Групповые политики/Подключение сетевых дисков: различия между версиями

Материал из ALT Linux Wiki
Строка 64: Строка 64:
'''Шаг 1.''' На машине с установленным RSAT открыть «Управление групповыми политиками».
'''Шаг 1.''' На машине с установленным RSAT открыть «Управление групповыми политиками».


'''Шаг 2.''' Создать новый объект групповой политики (GPO) и свяжите его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги.
'''Шаг 2.''' Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги.


'''Шаг 3.''' В контекстном меню GPO, выбрать пункт «Редактировать». Откроется редактор GPO.
'''Шаг 3.''' В контекстном меню GPO, выбрать пункт «Редактировать». Откроется редактор GPO.


'''Шаг 4.''' Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»:
'''Шаг 4.''' Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»:


[[Файл:User_drive_map.png|Настройки политики «Сопоставленный диск»]]
[[Файл:User_drive_map.png|Настройки политики «Сопоставленный диск»]]
Строка 82: Строка 82:
** «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
** «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
* «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав F3). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
* «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав '''F3'''). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
* «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
* «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
* «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым).
* «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым).

Версия от 17:27, 21 ноября 2022

Назначение

Эта групповая политика позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств.

Данный механизм реализован только для пользовательских политик.

Настройка политики

На машине ALT

Примечание: Управление ярлыками в GPUI возможно, начиная с версии 0.2.17-alt5.


Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей для которых создаются сетевые диски.

Шаг 3. Запустить GPUI: 

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{5E07372D-EA8C-4E2E-9228-519417F0AACE}"

где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые диски». В контекстном меню свободной области выбрать пункт «Новый» -> «Mapped Drive»:

GPUI. Создание новой политики «Сопоставленный диск»

Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:

GPUI. Диалоговое окно настройки политики «Сопоставленный диск» ­— вкладка «Основные настройки»

Доступные опции на вкладке «Основные настройки» («General»):

  • «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
    • «Создать» — создание нового сетевого диска;
    • «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
    • «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
    • «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
  • «Путь» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
  • «Переподключиться» — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
  • «Название» — пользовательское имя для диска (можно оставить это поле пустым).
  • «Имя диска» — буква, на которую будет назначен диск:
    • чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Первый доступный, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
    • чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
    • чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Использовать», а затем выбрать букву диска;
    • чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
    • чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
  • Параметры «Скрыть/Показать» — настройка отображения сопоставленного диска (параметры «Скрыть/Показать диск» имеют приоритет над параметрами «Скрыть/Показать все диски»):
    • «Без изменений» — оставить отображение сопоставленного диска неизменным;
    • «Скрыть диск» — скрыть диск в окне файлового менеджера;
    • «Показать диск» — отобразить диск в окне файлового менеджера.

GPUI. Диалоговое окно настройки политики «Сопоставленный диск» ­— вкладка «Общие»

Доступные опции на вкладке «Общие» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки»;
  • «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
  • «Удалить элемент если больше не применим»;
  • «Применить только один раз»;
  • «Выбор элементов»;
  • «Описание».

На машине Windows

Шаг 1. На машине с установленным RSAT открыть «Управление групповыми политиками».

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги.

Шаг 3. В контекстном меню GPO, выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»:

Настройки политики «Сопоставленный диск»

Шаг 5. В диалоговом окне «Новые свойства диска» задать настройки политики:

Диалоговое окно «Свойства диска»

Доступные опции на вкладке «Общие» («General»):

  • «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
    • «Создать» — создание нового сетевого диска;
    • «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
    • «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
    • «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
  • «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав F3). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
  • «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
  • «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым).
  • «Буква диска» — буква, на которую будет назначен диск:
    • чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Использовать первую доступную, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
    • чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
    • чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Существующая», а затем выбрать букву диска;
    • чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить все, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
    • чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
  • Параметры «Показать или скрыть» — настройка отображения сопоставленного диска (параметры «Показать или скрыть этот диск» имеют приоритет над параметрами «Показать или скрыть все диски»):
    • «Без изменений» — оставить отображение сопоставленного диска неизменным;
    • «Скрыть диск» — скрыть диск в окне файлового менеджера;
    • «Показать диск» — отобразить диск в окне файлового менеджера.
Внимание! Параметр «Подключиться как» сейчас недоступен, так как в настоящее время нельзя хранить пароли в настройках групповой политики. Диск будет сопоставлен с использованием учетных данных текущей учетной записи пользователя.


Доступные опции на вкладке «Общие параметры» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки»;
  • «Выполнять в контексте безопасности вошедшего пользователя»;
  • «Удалить этот элемент, когда он более не применяется»;
  • «Применить один раз и не применять повторно»;
  • «Нацеливание на уровень элемента».

Файл настроек политики

Все настройки политики подключения сетевого диска хранятся в {GUID GPT}/User/Preferences/Drives/Drives.xml. В одном GPO возможно задать подключение более одного сетевого диска. Пример Drives.xml с двумя сетевыми дисками: 

<?xml version="1.0" encoding="utf-8"?>
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
  	<Drive clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
           name="K:"
           status="K:"
           image="2"
           changed="2022-03-02 07:17:13"
           uid="{670BE678-1E6E-4AFB-A714-9A53E75781C8}">
        <Properties action="U" 
                  thisDrive="SHOW" 
                  allDrives="SHOW" 
                  userName="" 
                  path="//dc1/free" 
                  label="" 
                  persistent="1" 
                  useLetter="1" 
                  letter="K"/>
    </Drive>
	<Drive clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" 
           name="I:" 
           status="I:" 
           image="2" 
           changed="2022-03-01 08:53:01" 
           uid="{8F0A71EB-1836-4665-8A65-33280F5FB9DC}">
        <Properties action="U" 
                    thisDrive="SHOW" 
                    allDrives="SHOW" 
                    userName="" 
                    path="\\dc1\public" 
                    label="" 
                    persistent="0" 
                    useLetter="1" 
                    letter="I"/>
    </Drive>
</Drives>

Спецификация Drives.xml https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322

Некоторые детали

Как и другие политики, политика подключения сетевых дисков может применяться к различным уровням иерархии домена AD. Политики применяются последовательно от верхних уровней к нижним. При этом возможны конфликты совпадения букв. Общее правило — если создается диск с буквой, которая уже занята под существующий диск, то эта политика не отрабатывает.

Возможные варианты (предполагается, что совпадающие буквы в политиках свободны на рабочих станциях):

  • совпадают буквы и одинаковое действие «Создать» («Create») — отработает политика верхнего уровня, политика нижнего уровня ничего не создаст;
  • совпадают буквы, в политике верхнего уровня действие «Создать» («Create») или «Обновить» («Update»), в политике нижнего уровня действие «Заменить» («Replace») — так как действие «Заменить» удаляет и создает заново диск, в результате будет создан диск из политики нижнего уровня;
  • совпадают буквы, в политике верхнего уровня действие «Создать» («Create»), в политике нижнего уровня действие «Обновить» («Update») — политика верхнего уровня создаст диск, а политика нижнего уровня обновит его настройки, кроме пути к общей папке и буквы (в случае несовпадения пути, он игнорируется; в случае несовпадения буквы создается новый диск);
  • одинаковое действие «Создать» («Create»), в политике верхнего уровня указано использовать первую доступную букву, начиная с G, в политике нижнего уровня указано использовать точно G — отработает политика верхнего уровня и создаст диск с буквой G (если эта буква занята, то со следующей свободной буквой), политика нижнего уровня ничего не создаст;
  • то же самое, но в политике нижнего уровня действие «Заменить» («Replace»):
    • если буква G не занята, в результате будет создан диск G из политики нижнего уровня;
    • если буква G занята, политика верхнего уровня создаст диск со следующей свободной буквой, а политика нижнего уровня заменит диск G, если это не локальный диск рабочей станции.

После обновления политик в сессии пользователя в файловом менеджере будут доступны сетевые диски:

Сетевые диски подключенные через ГП

Ссылки

  • Подробная документация по настройке политики

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581924(v=ws.11)

http://www.oszone.net/15632/

  • Описание атрибутов XML-файлов из GPT и XML Schema

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322

Групповые политики
Групповые политики/ALT System Control • Групповые политики/ALT System SystemdUnits • Групповые политики/Chromium • Групповые политики/Firefox • Групповые политики/gpresult • Групповые политики/gpupdate • Групповые политики/Gsettings • Групповые политики/KDE • Групповые политики/Polkit • Групповые политики/Yandex • Групповые политики/Настройка реестра • Групповые политики/Общие каталоги • Групповые политики/Переменные среды • Групповые политики/Периодичность запроса конфигураций • Групповые политики/Подключение сетевых дисков • Групповые политики/Политика замыкания • Групповые политики/Политики доступа к съемным носителям • Групповые политики/Прокси-сервер • Групповые политики/Управление ini-файлами • Групповые политики/Управление logon-скриптами • Групповые политики/Управление каталогами • Групповые политики/Управление пакетами • Групповые политики/Управление файлами • Групповые политики/Управление ярлыками