Работа с предпочтениями групповой политики: сопоставления дисков.

Дмитрий Буланов

  • Введение
  • Узел предпочтений групповой политики "Сопоставления дисков"
  • Заключение

Введение

Сейчас практически во всех компаниях файлы ваших сотрудников не всегда размещаются непосредственно на их компьютерах. Некоторые документы должны быть общедоступными, но права на редактирование таких файлов может быть выделено только отдельным пользователям или группам пользователей, а некоторые документы в целях безопасности целесообразно хранить на файловых серверах. В связи с этим вашим пользователям приходится или постоянно подключаться к таким серверам или создавать для себя сопоставление дисков, что, скорее всего, придется делать именно вам. Если вы работаете в небольшой компании или в каком-то региональном офисе, будет не сложно подойти к двум-трем пользователям и настроить для них сопоставление дисков вручную. Но если нужно будет создать сопоставления, скажем, для семи дисков пяти подразделениям из 20 человек, то это у вас займет, по меньшей мере, несколько часов рабочего времени. А тратить несколько часов времени, которого всегда, как правило, не хватает, на выполнение простейших операций раздражает больше всего… Но вы можете решить для себя эту проблему, используя функционал групповой политики, о чем, собственно, и пойдет речь в этой статье.

Из предыдущих трех статей данного цикла вы уже узнали о том, как можно легко и гибко управлять переменными средами, файлами и папками ваших пользователей. В этой статье будет подробно описан очередной элемент предпочтения групповой политики, "Сопоставления дисков", за который несет ответственность та же библиотека, которая была связана с предпочтениями, рассматриваемыми ранее, а именно динамическая библиотека gpprefcl.dll. Но так как с каждым расширением клиентской стороны должен быть связан уникальный идентификатор GUID, с этим расширением CSE связан идентификатор {5794DAFD-BE60-433f-88A2-1A31939AC01F}, который вы можете без особых усилий найти на своем контроллере домена. Несмотря на то, что переменные среды, файлы и папки можно было настраивать как в конфигурации компьютера, так и в конфигурации пользователя оснастки "Редактор управления групповыми политиками", работать с переменными средами можно только в узле "Конфигурация пользователя".

Узел предпочтений групповой политики "Сопоставления дисков"

Как уже было замечено в вводной части этой статьи, элемент предпочтения групповой политики "Сопоставления дисков" предназначен для создания, обновления, изменения и удаления сопоставления дисков для общедоступных сетевых ресурсов. Помимо этого, используя текущий элемент предпочтения, вы также можете удалить или скрыть все диски, которые начинаются с определенной буквы, причем не только сопоставленные, но еще и физические. Для создания сопоставления дисков, вам нужно будет в оснастке "Редактор управления групповыми политиками" управлять элементами предпочтений, расположенными в узле "Сопоставления дисков" конфигурации пользователя. В следующем примере будут созданы два объекта групповой политики. В первом объекте GPO, в объекте "Сопоставления диска S" будут созданы динамические сопоставления для двух дисков, диска S и диска X. В объекте "Изменения в сопоставлениях" будет изменена буква одного диска, а также скрыт диск X для пользователей, являющихся членами группы "Продажи". Для того чтобы задать настройки элементов предпочтений групповой политики, указанные в данном сценарии, выполните следующие действия:

  1. Откройте оснастку "Управление групповой политикой", в дереве консоли разверните узел "Лес: %имя леса%", узел "Домены", затем узел с названием вашего домена, после чего узел "Объекты групповой политики". В узле "Объекты групповой политики" создайте первый объект GPO "Сопоставления диска S", выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки "Редактор управления групповыми политиками" из контекстного меню выберите команду "Изменить";
  2. В оснастке "Редактор управления групповыми политиками", в дереве консоли разверните узел Конфигурация пользователя\Настройка\Конфигурация Windows и выберите узел "Сопоставления дисков". Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды "Создать" и "Сопоставленный диск", что изображено на следующей иллюстрации:

  3. Рис. 1. Создание элемента предпочтения сопоставленного диска

  4. В отобразившемся диалоговом окне "Новые свойства диска", на вкладке "Общие", вам предоставляется уже известный графический интерфейс, о котором было написано в предыдущих трех статьях текущего цикла. Первое, что следует настроить в новом элементе предпочтения, это действие, которого вы хотите добиться от создаваемого вами элемента предпочтения, то есть:
    • Создать - создание нового сопоставленного диска для общедоступного сетевого ресурса;
    • Заменить - удаление с последующим созданием существующего сопоставленного диска с новыми параметрами (в случае отсутствия такового, происходит создание нового сопоставления);
    • Обновить - обновление определенных в элементе предпочтения параметров существующего сопоставленного диска без удаления последнего;
    • Удалить - полное удаление сопоставленного диска.

    После того как вы определитесь с выполняемым действием (в нашем случае это создание нового сопоставления диска), вам предстоит указать физическое размещение диска, букву для диска, а также, при необходимости, задать дополнительные параметры. В текстовом поле "Расположение" укажите путь к сетевому ресурсу в полном UNC формате, например "\\SERVER04\Sales Department". Если вы не знаете точного пути к общедоступному расположению, вызовите диалоговое окно пользовательского поиска, которое по умолчанию отображает результаты для запроса LDAP "objectCategory=volume", как показано на следующей иллюстрации:

    Рис. 2. Выполнение поиска общих папок

    Для того чтобы сопоставленный вами диск сохранялся в пользовательских параметрах и восстанавливался при каждом выполнении пользовательского входа в домен, вы можете установить флажок "Повторное подключение". В текстовом поле "Подписать" вы можете указать метку для вашего диска, то есть текст, отображаемый возле буквы диска. В нашем примере, пусть это будет текст "Общая папка продаж".

    Группа "Буква диска" предназначена для настройки буквы сопоставляемого диска. Здесь вы можете остановиться на одном из двух следующих вариантов:

    • "Использовать первую доступную букву, начинающуюся с:" - сопоставленному диску будет назначаться первая доступная буква, согласно дискам на компьютере текущего пользователя. Например, если у пользователя на компьютере есть диски C, D, E, то буквой сопоставленного диска будет F;
    • "Использовать:" - при использовании данного варианта, вы сможете самостоятельно указать любую букву для создаваемого сопоставленного диска. Например, для того же пользователя, о котором говорилось выше, вы можете создать диск, буквой которого будет X.

    Группа "Подключиться как" предоставляет вам возможность прохождения проверки подлинности на сопоставляемый диск при помощи учетной записи пользователя, отличного от того, который выполняет вход в систему. Об этой группе мы поговорим далее в этой статье.

    Помимо всех указанных выше параметров, вы можете указывать настройки отображения как сопоставленных, так и физических дисков на компьютерах ваших пользователей. Для выполнения этих действий вы можете воспользоваться параметрами "Показать или скрыть этот диск" и "Показать или скрыть все диски" как по отдельности, так и в совокупности. Основное отличие этих параметров в том, что используя первый параметр, вы можете отображать для пользователя сопоставленный диск, используя значения "Нет изменений" или "Показывать диск", или скрыть этот диск в окнах проводника Windows, используя значение "Скрыть диск", а при применении второго параметра, вам предоставляется возможность настройки отображения всех сопоставленных и физических дисков в проводнике вашего пользователя. Так как нам необходимо, чтобы новый диск отображался для пользователей отдела продаж, выберите значение "Показать диск" для параметра "Показать или скрыть этот диск".

    В конечном счете, вкладка "Общие" диалогового окна "Новые свойства диска" должна выглядеть так, как показано ниже:

    Рис. 3. Новые свойства первого сопоставляемого диска

  5. В связи с тем, что для создания первого сопоставляемого диска не требуется никаких дополнительных опций, после того как будут выполнены все указанные выше действия, сохраните изменения по нажатию на кнопку "ОК" текущего диалогового окна.
  6. После этого необходимо создать второй элемент предпочтения, где будет добавлен еще один диск, для подключения к которому необходимы права определенного пользователя. Здесь, в диалоговом окне "Новые свойства диска" второго элемента предпочтения, вам необходимо также выбрать действие "Создать", в текстовом поле "Размещение" указать путь к диску, доступ к которому есть только у одного пользователя, скажем, администратора сервера DC. Установите флажок "Повторное подключение", подпишите диск как "Secret Data" и укажите для данного диска букву "X". Так как к этому общему ресурсу может подключиться лишь администратор домена, для того чтобы у ваших пользователей отдела продаж этот диск отображался в проводнике Windows, вам необходимо указать учетные данные вашего администратора. Стоит отметить, что для обеспечения безопасности, к паролю учетной записи, который вы дважды укажите, на этой вкладке применяется 256-разрядное шифрование по стандарту AES, но, тем не менее, я настоятельно рекомендую вам как можно чаще менять пароль, так как долгосрочное использование даже сложных паролей чревато не самыми позитивными последствиями. Конечный результат предоставлен на следующем изображении:

    Рис. 4. Создание второго сопоставленного диска

  7. Теперь, перед созданием второго объекта групповой политики, следует сохранить выполненные изменения, привязать объект GPO к определенному подразделению и проверить изменения. Для этого нажмите на кнопку "ОК" в диалоговом окне "Новые свойства диска", закройте оснастку "Редактор управления групповыми политиками", после этого свяжите созданный объект групповой политики с подразделением "Продажи", содержащим учетные записи пользователей, для которых должны применяться параметры текущего объекта групповой политики. Для этого, в дереве консоли оснастки "Управление групповой политикой" выберите подразделение, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду "Связать существующий объект групповой политики". В отобразившемся диалоговом окне "Выбор объекта групповой политики" выберите данный объект групповой политики и нажмите на кнопку "ОК".
  8. Теперь выполним вход в систему пользователем "Елена Аристова", которая расположена в отделе продаж. Как видно на следующей иллюстрации, помимо системного диска С, для этого пользователя также доступны диски S и X, в качестве дисков сетевого размещения:


    Рис. 5. Проводник Windows пользователя отдела продаж

  9. Как было сказано в начале этой статьи, следующим заданием является изменение буквы диска для первого сопоставленного диска, а также скрытие второго диска для всех пользователей отдела продаж. Для этого создадим второй объект групповой политики "Изменения в сопоставлениях". В оснастке "Управление групповой политикой", в дереве консоли разверните узел "Лес: %имя леса%", узел "Домены", затем узел с названием вашего домена, после чего узел "Объекты групповой политики". В узле "Объекты групповой политики" создайте первый объект GPO "Изменения в сопоставлениях", выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки "Редактор управления групповыми политиками" из контекстного меню выберите команду "Изменить". Затем, в оснастке "Редактор управления групповыми политиками", в дереве консоли разверните узел Конфигурация пользователя\Настройка\Конфигурация Windows и выберите узел "Сопоставления дисков". Щелкните на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды "Создать" и "Сопоставленный диск". Здесь, в диалоговом окне "Новые свойства диска", в раскрывающемся списке "Действия" выберите команду "Обновить". Укажите размещение первого созданного вами сопоставляющего диска, то есть, "\\SERVER04\Sales Department" и укажите для него букву T. Остальные опции укажите такие же, как и в пункте 3 данного руководства. В результате должно получиться следующее:

  10. Рис. 6. Изменение первого сопоставленного диска

    Помимо этого, перейдите на вкладку "Общие параметры", установите флажок "Нацеливание на уровень элемента" и перейдите к диалоговому окну "Редактор нацеливания". Здесь вам следует указать, чтобы текущий элемент предпочтения применялся только к тем пользователям, которые являются членами группы "Продажи". Для этого выберите элемент "Группа безопасности", где в текстовом поле "Группа" укажите название требуемой группы. При необходимости вы можете сверить SID самой группы или указать, что элемент предпочтения должен применяться лишь в том случае, если выбранная вами группа является основной группой, в которую входит пользователь. Пример такого уровня нацеливания предоставлен на следующем изображении:


    Рис. 7. Нацеливание на уровень элемента

  11. Сохраните установленные изменения для первого сопоставленного диска. После этого создайте еще один элемент предпочтения, где в действиях вы укажите значение "Заменить", установите расположение второго сопоставленного диска (\\DC\F), а также, помимо всех параметров, которые были заданы в пункте 4, в группе "Показать или скрыть этот диск" вы укажите значение "Скрыть диск". Для этого элемента предпочтения укажите такие же параметры нацеливания на уровень элемента, какие были заданы на предыдущем шаге. В результате, узел "Сопоставления дисков" для текущего объекта GPO у вас должен выглядеть следующим образом:

  12. Рис. 8. Узел "Сопоставления дисков" второго объекта GPO

  13. Закройте оснастку "Редактор управления групповыми политиками", после чего свяжите созданный объект групповой политики с подразделением "Продажи" и укажите для этого объекта GPO наивысший приоритет для подразделения "Продажи";

На заключительном этапе следует проверить сопоставления дисков для разных пользователей подразделения "Продажи", которые являются членами разных групп безопасности. Для начала, выполним вход под учетной записью пользователя "Ксения Нелидова", которая расположена в подразделении "Продажи", но не входит в группу безопасности с одноименным названием. Как видно на иллюстрации номер 9, никакие внесенные изменения во втором объекте групповой политики не коснулись данного пользователя:

Рис. 9. Проводник Windows пользователя Ксения Нелидова

Но если выполнить вход под учетной записью пользователя Елена Аристова, то открыв проводник Windows, вы увидите, что буква сопоставленного диска "Общая папка продаж" изменилась, но, так как было выбрано действие "Обновить", пользователь также может получить доступ к диску общей папки продаж, обращаясь у себя в проводнике Windows к диску S, поэтому обратите внимание на этот момент при работе в производственной среде. В свою очередь, к диску с секретными данными больше нет доступа. Эти изменения видны на следующей иллюстрации:

Рис. 10. Проводник Windows пользователя Елена Аристова после применения нового объекта GPO

Заключение

Из этой статьи вы узнали о новом расширении клиентской стороны предпочтения групповой политики, предназначенном для управления сопоставления дисками. На примерах были подробным образом рассмотрены сценарии создания сопоставления дисков для общедоступных сетевых ресурсов, сетевых ресурсов с альтернативными учетными данными пользователя, обновления, а также изменения параметров сопоставления дисков. Помимо этого был рассмотрен новый элемент нацеленности предпочтений на уровень элемента, позволяющий управлять группой безопасности, в которую входит пользователь.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=26051