Windows网络共享组织

Question

我想有一些反馈，您使用的最佳实践发布您的网络共享。

现在，我们的文件服务器上有：

• 为我们的每个用户指定一个目录，每天备份
• 为每个服务指定一个目录，也每天备份。

为了轻松发布这些共享，我们使用一个脚本，该脚本在打开windows会话时运行，并将一个字母映射到此共享，如下所示：

Net use * /delete /yes
NET USE P: \\SRVFILES01\MyName /PERSISTENT:NO
NET USE S: \\SRVFILES01\MyService /PERSISTENT:NO

这方面的问题是：

• 我们的膝上型电脑用户可以在不上网的情况下登录，所以当他们连接到网络时，他们没有他们的网络共享。
• 如果服务器崩溃，我们的用户需要重新打开他们的windows会话以获得他们的网络共享。

你如何在你的组织中管理这一点？不要犹豫，分享你的技术解决方案和组织也！

非常感谢，

Answer 1

我们使用多种方法。

应用程序存储:与Safado一样，我们使用AD组策略来映射驱动器，尽管我们通常只将其用于特定的应用程序存储。如果用户是AD中特定安全组的成员，则应用组策略并映射驱动器。安全筛选用于确保特定的组策略仅适用于某个安全组的成员，即使组策略本身是在域级别上链接的。这就是我们如何绕过OU结构的约束，而不一定与需要映射驱动器的人匹配。当然，在共享本身上使用了相应的自主访问控制列表(DACL)，以确保只有组中的成员具有访问权限。

用户文件:在DC上创建一个共享，对共享的只读访问将授予所有经过身份验证的用户。在共享的内部创建一个文件夹，其名称与每个人的用户名相同，用户帐户是对该文件夹的唯一给定访问(读、写、执行)。对于共享，基于访问的枚举是打开的，因此其他用户无法看到其他用户的文件夹，而不管是否允许读取对主共享文件夹的访问。AD中的用户配置文件部分包含允许单个映射驱动器的设置，我们仅将其用于用户文件。% username %宏可以在这些框中使用，并且正如宏所暗示的那样，它在登录时被替换为实际的用户名，从而生成一个映射驱动器，其中包含特定于该用户的内容。

容错:如果映射的驱动器需要更大的容错能力，并处理一个(或多个)DC的丢失或断开，则可以使用DFSR (分布式文件系统复制)。例如，可以在三个DC上创建DFS名称空间，可以在组策略或AD用户配置文件中使用DFS命名空间UNC路径。这将导致文件可以访问的设置，即使DC崩溃，如果您在DFS Namespace的其他地理位置上有DC，则系统可以像CDN一样工作。

就像Safado说的那样，如果不能连接的话，这些股票就会出现一个红色的X，一旦服务器上线，双击共享就可以访问。

注:由于声誉低于10：

编辑:将大量GPO对象链接到域级别的顶部并不是一个好主意。经过深思熟虑的OU结构可能允许您将驱动器映射GPO对象链接到只包含需要挂载共享的用户的OU。在这种情况下，没有必要使用安全过滤的细微差别，因为您的of的继承结构已经处理了这个问题。当然，在处理管理不善的客户端AD域时，这并不总是case...for示例:P。

Answer 2

我们使用GPO (User>Preferences>Windows Settings>Drive Maps)来映射用户个人共享和部门共享的驱动器。我们在重启后将其标记为重新连接，所以即使他们在离开网络时启动他们的计算机，共享仍然是列出的，但是用红色的X。那么当他们回到网络时，他们只需点击共享，它就会重新连接。

Answer 3

几年前，我也有过同样的问题:一旦笔记本电脑与网络断开连接，挂载的股票就无法使用。

当我简单地在他的桌面上创建一个指向\myserver\myshare的快捷方式时，用户非常高兴。对于操作系统来说，宣布这些股票的不可达性也要快得多(尽管我没有数据来支持这一点)。因此，一个解决方案就是在桌面通过GPO上创建快捷方式。

如果您希望保留已挂载的共享，对于您的膝上型计算机用户，您还可以修改登录脚本以检查服务器是否可访问，在这种情况下不要挂载它。

至于服务器崩溃的情况，首先不应该是这样，尤其是当用户需要共享时。如果您可以规划服务器维护和维护高可用性，那么第二种方案不会对任何最终用户产生太大影响，因此不再是一个问题。