|
|
|||||||||||||||||||||||||||||
|
Работа с предпочтениями групповой политики: сопоставления дисков.Источник: dimanbwordpresscom Дмитрий Буланов
ВведениеСейчас практически во всех компаниях файлы ваших сотрудников не всегда размещаются непосредственно на их компьютерах. Некоторые документы должны быть общедоступными, но права на редактирование таких файлов может быть выделено только отдельным пользователям или группам пользователей, а некоторые документы в целях безопасности целесообразно хранить на файловых серверах. В связи с этим вашим пользователям приходится или постоянно подключаться к таким серверам или создавать для себя сопоставление дисков, что, скорее всего, придется делать именно вам. Если вы работаете в небольшой компании или в каком-то региональном офисе, будет не сложно подойти к двум-трем пользователям и настроить для них сопоставление дисков вручную. Но если нужно будет создать сопоставления, скажем, для семи дисков пяти подразделениям из 20 человек, то это у вас займет, по меньшей мере, несколько часов рабочего времени. А тратить несколько часов времени, которого всегда, как правило, не хватает, на выполнение простейших операций раздражает больше всего… Но вы можете решить для себя эту проблему, используя функционал групповой политики, о чем, собственно, и пойдет речь в этой статье. Из предыдущих трех статей данного цикла вы уже узнали о том, как можно легко и гибко управлять переменными средами, файлами и папками ваших пользователей. В этой статье будет подробно описан очередной элемент предпочтения групповой политики, "Сопоставления дисков", за который несет ответственность та же библиотека, которая была связана с предпочтениями, рассматриваемыми ранее, а именно динамическая библиотека gpprefcl.dll. Но так как с каждым расширением клиентской стороны должен быть связан уникальный идентификатор GUID, с этим расширением CSE связан идентификатор {5794DAFD-BE60-433f-88A2-1A31939AC01F}, который вы можете без особых усилий найти на своем контроллере домена. Несмотря на то, что переменные среды, файлы и папки можно было настраивать как в конфигурации компьютера, так и в конфигурации пользователя оснастки "Редактор управления групповыми политиками", работать с переменными средами можно только в узле "Конфигурация пользователя". Узел предпочтений групповой политики "Сопоставления дисков"Как уже было замечено в вводной части этой статьи, элемент предпочтения групповой политики "Сопоставления дисков" предназначен для создания, обновления, изменения и удаления сопоставления дисков для общедоступных сетевых ресурсов. Помимо этого, используя текущий элемент предпочтения, вы также можете удалить или скрыть все диски, которые начинаются с определенной буквы, причем не только сопоставленные, но еще и физические. Для создания сопоставления дисков, вам нужно будет в оснастке "Редактор управления групповыми политиками" управлять элементами предпочтений, расположенными в узле "Сопоставления дисков" конфигурации пользователя. В следующем примере будут созданы два объекта групповой политики. В первом объекте GPO, в объекте "Сопоставления диска S" будут созданы динамические сопоставления для двух дисков, диска S и диска X. В объекте "Изменения в сопоставлениях" будет изменена буква одного диска, а также скрыт диск X для пользователей, являющихся членами группы "Продажи". Для того чтобы задать настройки элементов предпочтений групповой политики, указанные в данном сценарии, выполните следующие действия:
Рис. 1. Создание элемента предпочтения сопоставленного диска После того как вы определитесь с выполняемым действием (в нашем случае это создание нового сопоставления диска), вам предстоит указать физическое размещение диска, букву для диска, а также, при необходимости, задать дополнительные параметры. В текстовом поле "Расположение" укажите путь к сетевому ресурсу в полном UNC формате, например "\\SERVER04\Sales Department". Если вы не знаете точного пути к общедоступному расположению, вызовите диалоговое окно пользовательского поиска, которое по умолчанию отображает результаты для запроса LDAP "objectCategory=volume", как показано на следующей иллюстрации: Рис. 2. Выполнение поиска общих папок Для того чтобы сопоставленный вами диск сохранялся в пользовательских параметрах и восстанавливался при каждом выполнении пользовательского входа в домен, вы можете установить флажок "Повторное подключение". В текстовом поле "Подписать" вы можете указать метку для вашего диска, то есть текст, отображаемый возле буквы диска. В нашем примере, пусть это будет текст "Общая папка продаж". Группа "Буква диска" предназначена для настройки буквы сопоставляемого диска. Здесь вы можете остановиться на одном из двух следующих вариантов: Группа "Подключиться как" предоставляет вам возможность прохождения проверки подлинности на сопоставляемый диск при помощи учетной записи пользователя, отличного от того, который выполняет вход в систему. Об этой группе мы поговорим далее в этой статье. Помимо всех указанных выше параметров, вы можете указывать настройки отображения как сопоставленных, так и физических дисков на компьютерах ваших пользователей. Для выполнения этих действий вы можете воспользоваться параметрами "Показать или скрыть этот диск" и "Показать или скрыть все диски" как по отдельности, так и в совокупности. Основное отличие этих параметров в том, что используя первый параметр, вы можете отображать для пользователя сопоставленный диск, используя значения "Нет изменений" или "Показывать диск", или скрыть этот диск в окнах проводника Windows, используя значение "Скрыть диск", а при применении второго параметра, вам предоставляется возможность настройки отображения всех сопоставленных и физических дисков в проводнике вашего пользователя. Так как нам необходимо, чтобы новый диск отображался для пользователей отдела продаж, выберите значение "Показать диск" для параметра "Показать или скрыть этот диск". В конечном счете, вкладка "Общие" диалогового окна "Новые свойства диска" должна выглядеть так, как показано ниже: Рис. 3. Новые свойства первого сопоставляемого диска После этого необходимо создать второй элемент предпочтения, где будет добавлен еще один диск, для подключения к которому необходимы права определенного пользователя. Здесь, в диалоговом окне "Новые свойства диска" второго элемента предпочтения, вам необходимо также выбрать действие "Создать", в текстовом поле "Размещение" указать путь к диску, доступ к которому есть только у одного пользователя, скажем, администратора сервера DC. Установите флажок "Повторное подключение", подпишите диск как "Secret Data" и укажите для данного диска букву "X". Так как к этому общему ресурсу может подключиться лишь администратор домена, для того чтобы у ваших пользователей отдела продаж этот диск отображался в проводнике Windows, вам необходимо указать учетные данные вашего администратора. Стоит отметить, что для обеспечения безопасности, к паролю учетной записи, который вы дважды укажите, на этой вкладке применяется 256-разрядное шифрование по стандарту AES, но, тем не менее, я настоятельно рекомендую вам как можно чаще менять пароль, так как долгосрочное использование даже сложных паролей чревато не самыми позитивными последствиями. Конечный результат предоставлен на следующем изображении: Рис. 4. Создание второго сопоставленного диска Теперь выполним вход в систему пользователем "Елена Аристова", которая расположена в отделе продаж. Как видно на следующей иллюстрации, помимо системного диска С, для этого пользователя также доступны диски S и X, в качестве дисков сетевого размещения: Рис. 5. Проводник Windows пользователя отдела продаж Рис. 6. Изменение первого сопоставленного диска Помимо этого, перейдите на вкладку "Общие параметры", установите флажок "Нацеливание на уровень элемента" и перейдите к диалоговому окну "Редактор нацеливания". Здесь вам следует указать, чтобы текущий элемент предпочтения применялся только к тем пользователям, которые являются членами группы "Продажи". Для этого выберите элемент "Группа безопасности", где в текстовом поле "Группа" укажите название требуемой группы. При необходимости вы можете сверить SID самой группы или указать, что элемент предпочтения должен применяться лишь в том случае, если выбранная вами группа является основной группой, в которую входит пользователь. Пример такого уровня нацеливания предоставлен на следующем изображении: Рис. 7. Нацеливание на уровень элемента Рис. 8. Узел "Сопоставления дисков" второго объекта GPO На заключительном этапе следует проверить сопоставления дисков для разных пользователей подразделения "Продажи", которые являются членами разных групп безопасности. Для начала, выполним вход под учетной записью пользователя "Ксения Нелидова", которая расположена в подразделении "Продажи", но не входит в группу безопасности с одноименным названием. Как видно на иллюстрации номер 9, никакие внесенные изменения во втором объекте групповой политики не коснулись данного пользователя: Рис. 9. Проводник Windows пользователя Ксения Нелидова Но если выполнить вход под учетной записью пользователя Елена Аристова, то открыв проводник Windows, вы увидите, что буква сопоставленного диска "Общая папка продаж" изменилась, но, так как было выбрано действие "Обновить", пользователь также может получить доступ к диску общей папки продаж, обращаясь у себя в проводнике Windows к диску S, поэтому обратите внимание на этот момент при работе в производственной среде. В свою очередь, к диску с секретными данными больше нет доступа. Эти изменения видны на следующей иллюстрации: Рис. 10. Проводник Windows пользователя Елена Аристова после применения нового объекта GPO ЗаключениеИз этой статьи вы узнали о новом расширении клиентской стороны предпочтения групповой политики, предназначенном для управления сопоставления дисками. На примерах были подробным образом рассмотрены сценарии создания сопоставления дисков для общедоступных сетевых ресурсов, сетевых ресурсов с альтернативными учетными данными пользователя, обновления, а также изменения параметров сопоставления дисков. Помимо этого был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий управлять группой безопасности, в которую входит пользователь.
|
|