Skip to content

Document Header

Примеры политик для Samba 4 server Domain Controller

Примеры политик для Samba 4 server Domain Controller published on Комментариев к записи Примеры политик для Samba 4 server Domain Controller нет

Данную статью пишу исключительно для сохранения полноты последовательности действий. Это уже миллион раз описано различными источниками с разными акцентами и глубиной детализации, в том числе и на сайте microsoft. Все перечисленные политики успешно протестированы на samba 4.

На тестовом стенде я пробовал вводить в домен все сколько-нибудь современные ОС. Win xp/7/8, win2003/2008/2012 и все они успешно вошли в домен. Для серверных ОС я пользовался встроенным инструментарием (лишь win2003 x32 «тюнинговал» консолью gpmc). Для рабочих станций был использован admin pack + gpmc. При этом не важно когда был установлен инструментарий до или после введения компьютера в домен.

В примерах использую русскую ОС.

Для ввода в домен у клиентского компьютера должен быть прописан (присвоен) правильный dns.

add to domain
Ввод клиентского компьютера в домен

Ввод в домен Samba 4:

Вводим имя и пароль доменного администратора, и после перезагрузки мы в домене. Если ввод в домен закончился ошибкой, то еще раз посмотрите, правильно ли выполнили предварительные условия.
Так же со стороны рабочей станции могут быть отключены какие-то жизненно важные сервисы (об этом дальше) ;=)

Если вы настроили ntpd и используете samba 4 dns internal, то при 1-ом же входе в домен у вас автоматически должно синхронизироваться время и появится запись A в прямой зоне DNS.

Теперь переходим к настройке групповых политик.

Политики по своему назначению могут быть для пользователей и для компьютеров. Область применения следует из названия. Для компьютеров политики выполняются непосредственно при загрузке компьютера. Для пользователей — после ввода имени и пароля.

Настройка сервисов на рабочих станциях.

Мне нравится, когда на рабочих не запущено лишних сервисов, но включены все необходимые. Именно необходимые постараюсь перечислить. Реальный набор на ваш вкус и цвет. Для создания нашей 1-ой политики зайдем в консоль gpmc (вызвать ее можно например пуск->выполнить->gpmc.msc) в дереве выделим наш домен, правая кнопка мыши и create and link a GPO here

create and link a GPO Here
Создание политики

 

Назовем нашу политику services.
Выделяем политику, правая кнопка мыши, edit. Кликаем по дереву как показано на рисунке.

Services GPO edit

В правой части окна перечислены сервисы, которые мы будем настраивать. Их названия берутся с рабочей станции, поэтому некоторых из них может не быть на остальных клиентах. Следовательно, трогаем только системные. Те, что имеют статус «не определены» будут игнорироваться, т.е. сохранят статус, установленный на клиенте. Остальные принудительно примут значение «автоматически/вручную/запрещен(отключена)». Пользователь с административными правами на клиенте может менять этот статус, однако изменение это будет действовать либо до 1-ой перезагрузки, либо до применения политики по расписанию.

Мой список со статусом авто:

Dhcp клиент
Dns клиент
Plug & play
Диспетчер логических дисков
Диспетчер очереди печати
Диспетчер удаленного доступа
Диспетчер учетных записей безопасности
Журнал событий
Запуск серверных процессов DCOM
Защищенное хранилище
Инструментарий управления windows
Модуль поддержки NetBIOS через TCP/IP
Оборзеватель компьютеров
Рабочая станция
Сервер
Служба времени windows
Удаленный вызов процедур (RPC)
Удаленный реестр

Мой список со статусом вручную (некоторые являются зависимостями, без которых не будет работать список авто):

Windows installer
Диспетчер авто-подключений удаленного доступа
Локатор удаленного вызова процедур (RPC)
Поставщик поддержки безопасности NT LM
Протокол HTTP SSL
Сетевой вход в систему (при входе в домен автоматически переключается на авто)
Сетевые подключения
Служба администрирования диспетчера логических дисков
Служба обеспечения сети
Служба обнаружения SSDP
Служба протокола EAP
Служба сетевого расположения NLA
Служба управления сертификатами и ключами…
Служба шлюза уровня приложений
Службы терминалов
Смарт-карты
Телефония

После того, как мы выбрали статусы для наших служб, установили для них права, переходим обратно в окно gpmc, чтобы выбрать кому будет применяться политика. В правом окне выбираем закладку delegation, в нижнем углу нажимаем кнопку advanced. По умолчанию политика применяется к authenticated users (прошедшие проверку). Снимаю галку с «применение групповой политики» и добавляю группу domain computers и устанавливаю галку на «применение групповой политики». Теперь политика будет применяться не для authenticated users, а для domain computers.

Примечание:  в свое время столкнулся с рекомендацией от Microsoft не отключать право чтения любой политики для authenticated users. Это право позволяет уменьшить задержки при обработке политик на клиентах.

GPO permission

Политика применяется к тому объекту, который имеет статус read (from Security Filtering). В нашем случае это группа domain computers.

change GPO permissions
Область применения политики

 

 

Политика по подключению общей папки в виде сетевого диска.

Для хранения скриптов мы будем использовать папку /scripts на нашем samba 4 dc server, папка /share будет монтироваться в виде диска на клиентах.

# mkdir /scripts /share

Чтобы открыть общий доступ к папкам добавим в /usr/local/samba/etc/smb.conf (ваш путь может отличаться) следующие строки:


[scripts]
path = /scripts
comment = scripts
read only = No
[share]
path = /share
comment = share
read only = No


Создадим скрипт /script/map_drive.cmd следующего содержания:

NET USE L: /DELETE
NET USE L: pdcshare

Где pdc – это наш samba 4 dc server.

Создаем политику «map drive» аналогично предыдущему примеру.
Добавляем путь к скрипту, как показано на рисунке.

map drive
Добавление сценария

Данный скрипт может находиться в произвольном месте, главное чтобы путь был указан в виде acroread 11.x . Нам осталось указать область применения, которая будет в виде группы пользователей. Данное действие я уже описывал в прошлом примере.

Перенаправление папок пользователей «мои документы» и «рабочий стол».

Для централизованного хранения на сервере «моих документов» и «рабочих столов» пользователей создадим на сервере samba 4 папку users в папке share.

#mkdir /share/user

При создании пользователей будем использовать домашнюю папку в виде диска z:

map drive
Создание домашней папки пользователя

 

Создадим новую политику или добавим в уже существующую, распространяющуюся на пользователей правило для «моих документов». Здесь есть несколько вариантов. Сделаем, например, так:

forward "my documents"
Политика перенаправления «мои документы»

 

Аналогично для «рабочих столов».

Автоустановка/автообновление программ через скрипт.

В этом примере мы автоматически установим/обновим acroread 11.x на все windows xp sp3 x32. На другие ОС и windows xp с более ранним sp acroread устанавливаться не будет.

Создадим папку /scripts/acroread

#mkdir /scripts/acroread

Скачаем в нее acroread 11.x

Распакуем архив:

#7z x AdbeRdr11000_ru_RU.exe

Создадим скрипт acroread.cmd

Reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersion" /v ProductName|Find "Microsoft Windows XP"
if %ERRORLEVEL% == 0 (
ECHO This is Windows XP
goto XP
)
ECHO This is not Windows XP
goto end

:XP
Reg query «HKLMSOFTWAREMicrosoftWindows NTCurrentVersion» /v CSDversion|Find «Service Pack 3»
if %ERRORLEVEL% == 0 (
ECHO Service Pack 3 Already Installed
goto Acroread_11
)
ECHO This OS is not have SP3
goto end
:Acroread_11
Reg query «HKEY_LOCAL_MACHINESOFTWAREAdobeAcrobat Reader» /s | Find «11.0»
if %ERRORLEVEL% == 0 (
ECHO Acrobat Reader 11 Already Installed
goto end
)
ECHO Installing Acrobat Reader 11
«pdcscriptsacroreadsetup.exe» /sAll

:end

Традиционным образом добавим его в сценарий запуска для компьютеров

auto install/update acrobat reader
Сценарий автоустановки программ

 

acroread 11.x

А это скрипт центр от Microsoft

Добавить комментарий