Sollen Arbeitsordner den Benutzern jedoch nicht überall hin folgen, dann erlaubt eine weitere Einstellung unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Arbeitsordner => Automatische Einrichtung für alle Benutzer erzwingen eine feinere Kontrolle des Features.

    Wenn Arbeitsordner ohne Zutun der User eingerichtet werden sollen, dann kann man sie per GPO auf bestimmte PCs einschränken.

    Sie bewirkt, dass User nur auf den PCs, auf die dieses GPO angewandt wird, automatisch Arbeitsordner erhalten. Dies setzt aber voraus, dass man in der Benutzerkonfiguration der Arbeitsordner auf die automatische Einrichtung verzichtet. Die Computer-spezifische Einstellung wirkt nur auf jene User, denen über die oben erwähnte Benutzerkonfiguration eine URL zugeteilt wurde.

    Schließlich kann man GPOs durch Filterung nur auf jene Sicherheitsgruppen eingrenzen, deren Mitglieder Zugriffsrechte für die betreffenden Work Folders haben.

    Keine Kommentare