Автоматическая установка программ в домене средствами GPO.
Если лень ставить программы «руками» при включении ПК в домен, то можно в очередной раз прибегнуть к GPO.
Создаем папку на том же домен контроллере, в текущем случае это папка GPO
Пользователи Прошедшие проверку должны иметь следующие права
Кладем в эту папку msi пакеты
Многие программы уже имеют готовые msi файлы, если таковых нет, то можно их создать, об одной из утилит по созданию можно почитать здесь:
http://kompkimi.ru/programms-2/programma-sozdaniya-msi-paketov
Можно поправить дефолтную политику, а лучше создать новую, и прилинковать ее или ко всему домену, или к необходимой OU.
Правим политику.
Добавляем необходимые нам пакеты.
На этом собственно и все.
При включении в домен, указанные утилиты накатываются автоматом, или можно подтолкнуть процесс gpupdate/force
Всем хорошей работы!!!
ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2.
Порой регламент по информационной безопасности предусматривает разные требования к политикам паролей различных подразделений Компании. Например, бухгалтерия или другие финансовые подразделения имеющие доступ к бухгалтерским или аналогичным программам должны иметь сложный безопасный пароль, который должен меняться раз в 30, 60, 90 дней (тут у кого как). Это легко и просто сделать с помощью GPO, но была одна проблема: в Windows 2008, если задаешь политики паролей в Default Policy, то именно политика паролей применима ко всему домену, и все остальные Policy «навешиваемые» отдельно на отдельные OU в отношении политики паролей никак не работают. А всей Компании может быть такие сложные пароли, меняющиеся с частотой в 30 дней, и не нужны. Долго не могли понять, как решить такую проблему гибко и правильно. Но спасибо, коллегам, которые ранее уже столкнулись с аналогичной задачей и уже решили ее.
Вот здесь приведена полная версия решения такой задачи:
http://www.liveinternet.ru/users/maritanna/post158815704/
cmd-adsiedit.msc
Жмем «далее».
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false — отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней — пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
После того, как только что созданный объект PSO появляется в консоли, открываем его свойства.
Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.
Выбираем нужную нам группу, в моем случае это Бухгалтерия
Далее OK и политика паролей применена выбранной мною группе безопасности.
Вроде все ГУД и вопрос решен, но остался один непонятный момент: у некоторых табличка о смене пароля всплыла в течении часа, у некоторых позже, у некоторых через несколько дней. Вопрос: почему у всех в разное и время и где задать эти параметры? (например, чтоб окно о смене пароля всплыло у всех сразу и единовременно, а не в разное время).
Буду признателен за Ваши ответы к комментариях.
P.S. Перед тем, как начнете создавать такие политики для различных подразделений стоит многократно подумать и взвесить все параметры: сложность, количество символов, время блокировки и прочее… Так как через некоторое время от пользователей начали поступать сигналы негодования типа:
- Я не знаю как сменить пароль? -Он мне пишет что он не соответствует политике сложности, я его меняю, но все равно ничего не получается…
- Многие пароль сменить смогли (не с первого раза, но уже не плохо), но не смогли потом под ним войти, так как забыли на что они его сменили….
- Многие набрали его неправильно 5 раз и были автоматически заблокированы…
В общем наберитесь самурайского терпения и будьте готовы выслушать жалобы, что невозможно работать и все такое…. Но регламент должен быть соблюден.
Всем хорошей работы!!!
Траблы GPO Win2008R2 и IE 11.
На днях получили некоторые требования от одной из Web платформ по настройке IE для ее корректной работы. Требования не сложные, но важные для корректного отображения страниц:
— Включить Режим совместимости для портала (или для этого сайта);
— И добавить сайт в доверенные узлы.
Вроде и все требования.
Так как подразумевается, что с платформой будет работать много пользователей (от 250), решили прикрутить настройки через GPO, руками не особо улыбается это каждому.
Контроллеры домена развернуты Win2008R2, пользовательские станции Win8.1 с IE11.
На первый взгляд ничего сложного, открываем GPO
Можно создать отдельную политику, можно править Default Domain Policy (в моем случае не сильно принципиально)
Далее Конфигурация пользователя
Добавляем нужные нам сайты
Все это сохраняем.
Теперь необходимо добавить этот же сайт в Надежные сайты IE
Ставим цифру 2 так как нас интересует зона надежных сайтов. Все сохраняем.
Далее gpupdate /force
И вроде бы все не плохо, но тут появляется «кулак дружбы», гадки включения в окне режима совместимости становятся не активными (это говорит нам, что политика не отрабатывает), а вот указанный сайт туда никак не добавляет, то есть окно просто пустое. В доверенных узлах сайт благополучно появляется. Еще более интересно, то что результирующая политика показывает, что вроде как сайт добавлен, но по факту на рабочих станциях его нет.
Три дня и три ночи скакал Иван Царевич, пока скакалку не отобрали (не добавляется сайт в список в режиме совместимости и все тут). Всем департаментом стали думать и гадать пробуя различные варианты.
Некоторая полезная информация по теме здесь:
https://technet.microsoft.com/ru-ru/library/jj822325.aspx
или
http://ru-sysadmins.livejournal.com/2176210.html
или
http://forum.oszone.net/nextnewesttothread-278624.html
но пока так и не нашли для себя рабочего решения. Есть версия, что это не работает только в IE11, но в нашем случае это не так, не работает и на более ранних версиях IE. Попросили коллег сделать все тоже самое на контроллерах, поднятых на Windows 2012 (думали может что не так у нас), но у них это тоже не заработало.
Если кто сталкивался с проблемой и уже ее решил, прошу написать в комментариях.
Наше обсуждение на Технете:
Всем хорошей работы!!!
О сайте
Записки из мира IT…
В этом блоге, я пишу заметки о своей, как повседневной жизни, так и жизни и работе в сфере IT технологий. Собираю интересные ссылки, выражаю свои мысли и прочее… В основном посты посвящены, Управленческим моментам и решениям, различным продуктам Microsoft и VMWare, которые я эксплуатирую многие годы, Nix, MacOS, сетке, и другим интересным вопросам и задачам, с которыми приходится ежедневно сталкиваться и иметь дело. Здесь приведены не только мои посты, но и посты, которые были найдены мною на безграничных просторах интернета. Все написанное здесь, было проделано мною или моими коллегами при моем непосредственном участии на виртуальных машинах или в продакшин среде, о чем свидетельствуют комментарии в текстах. Всем удачи в работе.
Comments:
English together. Mo… к записи Serial “Gossip Girl” (1-6… Система автоматизаци… к записи Система автоматизации (КЭДО+ЭД… khlebalin к записи Сериал «Надвое». Vasya к записи Сериал «Надвое». tsa к записи Система автоматизации (КЭДО+ЭД…
Blog of Khlebalin Dmitriy 