» Общие вопросы про AD (Active Directory)

AlexSSS

Цитата:

принудительное обновление политик при логоне

computer configuration>adm. templates>system>group policy
там security policy processing > enabled и галка Process Even If The Group Policy Objects Have Not Changed

> Process Even If The Group Policy Objects Have Not Changed
это я видел, однако, насколько я понял, это принудительное применение политики не только при логоне, но временному периоду (Group Policy refresh interval for computers).

AlexSSS

Цитата:

не только при логоне, но временному периоду

это тебя не устраивает ? выставь удобный рефреш интервал.....
для локальной сети там не такой дикий объем траффика будет.....

есть подозрение что не срабатывает политика domain member: digitally sign / encrypt connection always между PDC и просто терминал сервером. оба на 2003. домен и сайт в 2003 native mode. приходится ставить её в disable и включать if client agrees - тогда всё прёт.

Добавлено
что делать?

AlexSSS

Цитата:

RunAsSet - функция безусловно полезная, однако, если нет криптования текста, грош ей цена

Цитата из Help-а

Цитата:

Компилированный скрипт и дополнительные файлы, добавляемые функцией FileInstall сжимаются в соответствии со специально разработанным алгоритмом паковки (автор Jonathan B.) на основе сжатия по LZSS/Huffman

Как позволить пользователю, который входит в группу Users выполнить vbs скрипт?

Суть такая. У меня рабочие станции все именуются как ws### где ### многозначный серийный номер компа (например, ws14403). Пользователи именуются инициалами, типа PVN (Pupkin Vasya N).

Чтобы видеть, какой пользователь на какую машину вошел я сделал скриптик .vbs который читает username с машины на которой запущен и прописывает его в описание этой самой машины. Получается, что в сетевом окружении я увижу два столбика: один с именем юзера и номером машины, а в другом только номер машины.
Все красиво работает, пока тестил под админом. Когда прописал выполнение скрипта через политику, то он не стал выполняться. Выполнил ручками - фиг. Прав нету, на изменение описание компа. Как дать такие права.

Можно даже задать вопрос более широко. Как выполнять скрипт .bat или .vbs описаный в политике с правами админа??? (только не runas, т.к. там пароль в открытую виден).

Спасибо.

Alxdhere
> Как выполнять скрипт .bat или .vbs описаный в политике с правами админа???
в твоем случае это не поможет - тогда скрипт пропишет username админа, а не пользователя.

Для WSH есть Script Encoder
http://www.microsoft.com/downloads/details.aspx?familyid=e7877f67-c447-4873-b1b0-21f0626a6329&languageid=f49e8428-7071-4979-8a67-3cffcb0c2524&displaylang=en

могу предложить чуть другой вариант для решения твоей задачи - просто запись в лог файл на сервере все логины, кто, когда и на какой комп зашел. На уровне NTFS делаются права для пользователей на добавление в файл без права читать.

Еще вопрос идеологический.
Есть сервер w2k3 и рабочие станции xp sp2. Я пока только изучаю возможности GPO и мне сильно нравится возможность установки софта с их помощью. Однако, из-за того, что политики применяются с правами пользователя, а не администратора не всякий софт поставится.
1. Скажем пакеты типа MS Office или AutoCAD 2005 поставить вроде можно. Надо только в политиках разрешить использовать права админа при запуске msi.
2. Пакеты "без инсталляторов", т.е. которые можно просто скопировать тоже проблемы не создают. Я сделал из них самораспаковывающийся .exe и рядом .bat-файл. Запускаю из GPO .bat и софт ставится. Там же проверяется, есть он или нет, чтобы второй раз не ставиться.
3. Но есть пакеты от Install Shield которые ставятся только с ключом /s. Есть пакеты, которые ставятся только со своими ключами и для них нужен отдельный .bat-файл в котором указана вся стартовая строка. Однако, для установки таких пакетов, помимо нахождения возможности silent установки, надо еще и права админа пользователю дать. А пользователь ведь в users и помещать его в administrators я не собираюсь.
4. Есть пакеты, которые можно превратить в самораспаковывающийся .exe, как в п.2, но надо исправить системные переменные (например, путь поиска прописать или еще чего), тоже не пускает. Прав нет.

Загружать таких монстров как MOM или SMS мне кажется нецелесообразным. Как другие специалисты решают вопрос распространения софта на большое число машин? Скажем на 100-200?

Буду признателен за развернутый как идеологический, так и технический ответ.

Alxdhere
например:
HOW TO: Publish non-MSI Programs with .zap Files
HOW TO: Create Third-Party Microsoft Installer Package (MSI)

Alxdhere
Если я не ошибаюсь, то для установки любого софта достаточно прав пользователя SYSTEM. Групповые политики, если Вы их применяете не к пользователю, а к компьютеру, выполняются под доменным пользователем SYSTEM. Вроде как должно хватать. Но еще раз говорю - могу ошибаться. Надо попробовать, а времени нет.

Что-то вы мудрите. Для установки приложений через групповую политику не нужно никаких админских прав. У меня так куча программ в сети опубликованы. Проблема только в том, что так ставятся только MSI-пакеты. Дело за малым - перепаковать дистрибутив. Я, например, пользуюсь Wise Installation Studio.
Кстати, в перепаковке дистрибутива есть и свои плюсы. Например, можно убрать лишние ярлыки, поставить приложение с уже сделанными настройками, убрать всякие лицензионные соглашения и т.д.
Хороший ресурс на эту тему:AppDeploy.com. Там, правда, про установку именно через групповые политики немного написано, но есть много полезной информации про расковыривание дистрибутивов.

P.S. Вообще-то, это тема достаточно большая и я бы создал для нее отдельный топик.

2 G14
Насчет .zap-файлов я пробовал. Читал как раз ту ссылку, которую Вы указали. В ней сказано:
• Be installed on the first use of the software. (!!!)
Т.е. тот же office поставить можно было бы с помощью zap, а, скажем, radmin нет (а может у меня просто не получилось).
Для установки radmina у меня есть .bat файл:

if exist "%SystemRoot%\system32\r_server.exe" goto end
copy /y "\\ss2\sdp\Deploy RA 2.2\raddrv.dll" %SystemRoot%\system32\raddrv.dll
copy /y "\\ss2\sdp\Deploy RA 2.2\r_server.exe" %SystemRoot%\system32\r_server.exe
%SystemRoot%\system32\r_server.exe /install /silence
%SystemRoot%\system32\regedt32.exe /s "\\ss2\sdp\Deploy RA 2.2\r_server.reg"
:end

Я его хотел вызвать через .zap.
[Application]
FriendlyName = "Remote Administrator"
SetupCommand = ""\\ss2\sdp\Deploy RA 2.2\install.bat""
DisplayVersion = 2.2
Publisher = myfirm
URL = http://www.mysite.ru

Пробовал настроить Software Installation как для компа, так и для пользователя. Результат нулевой. Я так понял, что нужна дополнительная команда, для установки приложения из .zap. Скажем использование документа используемого приложения. А какой документ для radmin???!!!

Вторая ссылка не работает, повторите если не трудно.

2 psj
Согласен. Но там софт получается не assigned, а published. Скажем, FAR я превратил в самораспаковывающийся .exe и написал .bat

if exist "%programfiles%\FAR\far.exe" goto end
"\\ss2\sdp\deploy FAR 1.7 b5\far17b5.exe"
%SystemRoot%\system32\regedt32.exe /s "\\ss2\sdp\deploy FAR 1.7 b5\farsave1.reg"
%SystemRoot%\system32\regedt32.exe /s "\\ss2\sdp\deploy FAR 1.7 b5\farsave2.reg"
copy /y "\\ss2\sdp\deploy FAR 1.7 b5\far manager.lnk" "%ALLUSERSPROFILE%\Start Menu\Programs\Far Manager.lnk"
copy /y "\\ss2\sdp\deploy FAR 1.7 b5\far manager.lnk" "%ALLUSERSPROFILE%\Desktop\Far Manager.lnk"
:end

Если просто выполнить - все работает на ура. Когда прописал запуск .bat файла в Software Installation в разделе Computer Configuration для организационной единицы, в которой хранится нужный computer, то ничего не произошло после перезагрузки. Но FAR не беда вообще то. Он ставится и без прав админа. Его можно прописать легко.

Кстати, чуть не забыл, я хотел, чтобы у меня в AD была реализована организационная структура предприятия на нижних ветках которой будут пользователи. В соответствии с политиками установки софта которые расположатся по ветвям организационных единиц будет инсталлироваться софт.

Если же разрабатывать политики безопасности для пользователей отдельно, а для компов политики установки софта отдельно, то придется фактически повторять структуры, т.к. хранить user и computer некрасиво как-то.

Спасибо за ответы.

Добавлено
2 Alan Mon

AppDeploy.com - ресурс который я разрыл вдоль и поперек. Великолепный сайт! Именно с его помощью я узнал как ставить софт "втихую". Но, как я сказал выше, проблема имено с не .msi.
Например, команда:
start /wait msiexec /i "\\ss2\sdp\Deploy AutoCAD 2002\acad.msi" /qb /norestart INSTALLDIR="%programfiles%\ACAD2000" ACAD_SILENT_LICENSE=YES ACADSERIALPREFIX=400 ACADSERIALNUMBER=12345678 ACADSERIALKEY=T4ED6P ACADFIRSTNAME="CAD Manager" ACADLASTNAME="CAD Manager" ACADORGANIZATION=TERM ACADDEALER=o ACADDEALERPHONE=o ADDLOCAL=ALL REMOVE=VVE,ACS,Batch_Plotting,Database,French_Canadian_Dictionary,Samples,TM,Tutorials,VLS,VLT

Ставит AutoCAD 2002 втихую с установкой только нужных мне компонент. Блеск, пока вызываешь под админом и из командной строки. А как все это запихать в политику?! А ведь вроде msi! (

Alxdhere

Цитата:

распространения софта на большое число машин? Скажем на 100-200?

psj

Цитата:

Групповые политики, если Вы их применяете не к пользователю, а к компьютеру

если машины ,например, в одном офисе и пользователи примерно одновременно приходят на работу и включают машины\логинятся, я бы избегал назначения "тяжелых" программ большому числу машин сразу. либо публикация(что для машин сделать нельзя), либо(если нужно назначение приложения) маленькая (относительно) временнная OU , в которую понемногу переезжают юзеры для инсталляции софта.

Цитата:

Прав нет.

пробовал дать политиками права на ветки реестра, которые нужны для инсталляции ?

2 G14

"пробовал дать политиками права на ветки реестра, которые нужны для инсталляции ?" не понял фразу

Alxdhere


Цитата:

Вторая ссылка не работает, повторите если не трудно

сорри, готово. имхо- "вторая ссылка" наилучший вариант.
с помощью того же Wise....

Цитата:

Но там софт получается не assigned, а published

для машин ?

Цитата:

А как все это запихать в политику?!

думаю, либо перепаковкой msi, либо делать файлы преобразования .mst.

Добавлено
Alxdhere

Цитата:

не понял фразу

Цитата:

Есть пакеты, которые можно превратить в самораспаковывающийся .exe, как в п.2, но надо исправить системные переменные (например, путь поиска прописать или еще чего)

у тебя юзеру во время инсталляции с его правами не дают поправить системные переменные , так ? дай политиками права на правку ветки, где сис. переменные живут...

2 G14
Ссылка не работает. HOW TO: Create Third-Party Microsoft Installer Package (MSI)
Там статья или что должно быть?

"для машин ?"
Конечно для машин. psj про них говорил.

"думаю, либо перепаковкой msi, либо делать файлы преобразования .mst."
Невозможно сделать mst, т.к. нет Resource Kit к тому же AutoCAD 2002. А как проще всего перекомпилить msi?

"у тебя юзеру во время инсталляции с его правами не дают поправить системные переменные , так ? дай политиками права на правку ветки, где сис. переменные живут... "
Это понял. Попробую.

Alxdhere

Цитата:

Ссылка не работает.

только что проверил, работает....на всякий случай:
http://support.microsoft.com/default.aspx?scid=kb;en-us;257718

Цитата:

Конечно для машин. psj про них говорил

для машин возможно только назначение.

Цитата:

А как проще всего перекомпилить msi?

тем же

Цитата:

Wise Installation Studio

2 psj и G14
Действительно, если применять GPO к computer, то все действия должны происходить от имени SYSTEM. (все таки я не уверен, так ли?)

Открыл книжку Windwos Server 2003. Читаю, как создать т.н. Software Distribution Point (SDP), какие права и пр. Надо чтоб на каталог был доступ для Everyone or Authenticated Users - Read, Domain Computers - Read, Administrators - Full Control, Read, Write. Сделал так. В этой папке создал каталог с устанавливаемым приложением (не .msi, просто .bat). Создал GPO. Добавил в Security у GPO группу Domain Computers с правами Read и Apply Group Policy. Потопал в Computer Configuration - Windows Settings - Scripts (Startup/Shutdown). В Startup указал UNC путь \\ss2\sdp\Deploy WinRAR 3.41\install.bat (.bat-файл проверен на правильность установки, в нем проблем быть не могет). GPO связана с ou Test. В Test помещен целевой тестовый computer. Перезапускаю этот самый "целевой" компьютер. На мгновение вижу Applying computer settings (по сути вижу только App, дальше зрение не успевает ) и все. Ничего не устанавливается.

Та же фигня и для MS Office. Не ставится точно так же, но через Software Settings - Software installation с .mst. Если делать тоже самое но для пользователя с правами админа и применять к пользователю, а не компу - все работает.

Понять не могу, где ошибка? Подскажите!

Alxdhere

Цитата:

.bat-файл проверен на правильность установки, в нем проблем быть не могет

А в какой он кодировке? Для GPO должна быть СР866!!!

Alxdhere
Еще раз повторю (может в прошлом моем посте ты не заметил). Для установки приложений через GPO пользователю совсем не обязательно быть админом. У меня в сети приложения опубликованы (а не назначены) для пользователей (не для компьютеров) и обычный юзер спокойно ставит себе Оффис, Акробат, Рар. Все это в Program Files, куда ему доступа по записи нет.

2 psj
Да у меня в .bat ни слова по-русски! Все на ангельском! Пофиг кодировка.

2 Alan Mon
У меня цель несколько иная. Мне надо, по сути, чтобы я команду дал и весь софт поставился в соответствии с политиками, чтоб не вспоминать, чего ставить и кому. А оставлять право установки софта пользователю у нас бесполезно. Придется его учить еще и тому, как ставить софт, да и сразу восстанут, типа: "Мне еще и программы ставить?" Поэтому, хочу, чтоб софт ставился сам в соответствии с политиками.

Alxdhere

Цитата:

Придется его учить еще и тому, как ставить софт

Ну объяснить, что весь софт лежит в "Панель управления\Установка и удаление программ\Установка новой программы" кнопка "Добавить" я думаю не так сложно, хотя на вкус и цвет...
Кроме того, я предпочитаю ставить софт пользователям, а не компьютерам еще по одной причине. Во время применения политики компьютера еще нет залогиненного юзера, соответственно в реестре нет ветки HKEY_CURRENT_USER (вернее, она есть, но соответствует DefaultUser) и у установщиков, которые пишут в эту ветку, могут быть проблемы. Я не проверял, просто не рискую.

2 Alan Mon
Спасибо. Решил остановиться на вашем решении. Пока оно выглядит наиболее удобным.

Возник еще один вопрос. Мне кажется он простой, но что-то у меня он не решается.

Есть ключ в реестре, пусть будет HKLM\Software для простоты. Мне надо, чтобы пользователь заходя на свой комп получал полный доступ к этому ключу. Говоря иначе, как через GPO или группы пользователей дать права на ветку реестра определенным пользователям? Не догоняю, подскажите пожалуйста.

"Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Реестр"
Добавляешь туда ключ и настраивай безопасность.

2 Alan Mon
Прошу прощения за назойливость. Еще вопрос.

Мне надо через GPO дать права пользователю входящему в домен на определенный ключ реестра. Пусть будет HKLM\Software. Пользователь в группе DOMAIN\Users.

Создал GPO для ou Workstations, где лежит объект computer. В GPO зашел в Computer Configuration - Windows Settings - Registry. Дал команду Add Key и выбрал MACHINE\SOFTWARE. Потом жму у появившейся записи на Properties. Выбираю Configure this key then - Propagate Inheritable premissions to all subkeys. Жму кнопку Edit Security и ставлю права для DOMAIN\Users в Full Control. Жму ОК пару раз.

Перезагружаю нужный комп, на который должна распространяться GPO. Запускаю regedit. Смотрю permission ветки HKLM\SOFTWARE про DOMAIN\Users ни слова! Есть права только у локальных групп.

Думал, может надо права добавить политике. Зашел в Security и добавил группу Domain Computers с правами Read и Apply Group Policy. Бестолку.

Чего я не так делаю? Что упустил?

Добавлено
Хех! Набрал на компе gpupdate /target:computer и все ок стало! А почему перезагрузки не хватило?

Странно. Я сам этим никогда не пользовался, но сейчас сделал у себя в точности по твоему описанию. Все работает. Даже видно было как компьютер тормозит, пока на всю ветку HKLM\Software права назначает. Она ведь здоровая.

Упс! Не заметил добавления. Черт его знает, почему не хватило перезагрузки. Может не успели пройти какие-нибудь репликации если у тебя несколько доменов или контроллеров. У меня сразу после перезагрузки все сработало. Правда, домен игрушечный, на виртуальных машинах.

Домен у меня всего один и никаких репликаций нет. Я его просто тестю еще. На нем всего 4 юзера из будущих 80-ти
Сейчас тестовую тачку переустановил быстренько с нуля (благо RIS есть). Снова повторяю эксперимент - облом. То что работало после gpupdate не работает после простого входа на станцию. Видимо ждет, пока я gpupdate введу. Че за фигня такая?!?!

Добавлено
Гляжу Event Viewer на локальной станции к которой не применяется политика. Есть строка Error напротив Userenv. Читаю:
Windows cannot obtain the domain controller name for your computer network. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Забавно! Чего с ним делать-то?!

Alxdhere
Точно не помню, но по-моему политики начинают работать через какой-то тайм-аут. Если домен настроен, то там может и тайм-аут быть покороче.

Добавлено
а gpupdate просто принудительно говорит о том что политики изменились

Alxdhere
Это у тебя почти наверняка DNS глючит. dcdiag в студию.

Alxdhere
ОС клиента? SP какой ?
такое было с 2000 без SP....