Групповые политики в Samba домене.
Чуть истории
Когда вы управляете большим количеством рабочих станций под управлением Windows и количество рабочих мест растёт и растёт. Очень важно грамотно и точно настроить рабочую среду, каждого компьютера. Важно не упустить даже мелкие детали настройки. Настройка каждого компьютера отнимает много времени. И вы всё больше и больше задумываетесь об автоматизации процесса настройки некоторых настроек операционной системы. Таким решением является групповые (системные) политики. Благодаря им, мы можем создавать набор правил, в соответствии с которыми рабочая среда каждого компьютера будет настраиваться автоматически.
Групповые политики хорошо реализованы в службе каталогов Active Directory. В *nix подобных контроллерах домена ничего похожего нет. Но был найден довольно интересный выход из ситуации. Конечно, этот самый выход, не сравнится с полным аналогом групповых политик в AD т.к. мы будем использовать древний стандарт доменной политики windows nt 4.0, но всё таки это довольно неплохой способ автоматизировать настройку рабочих станций в *.nix доменах.
В этой статье я подробно опишу реализации автоматической настройки рабочих сред Windows в Samba домене.
Немного о решении:
Что бы настроить рабочую среду, нам больше всего нужно что? Правильно – реестр каждого компьютера. Именно там и прописываются основные правила настройки среды. Путём внесения туда изменений, можно манипулировать этими правилами. Вносить изменения будем программой «Редактор системных правил (Poledit)» от Microsoft. C помощью неё, мы создадим правила которые нам нужны. Правила можно создать для пользователя, доменной группы или же компьютера. Все правила умещаются в один файл «NTConfig.POL», который помещается в папку netlogon нашего домена и при загрузке учётной записи доменного пользователя подгружается на его компьютер настраивая рабочую среду.
Где взять програму:
Вообще на сайте Microsoft говорится что программа есть к официальном Sp4 к Windows 2000 и предлагается распоковать её от туда.
Но осмыслев всю проблематичность данной операции, решил погуглить. Погуглив наткнулся на несколько ftp серверов:
К примеру на официальном ftp Microsoft лежит сама программа:
ftp://ftp.microsoft.com/Services/TechNet/…TADMIN/POLEDIT/
А вот тут, лежат темы к политикам. Их тоже нужно скачать. Потом расскажу зачем:
ftp://ftp.usask.ca//pub/vendor/microsoft/WinNT Intel/NT4_sp6a/unpacked
Скачиваем на какую ни будь свободную Windows XP и переходим к настройке.
Сам процесс:
Итак. Для начала нужно что бы Poledit заработал. Для этого кидаем все темы (файлы с расширением «.adm») в папку «C:\Windows\inf». Обязательно проследите что бы файлы common.adm и winnt.adm скопировались, без них программа не будет работать.
Далее запускаем POLEDIT.EXE. И мы видим довольно симпатичный понятный интерфейс программы. Теперь нам нужно смоделировать какое ни будь правильно. Представим что домен, который мы поднимали в прошлой части, уже настроен и работает, в нём уже есть несколько пользователей. Пользователю maks, нужно ограничить рабочую среду. А именно сделать так что бы у него не было доступа к диспетчеру задач и что бы он не мог менять себе пароль (к примеру).
Жмём на File -> New Policy. Появится политика по умолчанию. Она разделена на две части, политика компьютера и политика пользователя. Политики с префиксом Default действуют для всех (по умолчанию там нет активных правил, отмечу что на администраторов эти политики не распространяются). Нам нужно ограничить только юзера maks. Для этого жмём на иконку с головой человечка (Add user) и вводим в окошко имя пользователя – maks.
Создалась политика специально для пользователя maks. Щёлкаем на неё. Откроется древовидное меню со списком настроек которые можно использовать (для политики компьютера настройки будут другие).
Нам нужен раздел «Windows NT System». В нём ставим галочки на Disable task Manager и Disable Change Password.
Теперь нам нужно сохранить (File -> Save As) политику под именем «NTConfig.POL» и поместить в папку «netlogon» нашего домена. Важно знать, что у юзеров должны быть права на хотя бы на чтение папки «netlogon» и файла «NTConfig.POL», иначе правила не будут работать.
В принципе это всё. Теперь после того как пользователь maks залогинится в домене на его компьютер погрузится наша политика и настроит ему рабочую среду. По аналогии можно сделать политики для групп и компьютеров в домене.
Автор статьи: Максим HidX
Отлично пишите! Пополняйте почаще блог новыми статьями!
Потыкаю по рекламке в качестве благодарности за статью!
Кидаем все темы (файлы с расширением «.adm») в папку «C:\Windows\inf» не обязательно. После всяких ошибок добавить их через Options->Policy Template…
Любопытно! Со смартфона немного тяжело читается, но оно того стоит!
Нифига не получится потому что пользователь логинется с правами юзеря… а реестр может править только админ… поэтому применение pool невозможно…если конечно не дать всем зверям админ права приконекте…)))
Олег, если Вы попробуете данный метод, то будете приятно удивлены ) Этот метод практический и был предварительно протестирован.
Я даже боюсь спрашивать у Вас, как по Вашему работают GPO в Windows (Server) среде.
Хочу сказать Вам по секрету, пользователь может править СВОЮ ветку реестра…. только тссс 🙂
[…] Групповые политики в Samba домене. « HidX *nix Log – It Republic. Рубрика: C других сайтов, Linux, Новости Комментарии […]
[…] возможность реализовать частично ГРУППОВЫЕ ПОЛИТИКИ (https://hidx.wordpress.com/2009/01/28/gpo-samba-domen/), но только на уровне NT4 […]