web-dev-qa-db-ja.com

Active Directoryユーザーごとにサーバー上のプライベートフォルダーを共有し、ログイン時に自動マウントします

私はWindowsサーバーにかなり慣れていません。

私が達成したいこと:

  1. ユーザーがLAN/WLAN内のクライアントPCのいずれかから中央資格情報を使用してログインできるようにします。
  2. 有効な資格情報があっても、サーバーのデスクトップにアクセスすることはできません。これは、クライアントPCでの認証専用である必要があります。
  3. サーバー上に、個人ファイルを保存できるプライベートフォルダーが必要です。
  4. このプライベートフォルダは、ログインするPCに(ドライブ文字で)自動マウントされます。
    共有ホームフォルダについて読みましたが、ユーザーのホームディレクトリなど、システム全体で重要ではない別のフォルダを好みます。
  5. (オプション)必要に応じて、サーバー共有(上記の#2、#3)ではなくローカルシステムにファイルを保持するオプションが必要です。

TechNetのマニュアルとさまざまなSOの回答)を読んで、Active Directoryが自分の目的に役立つ可能性があるというヒントを得ました。しかし、どのサーバーバージョンを使用すべきか、またどのように使用すればよいかわかりません。システム全体をセットアップします。これをセットアップするために追加のツールが必要ですか。

クライアントPCで特別な設定をせずにこれらを達成することはすべて可能ですか?つまり、サーバーを特定の方法でセットアップするだけです!

これ( Active Directoryユーザーのネットワークドライブ用のフォルダーを「バッチ処理」する方法は? )は私のニーズに近いように見えますが、これを完全に理解することはできません。
どうやら、ログイン時にクライアントPCでマウントスクリプトを実行する必要がありますが、私はあまり好みません。

不思議なことに、サーバーOSをまったく使用せずにこのセットアップが可能かどうか知りたいのですが。たとえば、いくつかの追加のWindowsツールがインストールされているWindows8.1デスクトップバージョン。

windowsactive-directorywindows-server-2008-r2windows-server-2012
1
Izhar Aazmi

何人のユーザー?プライベートフォルダがあるので、これは主に、ユーザーが多い場合に設定するのが面倒な場合があるためです(ただし、これをスクリプト化できる場合があります)。

  1. ServerバージョンのWindowsでActive Directoryをセットアップします(ワークステーションOSでこのすべてを実行することについての質問があるため強調します)。デフォルトでは、ドメインに追加されたワークステーション(ワークステーションオペレーティングシステムなど)には、許可されたログオンユーザーとして「ドメインユーザー」があり、管理者として「ドメイン管理者」があります。
  2. デフォルトでは、ドメインに追加されたサーバー(サーバーオペレーティングシステムなど)の管理者グループにはドメイン管理者が含まれ、管理者またはリモートデスクトップユーザー以外のユーザーはデスクトップログインを許可されません。
  3. 移動プロファイル ではなく、共有が必要なようです。回避できる場合は、ドメインコントローラーに共有を配置することは一般的に推奨されていませんが、Small Business Serverなどの製品はそれを実行します そしてそれ発生 。共有だけが必要な場合は、各ユーザーにちなんで名付けられたサブフォルダーを持つusersharesのような名前のフォルダーを作成してから、各フォルダーをユーザーとユーザーのみと共有し、ユーザー名にちなんで共有に名前を付けます。 (例:usernameのユーザー名の場合はd:\usershares\username\\yourserver\usernameとして共有されます。)
  4. Net Use S: \\yourserver\%username%または同等のPowerShellなどを使用してログオンスクリプトをユーザーに割り当てます。
  5. これは、移動プロファイルが必要ではないと言っているように聞こえる場所です。

(「Whynot?」については、ドメインコントローラーに「攻撃対象領域」を追加しないことが推奨され、追加されたサービスは攻撃対象領域であるため、お勧めしません。)

また、1つが失敗した場合に備えて、2つのドメインコントローラーを用意することをお勧めします。 (仮想化はまだ両方の卵を1つのバスケットに入れるので、お勧めしません。リスクを軽減せずに、より多くの管理を行うことになります。)

1
Katherine Villyard
  1. Widnowsでは、ActiveDirectoryが最適です。コンピューターは、ActiveDirectoryのドメインのメンバーである必要があります。
  2. デフォルトでは、AD(Active Directory)メンバーサーバーのリモートデスクトップログインは、ドメイン管理者グループに対してのみ許可されます。
  3. 分散ファイルシステム(DFS)を使用しており、「ホーム」ルートの場所(\\ domain.local\home)に名前空間を構成し、それにクォータを設定しています。
  4. これは、グループポリシーによって実行できます。 ADユーザーオブジェクトのプロパティの[プロファイル]タブ-新しいユーザーを作成するときは「ユーザーをコピー」する必要があり、手動で編集したくない場合はスクリプトを作成する必要があります。最後はNet Useログオンスクリプトとして。

しかし、使用するサーバーのバージョンと、システム全体をどのようにセットアップするかについてはわかりません。

Windows Server 2012R2標準。 1つはドメインコントローラー用、もう1つはホームディレクトリを持つストレージサーバー用です。両方とも別々の物理マシン上にあります。

さらに、ユーザーごとにCALライセンスが必要ですORデバイスはActiveDirectoryに接続します。ユーザーごとのCAL /デバイスごとのCAL。

クライアントPCで特別な設定をしなくても、これらを実現することはすべて可能ですか?

PCには、少なくともWindows Professionalエディション(XP、7、Vista、8、8.1、10)が必要です。 PCをActiveDirectoryに追加するだけで済みます。

0
ADPien

Windows Server 2012R2では「作業フォルダー」を使用できます。これにより、Windows 7以降のマシン(ドメインに参加していない)がサーバーにプライベートフォルダーをマウントできるようになります。 ADでアカウントを作成してから、SSL証明書を生成するだけです。クライアントPCは、ADで作成したアカウントを使用して共有にアクセスできます。

ただし、ドライブ文字を使用してマップされないため、要件4を満たさない場合があります。

ソース: https://technet.Microsoft.com/en-us/library/dn265974.aspx?f=255&MSPPError=-2147217396

0
lbanz