» Общие вопросы про AD (Active Directory)

Alxdhere

Цитата:

Значит сделать Assign... понятно. И для computer.

совершенно необязательно, для юзеров тоже канает....

Цитата:

Не будет тормозить, если политики установки на computer сделать для всего нужного софта?

долго входить будет.....
юзер увидит "установка программ бла..бла..." и может идти пить кофе....
в таком случае имхо лучше действительно назначить машинам и в конце рабочего дня перегрузить клиентов. только все это опять же через отдельную OU

Цитата:

на время туда комп поместить для инсталляции всего софта, а потом в рабочую ou.

а то они разом ломанутся тянуть себе прогу и сеть нагрузят и ресурс, где пакаджи...

Цитата:

Но он требует поднять на домене Terminal Server.

хм....не должен вроде...это как то из другой оперы...
а он включен ?
To enable or disable remote connections
Using Remote Desktop Connection


Добавлено:

Цитата:

не хотит под Users ставиться, гад.

запуск с повышенными привилегиями ставил ?

Цитата:

Может есть возможность удаленно (без radmina) заходить на машину пользователя под админом (не мешая пользователю) и ставить софт? Кто-нибудь решал такую задачу?

Может стоит обратить внимание на продукт ScriptLogic:

Цитата:

ScriptLogic v6.05 uses a graphical user interface to simplify desktop administration, eliminate redundant tasks and reduce other time-consuming activities. Network administrators can manage Windows clients and applica-tions more efficiently, precisely choose settings to apply to computer or user and deliver the configuration for each user as they logon.

http://www.scriptlogic.com/default.asp
Сам я им не пользовался пока, но сейчас изучаю его...

Remote Desktop Connection - запустил без всякого Terminal Server. Тот же radmin, только сеть больше грузит

ScriptLogic - щаз гляну.

Но я тут высмотрел psexec. Одна командная строка и у всех пользователей софт встанет от прав администратора! На одной тачке поставил уже программульку. Прикольно. Russinovich - ай молодца!

Alxdhere

Цитата:

psexec

да неплохо...пользую...только как ты из ком строки будешь гуёвые кнопочки давить если при установке потребуется ?

2 G14

Цитата:

да неплохо...пользую...только как ты из ком строки будешь гуёвые кнопочки давить если при установке потребуется ?

А я делаю инсталляторы так, чтобы не давить на кнопочки. А ты как давишь?

Есть еще вопросик

Есть такое приложение FAR. Я сделал для него тихую установку через скрипт vbs.
Во время инсталляции приходится записывать данные в реестр в ветки HKLM, HKCU.
1. Попробовал запускать скрипт через GPO как Startup script. Все устанавливается, но естественно HKCU не заполняется. Плохо.
2. Попробовал запускать скрипт через GPO как Logon Script. Все устанавливается, но естественно HKLM не заполняется, т.к. у Users нет прав на запись в HKLM\Software.

В первом случае - ничего не поделаешь, т.к. ветки нет. Есть возможность только прописать в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce запись .reg файла в HKCU.
Во втором случае - надо создать HKLM\Software\FAR - но нет прав. Если дать права на создание child ключей и запись в HKLM\Software получается огромная дыра в безопасности. Как обойти подобное? Мне видится, что второй способ предпочтительнее, т.к. позволяет поставить софт с правами users, но дыра должна быть тесной

Кто как обходит подобные парадоксы?

Alxdhere

Цитата:

А я делаю инсталляторы так, чтобы не давить на кнопочки. А ты как давишь?

да тоже никак. также тихий инсталлятор и назначение. для тех, которые далеко не всем надо-публикация и сам юзер запускает что требуется(этого мало очень, пара пакаджей...).

Цитата:

FAR.

я б поделил .reg на 2 файла:
HKLM.reg -в стартап.
HKCU.reg - в логин.
надеюсь понятно описал, не мутно ?

Alxdhere
Подобные парадоксы обходятся перепаковкой дистрибутива в MSI-пакет, который публикуется в AD и устанавливается пользователем со своими правами. А уж MSInstaller не знаю как, но спокойно пишет и в HKLM, и в Program Files, и в WINNT\System32.
По крайней мере, я их так обхожу.

Цитата:

я б поделил .reg на 2 файла

Я тоже об этом подумал, но не красиво. Можно конечно еще выполнять скрипт дважды, а в скрипте определять под каким юзером выполняется (теоретически). А там уж решать, чего и куда писать.

2 Alan Mon

Цитата:

перепаковкой дистрибутива в MSI-пакет

Не все можно перепаковать все равно, а хочется универсальное решение. Например, FAR можно превратить в msi, 30 файлов + 2 reg файла. А есть монстры типа AutoVue - который пишет столько всего и в такие места!!! Жуть просто, вместо простого скрипта в 5 строк получу работу на неделю по созданию msi. Нахрена такое счастье. Уж лучше тогда psexec

Еще такие "мысли вслух"...
Если у меня прописано, что группа Domain Users имеет права на ключ HKLM\Software\FAR, а такого ключа еще нет в реестре, то я, интересно, смогу его создать и дополнить? Или может создать такой ключ с правами SYSTEM (startup), а права на полный доступ для инсталляции он получит политикой пользователя (gpo for users)? Тогда б можно было вынести заголовки ключей всех приложений в HKLM\Software в отдельный .reg и установить его через (startup)? Что об этом думаете?

Alxdhere

Цитата:

но не красиво

Creating custom .adm files
тады я думаю, пора сюда смотреть...

Alxdhere

Цитата:

А есть монстры типа AutoVue - который пишет столько всего и в такие места!!! Жуть просто, вместо простого скрипта в 5 строк получу работу на неделю по созданию msi.

Ну не вручную же его создавать. Есть специальные средства. Почти все делают на автомате. Потом остается (да и то далеко не всегда) только "обработать напильником".

Alan Mon

Цитата:

Есть специальные средства

было б прекрасно, если бы ты сразу писал какие именно и как да что...
Wise ?

Наверное про VERITAS идет речь... я его глянул, но все таки элегантности .bat и .vbs файлов ему не занимать. Была бы фича, которая .bat или .vbs в .msi переделывает, было бы круто!

Добавлено:
ошибку сделал
Цитата:

не занимать

читать как "не хватает".

G14
Да я уже писал. Я, например, пользуюсь Wise Package Studio. Можно просто зайти на AppDeploy.com, там этих средств рекламируется немеряно, Alxdhere в курсе .

Alxdhere

Цитата:

Наверное про VERITAS идет речь

Если ты про WinInstall LE, который идет в поставке win2000, то это довольно убогий продукт. Мне с его помощью удалось перепаковать только несколько очень простых продуктов.
Wise на порядок мощнее. Он, конечно, платный, но...

Интересное поведение обнаружил.
Переустановил комп. Установил в него FAR с правами админа. Потом зашел в Regedit и выставил для Domain Users все права на HKLM\Software\FAR.
Снова переустановил комп. Политикой компьютера создал ключ в реестре HKLM\Software\FAR (т.е. под логином SYSTEM). Зашел под юзером у которого права Domain Users. Прав на ключ HKLM\Software\FAR нет. Почему?!
Зашел в GPO на сервере и добавил в ...Security Setting\Registry ключ HKLM\Software\FAR и дал все права группе Domain Users. Применил политики на компе. Права появились. Ну пусть так, странно только, почему не хватало тех же прав указанных группе?!
Однако ключ HKLM\Software\FAR у меня есть и на сервере (установлен там он). Захотел дать права юзеру на ключ HKLM\Software\TEST (например), а его нет на сервере. Решил сделать так. Создал его в реестре. Дал права. Удалили в реестре. Создал на компе ключ HKLM\Software\TEST под админом. Перезапустил комп. На FAR есть права, а на TEST нет. Получается, что если ключа на сервер нет, так он и права на него не даст?!?!

Насчет .adm - я так понимаю, что темплеты в основном для установки конкретных значений, а не для установки прав на ветки реестра. Или я не допонял. Есть пример, который даст все права на HKLM\Software\FAR через .adm файл?

Alxdhere

Цитата:

темплеты в основном для установки конкретных значений

точно. это как вариант вместо использования .reg....
Alan Mon

Цитата:

Да я уже писал

Цитата:

Alxdhere в курсе

знаю это конечно очень хорошо, но ведь не только мы трое это читаем и пишем.
придет ньюб и будет париться что где....давай хоть ссылку на пост, где писал.
?
Цитата:

Потом зашел в Regedit и выставил для Domain Users все права на HKLM\Software\FAR.

Цитата:

Снова переустановил комп. Политикой компьютера создал ключ в реестре HKLM\Software\FAR (т.е. под логином SYSTEM). Зашел под юзером у которого права Domain Users.

снова переустановил. снова создал ветку. внимание вопрос: откуда там появятся права пользователям ? не догоняю.....

Цитата:

снова переустановил. снова создал ветку. внимание вопрос: откуда там появятся права пользователям ? не догоняю.....

Если часом ранее я указал, что у группы Domain Users есть права на ветку, то почему новый комп (я переустановленный, рассматриваю как новый) не принимает прав группы? Должен ведь!
Прикинь, зашел ты у одного из группы пользователей на комп в regedit с правами админа. Выставил прав на ключ. У других пользователей этой же группы разве не должны появится аналогичные права???

Alxdhere

Цитата:

то почему новый комп (я переустановленный, рассматриваю как новый) не принимает прав группы? Должен ведь!

опять не догоняю перставил систему ? что ты имеешь в виду под "переустановленный\новый" ? если систему переставлял, так откуда эти права возьмутся? святой дух принесет ?

Цитата:

У других пользователей этой же группы разве не должны появится аналогичные права???

на этой же машине ? должны. а на остальных - нет.

Приветствую!

Если не в тему, посоветуйте, где спросить.

Нужно дать право на запись в расшаренный каталог сервису, выполняющемуся на другой машине, те не чужому LocalSystem'у.

Сейчас сделано через специального пользователя, сервис запускается от имени пользователя, доступ к ресурсу предоставляется тоже пользователю (на запись), остальным на чтение.

Чем не нравится - сеть иногда лихорадит, и местами при загрузке машина не может найти пользователя в AD, пока выяснили что это происходит 100% при работе WindowsUpdate.

Цитата:

на этой же машине ? должны. а на остальных - нет.

А если группа в домене? Например, Domain Users? Если у нее есть права на ветку реестра, то они должны быть у всех членов группы! Или не так?

Alxdhere
если ты зашел на конкретный комп, дал права на ветку рестра группе test, то права на эту ветку будут у всех членов группы test, которые войдут на эту машину и только на этой машине. На другие машины это право не распространится.

Цитата:

А если группа в домене?

абсолютно наплевать, где группа. ты даешь разрешения отдельно на реестр этой машины. другие компы и их реестры об этом знать не знают.

Цитата:

Решил сделать так. Создал его в реестре. Дал права. Удалили в реестре.

после удаления права пропали (удален дескриптор безопасности)и при создании нового ключа права на него встали по умолчанию. про дескрипторы.

Понял. Спасибо. Значит только GPO мне поможет.

Добавлено:
Слушайте, а юзер SYSTEM к какой-нибудь группе относится?

Добавлено:
Вообщем, если кому интересно, то я выкладываю скрипт для установки FAR 1.7 b5 (как пример).

install.vbs

Set WshShell=WScript.CreateObject("Wscript.Shell")
Set WshNetwork = WScript.CreateObject("WScript.Network")
Set FSo = CreateObject("scripting.filesystemobject")

'get user name
strUserName = WshNetwork.UserName

'if is local admin, then this is "ThisIsAdmin"
Set objGroup = GetObject("WinNT://./Administrators,group")
For Each objUser In objGroup.Members
If objUser.Name = strUserName Then
strUserName = "ThisIsAdmin"
Exit For
End If
Next

'get path to script
frompath = Left(WScript.ScriptFullName, Len(wscript.scriptfullname) - Len(WScript.scriptName))
'control file name
controlfile = WshShell.ExpandEnvironmentStrings("%programfiles%\FAR\far.exe")

'install soft
if strUserName = "SYSTEM" or strUserName = "ThisIsAdmin" then
if not FSo.fileexists(controlfile) then
'far17b5.exe - self-extracted archive (rar is cool!)
if WshShell.Run(frompath & "far17b5.exe", 0, true) = 0 then
'HKLM reg file
WshShell.Run "%SystemRoot%\system32\regedt32.exe /s " & frompath & "farsave2.reg", 0, true
end if
end if
end if

'install shortcuts
if strUserName <> "SYSTEM" then
'HKCU reg
WshShell.Run "%SystemRoot%\system32\regedt32.exe /s " & frompath & "farsave1.reg", 0, true
'create shortcuts
FSo.CopyFile frompath & "far manager.lnk", WshShell.ExpandEnvironmentStrings("%ALLUSERSPROFILE%\Start Menu\Programs\Far Manager 1.7 b5.lnk"), true
FSo.CopyFile frompath & "far manager.lnk", WshShell.ExpandEnvironmentStrings("%ALLUSERSPROFILE%\Desktop\Far Manager 1.7 b5.lnk"), true
end if

Этот скрипт имеет смысл прописать в GPO для computer & user. При запуске от имени SYSTEM будет установлен сам софт, а при запуске от имени пользователя - ярлыки и настройки. Если скрипт запустит локальный администратор - установится полностью все.

install.zap
[Application]
FriendlyName = "FAR 1.7 b5 - самый лучший менеджер файлов (рус)"
SetupCommand = ""\\ss2\sdp\FAR17b5\install.vbs""
DisplayVersion = 1.7
Publisher = MYCOMPANY
URL = http://www.mycompany.ru

[Ext]
rar=
zip=
cab=
arj=
lzh=
ace=
tar=
jar=

Если использовать публикацию с таким скриптом, то установятся только ярлыки, поэтому ее можно не использовать и не опубликовывать. Хотя пригодится может, если новый юзер появился, а у вас нет ярлыка в %ALLUSERSPROFILE%.

Как такое?

Alxdhere
вроде нет. его даже невозможно добавить в какую либо группу.
для NT4\2000
насколько я знаю в 2003 в этом плане ничего не изменилось....

А как с группой everyone? Только не с ее принадлежностью а с ее членами? Был замечен глюк такой: при русификации 2000, с помощью MUI, пошла ошибка при применении полтик, но вроде "Пользователям не сопоставлены коды защиты данных". Как оказалось MUI-pack переименовал группу "Everyone", во "Все". Что логично. Только вот в политиках оставалась куча ссылок на Everyone. Вылечил созданием фиктивной группы Everyone и включением в нее всех существовавших у меня групп. Коряво конечно, но помогло. Есть ли у кого красивое решение этой траблы? И вообще как быть с этим MUI?

SergeyDoronin

Цитата:

А как с группой everyone? Только не с ее принадлежностью а с ее членами?

ну ... как бы из названия группы понятно, что это все. но по умолчанию, насколько я помню, туда не входят гость и анонимный вход....

Цитата:

И вообще как быть с этим MUI?

я лично не люблю эту мую и уж тем более не стал бы ставить на серваки....
http://support.microsoft.com/default.aspx?scid=kb;en-us;329816

У меня есть софт который назначен на computer. Один софт ставится с помощью скриптов .vbs, другой проще - через msi. При этом, когда первый раз включаю комп в домен и переношу в соответствующую ou то вижу, как начинают исполняться скрипты. После чего надо рестартиться для того, чтобы установился софт .msi. После этого надо еще раз перезагрузиться, чтобы применились политики разруливающие права на реестр.

А нельзя настроить так, чтобы за один раз все это происходило???

Alxdhere

Цитата:

как начинают исполняться скрипты. После чего надо рестартиться для того, чтобы установился софт .msi.

события установщика в эвентлоге есть ?

Цитата:

После этого надо еще раз перезагрузиться, чтобы применились политики разруливающие права на реестр.

на ветки, которые появляются в результате установки софта ?

Цитата:

события установщика в эвентлоге есть ?

Как это я в него сразу не посмотрел?! Есть. EventID=108 Warning
Failed to apply changes to software installation settings. Software installation policy application has been delayed until the next logon because an administrator has enabled logon optimization for group policy. The error was : The group policy framework should call the extension in the synchronous foreground policy refresh.

Нафига он отложил установку?!


Цитата:

на ветки, которые появляются в результате установки софта ?

Именно так.

Я еще один тест прогнал. Софт скриптами ставится и права на реестр выставляются, если подождать и не логиниться (кстати, в GPO такое есть вроде, но где?) А вот msi все равно только после перезагрузки встает - зараза такая.

1. Как убрать требования нажать Ctrl+Alt+Del до тех пор, пока не применятся политики на computer?

2. Как убрать требования нажать Ctrl+Alt+Del вообще, чтобы сразу пароль требовал?

Alxdhere

Цитата:

Нафига он отложил установку?!

Цитата:

administrator has enabled logon optimization for group policy.

установка с повышенными привилегиями ? при заходе в домен на локальной машине прописываются доменные админы в локальную группу administrators. имхо, так как еще не прописались(первый вход только) вот и пишет - в следующий раз

Цитата:

Именно так.

ну дык если софт еще не поставлен, откуда ветки то возьмутся ? на что права ставить ?

Цитата:

1. Как убрать требования нажать Ctrl+Alt+Del до тех пор, пока не применятся политики на computer?

насколько я помню, убрать асинхронное применение политик на ХР...

Цитата:

2. Как убрать требования нажать Ctrl+Alt+Del вообще, чтобы сразу пароль требовал?

убрать параметр "требовать нажатия Ctrl+Alt+Del" в политиках безопастности.

Цитата:

ну дык если софт еще не поставлен, откуда ветки то возьмутся ? на что права ставить ?

А я порядок применения политик вроде корректный указал, но сдается мне, что они синхронно выполняются.


Цитата:

насколько я помню, убрать асинхронное применение политик на ХР...

Раздел Computer...-Administrative...-Scripts-Run startup scripts async?

Alxdhere

Цитата:

но сдается мне, что они синхронно выполняются.

на XP- нет.

Цитата:

Scripts-Run startup scripts async?

disabled....иначе все будет асинхронно применяться....

Цитата:

что они синхронно выполняются.

на ХР асинхронно. это фича ХР, все асинхронно....если не скажешь "нет" .....
типа , для скорости входа.....