Радости домена Samba ... Прежде всего, групповая политика домена не может использоваться, пока не появится Samba 4.
Нам нужно настроить политики ограниченного использования программ (SRP) на большинстве компьютеров в нашем домене Samba, и я очень хотел бы автоматизировать это. (Мы уходим от простого отключения установщика Windows). Традиционный способ - установить SRP с помощью локальной групповой политики (LGP). Конфигурация компьютера-> Настройки Windows-> SRP но это предполагает посещение каждой машины, поскольку это не может быть установлено с помощью NTConfig.pol.
Можно попытаться создать SRP прямо в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\{30628f61-eb47-4d87-823b-6683a09eda87}]
"LastModified"=hex(b):40,a2,94,09,b5,5d,ca,01
"Description"=""
"SaferFlags"=dword:00000000
"ItemData"="C:\\location\\subfolder"
Кажется, что SaferFlags DWORD включает или выключает его, но хотя это, похоже, работает, оно не обновляет локальную групповую политику - SRP по-прежнему отображаются как «SRPs не определены».
Где LGP хранит эту настройку - даже в реестре и, что более важно, - есть ли более умный способ настройки SRP?
Локальные групповые политики хранятся вне реестра в C: \ Windows \ System32 \ GroupPolicy и объединяются в реестр во время запуска (для политик компьютера) или входа в систему (для политик пользователей). Вам нужно рассматривать их как отдельные объекты, которые на самом деле даже не должны существовать, чтобы настройки вступили в силу.
Когда вы просматриваете локальную политику в gpedit.msc, то вы просматриваете то, что находится в папке C: \ Windows \ System32 \ GroupPolicy, а не то, что сейчас находится в реестре.
Одно из предложений - изменить локальную политику по вкусу на тестовой машине и перетащить соответствующие файлы на другие ваши машины, но я не тестировал это и не могу подтвердить, что это будет работать. В целом, хотя я честно считаю, что вам лучше перекусить пулю и установить контроллеры домена Windows. Вы можете сэкономить деньги на лицензионных сборах с вашим текущим подходом, но вы просто теряете много времени на поддержание сложной (и потенциально деликатная) установка, которую можно полностью обойти при использовании контроллеров домена Windows. К сожалению, я подозреваю, что стоимость потерянного времени будет кратна стоимости простого внедрения контроллеров домена Windows.