Групповые политики/Подключение сетевых дисков
Назначение
Эта групповая политика позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств.
Точки монтирования для отображения общих ресурсов на машинах Альт:
- /media/gpupdate/drives.system — для системных ресурсов;
- /media/gpupdate/.drives.system — для скрытых системных ресурсов;
- /run/media/USERNAME/drives — для общих ресурсов пользователя;
- /run/media/USERNAME/.drives — для скрытых общих ресурсов пользователя.
Значения параметров прописываются в файлы конфигурации:
- /etc/auto.master.gpupdate.d/<имя>.autofs и /etc/auto.master.gpupdate.d/<имя>.conf — для отображаемых ресурсов;
- /etc/auto.master.gpupdate.d/<имя>_hide.autofs и /etc/auto.master.gpupdate.d/<имя>_hide.conf — для скрытых ресурсов.
Настройка политики
На машине ALT
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей для которых создаются сетевые диски.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
- где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые диски». Создайте новый параметр политики (в контекстном меню свободной области выбрать пункт «Новый» -> «Сетевой диск»):
Шаг 5. В диалоговом окне «Диалог настроек» указать параметры подключения сетевого диска:
Доступные опции на вкладке «Основные настройки» («General»):
- «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
- «Создать» — создание нового сетевого диска;
- «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
- «Путь» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
- «Переподключиться» — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
- «Название» — пользовательское имя для диска (можно оставить это поле пустым).
- «Имя диска» — буква, на которую будет назначен диск:
- чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Первый доступный, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
- чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
- чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Использовать», а затем выбрать букву диска;
- чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
- чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
- Параметры «Скрыть/Показать» — настройка отображения сопоставленного диска (параметры «Скрыть/Показать диск» имеют приоритет над параметрами «Скрыть/Показать все диски»):
- «Без изменений» — оставить отображение сопоставленного диска неизменным;
- «Скрыть диск» — скрыть диск в окне файлового менеджера;
- «Показать диск» — отобразить диск в окне файлового менеджера.
Это удобно так как доступные автоматически монтируемые файловые системы будут показаны как существующие каталоги, даже если их файловые системы в данный момент не смонтированы.
При выборе параметра «Скрыть диск» необходимо запомнить название каталога, так как доступ к этому каталогу можно получить только при непосредственном обращении к нему. Каталог будет создан и файловая система будет смонтирована только при попытке доступа к нему. Незадействованный ресурс по истечении тайм-аута (по умолчанию 120 секунд) будет отмонтирован, а каталог удалён.Доступные опции на вкладке «Общие» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
- «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
- «Удалить элемент, если больше не применим»;
- «Описание».
Шаг 6. Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы).
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»):
Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включено»:
- ~/net.drives.system — ссылка на /media/gpupdate/drives.system для системных ресурсов;
- ~/.net.drives.system — ссылка на /media/gpupdate/.drives.system для скрытых системных ресурсов;
- ~/net.drives— ссылка на /run/media/USERNAME/drives для общих ресурсов пользователя;
- ~/.net.drives — ссылка на /run/media/USERNAME/.drives для скрытых общих ресурсов пользователя.
На машине Windows
Шаг 1. На машине с установленным RSAT открыть «Управление групповыми политиками».
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»:
Шаг 5. В диалоговом окне «Новые свойства диска» задать настройки политики:
Доступные опции на вкладке «Общие» («General»):
- «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
- «Создать» — создание нового сетевого диска;
- «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
- «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав F3). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
- «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
- «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым).
- «Буква диска» — буква, на которую будет назначен диск:
- чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Использовать первую доступную, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
- чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
- чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Существующая», а затем выбрать букву диска;
- чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить все, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
- чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
- Параметры «Показать или скрыть» — настройка отображения сопоставленного диска (параметры «Показать или скрыть этот диск» имеют приоритет над параметрами «Показать или скрыть все диски»):
- «Без изменений» — оставить отображение сопоставленного диска неизменным;
- «Скрыть диск» — скрыть диск в окне файлового менеджера;
- «Показать диск» — отобразить диск в окне файлового менеджера.
Доступные опции на вкладке «Общие параметры» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки»;
- «Выполнять в контексте безопасности вошедшего пользователя»;
- «Удалить этот элемент, когда он более не применяется»;
- «Применить один раз и не применять повторно»;
- «Нацеливание на уровень элемента».
Шаг 6. Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы).
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»). Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включить» и нажать кнопку «Применить».
Результат применения политики
После обновления политик в сессии пользователя будет подключен сетевой диск, доступный из файлового менеджера и других программ.
Сетевые диски в файловом менеджере Thunar:
Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки на сетевые диски:
Сетевые диски в проводнике Windows:
Файл настроек политики
Все настройки политики подключения сетевого диска хранятся в файлах:
- {GUID GPT}/User/Preferences/Drives/Drives.xml.
- {GUID GPT}/Machine/Preferences/Drives/Drives.xml
В одном GPO возможно задать подключение более одного сетевого диска. Пример Drives.xml с двумя сетевыми дисками:
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
<Drive bypassErrors="0"
changed="2022-11-29 16:28:32"
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
desc=""
image="2"
name="\\dc\Free"
removePolicy="0"
status="O:"
uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}"
userContext="0">
<Properties action="U"
allDrives="SHOW"
cpassword=""
label=""
letter="O"
path="\\dc\Free"
persistent="1"
thisDrive="SHOW"
useLetter="1"
userName=""/>
</Drive>
<Drive bypassErrors="0"
changed="2022-11-29 14:34:53"
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
desc=""
image="2"
name="I:"
status="I:"
uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}" userContext="0">
<Properties action="U"
thisDrive="SHOW"
allDrives="SHOW"
userName=""
path="\\dc.test.alt\sysvol"
label=""
persistent="1"
useLetter="0"
letter="I"/>
</Drive>
</Drives>
Спецификация Drives.xml https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322
Некоторые детали
Как и другие политики, политика подключения сетевых дисков может применяться к различным уровням иерархии домена AD. Политики применяются последовательно от верхних уровней к нижним. При этом возможны конфликты совпадения букв. Общее правило — если создается диск с буквой, которая уже занята под существующий диск, то эта политика не отрабатывает.
Возможные варианты (предполагается, что совпадающие буквы в политиках свободны на рабочих станциях):
- совпадают буквы и одинаковое действие «Создать» («Create») — отработает политика верхнего уровня, политика нижнего уровня ничего не создаст;
- совпадают буквы, в политике верхнего уровня действие «Создать» («Create») или «Обновить» («Update»), в политике нижнего уровня действие «Заменить» («Replace») — так как действие «Заменить» удаляет и создает заново диск, в результате будет создан диск из политики нижнего уровня;
- совпадают буквы, в политике верхнего уровня действие «Создать» («Create»), в политике нижнего уровня действие «Обновить» («Update») — политика верхнего уровня создаст диск, а политика нижнего уровня обновит его настройки, кроме пути к общей папке и буквы (в случае несовпадения пути, он игнорируется; в случае несовпадения буквы создается новый диск);
- одинаковое действие «Создать» («Create»), в политике верхнего уровня указано использовать первую доступную букву, начиная с G, в политике нижнего уровня указано использовать точно G — отработает политика верхнего уровня и создаст диск с буквой G (если эта буква занята, то со следующей свободной буквой), политика нижнего уровня ничего не создаст;
- то же самое, но в политике нижнего уровня действие «Заменить» («Replace»):
- если буква G не занята, в результате будет создан диск G из политики нижнего уровня;
- если буква G занята, политика верхнего уровня создаст диск со следующей свободной буквой, а политика нижнего уровня заменит диск G, если это не локальный диск рабочей станции.