Совместное использование личной папки на сервере для каждого пользователя активного каталога и автоматическое монтирование при входе в систему

Я новичок в серверах Windows.

Чего я хочу добиться:

Разрешить пользователям входить в систему с использованием централизованных учетных данных с любого клиентского ПК в LAN / WLAN.
Они не получают доступа к рабочему столу сервера даже со своими действующими учетными данными. Это должно быть только для аутентификации на клиентских ПК.
У них должна быть личная папка на сервере, в которой они могут сохранять свои личные файлы.
Эта личная папка должна быть автоматически смонтирована (с буквой диска) на ПК, на котором они входят в систему.
Я читал об общей домашней папке, но я предпочитаю другую папку, не имеющую общесистемного значения, например домашний каталог пользователя.
(необязательно) Должна быть возможность хранить их файлы в локальной системе вместо общего ресурса сервера (# 2, # 3 выше), если они хотят.

Читая руководства techNet и различные ответы SO, я понял, что Active Directory может быть полезен для моей цели. Но я не уверен, какую версию сервера мне следует использовать и как мне настроить всю систему. Нужны ли мне дополнительные инструменты для настройки.

Возможно ли все это достичь без каких-либо специальных настроек на клиентских компьютерах? Я имею в виду просто настройку сервера определенным образом!

Это (Как «пакетно» создавать папки для сетевого диска пользователей Active Directory?) кажется ближе к моим потребностям, но я не могу полностью это понять.
Очевидно, ему нужно, чтобы скрипт монтирования запускался на клиентском ПК при входе в систему, что я менее предпочитаю.

Любопытно, Я хотел бы знать, возможна ли такая установка вообще без использования серверной ОС. Например, настольная версия Windows 8.1 с несколькими установленными дополнительными инструментами Windows.

Сколько пользователей? Я спрашиваю из-за личных папок, и это в основном потому, что их настройка может быть утомительной, если у вас много пользователей (хотя вы могли бы написать сценарий).

Настроить Active Directory на Сервер версия Windows (выделение из-за вашего вопроса о запуске всего этого на ОС рабочих станций). По умолчанию рабочие станции (например, операционная система рабочих станций), добавленные в домен, имеют «пользователей домена» в качестве разрешенных пользователей для входа в систему и «администраторов домена» в качестве администраторов.
По умолчанию серверы (например, серверная операционная система), добавленные в домен, имеют администраторов домена в группе администраторов и не разрешают вход на рабочий стол никому, кроме администраторов или пользователей удаленного рабочего стола.
Похоже, вы просто хотите поделиться, а не перемещаемые профили. Обычно не рекомендуется размещать общие ресурсы на контроллерах домена, если этого можно избежать, но такие продукты, как Small Business Server, делают это. и это случается. Если вам просто нужны общие ресурсы, создайте папку с именем, например, с именем пользователя, с вложенными папками, названными в честь каждого пользователя, а затем поделитесь каждой папкой с пользователем и только с пользователем, и назовите общий ресурс после имени пользователя. (Например: d:\usershares\username для имени пользователя username, поделился как \\yourserver\username.)
Назначьте пользователям сценарий входа, например net use S: \\yourserver\%username% или эквивалент PowerShell.
Здесь звучит так, будто ты говоришь, что ты не хочу перемещаемые профили.

(Что касается «Почему бы и нет?» - это не рекомендуется, потому что предпочтительно, чтобы вы не добавляли какую-либо «поверхность атаки» к контроллеру домена, а любая добавленная служба является поверхностью атаки.)

Я, наверное, также должен добавить, что лучше всего иметь два контроллеры домена на случай выхода из строя. (Виртуализация по-прежнему будет помещать оба яйца в одну корзину, поэтому я бы не рекомендовал этого. Это потребовало бы дополнительных усилий без снижения риска.)

Вы можете использовать «Рабочие папки» в Windows Server 2012 R2. Это позволяет любым машинам с Windows 7 и выше (не присоединенным к домену) монтировать личную папку на сервере. Вам нужно только создать учетные записи в AD, а затем сгенерировать сертификат SSL. Затем клиентский ПК может получить доступ к общему ресурсу, используя учетную запись, созданную вами в AD.

Однако он может не соответствовать вашему Требованию 4, поскольку он не отображает букву диска.

Источник: https://technet.microsoft.com/en-us/library/dn265974.aspx?f=255&MSPPError=-2147217396

На Widnows лучшим будет Active Directory. Компьютеры должны быть членами домена в Active Directory.
По умолчанию на рядовом сервере AD (Active Directory) вход на удаленный рабочий стол разрешен только для группы администраторов домена.
Я использую распределенную файловую систему (DFS), настроил пространство имен для корневого местоположения "Home" (\\ domain.local \ home) и установил для него квоту.
Это можно сделать с помощью групповой политики. Вкладка «Профиль» на свойствах пользовательского объекта AD - вам нужно «скопировать пользователя» при создании нового или создать скрипт, если вы не хотите редактировать его вручную. Последний NET USE как сценарий входа в систему.

Но я не уверен, какую версию сервера мне следует использовать и как мне настроить всю систему.

Windows Server 2012 R2 Standard. Один для контроллера домена, один для сервера хранения с домашними каталогами. Оба на отдельных физических машинах.

Кроме того, вам нужны лицензии CAL для каждого пользователя ИЛИ устройства, подключающегося к Active Directory. CAL на пользователя / CAL на устройство.

Возможно ли все это достичь без каких-либо специальных настроек на клиентских компьютерах?

На ПК должна быть установлена как минимум версия Windows Professional (XP, 7, Vista, 8,8.1,10). Вам нужно только добавить компьютер в Active Directory.