Arbeitsordner - Work Folders - Ordnerumleitung
Arbeitsordner - Work Folders
Eine Alternative zu Offline Dateien beim Einsatz der Ordnerumleitung. Ein "OnPremise - OneDrive". Synchronisation über HTTPS, statt SMB.
Damit das automatische Erstellen von personalisierten Ordnern unterhalb der Freigabe durch Zugriff und der Sync erfolgt müssen die Berechtigungen passen. Diese sind identisch zur Ordnerumleitung. Wichtig: Ändern Rechte reichen nicht aus. Der Benutzer muss Besitzer der Dateien sein.
Noch mal zum Nachschauen:
- Ordnerumleitung 1 - Argumente
- Ordnerumleitung 2 - Berechtigungen auf Home Folder
- Ordnerumleitung 3 - Profile .v2 - Vista aufwärts
Fazit, Ordnerumleitung und Offline Cache - Hauptfehlerquellen:
- Berechtigungen, Berechtigungen, Berechtigungen
- Offline Client Side Cache (CSC). Lösung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CSC
FormatDatabase=1
On a Windows Vista-based or Windows 7-based client computer, you can still access offline files even though the file server is removed from the network
Die Ordnerumleitung macht absolut Sinn zur Datenzentralisierung, aber diese müssen eben auch Offline zur Verfügung stehen. Mit Windows 8.1 hat Microsoft die Arbeitsordner / Work Folders eingeführt, die die Synchronisation mit einer anderen Technik erlauben. Der Sync kann auf HTTPS/SSL Basis erfolgen. Dadurch ergibt sich auch der charmante Vorteil, das die Dateien auch auf "Nicht-Microsoft" Devices zur Verfügung gestellt werden können, da sie ohne SMB auskommen. Ob man das nach aussen veröffentlicht oder nur intern nutzt kann sich jeder selbst überlegen.
Work Folders sind ein bischen OneDrive OnPremise. Microsoft bietet euch einen Blog Artikel, wo sie die Technik gegenüberstellen.
- Comparing Work Folders and Offline Files
- Offline Files (CSC) to Work Folders Migration Guide
- Work Folders compared to other sync technologies
- Deploy Work Folders with AD FS and Web Application Proxy
Das HowTo umfasst die Schritte:
- Client vorbereiten
- Server Konfiguration
- Workfolders am Client mit Gruppenrichtlinien automatisch einrichten
- Die Ordnerumleitung per Gruppenrichtlinien in die Work Folders
1. Client vorbereiten
Wenn ihr den Windows 10 Client "out-of-the-box" installiert habt, dann müsst ihr nichts machen. Wer aber seinen Client, so wie ich, immer aufräumt und nur die Features auf den System lässt, die benötigt werden, der muss die Work Folders als Funktion hinzufügen. Das könnt ihr scripten per dism.exe oder in der Powershell:
Enable-WindowsOptionalFeature -Online -FeatureName WorkFolders-Client -NoRestart
Optional, nicht empfohlen, HTTP statt HTTPs erlauben.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders
AllowUnsecureConnection=1
Da ich das nicht möchte müsst ihr selber überlegen, wie ihr das zum Client bringt ...
2. Server Konfiguration
Der Server benötigt die Rolle "Arbeitsordner" und ein WebCore Service, damit er auf HTTP oder HTTPS reagieren kann. Das geht am einfachsten über die Powershell.
2.1 Rollen hinzufügen
Install-WindowsFeature FS-SyncShareService,Web-WHC
2.2 Autodiscovery CNAME/Host-A Record hinzufügen
Wer sich hinterher an der Share mit seiner EMail Adresse anmelden möchte, muss eine "Autodiscovery" einrichten, ähnlich wie das was ihr von Outlook kennt. Ihr benötigt einen CNAME/Host-A Record "workfolders". Der Client sucht automatisch nach "workfolders.dns.suffix".
2.3 SSL Zertifikat
Der Web-WHC Service sollte für SSL / HTTPS ausgelegt werden, Dafür benötigen wir ein Zertifikat auf dem System.
Erstellt euch ein SAN Zertifikat, das alle Namen abdeckt, z.B.: Siehe
Selfsigned Certificate - Selbsterstellte PKI - Powershell 5
[... Code Snipped ...] $ComputerCert = New-SelfSignedCertificate @params -DnsName Majestix,Majestix.gallier.ads,gallier.ads,workfolders,workfolders.gallier.ads,workfolders.gruppenrichtlinien.de
2.4 Zertifikat an den Web-WHC binden
Der Web-WHC kommt ohne IIS Management Konsole daher. Deswegen erfolgt die Bindung des Zertifikats an den Listener über die Commandline.
Zunächst benötigen wir den Thumbprint des Zertifikats:
$Thumbprint=Get-ChildItem -Path cert:\LocalMachine\My | where {$_.DnsNameList -match "workfolders"} | Select-Object -ExpandProperty Thumbprint
Danach wird das Zertifikat an den an den Adapter/Listener gebunden:
Add-NetIPHttpsCertBinding -IpPort "0.0.0.0:443" -CertificateHash $Thumbprint -CertificateStoreName "My" -ApplicationId "{CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}" -NullEncryption $false
Alternativ geht das auch per netsh:
netsh http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
Die GUID für die Work Folders ist immer dieselbe {CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}
2.5 Freigabe einrichten
Ihr könnt den Servermanager verwenden und dem Assistenten folgen. Aus administrativer Sicht gibt es kleine Stolpersteine.
Zunächst wählt ihr die Freigabe aus, oder erstellt eine neue. Wenn ihr eine Freigabe verwendet, die schon "%USERNAME% (Anmeldename der Benutzer) enthält, dann solltet ihr "Benutzer-Alias" auswählen.
Dann tragt ihr die Gruppe der Benutzer ein, die auf diese Synchronisierungsfreigabe Zugriff erhält. Falls ihr als Administratoren ebenfalls auf die Benutzerordner zugriefen dürft und das weiterhin wollt, dann entfernt die Checkbox für den Exklusiven Zugriff.
Als letztes muss man sich ein wenig über Sicherheit Gedanken machen. Arbeitsordner verschlüsseln würde über EFS laufen. Verschlüsselung auf Dateiebene haben die wenigsten konfiguriert, macht keiner und erfordert ein Zertifikat für den Benutzer. Damit wird die Technik inkompatibel mit Android und Apple, was sonst einer der Vorteile von Arbeitsordnern gegenüber Offline Dateien ist.
Da Arbeitsordner theoretisch auch zu Hause auf einen privaten Rechner verwendet werden könnten, sollte man sich evtl. doch über den Bildschirmschoner unterhalten. Oder das per Anweisung von vornherein verbieten.
Das Ganze geht natürlich auch per Powershell:
- keine Exklusiven Rechte: -InheritParentFolderPermission
- https://docs.microsoft.com/en-us/powershell/module/syncshare/new-syncshare
New-SyncShare -Name "Home" -path "C:\Freigaben\Home" -User "Gallier\Gallier" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission
3. Workfolders am Client mit Gruppenrichtlinien automatisch einrichten
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Arbeitsordner
Festelegen der Arbeitsordnereinstellungen
- Arbeitsordner-URL = https://workfolders.gallier.ads, wichtig ist, daß der Name des Servers mit dem Namen im Zertifikat übereinstimmt. Bei einem Zertifikatsfehler wird der Ordner nicht verbunden, Die Fehlermeldung ist in dem Fall nicht sprechend. Sie besagt nur Arbeitsordner nicht gefunden. Der Fehler ist im Eventlog zu finden -> Ereignis Anzeige\Anwendungs-und Dienstprotokolle\Microsoft.\Windows\Workfolders
- Lokaler Pfad = %USERPROFILE%\Work Folders, sollten noch Roaming User Profiles im Spiel sein, dann verwendet C:\Users\%USERNAME%\Work Folders. Der Pfad muss auf einen lokalen verweisen.
- Bedarfsgesteuerter Dateizugriff = Deaktiviert. Dann werden alle Dateien ohne Nachfrage synchronisiert. Alternative wäre es dem Benutzer überlassen oder ein "on Access". Das kennt ihr von euren Mobilen Devices und deren Bilder in der Cloud. Wenn eure Share von aussen erreichbar ist, dann wäre on Access eine machbare Lösung und es würden nicht Berge von Daten auf den Client übertragen, wenn er sie nicht benötigt.
- Automatische Einrichtung erzwingen = Aktiviert, ... logisch, Deswegen machen wir das ja per Gruppenrichtlinie ;-)
3. Pfad Angabe für die Ordnerumleitung
Die Konfiguration ist wie in dem Artikel Ordnerumleitung 3 - Profile .v2 - Vista aufwärts
- Standard. Leitet alle Ordner auf den gleichen Pfad um. Alternativ kann hier nach Sicherheitsgruppe unterschieden werden.
- Zielordner: An folgenden Pfad umleiten: C:\Users\%USERNAME%\Work Folders\Documents
Als Pfad verwenden wir explizit den lokalen Ordner = C:\Users\%USERNAME%\Work Folders mit dem entsprechenden Ordner darunter: Documents, Pictures, Videos etc
Sonderfall UI / Oberfläche
Schaut man später erneut in die Konfiguration der Einstellungen, dann hat sich dort die Ansicht verändert. Aber so, wie sie sich nun darstellt kann sie nicht im initialen Schritt eingerichtet werden. Die Speicherung wird nicht erlaubt. Da ist die UI etwas eingeschränkt in ihren Möglichkeiten.