Folder Redirection konusu aslında yeni bir konu olmayıp Server 2012 R2 ile beraber SMB tarafında gelen bir takım güncellemeler sonrasında tekrar konuşulan ve bu yeniliklerin nasıl Romaing Profile veya Folder Redirection ortamları için kullanılabileceğini tartışırken bu konuda aslında temel anlamda ve detaylı bir makale yazılmadığını fark ettim. Evet hepimiz biliyoruz mantığı ile ilerleyip biraz ihmal ettiğimiz bir konu olmuş bu. Roaming User Profile ve Folder Redirection konularını da kapsayan VDI Ortamları için User Profile Yönetimi konulu makalem de de birlikte kullanım senaryolarını inceleyebilirsiniz.
Evet, sözü çok uzatmadan dediğim gibi aslında uzun zaman önce yazmam gereken bir makaleyi bugün kaleme alıyorum. Konumuz Folder Redirection FR, nedir? Nasıl yapılır? Tabiki detaylı bir anlatım ile J
Kullanıcılarınızın masa üstü öğeleri, browser için sık kullanılan linkleri veya kişisel ayarlarının her logon olduğunda sıfırlandığını düşünün? Böyle bir ortamda kullanıcıların çalışması mümkün olmayacaktır. Alışkın olduğumuz kullanıcı masa üstleri için aslında böyle bir risk yoktur. Çünkü mevut bir laptop veya masa üstü bilgisayarı kendileri için sabit olarak kullanmakta ve hep aynı kullanıcı profilini yüklemektedir. Ancak farklı cihazların kullanıldığı senaryolar düşünüldüğü zaman işin içine Roaming Profile ve Folder Redirection özellikleri girmektedir. Bu iki teknoloji arasındaki en büyük fark nedir demeden önce tanımlarını yapalım.
Roaming User Prolies RUP, temel olarak kullanıcıların profile alt yapılarının veri saklama alanının network üzerinde nerede olduğunu belirler. Yani kullanıcı profillerinin lokal diskler yerine belirtilen ağ yolu üzerinde saklanmasını sağlar.
Roaming Profile için temel çalışma mantığı son derece basit olup AD üzerinde kullanıcı için profile path tanımlanır ve kullanıcı çalışma yaptıktan sonra log off olur, log off sırasında o makinedeki tüm dosyalar sunucu üzerine gönderilir. Daha sonra başka bir makinede logon olurken de bu bilgiler bu makineye kopyalanır. Bu sayede her makine için kendi dosyaları ve kişisel ayarları yüklenir.
Bu senaryo içerisinde aklınıza bazı durumlar takılabilir, bunlardan ilki çalışanlarınızın log off olmaması. Evet bu kötü bir durum olup log off olmaması durumunda bu bilgiler sunucu üzerine yazılmayacağı için başka bir bilgisayardan profil’ e ulaştığı zaman en güncel profili yüklenmeyecektir. Hatta zaman damgası mantığı ile çalıştığı için evdeki pc de çalışır, sonra şirketteki makineyi log off olmadan kapatıp açar ise o makinedeki çalışmaları da log on olurken ezilir. Bu tür senaryolar için tabiki çözümlerimiz var. Bunlardan ilki roaming profile ile beraber folder redirection dediğimiz profil içerisindeki belgelerinizin, masa üstü çalışma alanınızın aslında size ayrılan bir file server üzerinden çalışması, bu sayede siz log off olmasanız bile yazdığınız tüm işler sunucu üzerinde olacaktır. Folder redirection yoğun bir network kullanımına neden olur, çünkü aslında kullandığınız masa üstü ve belgelerim gibi ( bunları seçebilirsiniz) yollar, direkt olarak file server üzerinden okuma ve yazma yapmaktadır. Bu bahsettiğim ikinci yöntem yani Roaming Profile ile Folder Redirection çözümlerinin beraber kullanılması aynı zamanda logon ve log off sürelerini de kısaltacaktır. Çünkü roaming profile için tüm kullanıcı profilinin yeni bir makineye yüklenmesi bazen ciddi bir zaman alabilir. Veya mevcut bir makinede hızlı bir şekilde logon oldu ancak 5GB lık bir veri çalışması yaptı ve log off olarak şirketten çıkmak istiyor, bu durumda bu 5GB’ ın sunucuya atılmasını beklemek zorundadır.
FR, temel olarak aşağıdaki gibi listelenen kullanıcı profil klasörü içerisindeki bilgilerin direkt olarak server üzerinden çalışmasını sağlar. Yani log on ve log off sırasında eşitleme ama lokalden çalışma şeklinde değil de, klasörlerin doğrudan yazdığı ve okunduğu yolu network yolu olarak belirttiğimiz bir çözümdür.
Windows Vista ve Üstü |
Eski İşletim Sistemleri |
AppData/Roaming |
Application Data |
Contacts |
Not Applicable |
Desktop |
Desktop |
Documents |
My Documents |
Downloads |
Not Applicable |
Favorites |
Not Applicable |
Links |
Not Applicable |
Music |
Not Applicable |
Pictures |
My Pictures |
Saved Games |
Not Applicable |
Searches |
Not Applicable |
Start Menu |
Start Menu |
Videos |
Not Applicable |
Yukarıda işletim sistemine göre hangi klasörleri yönlendirebileceğimiz görüyoruz.
Temel faydaları nedir?
Network üzerinde kullanıcılar istedikleri makinelerden logon olabilirler ve dosyalarına erişebilirler.
Offline Files özelliği ile önemli dokümanları kendi bilgisayarlarında ağ bağlantıları yokken de erişmek üzere saklayabilirler.
Veriler merkezi bir yerde tutulduğu için yedeklemek ve yönetmek kolaydır.
Veriler anlık olarak yazıldığı için log off olmama nedeni ile yaşanabilecek veri kayıplarının önüne geçilmiştir.
Kullanıcı verileri lokal disklerde tutulmadığı için lokal disklerdeki bir sorun veya yeni işletim sistemi kurulumları kullanıcıları etkilemeyecektir.
Merkezi yönetim sayesinde kullanıcılara kota ve içerik yönetimi gibi policyler uygulanabilecektir.
Folder redirection için aynı Roaming User Profile’ da olduğu gibi ilk olarak paylaşım noktasındaki güvenlik ayarlarını yapmamız gerekiyor. Eğer makalemin başındaki gibi Roaming Profile için gerekli olan güvenlik ayarlarını düzgün bir şekilde yapmışsanız aynı dizinleri kullanabilirsiniz. Veya benzer özelliklerde ayrı bir paylaşım da açabilirsiniz.
Size tavsiyem ise ayrı bir paylaşım açmanız olacaktır.
Bunun için öncelikle Server Manager ekranında “File and Storage Services” düğümüne geliyoruz ve Share kısmına tıklayarak paylaşımların gösterildiği ekranı açıyoruz.
Sağ üst köşedeki Task menüsü altından New Share diyerek yeni bir paylaşım oluşturmak için sihirbazı açıyoruz.
Karşımıza çıkan ekranda SMB Share Quick diyerek ilerliyoruz. Eğer siz içerik ve kota yönetimi gibi sunucu tarafında beklenmedik bir yoğunluk oluşumunu engellemek istiyorsanız SMB Share Advanced seçeneği ile ilerleyebilirsiniz.
Hangi sunucu ve volume üzerinde paylaşım açacak ise onu seçiyoruz ( Server manager üzerinden birden çok sunucuyu yönetme şansınız olduğu için birden çok sunucu üzerinde de paylaşım açabilirsiniz)
Paylaşım için bir isim belirliyoruz.
Bu bölümdeki seçenekler isteğinize bağlı olup ben yine bir kişinin bir paylaşım üzerinde yetkisi olmayan klasörleri listelememesi için “Enable access-based enumeration” kutucuğunu işaretliyorum.
Bir sonraki bölüm ise izinler. Bu bölüm son derece kritik bir öneme sahip olup gösterilen izinleri uygulamak güvenlik açısından en doğru konfigürasyonu yapmanızı sağlayacaktır.
Öncelikle hedefimiz olan izinleri bir görelim.
Paylaşım tarafında everyone için full control verebilirsiniz, sonuçta klasör izinlerinde detaylı çalışma yapacağız. Ancak tavsiye edilen FR için bir group oluşturup o grup için Full Control vermek en doğru yöntemdir.
Root yani ana dizin için izinler aşağıdaki gibi olmalıdır.
Root dizini altında kullanıcı yönlendirilmiş dosyası için izinler (Users’ Redirected Folders)
Yukarıdaki izinleri gerçekleştirmek için aşağıdaki gibi ilerlemeye devam edelim.
İlk olarak karşımıza çıkan ekranda “Customize permissions” linkine tıklıyoruz.
Daha sonra açılan pencerede “Disable inheritance” ve ardından karşımıza çıkan uyarı ekranında
Kırmızı işaretli linke tıklıyoruz.
Daha sonra ise izinleri düzenleyip aşağıdaki gibi son duruma getiriyoruz.
Not: listede olmayan ek bir administrators grubuna izin verdim, amacım makale yazarken sizlere bu klasörün için hakkında bilgi vermek.
Daha sonra ilerleyerek paylaşımı tamamlıyoruz.
File server üzerindeki süreci tamamladıktan sonra GPO bölümüne geçebiliriz.
FR için GPO kullanıcı bazlı olup aşağıdaki gibi ulaşabilirsiniz.
Yönlendirmek istediğini klasörün üzerine sağ tıklayıp özellikler demeniz halinde aşağıdaki gibi bir pencere açılacaktır.
Temel olarak ayarlar kısmında “Basic” ve “Advanced” olarak iki seçenek gelir.
Basic – Redirect everyone’s folder to the same location
Bu seçenek, ilgili GPO’ yu alan tüm kullanıcılar aynı yol üzerinde klasör oluşturmasını sağlar. Bu seçeneğin altında ise aşağıdaki gibi 3 temel seçenek vardır
Create a folder for each user under the root path
Bu seçenek örneğin aşağıdaki gibi bize bir yol tanımlamamızı sağlar;
\\server\share\User Account Name\Folder Name
Yukarıdaki gibi bir yol tanımladığınız da kullanıcı bazlı bir ayrım yapmış oluyoruz. Örneğin ben yol olarak “\\rds\userprofiles$\ yazdım sadece, ancak yol aşağıdaki gibi olacaktır
\\rds\userprofiles$\hakan\Desktop
Redirect to the following location, bu seçenek ise aynı klasörün birden çok kullanıcı tarafından kullanılacağı durumlar için düşünülmüştür.
Yukarıda da gördüğünüz gibi bu yol verildiği zaman herkes bu klasörü kullanacaktır, kullanıcı bazlı bir ayrım olmayacaktır.
Redirect to the local user profile location, bu seçenek ise folder redirection özelliğinin devre dışı bırakılmadan önce belgelerin kullanıcının lokal diskine geri gönderilmesi için kullanılır.
Advanced—Specify locations for various user groups, bu seçenek ise klasörlerin grup üyelikleri bazında dağıtılması istendiğinde kullanılmaktadır.
Bu bölümü biraz daha detaylandırmak gerekir ise, aslında temel seçenekler ile aynı olan yine 3 seçeneğimiz var, fakat bundan farklı olarak bu GPO’ yu alan gibi bir kullanıcı mantığından öte bu GPO yu alan ve yukarıda da gördüğünüz gibi seçtiğim grubun üyesi bir kullanıcı için “muhasebe” yolunu seçerken, diğer bir grup için başka bir yol tanımlaması yapabilirim.
Birde ek olarak Follow the Documents folder seçeneği görebilirsiniz ki bunu sadece Music , Pictures , Videos klasörleri için görebilirsiniz. Bu ayarı yapmanız halinde bu 3 klasör dokümanların altına mapleneceği için dokümanlar klasörü ile beraber hareket eder.
Not configured, bu ise varsayılan ayar olup ilgili GPO için Folder redirection seçeneği silinmiş oluyor. Yani artık bu klasörler için ek bir yönlendirme yapmaz, klasörlerin üzerindeki ayar ne ise o şekilde çalışmaya devam eder.
Şimdi biz bir path girişini yapalım
Şimdi GPO uygulanan bir kullanıcı da gpupdate yaptıktan sonra veya bir log off log on olup yani GPO’ yu almasını sağlayalım. Daha sonra yönlendirdiğimiz bu klasör üzerindeki klasörlerin özelliklerinden path bilgisini kontrol edelim.
File server üzerini kontrol edelim.
İçeriğini admin olarak göremiyoruz, ana dizine izin vermiştim ek olarak hatırlarsanız, amacım yukarıdaki gibi ayrı klasörleri göstermekti, ama alt klasörler için yine hatırlarsanız izin vermemiştim. Şimdi kullanıcı tarafından da içeriği bir görelim.
ABE açık olduğu için serkan klasörünü göremiyor kullanıcı, yani sadece yetkisi olan klasörleri görebiliyor.
Not: bir önceki resim administrator kullanıcısı ile dikkat ederseniz file server’ in üzerinden alınmıştır. Yolu kontrol ederseniz Local Disk şeklinde ilerler, bu nedenle tüm klasörleri görebiliyorduk.)
Klasörün içine girelim.
Bu noktadan sonra ise artık kullanıcı sayısını arttırmadan önce mutlaka network trafiğini ve file server için disk yoğunluğunu takip etmeniz gerekmektedir. Bunun en temel nedeni FR direkt olarak sunucu üzerinden okuma ve yazma yapacağı için sunucu disklerine ve network’ e ek yük getirecektir.
Peki, biz Folder Redirection kullanan bazı kullanıcılar için bu yapıyı tersine çevirmek istersek ne olacak? Örneğin yukarıdaki gibi hakan kullanıcısı için masa üstü FR ile RDS isimli sunucu üzerindeki paylaşıma yönlendirilmiş durumda, peki bunu nasıl tersine çeviririz.
Yukarıdaki ayar genelde yanlış bir şekilde bu amaç ile kullanılıyor sanılmak ile beraber ilk olarak bunu düzeltmek isterim. Mevcut Policy, bir yol belirtirken bu şekilde Not Configured olarak ayarlanır ise açıklama bölümünde de söylediği gibi var olan dosyaların yollarında hiçbir değişiklik yapmaz. Daha önce yol olarak neresi o klasörlere set edilmiş ise aynı şekilde yollar kalmaya devam eder.
Peki amacımıza ulaşmak için GPO tarafında nasıl bir değişiklik yapmalıyız. Bunun için ilgili GPO’ yu aşağıdaki gibi değiştirmemiz gerekli.
Şimdi kullanıcı tarafında Gpupdate yapıp sonucu kontrol edelim.
Gördüğünüz gibi hakan kullanıcısı için FR özelliğini geri almış olduk.
Evet, makalemin sonuna geldik, umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.