Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Информируем пользователя через GPO.

На работе постоянно сталкиваемся с проблемой, что пользователи не знают свой логин и пароль (не знают свой логин и пароль КАРЛ), бьются в агонии набирают все что угодно, только не то, что надо. Думаю, мы не одиноки в этом плане. Чтоб хоть как-то просветить их, решили добавить политику, которая на экране входа будет информировать пользователя о том, что именно необходимо им набирать.

Для этого создаем политику GPO.

Линкуем ее к нужному OU (в нашем случае ко всему домену)

Активируем нужные параметры политики.

ВАЖНЫЙ МОМЕНТ: ОБЯЗАТЕЛЬНО ЗАДАЕМ ЗАГОЛОВОК, ИНАЧЕ ТЕКСТ СООБЩЕНИЯ РАБОТАТЬ ОТДЕЛЬНО БЕЗ ЗАГОЛОВКА ПРОСТО НЕ БУДЕТ. 

 

Применяем политику gpupdate /force

Видим информацию у пользователей перед входом в систему.

Всем хорошей работы!!!

P.S. Все бы не плохо, политика работает, информация выводится, но и это помогает слабо, встречаются «индивидумы», которые умудряются читать данное оповещение, и все равно набирать неправильно 😦 Как разъяснить этим людям простые истины, пока не понятно. Надо думать.

03.12.2019 Posted by | scripts&GPO | Комментарии к записи Информируем пользователя через GPO. отключены

Узнаем название PC по учетной записи залогинившегося пользователя (GPO).

Сеть сетью, но инфраструктуру тоже необходимо не забывать постепенно «пилить». Бывает, звонит пользователь, чего-то хочет, необходимо уточнить, название его компа, чтоб посмотреть, куда подключиться и как ему помочь. Для этого надо попросить пользователя посмотреть название компа в свойствах, а он это делать не умеет или не хочет… В общем, все сложно.

Но Андрей посоветовал использовать небольшой скрипт, который позволяет в Computers, посмотреть имя компа на который залогинился пользователь автоматом-это экономит и время и нервы при общении с пользователями, за что ему большое спасибо.

Для этого «запилим» отдельную политику.

Линкуем ее к нужным OU.

Добавляем Logon Script.

‘Для работы скрипта необходимо делегировать разрешения пользователям на изменение поля

‘объекта компьютеров (Computer Objects > Write Description), в которое пишем имя  залогиненного пользователя.

‘Скрипт помещается в Logon скрипты в групповую политику для OU, в котором находятся учетные записи пользователей.

‘Для изменения параметра реестра необходимо запускать скрипт с правами администратора

 

On Error Resume Next

Dim adsinfo, ThisComp, oUser, Sh

Set adsinfo = CreateObject(«adsysteminfo»)

Set ThisComp = GetObject(«LDAP://» & adsinfo.ComputerName)

Set oUser = GetObject(«LDAP://» & adsinfo.UserName)

Thiscomp.put «description», oUser.SN & » » & oUser.GivenName

ThisComp.Setinfo

 

В прилинкованных OU видим залогигившихся пользователей на компьютеры:

Реально очень удобно.

Всем хорошей работы!!!

26.11.2019 Posted by | scripts&GPO | Комментарии к записи Узнаем название PC по учетной записи залогинившегося пользователя (GPO). отключены

Сквозная авторизация IE (аутентификация Kerberos).

На днях поступила интересная мысль: Сделать сквозную авторизацию IE. Это необходимо для того, чтоб доменные пользователи не набирали пароли при входе на внутренние веб порталы, авторизуясь под своей доменной учеткой, под ней же сразу проваливаешься на портал.

Для того чтоб это работало необходимо следующее:

-В IE должна присутствовать галка: Разрешить встроенную проверку Windows (она стоит по умолчанию);

-Сайты должны быть добавлены в раздел Местная интрасеть, но если комп в домене, то по умолчанию все поля не активны.

Задача оказалась не такой простой, как казалось изначально.

Для не доменных машинок процесс достаточно прост:

Откройте Свойства браузера -> Безопасность -> Местная интрасеть (Local intranet), нажмите на кнопку Сайты -> Дополнительно. Добавьте в зону следующие записи:

https://*.comp.loc

Даже если бы и была возможность, то руками прописывать сайты никак не улыбается, поэтому, как обычно, делаем это через GPO:

Открываем редактор локальной (gpedit.msc) либо доменной (gpmc.msc) политики.

Переходим в раздел Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность.

Включаем политику Список назначений зоны безопасности для веб-сайтов. В настройках политики нужно указать список доверенных серверов в формате:

  • Имя сервера (в виде file://server_name, \\server_name, server_name или IP)
  • Номер зоны (1 – Для местной интрасети)

В моем случае правим отдельную политику IE Default (ранее она уже была создана для других манипуляций IE):

Сохраняем политику.

На компе gpupdate /force

Теперь в IE появляются следующие настройки:

Можно проверить ветку реестра:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Internet Settings\ZoneMap\Domains.

http://192.168.10.15:8080/HomePage.do?SkipNV2Filter=true

Теперь авторизация проходит без пароля. Это радует. Но работает пока только в IE. В Chrome у меня не сработало, но потом все вроде подхватилось и под Chrome.

Но если все же не заработало, то можно прикрутить в GPO шаблон под Chrome:

http://winitpro.ru/index.php/2014/06/06/nastrojka-google-chrome-gruppovymi-politikami/

Сейчас эти галки возможно убрать руками просто зайдя в настройки IE:

Чтоб такой возможности у пользователей не было, можно включить все три вот этих политики:

В остальном все, что необходимо, заработало без проблем.

P.S. VmWare по умолчанию, к сожалению, сквозную аутентификацию не отработала.

Пришлось переставить плагин.

После его переустановки  все благополучно подхватилось.

Всем хорошей работы!!!

04.06.2019 Posted by | scripts&GPO | Комментарии к записи Сквозная авторизация IE (аутентификация Kerberos). отключены