Групповые политики/Подключение сетевых дисков: различия между версиями
(не показаны 32 промежуточные версии 4 участников) | |||
Строка 2: | Строка 2: | ||
Эта групповая политика позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств. | Эта групповая политика позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств. | ||
Точки монтирования для отображения общих ресурсов на машинах Альт: | |||
* {{path|/media/gpupdate/drives.system}} — для системных ресурсов; | |||
* {{path|/media/gpupdate/.drives.system}} — для скрытых системных ресурсов; | |||
* {{path|/run/media/USERNAME/drives}} — для общих ресурсов пользователя; | |||
* {{path|/run/media/USERNAME/.drives}} — для скрытых общих ресурсов пользователя. | |||
{{Note|Групповая политика Подключение сетевых дисков использует службу [[autofs]], которая управляет автоматическим монтированием файловых систем. | |||
Значения параметров прописываются в файлы конфигурации: | |||
* {{path|/etc/auto.master.gpupdate.d/<имя>.autofs}} и {{path|/etc/auto.master.gpupdate.d/<имя>.conf}} — для отображаемых ресурсов; | |||
* {{path|/etc/auto.master.gpupdate.d/<имя>_hide.autofs}} и {{path|/etc/auto.master.gpupdate.d/<имя>_hide.conf}} — для скрытых ресурсов.}} | |||
== Настройка политики == | == Настройка политики == | ||
=== На машине ALT === | === На машине ALT === | ||
{{Note| | {{Note| Настройка подключения сетевых дисков в GPUI возможна, начиная с версии 0.2.17-alt5.}} | ||
'''Шаг 1.''' На машине с установленными [[ADMC]] и [[Групповые_политики/GPUI|GPUI]] получить ключ Kerberos для администратора домена. | '''Шаг 1.''' На машине с установленными [[ADMC]] и [[Групповые_политики/GPUI|GPUI]] получить ключ Kerberos для администратора домена. | ||
Строка 17: | Строка 26: | ||
*:[[File:Admc-gp-edit-drivers.png|Запуск GPUI из ADMC]] | *:[[File:Admc-gp-edit-drivers.png|Запуск GPUI из ADMC]] | ||
*или с указанием каталога групповой политики: | *или с указанием каталога групповой политики: | ||
< | *:<syntaxhighlight lang="bash">$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"</syntaxhighlight> | ||
*:где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. | |||
где | |||
Откроется окно редактирования групповых политик. | Откроется окно редактирования групповых политик. | ||
'''Шаг 4.''' Перейти в «Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые диски». | '''Шаг 4.''' Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые диски». Создайте новый параметр политики (в контекстном меню свободной области выбрать пункт «Новый» -> «Сетевой диск»): | ||
[[Файл:Gpui-drivers-01.png|GPUI. Создание | [[Файл:Gpui-drivers-01.png|GPUI. Создание нового параметра политики «Сетевой диск»]] | ||
'''Шаг 5.''' В диалоговом окне «Диалог настроек» | '''Шаг 5.''' В диалоговом окне «Диалог настроек» указать параметры подключения сетевого диска: | ||
[[Файл:Gpui-drivers-02.png|GPUI. Диалоговое окно настройки политики | [[Файл:Gpui-drivers-02.png|GPUI. Диалоговое окно настройки политики «Сетевой диск» — вкладка «Основные настройки»]] | ||
Доступные опции на вкладке «Основные настройки» («General»): | Доступные опции на вкладке «Основные настройки» («General»): | ||
Строка 38: | Строка 46: | ||
** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы). | ** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы). | ||
* «Путь» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым. | * «Путь» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым. | ||
{{Attention|При указании пути к общей папке необходимо использовать имя сервера, а не его IP-адрес.}} | |||
* «Переподключиться» — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему. | * «Переподключиться» — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему. | ||
* «Название» — пользовательское имя для диска (можно оставить это поле пустым). | * «Название» — пользовательское имя для диска (можно оставить это поле пустым). | ||
{{Attention|Если в названии есть кириллица или пробелы, то название необходимо заключить в двойные кавычки (для {{pkgL|gpupdate}} до версии 0.9.13.4 включительно).}} | |||
* «Имя диска» — буква, на которую будет назначен диск: | * «Имя диска» — буква, на которую будет назначен диск: | ||
** чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Первый доступный, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв; | ** чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Первый доступный, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв; | ||
Строка 46: | Строка 56: | ||
** чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»; | ** чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»; | ||
** чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить». | ** чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить». | ||
{{Attention|Пункт «Имя диска» совместно с «Первый доступный, начиная с» рекомендуется использовать для дисков, которые должны подключаться в ОС Windows. Т.к. если будет создано несколько дисков с данными параметрами, то в ОС «Альт» будет отображаться только один диск (последний).}} | |||
* Параметры «Скрыть/Показать» — настройка отображения сопоставленного диска (параметры «Скрыть/Показать диск» имеют приоритет над параметрами «Скрыть/Показать все диски»): | * Параметры «Скрыть/Показать» — настройка отображения сопоставленного диска (параметры «Скрыть/Показать диск» имеют приоритет над параметрами «Скрыть/Показать все диски»): | ||
** «Без изменений» — оставить отображение сопоставленного диска неизменным; | ** «Без изменений» — оставить отображение сопоставленного диска неизменным; | ||
Строка 51: | Строка 62: | ||
** «Показать диск» — отобразить диск в окне файлового менеджера. | ** «Показать диск» — отобразить диск в окне файлового менеджера. | ||
[[Файл:Gpui- | {{Note|При выборе параметра «Показать диск» к точке монтирования (файл {{path|/etc/auto.master.gpupdate.d/<имя>.autofs}}) добавляется опция ''--browse''. В этом случае для данной точки монтирования будет создан пустой каталог, независимо от того, смонтирована ли какая-либо файловая система в него или нет. | ||
Это удобно так как доступные автоматически монтируемые файловые системы будут показаны как существующие каталоги, даже если их файловые системы в данный момент не смонтированы. | |||
При выборе параметра «Скрыть диск» необходимо запомнить название каталога, так как доступ к этому каталогу можно получить только при непосредственном обращении к нему. Каталог будет создан и файловая система будет смонтирована только при попытке доступа к нему. Незадействованный ресурс по истечении тайм-аута (по умолчанию 120 секунд) будет отмонтирован, а каталог удалён.}} | |||
[[Файл:Gpui-preferences-common.png|GPUI. Диалоговое окно настройки предпочтения — вкладка «Общие»]] | |||
Доступные опции на вкладке «Общие» («Common»): | Доступные опции на вкладке «Общие» («Common»): | ||
* «Остановить обработку элементов в этом расширении при возникновении ошибки»; | * «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается; | ||
* «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»; | * «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»; | ||
* «Удалить элемент если больше не применим» | * «Удалить элемент, если больше не применим»; | ||
* «Описание». | * «Описание». | ||
<!--'''Шаг 6.''' Так как политики подключения сетевых дисков относятся к экспериментальным, на машинах Альт где они применяются, должны быть включены «Экспериментальные групповые политики». Для включения «Экспериментальных групповых политик» следует перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики». | |||
Дважды щелкнуть на политике «Экспериментальные групповые политики», в открывшемся окне установить отметку в поле «Включено»: | |||
[[Файл:Gpui-global_experimental.png|GPUI. Политика «Экспериментальные групповые политики»]]--> | |||
'''Шаг 6.''' Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы). | |||
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»): | |||
[[Файл:Gpui-mount.png|GPUI. Политики монтирования]] | |||
Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включено»: | |||
[[Файл:Gpui-mount-user.png|GPUI. Политика «Отображение сетевых дисков пользователя в домашнем каталоге»]] | |||
{{Note|Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки: | |||
* {{path|~/net.drives.system}} — ссылка на {{path|/media/gpupdate/drives.system}} для системных ресурсов; | |||
* {{path|~/.net.drives.system}} — ссылка на {{path|/media/gpupdate/.drives.system}} для скрытых системных ресурсов; | |||
* {{path|~/net.drives}}— ссылка на {{path|/run/media/USERNAME/drives}} для общих ресурсов пользователя; | |||
* {{path|~/.net.drives}} — ссылка на {{path|/run/media/USERNAME/.drives}} для скрытых общих ресурсов пользователя. }} | |||
=== На машине Windows === | === На машине Windows === | ||
Строка 66: | Строка 101: | ||
'''Шаг 2.''' Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги. | '''Шаг 2.''' Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги. | ||
'''Шаг 3.''' В контекстном меню GPO | '''Шаг 3.''' В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO. | ||
'''Шаг 4.''' Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»: | '''Шаг 4.''' Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»: | ||
Строка 83: | Строка 118: | ||
** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы). | ** «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы). | ||
* «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав '''F3'''). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым. | * «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав '''F3'''). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым. | ||
{{Attention|При указании пути к общей папке необходимо использовать имя сервера, а не его IP-адрес.}} | |||
* «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему. | * «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему. | ||
* «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым). | * «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым). | ||
{{Attention| Если в подписи есть кириллица или пробелы, то для gpupdate включительно до версии 0.9.13.4, необходимо взять подпись в двойные кавычки }} | |||
* «Буква диска» — буква, на которую будет назначен диск: | * «Буква диска» — буква, на которую будет назначен диск: | ||
** чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Использовать первую доступную, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв; | ** чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Использовать первую доступную, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв; | ||
Строка 91: | Строка 128: | ||
** чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить все, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»; | ** чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить все, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»; | ||
** чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить». | ** чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить». | ||
{{Attention|Пункт «Буква диска» совместно с «Использовать первую доступную, начиная с» рекомендуется использовать для дисков, которые должны подключаться в ОС Windows. Т.к. если будет создано несколько дисков с данными параметрами, то в ОС «Альт» будет отображаться только один диск (последний).}} | |||
* Параметры «Показать или скрыть» — настройка отображения сопоставленного диска (параметры «Показать или скрыть этот диск» имеют приоритет над параметрами «Показать или скрыть все диски»): | * Параметры «Показать или скрыть» — настройка отображения сопоставленного диска (параметры «Показать или скрыть этот диск» имеют приоритет над параметрами «Показать или скрыть все диски»): | ||
** «Без изменений» — оставить отображение сопоставленного диска неизменным; | ** «Без изменений» — оставить отображение сопоставленного диска неизменным; | ||
Строка 104: | Строка 142: | ||
* «Применить один раз и не применять повторно»; | * «Применить один раз и не применять повторно»; | ||
* «Нацеливание на уровень элемента». | * «Нацеливание на уровень элемента». | ||
<!--'''Шаг 6.''' Так как политики подключения сетевых дисков относятся к экспериментальным, на машинах Альт где они применяются, должны быть включены «Экспериментальные групповые политики». Для включения «Экспериментальных групповых политик» следует перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики»: | |||
[[Файл:Experimental_Group_Policies_Packages.png|Экспериментальные групповые политики]] | |||
Дважды щелкнуть на политике «Экспериментальные групповые политики», в открывшемся окне установить отметку в поле «Включить» и нажать кнопку «Применить»: | |||
[[Файл:GPUpdate_global_experimental.png|800|Диалоговое окно «Экспериментальные групповые политики»]]--> | |||
'''Шаг 6.''' Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы). | |||
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»). Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включить» и нажать кнопку «Применить». | |||
== Результат применения политики == | |||
После обновления политик в сессии пользователя будет подключен сетевой диск, доступный из файлового менеджера и других программ. | |||
Сетевые диски в файловом менеджере Thunar: | |||
[[File:Thunar-drivers.png|Сетевые диски в файловом менеджере Thunar]] | |||
Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки на сетевые диски: | |||
[[File:Thunar-drivers-link.png|Ссылки на сетевые диски в файловом менеджере Thunar]] | |||
Сетевые диски в проводнике Windows: | |||
[[File:Windows-drivers.png|Сетевые диски в проводнике Windows]] | |||
== Файл настроек политики == | == Файл настроек политики == | ||
Все настройки политики подключения сетевого диска хранятся в {{path|{GUID GPT}/User/Preferences/Drives/Drives.xml}}. В одном GPO возможно задать подключение более одного сетевого диска. Пример {{path|Drives.xml}} с двумя сетевыми дисками: | Все настройки политики подключения сетевого диска хранятся в файлах: | ||
* {{path|{GUID GPT}/User/Preferences/Drives/Drives.xml}}. | |||
* {{path|{GUID GPT}/Machine/Preferences/Drives/Drives.xml}} | |||
В одном GPO возможно задать подключение более одного сетевого диска. Пример {{path|Drives.xml}} с двумя сетевыми дисками: | |||
<syntaxhighlight lang="xml"> | <syntaxhighlight lang="xml"> | ||
<?xml version="1.0" encoding=" | <?xml version="1.0" encoding="UTF-8" standalone="no"?> | ||
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}"> | <Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}"> | ||
<Drive bypassErrors="0" | |||
changed="2022-11-29 16:28:32" | |||
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" | |||
desc="" | |||
image="2" | |||
name="\\dc\Free" | |||
removePolicy="0" | |||
status="O:" | |||
uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}" | |||
userContext="0"> | |||
<Properties action="U" | |||
allDrives="SHOW" | |||
cpassword="" | |||
label="" | |||
letter="O" | |||
path="\\dc\Free" | |||
persistent="1" | |||
thisDrive="SHOW" | |||
useLetter="1" | |||
userName=""/> | |||
</Drive> | |||
<Drive bypassErrors="0" | |||
changed="2022-11-29 14:34:53" | |||
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" | |||
desc="" | |||
image="2" | |||
name="I:" | |||
status="I:" | |||
uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}" userContext="0"> | |||
<Properties action="U" | |||
thisDrive="SHOW" | |||
allDrives="SHOW" | |||
userName="" | |||
path="\\dc.test.alt\sysvol" | |||
label="" | |||
persistent="1" | |||
useLetter="0" | |||
letter="I"/> | |||
</Drive> | |||
</Drives> | </Drives> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Строка 161: | Строка 237: | ||
** если буква G занята, политика верхнего уровня создаст диск со следующей свободной буквой, а политика нижнего уровня заменит диск G, если это не локальный диск рабочей станции. | ** если буква G занята, политика верхнего уровня создаст диск со следующей свободной буквой, а политика нижнего уровня заменит диск G, если это не локальный диск рабочей станции. | ||
== Ссылки == | == Ссылки == | ||
* | * [https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581924(v=ws.11) Подробная документация по настройке политики] | ||
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581924(v=ws.11) | * http://www.oszone.net/15632/ | ||
* [https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322 Описание атрибутов XML-файлов из GPT и XML Schema] | |||
http://www.oszone.net/15632/ | * [[pam_mount]] | ||
* | |||
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322 | |||
[[Категория:Active Directory]] | [[Категория:Active Directory]] |
Текущая версия от 18:10, 11 июня 2024
Назначение
Эта групповая политика позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств.
Точки монтирования для отображения общих ресурсов на машинах Альт:
- /media/gpupdate/drives.system — для системных ресурсов;
- /media/gpupdate/.drives.system — для скрытых системных ресурсов;
- /run/media/USERNAME/drives — для общих ресурсов пользователя;
- /run/media/USERNAME/.drives — для скрытых общих ресурсов пользователя.
Значения параметров прописываются в файлы конфигурации:
- /etc/auto.master.gpupdate.d/<имя>.autofs и /etc/auto.master.gpupdate.d/<имя>.conf — для отображаемых ресурсов;
- /etc/auto.master.gpupdate.d/<имя>_hide.autofs и /etc/auto.master.gpupdate.d/<имя>_hide.conf — для скрытых ресурсов.
Настройка политики
На машине ALT
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей для которых создаются сетевые диски.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
- где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые диски». Создайте новый параметр политики (в контекстном меню свободной области выбрать пункт «Новый» -> «Сетевой диск»):
Шаг 5. В диалоговом окне «Диалог настроек» указать параметры подключения сетевого диска:
Доступные опции на вкладке «Основные настройки» («General»):
- «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
- «Создать» — создание нового сетевого диска;
- «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
- «Путь» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
- «Переподключиться» — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
- «Название» — пользовательское имя для диска (можно оставить это поле пустым).
- «Имя диска» — буква, на которую будет назначен диск:
- чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Первый доступный, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
- чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
- чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Использовать», а затем выбрать букву диска;
- чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
- чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
- Параметры «Скрыть/Показать» — настройка отображения сопоставленного диска (параметры «Скрыть/Показать диск» имеют приоритет над параметрами «Скрыть/Показать все диски»):
- «Без изменений» — оставить отображение сопоставленного диска неизменным;
- «Скрыть диск» — скрыть диск в окне файлового менеджера;
- «Показать диск» — отобразить диск в окне файлового менеджера.
Это удобно так как доступные автоматически монтируемые файловые системы будут показаны как существующие каталоги, даже если их файловые системы в данный момент не смонтированы.
При выборе параметра «Скрыть диск» необходимо запомнить название каталога, так как доступ к этому каталогу можно получить только при непосредственном обращении к нему. Каталог будет создан и файловая система будет смонтирована только при попытке доступа к нему. Незадействованный ресурс по истечении тайм-аута (по умолчанию 120 секунд) будет отмонтирован, а каталог удалён.Доступные опции на вкладке «Общие» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
- «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
- «Удалить элемент, если больше не применим»;
- «Описание».
Шаг 6. Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы).
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»):
Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включено»:
- ~/net.drives.system — ссылка на /media/gpupdate/drives.system для системных ресурсов;
- ~/.net.drives.system — ссылка на /media/gpupdate/.drives.system для скрытых системных ресурсов;
- ~/net.drives— ссылка на /run/media/USERNAME/drives для общих ресурсов пользователя;
- ~/.net.drives — ссылка на /run/media/USERNAME/.drives для скрытых общих ресурсов пользователя.
На машине Windows
Шаг 1. На машине с установленным RSAT открыть «Управление групповыми политиками».
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, куда входят учетные записи пользователей, для которых будут подключаться сетевые каталоги.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Сопоставления дисков». В контекстном меню свободной области (или в контекстном меню пункта «Сопоставления дисков»), выбрать «Создать» -> «Сопоставленный диск»:
Шаг 5. В диалоговом окне «Новые свойства диска» задать настройки политики:
Доступные опции на вкладке «Общие» («General»):
- «Действие» — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
- «Создать» — создание нового сетевого диска;
- «Удалить» — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Заменить» — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жесткий диск, CD-Drive);
- «Обновить» — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от «Заменить» тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы).
- «Размещение» — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав F3). Чтобы изменить существующий сетевой диска (определяемый по букве диска), следует оставить это поле пустым.
- «Повторное подключение» — сохранить подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему.
- «Подпись» — пользовательское имя для общего диска (можно оставить это поле пустым).
- «Буква диска» — буква, на которую будет назначен диск:
- чтобы назначить сетевому диску первую доступную букву диска, следует выбрать «Использовать первую доступную, начиная с», а затем выбрать букву диска, с которой начинать проверку доступности букв;
- чтобы назначить сетевому диску определенную букву, следует выбрать «Использовать», а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
- чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать «Существующая», а затем выбрать букву диска;
- чтобы удалить все сопоставления дисков начиная с определенной буквы, следует выбрать «Удалить все, начиная с», а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии «Удалить»;
- чтобы удалить определенный сопоставленный диск, следует выбрать «Удалить», а затем выбрать букву диска. Данный параметр доступен только при выбранном действии «Удалить».
- Параметры «Показать или скрыть» — настройка отображения сопоставленного диска (параметры «Показать или скрыть этот диск» имеют приоритет над параметрами «Показать или скрыть все диски»):
- «Без изменений» — оставить отображение сопоставленного диска неизменным;
- «Скрыть диск» — скрыть диск в окне файлового менеджера;
- «Показать диск» — отобразить диск в окне файлового менеджера.
Доступные опции на вкладке «Общие параметры» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки»;
- «Выполнять в контексте безопасности вошедшего пользователя»;
- «Удалить этот элемент, когда он более не применяется»;
- «Применить один раз и не применять повторно»;
- «Нацеливание на уровень элемента».
Шаг 6. Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы).
Для этого следует включить политики «Отображение сетевых дисков пользователя в домашнем каталоге» и/или «Отображение сетевых дисков машины в домашнем каталоге» («Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Монтирование»). Дважды щелкнуть на нужной политике, в открывшемся окне установить отметку в поле «Включить» и нажать кнопку «Применить».
Результат применения политики
После обновления политик в сессии пользователя будет подключен сетевой диск, доступный из файлового менеджера и других программ.
Сетевые диски в файловом менеджере Thunar:
Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки на сетевые диски:
Сетевые диски в проводнике Windows:
Файл настроек политики
Все настройки политики подключения сетевого диска хранятся в файлах:
- {GUID GPT}/User/Preferences/Drives/Drives.xml.
- {GUID GPT}/Machine/Preferences/Drives/Drives.xml
В одном GPO возможно задать подключение более одного сетевого диска. Пример Drives.xml с двумя сетевыми дисками:
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
<Drive bypassErrors="0"
changed="2022-11-29 16:28:32"
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
desc=""
image="2"
name="\\dc\Free"
removePolicy="0"
status="O:"
uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}"
userContext="0">
<Properties action="U"
allDrives="SHOW"
cpassword=""
label=""
letter="O"
path="\\dc\Free"
persistent="1"
thisDrive="SHOW"
useLetter="1"
userName=""/>
</Drive>
<Drive bypassErrors="0"
changed="2022-11-29 14:34:53"
clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
desc=""
image="2"
name="I:"
status="I:"
uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}" userContext="0">
<Properties action="U"
thisDrive="SHOW"
allDrives="SHOW"
userName=""
path="\\dc.test.alt\sysvol"
label=""
persistent="1"
useLetter="0"
letter="I"/>
</Drive>
</Drives>
Спецификация Drives.xml https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/b64d3e8c-d6e4-44b5-a02a-54f0fb0d5322
Некоторые детали
Как и другие политики, политика подключения сетевых дисков может применяться к различным уровням иерархии домена AD. Политики применяются последовательно от верхних уровней к нижним. При этом возможны конфликты совпадения букв. Общее правило — если создается диск с буквой, которая уже занята под существующий диск, то эта политика не отрабатывает.
Возможные варианты (предполагается, что совпадающие буквы в политиках свободны на рабочих станциях):
- совпадают буквы и одинаковое действие «Создать» («Create») — отработает политика верхнего уровня, политика нижнего уровня ничего не создаст;
- совпадают буквы, в политике верхнего уровня действие «Создать» («Create») или «Обновить» («Update»), в политике нижнего уровня действие «Заменить» («Replace») — так как действие «Заменить» удаляет и создает заново диск, в результате будет создан диск из политики нижнего уровня;
- совпадают буквы, в политике верхнего уровня действие «Создать» («Create»), в политике нижнего уровня действие «Обновить» («Update») — политика верхнего уровня создаст диск, а политика нижнего уровня обновит его настройки, кроме пути к общей папке и буквы (в случае несовпадения пути, он игнорируется; в случае несовпадения буквы создается новый диск);
- одинаковое действие «Создать» («Create»), в политике верхнего уровня указано использовать первую доступную букву, начиная с G, в политике нижнего уровня указано использовать точно G — отработает политика верхнего уровня и создаст диск с буквой G (если эта буква занята, то со следующей свободной буквой), политика нижнего уровня ничего не создаст;
- то же самое, но в политике нижнего уровня действие «Заменить» («Replace»):
- если буква G не занята, в результате будет создан диск G из политики нижнего уровня;
- если буква G занята, политика верхнего уровня создаст диск со следующей свободной буквой, а политика нижнего уровня заменит диск G, если это не локальный диск рабочей станции.