Windows Server - Work Folders Yapılandırması



Merhaba. 
Kullanıcılarınızın dosya ve klasörlerini Work Folders altında saklayabilirsiniz. Work Folders, One Drive'a alternatif olarak geliştirilmiş olup dosyaların bulut servisi yerine On-Premise yapınızda tutulmasını sağlayan bir Windows Server rolüdür.  Work Folders kullanıcılarınız için bireysel çözüm sunmaktadır. Eğer kullanıcılarınız için ortak data havuzu oluşturup yetki verdiğiniz kullanıcıların bu havuza veri atıp dosya-dizin paylaşımında bulunmalarını sağlamak istiyorsanız Work Folders yerine File Server rolünü tercih etmeniz gerekecektir. 
Work Forlders'ı DC makine üzerine kurmanız önerilmez. Bu nedenle ben de test için workfolders isimli bir Member Server oluşturup bu makineyi Administrator ile domaine join ettim.
Daha sonra bu Member Server'da Server Manager ekranından Add Roles & Features'a tıklayıp Server Roles ekranından File Server altında bulunan Work Folders'ı işaretledim. Bu rolün yüklenebilmesi için arkaplanda IIS Hostable Web Core ve File server'ın çalışması gerektiğinden ilgili Feature'ların gerekli olduğunu belirten wizard üzerindeki Add Features'a tıklayıp devam ettim. 
Kurulum tamamlandıktan sonra Server Manager üzerinden sol kısımda yer alan File & Storage Services > Work Folders  kısmından To create a sync share for Work Folders, start the New Share Wizard yazısına tıkladım.
İlgili rol için C: dizininde Workfolders isimli bir dizin oluşturdum ve local path kısmına bu dizinin adresini yazdım.
c:\workfolders altında kullanıcılar için ayrılan dizinlerin nasıl oluşturulacağını aşağıdaki aşamadan belirleyebilirsiniz. Ortamınızda birden fazla domain varsa ve workfolders'ı trust ilişkisi olan bir ortam için yapılandırıyorsanız 2. seçenek olan alias@domain seçeneği ile devam edebilirsiniz ancak benim ortamımda tek domain olmasından dolayı 1. seçenek benim için daha uygun. 
Çalışma klasörünüz için paylaşım adı ve açıklamasını aşağıdaki adımdan belirleyebilirsiniz.
Hangi kullanıcı gruplarının bu hizmetten faydalanacağını aşağıdaki adımdan belirleyebilirsiniz. Ben bu hizmeti tüm etki alanı kullanıcıları için sağlayacağımdan dolayı yeni bir security group oluşturmaya gerek duymadım. Doğrudan Domain Users grubunu seçip devam ettim. 
Saklanacak dosyaları EFS ile şifrelemek için Encrypt Work Folders seçeneğini işaretledim. (Bu seçenek ek güvenlik özellikleri sunar fakat dosya kurtarma işlemleri için (gerektiğinde) can sıkıcı olabilir.)
Automatically lock screen & require password seçeneği ise, belirli bir zaman aşımından sonra client'ın lock screen'e düşmesini ve yeniden login olması gerektiğini zorunlu kılar. Böylece dosyalar için ek güvenlik önlemi sağlanmış olur. 
Servisimiz hazır.
Bu hizmet arkaplanda https kullanmaktadır. (yani sertifika gerekmektedir) Client sistemimin sertifikaya gerek kalmadan http bağlantı üzerinden sync olabilmesi için registry'de ayar yapmamız gerekecek. Kurumsal ortamda bu işlemin kesinlikle sertifika alınarak sağlanması önerilir. 
Client makinede cmd'yi yönetici olarak açıp aşağıdaki komutu çalıştırabilir ya da benim yaptığım gibi manuel olarak regedit'e ilgili anahtarı ekleyebilirsiniz.
"Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1"
Bu işlemden sonra sistemi yeniden başlatmanızı öneririm. Sistem restart olduktan sonra Control Panel'e gidip Work Folders'ı açıp Set up Work Folders yazısına tıklayıp yapılandırma sihirbazını başlatabilirsiniz.
Aşağıdaki ekranla karşılaştığınızda Enter a Work Folders URL instead yazısına tıklayıp sunucunun URL adresini girmelisiniz. 
Sertifikaya gerek kalmaması için registry'de ayar yaptığımdan dolayı buraya doğrudan http'li adresi girdim. Sertifika kullansaydım https'li URL adresini girmem gerekecekti.
Local'de Work Folders'ın nerede bulunacağını aşağıdaki ekrandan belirtebilirsiniz.
Sunucu yapılandırmasında belirttiğimiz security policies'ın sisteme etki edebilmesi için accept'e tick atıp Set up Work Folders'a tıklıyorum. (Bu aşama domain tarafında yetkili bir hesap gerektirecektir. ee her sisteme kendimiz mi kurulum yapacağız, tabii ki hayır. Yazının sonlarına doğru Group Policy'den Work Folders'ın kullanıcılara nasıl dağıtılacağını gösterdim.)
Control Panel > Work Folders üzerinden sunucudaki kaynak alan hakkında bilgi alabilirsiniz. Buradaki kapasite, sunucudaki boş disk alanını ifade eder. Kullanıcılara ayrı ayrı kotalar ve dosya türü izinleri için kısıtlamalar yapmak istiyorsanız sunucuya FSRM kurup buradan kullanıcı gruplarınız için poliçeler belirlemelisiniz. 
Kullanıcılar isterse herhangi bir dosyayı sadece local'de tutabilirler. 
Work Folders poliçesini DC üzerinden user'lara set etmek için;
User Configuration > Policies > Administrative Templates > Windows Components > WorkFolders üzerinden Specify Work Folders poliçesini açıp aşağıdaki gibi bir poliçe oluşturabilirsiniz.