Windows Server 文件夹重定向 & 漫游用户配置文件

目录

1. 1. 核心概念
2. 2. 技术架构图解
3. 3. 环境准备与前提条件
4. 4. 规划决策树
5. 5. 实战一：部署文件夹重定向
6. 6. 实战二：部署漫游用户配置文件
7. 7. 实战三：主计算机机制
8. 8. 实战四：Always Offline 模式
9. 9. 故障排除
   
   

1. 核心概念

1.1 文件夹重定向（Folder Redirection）

一句话说明：把用户本地的"文档/桌面/下载"等文件夹重新定向到网络文件共享，物理上离开本地 PC，但用户操作体验完全不变。

关键特性：

• • 用户操作体验不变，但文件物理位置改变到网络共享
• • 配合「脱机文件」，断网也能继续访问
• • 可以与漫游用户配置文件一起用，也可以单独用
• • 不漫游应用程序设置，只漫游实际文件数据

1.2 漫游用户配置文件（Roaming User Profiles，RUP）

一句话说明：把整个用户配置文件（壁纸、主题、开始菜单布局、浏览器书签等系统/应用设置）整个复制到文件共享，用户无论登录哪台 PC 都得到相同体验。

配置文件里有什么（会漫游的内容）：

• • 桌面背景、主题、任务栏设置
• • 开始菜单布局（Windows 10）
• • 浏览器收藏夹/书签
• • 大多数应用程序的设置（Word 模板、Outlook 规则等）

配置文件里没有（需要配合文件夹重定向）：

• • 用户文档文件（.docx/.xlsx 等）— 用文件夹重定向处理
• • 应用程序本身 — 不漫游，需要重新安装

1.3 脱机文件（Offline Files）

脱机文件是文件夹重定向的好搭档：

• • 网络断开时，用户仍能继续编辑重定向文件夹中的文件
• • 网络恢复后，自动将更改同步回服务器
• • 移动用户经常出差/切换网络，这个功能必不可少
• • Always Offline 模式：强制客户端永远认为网络慢，始终使用本地缓存，彻底消除等待感

2. 技术架构图解

3. 环境准备与前提条件

3.1 通用前提（两者都适用）

3.2 文件服务器的注意事项

⚠️ 以下配置会影响文件夹重定向/漫游配置文件的正常工作：

1. DFS 命名空间（DFS-N）
   → 如果使用 DFS-N，文件夹链接必须只有单一目标
   → 否则用户在多台服务器上编辑同一文件，产生冲突

2. DFS 复制（DFS-R）
   → 用户只能访问源服务器，不能访问复制目标
   → 否则产生编辑冲突

3. 群集文件共享
   → 必须在共享上禁用「连续可用性」
   → 否则脱机文件在断网后 3-6 分钟内不会切换到离线模式
   → 用户体验很差

4. 与远程桌面服务（RDS）共存（不在本教程范围内）
   → 需采用不同的共享权限配置，且需为每个新用户预先创建文件夹
   > **知识点**：文件服务器同时托管 RDS 时，需为每个用户预创建个人文件夹并配置不同权限。本教程基于独立文件服务器环境，RDS 共存场景请参阅微软官方文档「部署文件夹重定向和脱机文件」中的相关章节。

4. 规划决策树：一起用还是单独用

5. 实战一：部署文件夹重定向

实战作用：文件夹重定向解决的是「用户文件散落在每台 PC 本地」的问题——把文档、桌面、下载等文件夹从本地 C 盘重定向到网络文件共享，用户无论登录哪台 PC 都能访问同一份文件，同时配合「脱机文件」实现断网可继续使用。

前提：文件服务器已就绪（加域），AD DS 正常运行

第 1 步：创建文件夹重定向安全组

在 Active Directory 管理中心创建一个安全组，包含所有需要文件夹重定向的用户。

操作路径：服务器管理器 → 工具 → Active Directory 管理中心

步骤：

1. 1. 打开「Active Directory 管理中心」
2. 2. 右键点击你的域 → 「新建」→「组」
3. 3. 填写组信息：

   设置	值
   组名	文件夹重定向用户
   组作用域	全局
   组类型	安全组

1. 4. 在「成员」中添加所有需要重定向的用户账户或组
2. 5. 确定

第 2 步：在文件服务器上创建文件共享

在文件服务器上新建一个 SMB 共享，用于存放所有用户的重定向文件夹。

步骤：

1. 1. 打开「服务器管理器」→「文件和存储服务」→「共享」
2. 2. 点击「任务」→「新建共享」
3. 3. 选择配置文件：
• • 已安装 FSRM + 需要配额管理 → SMB 共享 - 高级
• • 普通情况 → SMB 共享 - 快速
4. 4. 选择服务器和卷 → 输入共享名（例如 Users$）

技巧：共享名末尾加 $ 可以隐藏共享（普通用户看不到）

1. 5. 在「其他设置」页：
• • ☐ 取消勾选「启用连续可用性」⚠️（必须取消！）
• • ☐ 勾选「启用基于访问的枚举」
• • ☐ 勾选「加密数据访问」
2. 6. 在「权限」页，选择「自定义权限」

权限配置：

高级权限设置（禁用继承后配置）：

| 账户                        | 权限（高级）                          | 适用于              |
|---------------------------|-------------------------------------|-------------------|
| SYSTEM                     | 完全控制                             | 此文件夹、子文件夹和文件 |
| 管理员                      | 完全控制                             | 仅此文件夹           |
| 创建者/所有者                | 完全控制                             | 仅子文件夹和文件       |
| 文件夹重定向用户（安全组）     | 列出/读取数据、创建文件夹/追加数据、读取属性、读取扩展属性、读取权限、遍历/执行文件 | 仅此文件夹 |
| 其他账户                    | 无（删除）                            |                    |

⚠️ 常见错误：忘记删除 Everyone 或其他无关账户，导致权限过大。

第 3 步：（知识点）RDS 共存环境下的权限与文件夹预创建

本教程基于独立文件服务器环境，无需执行此步骤。

如果文件服务器同时托管 RDS（Remote Desktop Session Host），需为每个新用户预先创建个人文件夹，权限配置如下：

第 4 步：创建文件夹重定向 GPO

操作路径：服务器管理器 → 工具 → 组策略管理

步骤：

1. 1. 在「组策略管理」中，右键点击目标域或 OU
2. 2. 选择「在此域中创建 GPO 并将它链接在此处」
3. 3. GPO 名称：文件夹重定向设置
4. 4. 立即禁用链接（暂不启用，等配置完再启用）
• • 右键 GPO → 取消勾选「已启用链接」

1. 5. 配置安全筛选（移除所有人，添加我们创建的安全组）：
• • 选中 GPO → 「作用域」→「安全筛选」→ 点击「添加」→ 输入第 1 步创建的安全组名称（如 文件夹重定向用户）

第 5 步：配置文件夹重定向组策略

步骤：

1. 1. 右键点击刚创建的 GPO → 「编辑」
2. 2. 导航到：

   用户配置 → 策略 → Windows 设置 → 文件夹重定向

3. 3. 右键点击要重定向的文件夹（如「文档」）→ 「属性」

目标文件夹位置四个选项：

切换到 「设置」 标签页：

各选项说明：

策略删除选项：

各文件夹建议配置：

第 6 步：启用 GPO

组策略管理 → 右键 GPO → ✅ 勾选「已启用链接」

⚠️ 建议：在启用 GPO 之前，确保已配置好共享和权限，否则用户登录时会遇到问题。

第 7 步：测试文件夹重定向

使用配置了文件夹重定向的用户账户登录客户端 PC 进行验证。

步骤：

1. 1. 使用目标用户账户登录已加域的 PC
2. 2. （如果之前登录过）打开管理员命令提示符 → gpupdate /force → 注销重新登录
3. 3. 打开「文件资源管理器」
4. 4. 右键点击重定向的文件夹（如「文档」）→「属性」→「位置」选项卡

   验证点：路径应为 \\fs1.corp.contoso.com\Users$\zhangsan\Documents（网络路径），而不是 C:\Users\zhangsan\Documents（本地路径）

5. 5. 双击进入该文件夹，尝试新建一个测试文件
6. 6. 在文件服务器上确认文件已出现

6. 实战二：部署漫游用户配置文件

实战作用：漫游用户配置文件解决的是「用户系统和应用设置散落在每台 PC 本地」的问题——将用户配置（桌面背景、开始菜单、主题、浏览器收藏夹等）整个复制到文件共享，用户无论登录哪台 PC 都能获得相同的操作系统和应用程序体验。配合实战一的文件重定向，两者共同实现「换电脑跟没换一样」的完整用户体验。

强烈建议：先完成「实战一：文件夹重定向」再做本实战，用户文件不进配置文件 → 体积小 → 登录快

准备工作：理解漫游配置文件路径

漫游配置文件存储在文件共享中，每个用户一个文件夹，文件夹名称格式为：

\\fs1.corp.contoso.com\UserProfiles$\zhangsan.V5
                                              ^^^
                                    Windows 10 配置文件版本后缀

配置文件是文件夹，不是单个文件，里面包含用户配置的所有数据。

第 1 步：创建漫游用户配置文件安全组

步骤：

1. 1. 在「Active Directory 管理中心」中，右键点击域或 OU → 「新建」→「组」
2. 2. 填写信息：

   设置	值
   组名	漫游用户配置文件用户和计算机
   组作用域	全局
   组类型	安全组

3. 3. 在「成员」中添加需要漫游配置文件的用户账户
4. 4. 确定

第 2 步：创建漫游用户配置文件文件共享

⚠️ 重要：此共享必须与文件夹重定向的共享完全分开。
目的：避免漫游配置文件文件夹被意外当作重定向文件夹处理。

步骤：

1. 1. 在文件服务器上新建文件夹（如 E:\UserProfiles）
2. 2. 在「服务器管理器」→「文件和存储服务」→「共享」→ 「新建共享」
3. 3. 选择「 SMB 共享 - 快速」（或「 SMB 共享 - 高级」如需配额）
4. 4. 共享名：UserProfiles$（加 $ 隐藏）
5. 5. 其他设置：
• • ☐ 取消「启用连续可用性」⚠️ 必须
• • ☐ 勾选「启用基于访问的枚举」
• • ☐ 勾选「加密数据访问」
6. 6. 权限页 → 「自定义权限」

权限配置：

| 账户                        | 权限（高级）                          | 适用于              |
|---------------------------|-------------------------------------|-------------------|
| SYSTEM                     | 完全控制                             | 此文件夹、子文件夹和文件 |
| 管理员                      | 完全控制                             | 仅此文件夹           |
| 创建者/所有者                | 完全控制                             | 仅子文件夹和文件       |
| 漫游用户配置文件用户和计算机（安全组）| 列出/读取数据、创建文件夹/追加数据 | 仅此文件夹 |
| 其他账户                    | 无（删除）                            |                    |

⚠️ 关键：与文件夹重定向不同，这里只给「列出/读取」和「创建文件夹/追加数据」权限，用户无法删除自己的配置文件文件夹。

第 4 步：创建漫游用户配置文件 GPO

步骤：

1. 1. 「组策略管理」→ 右键目标域或 OU → 「在此域中创建 GPO 并将它链接在此处」
2. 2. GPO 名称：漫游用户配置文件设置
3. 3. 暂不启用：右键 → 取消「已启用链接」
4. 4. 安全筛选：
• • 添加第 2 步创建的安全组（如 漫游用户配置文件用户和计算机）

第 5 步：配置漫游用户配置文件 — 方式一：AD 用户属性（推荐）

在用户账户上直接指定漫游配置文件路径。最简单的方式。

步骤：

1. 1. 「Active Directory 管理中心」→ 找到目标用户 → 右键「属性」
2. 2. 切换到「配置文件」选项卡
3. 3. 填写：

   配置文件路径：\\fs1.corp.contoso.com\UserProfiles$\%username%

   %username% 是自动变量，会替换为实际的用户名

   展开后即：\\fs1.corp.contoso.com\UserProfiles$\zhangsan

4. 4. 确定
5. 
   
   

第 5 步（替代方式）：配置漫游用户配置文件 — 方式二：组策略（计算机级别）

适合多台托管设备（如 VDI）场景，或需要批量管理时使用。
如同时配置方式一和方式二，方式二（基于计算机）优先级更高。

步骤：

1. 1. 打开第 4 步创建的 GPO → 「编辑」
2. 2. 导航到：

   计算机配置 → 策略 → 管理模板 → 系统 → 用户配置文件

3. 3. 双击「为登录此计算机的所有用户设置漫游配置文件路径」
4. 4. 选择「已启用」
5. 5. 在路径输入框中填写：

   \\fs1.corp.contoso.com\UserProfiles$\%username%

6. 6. 确定

第 6 步：为 Windows 10/11 指定「开始」菜单布局（可选）

漫游用户配置文件不漫游「开始」菜单自定义设置（Windows 10）。
如果用户有多台 PC 且需要一致的「开始」菜单，用此步骤。

步骤：

1. 1. 在 Windows 10 电脑上自定义「开始」菜单
2. 2. 以管理员身份打开 PowerShell，导出布局：

   Export-StartLayout -Path C:\Layouts\StartLayout.xml

3. 3. 将该 XML 文件放到网络共享
4. 4. 在「漫游用户配置文件」GPO 中：
• • 导航：计算机配置 → 策略 → 管理模板 → 开始菜单和任务栏
• • 启用「开始屏幕布局」
• • 指定 XML 文件的 UNC 路径

⚠️ 已知限制：操作系统就地升级后，「开始」菜单自定义会丢失，需要重新应用布局。

第 7 步：启用 GPO

组策略管理 → 右键 GPO → ✅ 勾选「已启用链接」

第 8 步：测试漫游用户配置文件

步骤：

1. 1. 使用配置了漫游配置文件路径的用户账户登录目标 PC
2. 2. 管理员命令提示符 → gpupdate /force → 注销重新登录
3. 3. 打开「控制面板」→「系统和安全」→「系统」→「高级系统设置」→「用户配置文件」部分 → 「设置」
4. 4. 验证：

   列	期望值
   类型	漫游
   状态	本地 （首次登录，尚未上传）
   大小	配置文件大小

5. 5. 注销后，文件服务器上应出现以 .V6 结尾的用户配置文件夹
6. 6. 用同一账户登录另一台 PC，应看到相同的桌面/开始菜单设置

7. 实战三：主计算机机制

实战作用：主计算机解决的是「所有设备都漫游，导致数据散布在不该去的 PC 上」的问题——通过 AD 属性指定每台主计算机，启用策略后，漫游的数据和配置只在主计算机上生效，非主计算机（会议室 PC、借用设备等）不下载任何数据，既保护了用户隐私，也避免了配置文件损坏的风险。

前提：已完成「实战一」和「实战二」

7.1 什么是主计算机

主计算机（Primary Computer）是 AD DS 中为每个用户分配的「我的电脑」列表。
启用主计算机支持后，只有被指定为主计算机的 PC 才会应用文件夹重定向和漫游用户配置文件。

主计算机判断流程（用户登录时触发）

7.2 为什么需要主计算机

7.3 主计算机的前提条件

第 1 步：为用户分配主计算机

步骤：

1. 1. 在已安装「Active Directory 管理中心」的电脑上打开「服务器管理器」→「工具」→「Active Directory 管理中心」
2. 2. 导航到「计算机」容器
3. 3. 找到要分配给用户的计算机 → 右键「属性」
4. 4. 切换到「属性编辑器」选项卡
5. 5. 找到 distinguishedName → 点击「查看」→ 右键点击值 → 「复制」→「确定」→「取消」

1. 6. 导航到「用户」容器 → 找到目标用户 → 右键「属性」
2. 7. 切换到「属性编辑器」选项卡
3. 8. 找到 msDS-PrimaryComputer → 点击「编辑」
4. 9. 在多值字符串编辑器中，右键粘贴 → 「添加」→「确定」→「确定」

? 提示：一个用户可以分配多台主计算机（如台式机 + 笔记本）

第 2 步：在 GPO 中启用文件夹重定向主计算机支持

步骤：

1. 1. 打开「组策略管理」
2. 2. 找到「文件夹重定向设置」GPO → 右键「编辑」
3. 3. 导航到：
• • 基于计算机策略：计算机配置 → 策略 → 管理模板 → 系统 → 文件夹重定向
4. 4. 双击「仅重定向主计算机上的文件夹」→ 「已启用」→「确定」

第 3 步：在 GPO 中启用漫游用户配置文件主计算机支持

⚠️ 注意：漫游用户配置文件的「主计算机」依赖于文件夹重定向的「主计算机」已启用（两个策略联动）

步骤：

1. 1. 打开「漫游用户配置文件设置」GPO → 「编辑」
2. 2. 导航到：计算机配置 → 策略 → 管理模板 → 系统 → 用户配置文件
3. 3. 双击「仅在主计算机上下载漫游配置文件」→ 「已启用」→「确定」

第 4 步：验证主计算机功能

步骤：

1. 1. 使用目标用户登录主计算机（已分配的 PC）
2. 2. gpupdate /force → 注销重新登录
3. 3. 确认：
• • 文件夹（如「文档」）位置是 UNC 网络路径 ✅
• • 用户配置文件类型是「漫游」✅

1. 4. 使用同一用户登录非主计算机
2. 5. 确认：
• • 文件夹位置是本地路径（如 C:\Users\zhangsan\Documents）✅
• • 用户配置文件类型是「本地」✅
• • 重定向的文件夹在本地已不存在（已被清理）✅

8. 实战四：Always Offline 模式

实战作用：Always Offline 解决的是「用户在慢网或频繁切换网络环境下，访问重定向文件卡顿」的问题——通过将「慢速链接」的阈值设为 1 毫秒，强制客户端永远使用本地缓存访问重定向文件（即「永远离线」），后台每 2 小时才同步一次，用户体验如同访问本地硬盘，同时保留断网可继续工作的能力。

前提：已完成「实战一：文件夹重定向」（Always Offline 依赖重定向的文件夹生效）
适用场景：移动用户（经常出差）、慢网/高延迟网络、分支机构

8.1 什么是 Always Offline

• • 客户端永远认为网络连接慢或不可靠
• • 所有文件访问完全走本地缓存，零网络延迟
• • 后台每 2 小时（默认）同步一次变更到服务器
• • 适合：移动用户（经常出差）、网络不稳定的环境、分支机构

普通模式（慢链接模式）：
  文件访问 → 先尝试网络 → 网络慢/断 → 切换本地缓存 → 用户等待

Always Offline 模式：
  文件访问 → 直接走本地缓存 → 即时响应 ✅
  后台同步 → 每 120 分钟 → 无感同步 ✅

8.2 工作原理

当「配置慢速链接模式」策略的 延迟阈值设为 1 毫秒时，系统认为任何网络连接都是"慢"的，因此强制使用本地缓存，即「Always Offline」。

普通模式 vs Always Offline 模式 — 访问流程对比✅ Always Offline

8.3 启用 Always Offline

步骤：

1. 1. 打开「组策略管理」
2. 2. 新建或编辑一个 GPO（如 Always Offline 配置）→ 链接到目标 OU
3. 3. GPO 中导航到：

   计算机配置 → 策略 → 管理模板 → 网络 → 脱机文件

4. 4. 双击「配置慢速链接模式」→ 「已启用」
5. 5. 在「选项」中点击「显示」
6. 6. 在「显示内容」窗口中，添加一行：

   列	值
   值名称	\\fs1.corp.contoso.com\Users$ （或 * 表示所有共享）
   值	Latency=1

7. 7. 确认所有对话框

8.4 修改同步间隔（可选）

默认每 120 分钟同步一次。修改方法：

计算机配置 → 策略 → 管理模板 → 网络 → 脱机文件
→ 「配置后台同步」
→ 已启用 → 填写同步间隔（分钟）

9. 故障排除

9.1 常见问题与解决

结语

文件夹重定向和漫游用户配置文件是 Windows 域环境中用户数据管理的两块基石。掌握这两个技术，可以实现：

✅ 用户换电脑 → 文件和设置跟着走，不用重新配置
✅ 电脑损坏/重装 → 用户数据和设置不丢失，服务器上都有
✅ 统一备份 → 管理员只需备份文件服务器
✅ 移动办公 → 无论在哪台设备登录，都能访问自己的文件
✅ 保护隐私 → 通过主计算机机制，防止数据落入公用电脑

记住最佳实践：

1. 1. 先文件夹重定向，后漫游配置 — 减小配置文件体积，加快登录速度
2. 2. 分开存储 — 漫游配置文件共享 和 重定向文件夹共享 要分开
3. 3. 主计算机配合使用 — 防止数据进入不该进的设备
4. 4. Always Offline 给移动用户 — 无论网络快慢，体验始终一致