漫游配置文件：最佳实践

使用文件夹重定向从用户的漫游用户配置文件中获取“我的文档”、“桌面”和可能的“应用程序数据”文件夹将极大地帮助解决问题。

我会查看 Microsoft 的这份文档：“管理漫游用户数据部署指南”。它的深度令人生畏，但它充满了非常好的信息。

有些人只使用文件夹重定向而不使用漫游用户配置文件。我倾向于不同意这种策略，因为对我来说，用户的个人资料也是用户数据，并且需要以与其“公开”数据项相同的管理程度来备份。漫游用户配置文件也使将用户移动到新 PC 变得更加容易。

是否使用“脱机文件”在客户端缓存数据取决于您的环境。当用户的重定向文件夹大小超过 2GB 时，Windows XP 不能很好地处理脱机文件。Windows Vista 和 Windows 7 有一个大大改进的缓存引擎并且做得更好。在我看来，如果用户的计算机不是便携式的，那么使用“脱机文件”就没有“胜利”。其他人的看法可能会有所不同。

最后，我倾向于不使用微软“推荐”的默认安全范式。我将托管用户重定向文件夹的共享文件夹的根目录上的权限设置为：SYSTEM/Full Control、Administrators/Full Control、Authenticated Users/List Folder Contents-仅此文件夹。然后，我预先创建每个用户的文件夹并添加 That-User/Full Control 权限。我更改了“文件夹重定向”中的默认设置，以防止授予用户“独占访问权限”（这实际上意味着“弄乱我的文件夹权限层次结构并关闭继承”）。我还将组策略设置设置为“不检查漫游配置文件文件夹的所有权”以启用以允许我将漫游配置文件文件夹的安全设置与上述相同。

我做这一切的原因有两个。Microsoft 的默认设置“破坏”了我的文件系统上的权限继承层次结构，我发现这既令人恼火，也是我在未来某个时候总是不得不与之抗争的障碍。其次，“微软方式”涉及设置共享根文件夹以允许用户创建子文件夹。充其量，这只是安全性松懈。在最坏的情况下，一个用户可以通过在新用户登录之前为该用户预先创建文件夹并设置拒绝新用户访问的权限来对新用户发起拒绝服务攻击。

设计漫游配置文件是一项复杂的任务。下面的文章试图给出一个概述：

用户资料设计：入门

最后的链接指向更详细的文章。

文件夹重定向是通过从登录和注销期间复制的配置文件部分中删除通常较大的文件夹来减少登录持续时间的一种非常常见的方法。但是，通过文件夹重定向，您可以用登录/注销速度换取会话中的性能。可以在从这里开始的多部分博客系列中找到有关演示视频的详细讨论：

文件夹重定向如何影响用户体验并破坏应用程序

“太大”将取决于您的网络速度，在具有 GB 文件的慢速 WAN 末端的用户会注意到登录缓慢。那些和他们的家庭服务器在同一个办公室的人应该没问题。

最佳实践（嗯，不是最好的，但比大多数替代方案更好）是文件夹重定向与客户端缓存相结合，理想情况下是DFS。有传言说这在 Vista/Win7 上比在 XP 上工作得更好。该技术适用于 XP，但难以管理或排除故障。

一个优点是同步发生在后台并且不会阻止登录。

重定向可以通过Group Policy完成，在您的情况下，您将“我的文档”指向用户的共享，但将“我的音乐”指向本地硬盘。这样，您就可以为笔记本电脑用户备份文档，而无需用 MP3 填满服务器。桌面用户根本不需要脱机文件。

将 DFS用于您的共享，您甚至可以在将来更改服务器。使用 GPO 配置的文件夹重定向的一个真正问题是，如果您需要移动文件夹，旧共享和新共享都需要可用 - DFS 避免了这种情况。如果您为在慢速 WAN 上拥有 GB 文件的现有用户激活重定向的“我的文档”，则在移动数据时，他们将被锁定在Windows XP PC 之外。

去年在 Windows IT Pro 中有一篇很棒的两部分文章“管理用户数据和设置的最佳实践”，在相同的策略中处理 XP 和 Vista 用户 - 这家伙已经考虑过了。