Перенаправление папок в домене Active Directory. Настройка ACL

Для доменной структуры удобно использовать перенаправление папок пользователей.

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Читайте также:  Как найти и установить драйвер неизвестного устройства

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Управление групповыми политиками Active Directory (AD GPO)

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

Настройки групповой политики для хорошей работы перенаправляемых папок

Вводим файловую шару в зону интрасети

При логоне пользователю, использующему перенаправление папок, высветится окошко с предупреждением, что данный ярлык, приложение и т.д. находится вне вашей сети и есть риск причинения вреда компьютеру.

Читайте также:  Резервное копирование и восстановление базы данных Oracle Database

Нужно внести наш файловый сервер или сразу весь домен в доверенный список.

Настройки групповой политики для хорошей работы перенаправляемых папок

Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer — Панель управления браузером — Вкладка «Безопасность»

Параметр Список назначений зоны для веб-сайтов

Параметр нужно включить. При нажатии на кнопку Показать увидим незаполненный список: имя значения — это либо адрес файловой шары, либо весь домен, например, Значение — цифра от 1 до 4. В нашем случае ставим 1 (зона интрасети). Остальные значения описаны в справке.

Подробности при загрузке системы и логоне пользователя

Удобно, когда при ошибке система выводит подробную информацию о том, что произошло. Не нужно лишний раз смотреть логи, а при непосредственном обращении пользователя уже представлять в чем проблема. Также можно сразу понять, что тормозит загрузку профиля\системы.

В GPO есть политика «Выводить очень подробные сообщения о состоянии системы». Находится Конфигурация компьютера — Политики — Административные шаблоны — система

Настройки групповой политики для хорошей работы перенаправляемых папок

Эта настройка более актуальна для Windows 7, по умолчанию система при загрузке никакой полезной информации не выводит, а после включения политики к примеру

Windows 8.1 по умолчанию выводит подробную информацию о загрузке.

Всегда ждать сеть при запуске системы и входе в систему

При работе с доменом у пользователей могут вознуть различные проблемы, из-за того, что сетевая карта еще не готова к работе. Параметр Всегда ждать сеть при запуске системы и входе в систему будет полезен не только при работе с перенаправлением папок, но и вообще при любом взаимодействии системы с доменом. Находится Конфигурация компьютера — Политики — Административные шаблоны — Система — Вход в систему

UPD. AlektroNik дополняет:

Есть один подводный камень в этой настройке. Если у Вас, к примеру, ноутбуки, которые пользователь берет домой, то с этим параметром крутиться «Пожалуйста подождите» будет крутиться минут по 15 каждый раз при включении если не больше.

Настройки групповой политики для хорошей работы перенаправляемых папок

Квотирование

При работе с сетевыми шарами, особенно при использовании перенаправления папок, нужно настраивать квоту, ограничивающую размер дискового пространства, которое может использовать пользователь.

Статья Настраиваем квоту на файловый ресурс на сервере Windows Server 2008 R2 в блоге  описывает основные моменты настройки квоты.

Локальная политика безопасности Windows не включается

Причины, по которым не включается служба, следующие:

  • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
  • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
  • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Добавление пользователей в локальную группу администраторов через GPO

С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.

Нюансы редактирования параметров политики

Каковы наиболее важные нюансы, которые характеризуют такую процедуру, как настройка групповых политик Active Directory? Специалисты рекомендуют обращать особое внимание на сущность конкретных параметров с точки зрения их активизации или, наоборот, отключения. В некоторых случаях тот факт, что та или иная политика не функционирует, вовсе не обязательно будет означать, что релевантные ей процессы также дезактивируются, и наоборот. Вся необходимая информация касательно тех или иных параметров политик обычно фиксируется в сопровождающем их справочном текстовом сообщении. Ряд параметров при этом имеет дополнительные опции. Их специфика, как правило, также разъясняется в справках.

Нюансы редактирования параметров политики

Подробное изучение соответствующих данных — главное условие того, чтобы администратором не была допущена случайная ошибка. Active Directory — это программная среда с большим количеством элементов, отвечающих за ключевые параметры безопасности и устойчивости сети. Специалист, ответственный за работу с ней, должен проявлять необходимый уровень компетентности в части управления групповыми политиками.