Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Автоматическая установка программ в домене средствами GPO.

Если лень ставить программы «руками» при включении ПК в домен, то можно в очередной раз прибегнуть к GPO.

Создаем папку на том же домен контроллере, в текущем случае это папка GPO

Пользователи Прошедшие проверку должны иметь следующие права

Кладем в эту папку msi пакеты

Многие программы уже имеют готовые msi файлы, если таковых нет, то можно их создать, об одной из утилит по созданию можно почитать здесь:

http://kompkimi.ru/programms-2/programma-sozdaniya-msi-paketov

Можно поправить дефолтную политику, а лучше создать новую, и прилинковать ее или ко всему домену, или к необходимой OU.

Правим политику.

Добавляем необходимые нам пакеты.

На этом собственно и все.

При включении в домен, указанные утилиты накатываются автоматом, или можно подтолкнуть процесс gpupdate/force

Всем хорошей работы!!!

Реклама

14.03.2018 Posted by | ms windows 2008 | Комментарии к записи Автоматическая установка программ в домене средствами GPO. отключены

ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2.

Порой регламент по информационной безопасности предусматривает разные требования к политикам паролей различных подразделений Компании. Например, бухгалтерия или другие финансовые подразделения имеющие доступ к бухгалтерским или аналогичным программам должны иметь сложный безопасный пароль, который должен меняться раз в 30, 60, 90 дней (тут у кого как). Это легко и просто сделать с помощью GPO, но была одна проблема: в Windows 2008, если задаешь политики паролей в Default Policy, то именно политика паролей применима ко всему домену, и все остальные Policy «навешиваемые» отдельно на отдельные OU в отношении политики паролей никак не работают. А всей Компании может быть такие сложные пароли, меняющиеся с частотой в 30 дней, и не нужны. Долго не могли понять, как решить такую проблему гибко и правильно. Но спасибо, коллегам, которые ранее уже столкнулись с аналогичной задачей и уже решили ее.

Вот здесь приведена полная версия решения такой задачи:

http://www.liveinternet.ru/users/maritanna/post158815704/

cmd-adsiedit.msc

snap1

snap2

snap3

Жмем «далее».
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false — отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней — пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
snap4
После того, как только что созданный объект PSO появляется в консоли, открываем его свойства.

Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.

Выбираем нужную нам группу, в моем случае это Бухгалтерия

snap5

snap6

Далее OK и политика паролей применена выбранной мною группе безопасности.

Вроде все ГУД и вопрос решен, но остался один непонятный момент: у некоторых табличка о смене пароля всплыла в течении часа, у некоторых позже, у некоторых через несколько дней. Вопрос: почему у всех в разное и время и где задать эти параметры? (например, чтоб окно о смене пароля всплыло у всех сразу и единовременно, а не в разное время).

Буду признателен за Ваши ответы к комментариях.

P.S.  Перед тем, как начнете создавать такие политики для различных подразделений стоит многократно подумать и взвесить все параметры: сложность, количество символов, время блокировки и прочее… Так как через некоторое время от пользователей начали поступать сигналы негодования типа:

  • Я не знаю как сменить пароль? -Он мне пишет что он не соответствует политике сложности, я его меняю, но все равно ничего не получается…
  • Многие пароль сменить смогли (не с первого раза, но уже не плохо), но не смогли потом под ним войти, так как забыли на что они его сменили….
  • Многие набрали его неправильно 5 раз и были автоматически заблокированы…

В общем наберитесь самурайского терпения и будьте готовы выслушать жалобы, что невозможно работать и все такое…. Но регламент должен быть соблюден.

Всем хорошей работы!!!

22.11.2016 Posted by | ms windows 2008 | Комментарии к записи ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2. отключены

Траблы GPO Win2008R2 и IE 11.

На днях получили некоторые требования от одной из Web платформ по настройке IE для ее корректной работы. Требования не сложные, но важные для корректного отображения страниц:

— Включить Режим совместимости для портала (или для этого сайта);

— И добавить сайт в доверенные узлы.

Вроде и все требования.

Так как подразумевается, что с платформой будет работать много пользователей (от 250), решили прикрутить настройки через GPO, руками не особо улыбается это каждому.

Контроллеры домена развернуты Win2008R2, пользовательские станции Win8.1 с IE11.

На первый взгляд ничего сложного, открываем GPO

snap1

Можно создать отдельную политику, можно править Default Domain Policy (в моем случае не сильно принципиально)

Далее Конфигурация пользователя

snap2

snap21

Добавляем нужные нам сайты

snap3

Все это сохраняем.

Теперь необходимо добавить этот же сайт в Надежные сайты IE

snap4

snap5

snap6

Ставим цифру 2 так как нас интересует зона надежных сайтов. Все сохраняем.

Далее gpupdate /force

И вроде бы все не плохо, но тут появляется «кулак дружбы», гадки включения в окне режима совместимости становятся не активными (это говорит нам, что политика не отрабатывает), а вот указанный сайт туда никак не добавляет, то есть окно просто пустое. В доверенных узлах сайт благополучно появляется. Еще более интересно, то что результирующая политика показывает, что вроде как сайт добавлен, но по факту на рабочих станциях его нет.

Три дня и три ночи скакал Иван Царевич, пока скакалку не отобрали (не добавляется сайт в список в режиме совместимости и все тут). Всем департаментом стали думать и гадать пробуя различные варианты.

Некоторая полезная информация по теме здесь:

https://technet.microsoft.com/ru-ru/library/jj822325.aspx

или

http://ru-sysadmins.livejournal.com/2176210.html

или

http://forum.oszone.net/nextnewesttothread-278624.html

но пока так и не нашли для себя рабочего решения. Есть версия, что это не работает только в IE11, но в нашем случае это не так, не работает и на более ранних версиях IE. Попросили коллег сделать все тоже самое на контроллерах, поднятых на Windows 2012 (думали может что не так у нас), но у них это тоже не заработало.

Если кто сталкивался с проблемой и уже ее решил, прошу написать в комментариях.

Наше обсуждение на Технете:

https://social.technet.microsoft.com/Forums/ru-RU/d6707977-c1d9-4e99-99d1-0caecf892aaa/-gpo-ie-11-?forum=ws2008r2ru

Всем хорошей работы!!!

 

10.02.2016 Posted by | ms windows 2008 | 2 комментария