|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Групповые политики: перемычки правил (loopback) |
|
|
Групповые политики: перемычки правил (loopback)
|
Ветеран Сообщения: 573 |
Задача: осуществлять с помощью групповой политики установку и настройку ПО, не полностью совместимого с технологией Windows Installer. Т. е. msi есть, но самодельный, работает только с машинной частью установки, а с пользовательской (скопировать файл в профиль, добавить значение в ветку HKCU) - не умеет. Понятно, что можно доделать msi, но... слишком много надо копать.
Появилась мысль использовать перемычки правил. Т. е. перемещаем нужные компьютеры в OU, линкуем к нему несколько GPO, каждое из которых занимается установкой одного приложения. В каждом из этих GPO включаем использование перемычек и определяем нужные пользовательские параметры. Далее создаем группы Deny_App1, Deny_App2 и т. д., добавляем их в ACL соответствующих GPO и запрещаем для них применение политики. Если на некоторый ПК из помещенных в это OU не нужно ставить некоторое приложение, добавляем его в соответствующую deny-группу. Все логично и довольно красиво, если бы не одно "но": оказалось, что при включенных перемычках пользовательские части политик нельзя отфильтровать настройками безопасности, касающимися компьютеров. Т. е. приложения на "ненужные" машины ставиться-то не будут, но вот пользовательские настройки из соответствующих политик - применятся. А это уже не комильфо. Подробнее результаты исследования - в комментариях здесь. Может, у кого идеи будут? |
|
|
------- Отправлено: 19:39, 10-08-2011 |
|
Ветеран Сообщения: 573
|
Профиль | Отправить PM | Цитировать Было б можно не использовать - кто бы заморачивался? Но сплошь и рядом это требуется. Например, регистрационный ключ The Bat! пишется в HKCU.
Если смотреть шире, то речь даже не об установке, а о первоначальной настройке приложения. Чтобы пользователь получал настроенное не по дефолту приложение, но при этом имел возможность перенастроить его под себя. Здесь нужен скрипт, который будет проверять, например, наличие определенной ветви в HKCU и при ее отсутствии добавлять в реестр определенные записи. Можно, конечно, заодно проверять, установлено ли приложение в принципе, но - производительность, производительность... Вот если б была возможность не гонять скрипт вообще на машинах, где приложение не установлено, - но, боюсь, средствами групповой политики это не решить. Про SCCM только слышал мельком (вернее, про предшественника - SMS). Надо бы попробовать, да. |
|
------- Отправлено: 22:48, 10-08-2011 | #11 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Raistlin:
Кстати. На одном из проектов занимался App-V (http://www.microsoft.com/rus/windows...dop/app-v.aspx) Возможно для вас это будет выходом и решением. Суть в том что приложение один раз собирается на эталонном ПК, все что ему требуется пакуется в специальный файл и клиент получает виртуализированное приложение т.е. на клиента ничего ставить не надо. В идеале ПК это тонкий клиент который подключается к терминальной ферме. |
|
|
Отправлено: 22:53, 10-08-2011 | #12 |
|
Ветеран Сообщения: 573
|
Профиль | Отправить PM | Цитировать Цитата zero55:
Да и вопрос-то, скажем так, уровнем выше: как добавить, сообразим, а вот как красиво ограничить множество пользователей, кому добавить? Можно вообще абстрагироваться от установки приложений. Речь о тонком использовании перемычек правил. |
|
|
------- Отправлено: 23:07, 10-08-2011 | #13 |
|
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Raistlin:
GPE это клиентское расширение политик, а управляется все через GPP (Group Policy Preferences) Это инструмент значительно расширяющий функционал групповых политик. Цитата Raistlin:
1. отключаем стандартное разрешение Everyone - apply. Надо оставить только read. 2. добавляем группу пользователей. Например The Bat Users, тыкаем "применять". С помощью GPE пожно создать условие применять политику при условии что на диске или в реестре есть определенный файл или значение. Можно сделать изврат вплоть до условия что ПК имеет в имени такую то маску или находится в определенной подсети. Я предпочитаю условие - пользователь входит в группу Х и компьютер входит в группу Y. Как то так... |
||
|
Отправлено: 23:22, 10-08-2011 | #14 |
|
Ветеран Сообщения: 573
|
Профиль | Отправить PM | Цитировать Да, надо будет посмотреть GPP. Эх, жалко, все мои недоделанные скриптовые наработки с ее появлением, похоже, теряют смысл
 . |
|
------- Отправлено: 00:00, 11-08-2011 | #15 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Групповые политики | Guest | Microsoft Windows NT/2000/2003 | 12 | 26-03-2011 12:25 | |
| Групповые политики | morozov_s_v | Microsoft Windows NT/2000/2003 | 4 | 22-07-2009 18:47 | |
| групповые политики | Aleksey Potapov | Microsoft Windows NT/2000/2003 | 4 | 11-07-2008 19:58 | |
| Групповые политики | Rasim | Microsoft Windows NT/2000/2003 | 13 | 25-07-2007 19:48 | |
| Групповые политики и C$ | Lex7er | Microsoft Windows NT/2000/2003 | 12 | 28-03-2007 12:21 | |
|
|
Время: 08:38. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
