Kezdőoldal > Windows Server > Group Policy Preferences és Item-Level Targeting 1. rész

Group Policy Preferences és Item-Level Targeting 1. rész


1. Group Policy Preferences

Előzetesen nézzük át eddigi meghajtó-csatolások módszerét, a teljesség igénye nélkül.

Ami a legegyszerűbb, hogy adott felhasználó adott gépen helyileg csatolja. Ekkor az a helyzet állhat elő, hogy indulás után listázva vannak, de még nem elérhetőek a meghajtók (jogos, hiszen a hitelesítés az adott kiszolgáló irányába még nem történt meg).

Ha központi vezérlésre térünk, akkor az egyik, a legelterjedtebb módszer értelemszerűen az egyénhez rendelt script, ami már W98 alatt is működött. Itt is különféle módszerek léteznek, a legelterjedtebb a „célzott” csatolás (Net Use X: \\Kiszolgáló\Megosztás), de használható még a

Net Use * /Delete /Y

Net Use Z: %homeshare%

Net Use * \\Kiszolgáló\Megosztás

jellegű sorozat is – ekkor ugye automatikusan kapják a megosztások a betűjelet, fordított ábécé-sorrendben. Természetesen, ha van közös meghajtó, akkor azt egy (minden script által meghívott) másik kötegelt állományban helyezhetjük el.

A következő szint a házirendben hozzárendelt script, itt már nagyobb létszámnak (egész OU-nak) tudjuk kiosztani a meghajtókat, egy mozdulattal. Ennek szűrése vagy GPO-szűréssel lehet, vagy a script-ben IfMember segítségével.

A kettő kombinációjának tekinteném azt, amikor a GPO-ban egy olyan script futtatását végezzük, amelyik a felhasználó AD-adatlapjának bizonyos (általunk megadott) mezőjét kiolvasva csatolja a meghajtókat. Ekkor a közösen használt meghajtókat meghagyjuk a hagyományos bejelentkezési scriptnek, míg az egyénileg használtat az AD-ból szabályozzuk.

Természetesen az előbbiek össze-vissza kombinálhatóak, de arra mindig figyeljünk, hogy ne legyen bonyolult adott felhasználó csatolt meghajtóinak felkutatása (főleg, ha engedélyezzük a helyi csatolást is).

Az új módszer, a Group Policy Preferences, ezekhez jön hozzá.

Nemrég játszadoztam egy keveset vele. Azt sejtettem, hogy mindamellett, hogy Windows 2008 újdonság, lehet használni olyan hálózatban, ahol nincs ilyen (vagy újabb) operációs rendszerrel rendelkező szerver. Sejtésem beigazolódott, a szokásos megkötéssel: ha van legalább egy tartományba léptetett Vista/W7, amiről kezeljük ezt a házirendet. Amennyiben nem erről a gépről nézzük a házirendet (hanem mondjuk a szerverről), teljesen üresnek fog tűnni.

Továbbá, amennyiben nincs 2k8 tartományvezérlőnk, a lekérdezésnél/modellezésnél gondok lesznek:

Group Policy Drive Maps Failed

Group Policy Drive Maps failed due to the error listed below and failed to log resultant set of policy information.

Ezt a hibát egy olyan hálózatban is elő tudjuk idézni, ahol van ugyan 2008-as DC, de a lekérdezést nem arra vonatkoztatva futtattuk le (a modellezés beállításánál nem a W2k8 szervert adjuk meg) – erre még visszatérünk később.

A lényeg természetesen a hatásában rejlik. Amennyiben telepítve van a GPP Client Side Extensions (KB943729) a kliens-gépekre, akkor természetesen megkapják s alkalmazzák, 2k8-as DC ide vagy oda.

A tesztelés során most kimondottan a meghajtó-csatolást céloztam be (ugye a GPP ennél sokkal többet tud). Itt, ha a lehetséges műveleteket nézzük, feltűnik két érdekesség: Replace és Update. Mindkettő esetén igaz, hogy ha nincs, akkor is létrehozza a meghajtót. A különbség az, hogy a Replace törli, s újból létrehozza, tehát minden beállítás felülíródik, míg az Update esetén csak azok a beállítások módosulnak, melyeket itt megadunk, minden más beállítás marad (néhány ezek közül: látható/rejtett, címke, útvonal, milyen felhasználóval csatlakozzon, stb). Természetesen minden művelet csak akkor hajtódik végre, ha az adott könyvtárra van is joga az illetőnek.

Bár konkrétan a meghajtó csatolásnál sok értelme nincs, de néhány helyen (Útvonal, illetve Címke) használhatjuk a GPP-re jellemző helyi „környezeti változók”-at.

Eddig, a hagyományos csatolásnál a csatolt meghajtó „neve” különféle változatban létezhetett: \\Kiszolgáló\Megosztás, Megosztás-Kiszolgáló, Megosztás on Kiszolgáló. A GPP használatával újabb lehetőségünk van: ha kitöltjük a Címke (Label) mezőt, a csatolt meghajtó szinte úgy fog kinézni, mint egy helyi merevlemez.

Érdekes opció a Hide/Show: ha be van állítva bármelyik, akkor előnyt élvez az All-al szemben.

Fizikai meghajtók elrejtéséhez az Update kapcsoló, üres Location mező, a fizikai meghajtó betűjelére, valamint természetesen a Hide/Show kapcsoló megfelelő beállítására van szükségünk.

A Reconnect elvileg a /Persistent kapcsolónak felel meg. Olyannyira, hogy ha töröljük a GPP beállításaiból a meghajtót, vagy a gépre már nem vonatkozik a házirend, akkor is csatolja. Természetesen, ha nincs bekapcsolva, akkor – mivel az adott „munkamenetre” vonatkozik a csatolás – a GPP-ből történő eltávolítása esetén valóban eltűnik az adott útvonal. A grafikus felületről természetesen bármikor el lehet távolítani, akár ott van a pipa, akár nincs, a szokásos „Disconnect” utasítással.

Ugyanakkor ezzel a kapcsolóval nagyon kell vigyázni. Ugyanis, ha be van kapcsolva, akkor Update esetén nem változik az útvonal, míg kikapcsolt állapotban az említett, gyengébb képességű kapcsoló is lecseréli az útvonalat. Replace esetén nincs ilyen gondunk, hiszen ott eleve törli a csatolást, s újból létrehozza – tehát ott nem számít a kapcsoló állapota.

Ha ugyanaz az útvonal, több betűjelnél, akkor a Címke a többi betűjelet is kitölti, nem csak azt a betűjelet fogja azonosítani, ahol beállítottuk. Szintén a Címkére igaz, hogy ha eltávolítjuk, akkor az Update esetén nem fogja leszedni a meghajtókról, de a Replace igen. Ugyanez érvényes a kis- és nagybetű változásokra.

Végül, de nem utolsó sorban tapasztalatom alapján a Delete nem távolítja el a meghajtót, ha az scriptből lett csatolva.

Advertisements
Kategóriák:Windows Server
  1. Viktor
    január 8, 2014 - 8:55 du.

    Szia!

    Érdekes cikk, ma barátkoztam a win2012 említett funkcióival (meg úgy eleve az AD-vel). Egyelőre elég átláthatatlan a dolog.A cél az lett volna, hogy a mindenki által felcsatolt home folder mellett bizonyos ember kapjanak meg egy plusz meghajtót. Illetve ha kikerülnek az adott csoportból “tűnjön el” a plusz meghajtó (csak az). A home foldert AD-ból adtam meg, a plusz meghajtót GPO-val. Egész napos próbálkozás után arra jutottam, hogy ha sikerül felcsatolnia és kiveszem a csoportból akkor is ott marad a meghajtó(persze belépni nem tud), vagy fel se csatolja a gpo-s driveot vagy esetleges disconnect után újra bejelentkezve nem csatolja fel ismét (pedig create opción van) Illetve próbáltam logon scripttel is, hogy egyből darálja le az összes meghajtót és csak azt csatolja fel ami aktuális jár neki (Net Use * /Delete /Y) így viszont az AD-s home foldert is leveszi. Sorry ha nagyon zavaros. Üdv: Viktor

    • január 9, 2014 - 12:40 du.

      Ha azt akarod, hogy “letűnjön”, ha már nem vonatkozik rá, akkor a Reconnect ne legyen kipipálva. Ha véletlenül mégis úgy került létrehozásra, akkor a felhasználó intézőjében “Disconnect” a kérdéses meghajtóra.
      A próbálkozás során figyeltél arra, hogy valóban a módosított GPO lép életbe? Az AD-s home könyvtárat nem tapasztaltam, hogy a “darálás” törölte volna, nálunk a cégnél is így van megoldva…
      Ha gondolod, hogy további segítségre van szükséged, javaslom, hogy váltsunk át email-re. Üdv, Asteriksz

  1. január 26, 2015 - 11:39 de.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: