У меня есть несколько серверов терминальных служб Windows 2008 Server, на которых запущено общее приложение. К сожалению, для правильной работы в приложении есть некоторые параметры HKEY_CURRENT_USER, которые необходимо записывать в реестр каждого пользователя при входе в систему. Эти параметры будут меняться со временем, поэтому я не хочу редактировать C: \ Users \ Default \ NTUser.dat; Я хочу, чтобы они применялись через Active Directory.
Я определил соответствующие записи и экспортировал их как файл реестра и дополнительно преобразовал их в ADM. Я хотел бы настроить некоторую часть групповой политики Active Directory для загрузки файла .REG или ADM в качестве сценария входа (для всех пользователей) ТОЛЬКО на эти серверы (серверы находятся в собственном подразделении).
Как я могу это сделать? Я создал политику в OU, но в остальном я в тупике; Я попытался загрузить ADM в редактор управления GPO, но он, похоже, ничего не делает ...
Возможно, это какая-то комбинация "Активной настройки" (Лучший способ добавить ключи и значения HKCU для всех существующих пользователей и всех новых пользователей?) и кольцевой обработки (http://support.microsoft.com/kb/231287), но мои знания о GPO очень ограничены.
Вы говорите, что у вас есть пользовательские настройки, которые вы хотите применить к пользователям, только когда они входят в систему на определенных компьютерах? Звучит сложно, а? Это совсем не сложно. Это похоже на работу по обработке групповой политики loopback!
Предположим следующее:
[Domain] mydomain.com.org.net.local
|
|--[OU] Special Computers
| |
| |-- [Computer] COMPUTER 1
| |
| |-- [Computer] COMPUTER 2
| ...
|
|--[OU] User Accounts
|
|--[User] Bob
|
|--[User] Alice
...
Вы хотите применить пользовательские настройки (например, запуск сценария входа в систему или применение других типов пользовательских настроек GPO) для все пользователи, которые входят в систему на компьютерах в OU "Special Computers". Однако, когда они входят в систему на компьютерах, расположенных в других подразделениях, вы не хотите, чтобы эти специальные настройки применялись.
Создайте объект групповой политики и свяжите его с подразделением «Специальные компьютеры». Укажите в этом объекте групповой политики все пользовательские настройки, которые вы хотите применить.
(«Но подожди, Эван! Объекты учетной записи пользователя не входят в OU« Специальные компьютеры »!» Да. Я знаю это. Оставайся здесь со мной. Большинство администраторов AD, с которыми я встречался, не понимают обработки политики обратной связи и испугаться. Я видел ужасные взломы, такие как создание дополнительных учетных записей пользователей для входа в систему при использовании "специальных компьютеров" и т. д ...> дрожь <)
В созданном вами объекте групповой политики перейдите на КОМПЬЮТЕР «Административные шаблоны», «Система», «Групповая политика» и найдите параметр «Режим обработки обратной связи групповой политики пользователей». Включите этот параметр. В поле «Режим» выберите «Заменить», если вы хотите, чтобы все «обычные» параметры групповой политики пользователя игнорировались и применялись только параметры политики пользователя в этом новом объекте групповой политики. Выберите «Объединить», если вы хотите, чтобы пользовательские настройки в объекте групповой политики применялись после применения всех их обычных пользовательских настроек.
Я считаю, что это намного чище, чем "хаки" с использованием "If computer == blah" в сценариях входа в систему.
Я вам посоветовал бы делать то, что вы делаете, с настройками реестра предпочтений групповой политики (GPP), а не со сценарием входа в систему. Он будет применен один раз, оставив настройки по умолчанию в реестре пользователей, но пользователь сможет свободно изменять настройки в будущем, не «ломая» их каждый раз при входе в систему.
Если это машины с Windows Server 2008, как написано в вашем теге, то действительно нет оправдания, чтобы не использовать настройки реестра GPP. Прочтите статьи ниже, чтобы узнать больше. Это действительно хорошая особенность W2K8, и вы должны ею воспользоваться.
Вот альтернативный метод:
У вас уже есть сценарий входа для ваших пользователей? (Определено в объекте «Пользователь» в AD в разделе «Профиль»). Если да, то добавьте в этот сценарий следующие строки:
если "% computername%" == "MyServer001" reg.exe добавить HKCU \ blah \ blah \ blah / v MyNewSetting / t REG_SZ / d 1 / f
если "% computername%" == "MyServer002" reg.exe добавить HKCU \ blah \ blah \ blah / v MyNewSetting / t REG_SZ / d 1 / f
Добавьте столько строк для каждого сервера, которому требуется этот ключ, когда пользователь входит в систему. Таким образом, каждый раз, когда пользователь входит в систему, сценарий будет смотреть на имя компьютера, на котором он входит, и применять изменения реестра только в том случае, если это машина соответствует одному из перечисленных. Если они войдут на свою рабочую станцию, имя машины не будет в списке, и она не получит ключ
Вам нужно решить, по какому маршруту вы хотите пойти - ADM или Registry.
Вы можете установить собственные параметры реестра через GPO. Отредактируйте GPO, а затем перейдите в этот раздел:
Конфигурация компьютера - Политики - Настройки Windows - Настройки безопасности - Реестр
Какая бы комбинация клавиш вы не указывали здесь, она будет применяться к машинам в этом OU.
Кроме того, вам следует изменить Фильтрация области объекта групповой политики для применения к интересующим вас объектам в AD. Возможно, по умолчанию Прошедшие проверку пользователи. Если это так, оставьте это. Я подозреваю, что вам нужно будет изменить его, поэтому он применим к Компьютеры домена. Не волнуйтесь, это будет применяться только к компьютерам домена в этом OU и ко всем подчиненным OU.
РЕДАКТИРОВАТЬ:
Отредактировано, чтобы предоставить инструкции по импорту реестра пакетных файлов и сценариям входа в GPO.
Итак, сначала вам нужно создать командный файл, который будет импортировать нужные вам ключи реестра.
Создайте командный файл и дайте ему любое имя, например import_reg_keys.bat.
Отредактируйте пакетный файл и в его самой простой форме используйте следующие команды:
reg.exe добавить HKCU \ blah \ blah \ blah / v MyNewSetting / t REG_SZ / d 1 / f
Замените blah \ blah \ blah подключом, который вас интересует, замените MyNewSetting значением, замените REG_SZ на тип значения (REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_BINARY, REG_NONE) и замените 1 любыми данными, которые вы хотите в вашем новом значении reg.
Сохраните пакетный файл и скопируйте его в общий ресурс NETLOGON домена (\\ yourdomain.loc \ netlogon) - для этого вам потребуются права администратора домена.
Отредактируйте уже созданный объект групповой политики и перейдите в раздел User Config - Policies - Windows Settings - Scripts.
Дважды щелкните элемент LOGON справа, нажмите ДОБАВИТЬ, нажмите ОБЗОР, в адресной строке вверху введите \\ mydomain.loc \ netlogon и нажмите Enter, затем выберите свой командный файл из списка
Нажмите Open, нажмите OK, нажмите OK, закройте редактор GPO.
Вернитесь в консоль управления GPO MMC, дважды щелкните новый объект групповой политики, а затем справа выберите вкладку SCOPE.
Там, где внизу указано Фильтрация, убедитесь, что у вас есть только компьютеры домена (yourdomain \ Domain Computers) и прошедшие проверку пользователи. Если вы хотите еще больше заблокировать это в будущем, вы можете указать, кто или что должен применять эту политику.
Купи мне пива
Хорошая вещь в том, что командный файл находится в общей папке netlogon (в отличие от настройки его непосредственно в GPO), заключается в том, что его гораздо быстрее редактировать.
PS. Переместите рассматриваемые серверы в это OU (должно быть дочерней OU вашей OU рядовых серверов)