Групповые политики/Общие каталоги
Описание
Групповая политика Общие каталоги (Network Shares) позволяет:
- создавать общие ресурсы и настраивать их свойства;
- изменять путь к папке общего ресурса путем замены ресурса;
- удалять (выводить из общего доступа) или изменять лимит пользователей, функцию перечисления на основе доступа и комментарий для следующих объектов:
- общий ресурс;
- все общие ресурсы, кроме скрытых;
- все скрытые ресурсы, кроме административных общих ресурсов с присвоением буквы диска;
- все административные общие ресурсы с присвоением буквы диска;
- все общие ресурсы.
Обязательным условием для подключения общих сетевых каталогов через gpupdate является пакет samba-usershares. Он установится по зависимостям от пакета samba, начиная с версии 4.16.7-alt5.
- установлен пакет samba-usershares;
- control smb-conf-usershares установлен в enabled;
- control smb-conf-usershare-owner-only установлен в disabled;
- в /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf:
include = /etc/samba/usershares.conf
Настройка политики
На машине ALT
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учётные записи пользователей, для которых создаются общие сетевые ресурсы.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{E15D4CFD-BB86-4EBB-BEDD-4BE000712135}"
где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Сетевые папки». В контекстном меню свободной области выбрать пункт «Новый» -> «Сетевая папка»:
Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:
Доступные опции на вкладке «Основные настройки» («General»):
- «Действие» — действие, которое будет выполняться для общего сетевого ресурса:
- «Создать» — создание нового сетевого ресурса;
- «Удалить» — удаление общего ресурса;
- «Заменить» — удаление и повторное создание сетевого ресурса. Суммарный итог действия «Заменить» — переопределение всех существующих параметров, связанных с общим ресурсом. Если сетевого ресурса не существует, то это действие создает новый сетевой ресурс;
- «Обновить» — изменение параметров существующего сетевого ресурса. Если сетевого ресурса не существует, то это действие создает сетевой ресурс. Это действие отличается от «Заменить» тем, что не удаляет сетевой ресурс, а только обновляет параметры сетевого ресурса, определенные в элементе настройки.
- «Имя общего сетевого ресурса» — имя общего ресурса. В этом поле можно указывать переменные.
- «Путь к каталогу» — путь к существующей папке, на которую будет указывать общий ресурс. В этом поле можно указывать переменные.
- «Комментарий» — текст для отображения в поле «Примечание» общего ресурса. Если выбрано действие «Обновить», общий ресурс уже существует и данное поле оставлено пустым, существующий комментарий будет оставлен без изменений. В этом поле можно указывать переменные. Этот параметр доступен, если выбранное действие — «Создать», «Заменить» или «Обновить».
- «Модификаторы действий» — изменять и удалять общие ресурсы конкретного типа можно не только индивидуально, но и все вместе. Эти параметры доступны, если выбранное действие — «Обновить» или «Удалить»:
- «Обновление всех регулярных общих сетевых ресурсов» — изменение или удаление всех общих ресурсов, которые не являются скрытыми (с именами, оканчивающимися на $) или специальными (SYSVOL или NETLOGON);
- «Обновление всех скрытых не административных общих сетевых ресурсов» — изменение или удаление всех скрытых общих ресурсов, за исключением административных общих ресурсов с буквенным обозначением дисков, ADMIN$, FAX$, IPC$ и PRINT$;
- «Обновление всех административных дисков общих сетевых ресурсов» — изменение или удаление всех административных общих ресурсов с буквенным обозначением дисков (в их именах после буквы диска следует $).
- «Лимит пользователей» — настройка числа пользователей, которым можно одновременно подключаться к общему ресурсу:
- «Без изменений» — не изменять допустимое число пользователей при обновлении общего ресурса (если этот параметр выбран при создании или замене общего ресурса, число пользователей будет настроено на максимально допустимое);
- «Максимально допустимое» — неограниченное число пользователей;
- «Разрешение на количество пользователей» — ограничить число пользователей (следует ввести допустимый максимум пользователей).
- «Перечисление на основе доступа» — настройка видимости папок общего ресурса:
- «Без изменений» — не изменять видимость папок общего ресурса при обновлении общего ресурса;
- «Включить» — сделать папки общего ресурса видимыми только при наличии доступа на чтение;
- «Отключить» — сделать папки общего ресурса видимыми для всех пользователей.
Доступные опции на вкладке «Общие» («Common»):
- «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
- «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
- «Удалить элемент, если больше не применим»;
- «Описание».
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера» -> «Настройка» -> «Конфигурация Windows» -> «Сетевые общие ресурсы». В контекстном меню свободной области (или в контекстном меню пункта «Сетевые общие ресурсы») выбрать пункт «Создать» -> «Сетевой ресурс»:
Шаг 5. В диалоговом окне «Новые свойства общего сетевого ресурса» задать настройки политики:
Доступные опции на вкладке «Общий доступ» («General»):
- «Действие» — действие, которое будет выполняться для общего сетевого ресурса:
- «Создать» — создание нового сетевого ресурса;
- «Удалить» — удаление общего ресурса;
- «Заменить» — удаление и повторное создание сетевого ресурса. Суммарный итог действия «Заменить» — переопределение всех существующих параметров, связанных с общим ресурсом. Если сетевого ресурса не существует, то это действие создает новый сетевой ресурс;
- «Обновить» — изменение параметров существующего сетевого ресурса. Если сетевого ресурса не существует, то это действие создает сетевой ресурс. Это действие отличается от «Заменить» тем, что не удаляет сетевой ресурс, а только обновляет параметры сетевого ресурса, определенные в элементе настройки.
- «Имя ресурса» — имя общего ресурса. В этом поле можно указывать переменные (отобразить список доступных переменных, можно нажав F3).
- «Путь к папке» — путь к существующей папке, на которую будет указывать общий ресурс. В этом поле можно указывать переменные (отобразить список доступных переменных, можно нажав F3).
- «Комментарий» — текст для отображения в поле «Примечание» общего ресурса. Если выбрано действие «Обновить», общий ресурс уже существует и данное поле оставлено пустым, существующий комментарий будет оставлен без изменений. В этом поле можно указывать переменные (отобразить список доступных переменных, можно нажав F3). Этот параметр доступен, если выбранное действие — «Создать», «Заменить» или «Обновить».
- «Модификаторы действия» — изменять и удалять общие ресурсы конкретного типа можно не только индивидуально, но и все вместе. Эти параметры доступны, если выбранное действие — «Обновить» или «Удалить»:
- «Обновить все обычные общие ресурсы» — изменение или удаление всех общих ресурсов, которые не являются скрытыми (с именами, оканчивающимися на $) или специальными (SYSVOL или NETLOGON);
- «Обновить все скрытые неадминистративные общие ресурсы» — изменение или удаление всех скрытых общих ресурсов, за исключением административных общих ресурсов с буквенным обозначением дисков, ADMIN$, FAX$, IPC$ и PRINT$;
- «Обновить все административных общие ресурсы букв дисков» — изменение или удаление всех административных общих ресурсов с буквенным обозначением дисков (в их именах после буквы диска следует $).
- «Предельное число пользователей» — настройка числа пользователей, которым можно одновременно подключаться к общему ресурсу:
- «Нет изменений» — не изменять допустимое число пользователей при обновлении общего ресурса (если этот параметр выбран при создании или замене общего ресурса, число пользователей будет настроено на максимально допустимое);
- «Максимально допустимое» — неограниченное число пользователей;
- «Не более» — ограничить число пользователей (следует ввести допустимый максимум пользователей).
- «Перечисление на основе доступа» — настройка видимости папок общего ресурса:
- «Нет изменений» — не изменять видимость папок общего ресурса при обновлении общего ресурса;
- «Включить» — сделать папки общего ресурса видимыми только при наличии доступа на чтение;
- «Отключить» — сделать папки общего ресурса видимыми для всех пользователей.
Файл настроек политики
Все настройки политики хранятся в:
- {GUID GPT}/Machine/Preferences/NetworkShares/NetworkShares.xml
- {GUID GPT}/User/Preferences/NetworkShares/NetworkShares.xml
Пример NetworkShares.xml:
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<NetworkShareSettings clsid="{520870D8-A6E7-47e8-A8D8-E6A4E76EAEC2}">
<NetShare changed="2022-11-21 13:03:10"
clsid="{2888C5E7-94FC-4739-90AA-2C1536D68BC0}"
image="0"
name="share2"
status=""
uid="{B304B48F-3AF5-4128-B733-4D3A9677F020}"
userContext="0"
removePolicy="0">
<Properties action="C"
name="share2"
path="/var/share2"
comment=""
limitUsers="NO_CHANGE"
abe="NO_CHANGE"/>
</NetShare>
<NetShare clsid="{2888C5E7-94FC-4739-90AA-2C1536D68BC0}"
image="2"
name="share1"
userContext="0"
removePolicy="0"
changed="2022-11-21 11:38:18"
uid="{197730D0-2A3C-40E3-AF09-E89C370F5E0C}">
<Properties action="U"
name="share1"
path="C:\share1"
comment=""
allRegular="0"
allHidden="0"
allAdminDrive="0"
limitUsers="NO_CHANGE"
abe="NO_CHANGE"/>
</NetShare>
</NetworkShareSettings>
Спецификация NetworkShares.xml
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/f24ab9c8-7e4d-4f9e-8bf9-07df7c5148f6