Здравствуйте, уважаемые.
Акцентирую ваше внимание, что все, о чем здесь написано, применяется на моих серверах к моим юзерам и ни в коей мере я не призываю и не склоняю вас делать так, как сделано мной.
Если кому-нибудь мой опыт поможет в решении своих задач – для меня это будет лучшая награда за труд. Мы ведь все учимся у кого-то или чего-то.
Вы когда-нибудь задавали себе вопрос – а зачем именно вам вообще нужен домен и юзеры в нем? Кроме стандартных ответов типа:
«Домены были созданы как удобный для человека способ доступа к интернет-протоколу (IP) https://www.nur.kz/technologies/internet/1786298-cto-takoe-domen-i-domennoe-ima/»
«домен — это адрес сайта. Сайт — это набор веб-страниц, которые хранятся на сервере. Ну а сервер, в свою очередь, — это компьютер, подключенный к интернету, только очень мощный. (Источник — Онлайн школа Skysmart: https://skysmart.ru/articles/programming/chto-takoe-domen
Для меня домен – это возможность контролировать компьютеры, введенные в него. Возможность контролировать размер профилей, управлять в меру своих сил компьютерами юзеров, предоставлять или прекращать доступ к определенным ресурсам и т.д. Да и заботится о файлах своих юзеров, чтобы они никуда не пропали по причине кривых рук юзеров или по каким-то другим причинам.
Для этого все профили юзеров дважды в сутки копируются на файловый сервер. Нет, я не копирую их вручную. Для этого есть замечательная штатная утилита Robocopy. Очень рекомендую.
В своей основе системный администратор — это царь и бог для всех, кто пользуется компьютерами организации.
Кто своей головой отвечает за стабильную, бесперебойную работу сети, компьютеров и периферии? Правильно — сисадмин.
А все юзеры по сути – это наемные работники, которые сегодня есть, а завтра их уже нет и которым во временное пользование организация выделило компьютер для осуществления их рабочей деятельности. И вот за стабильность этой работы на компьютерах организации отвечает сисадмин. Поэтому вся деятельность системного администратора, связанная с компьютерами, периферией и т.д. обсуждению и обжалованию юзерами не подлежит. Если сказано, что профиль будет ограничен 3 гигами, значит так оно и будет, если сказано, что необходима замена железа на компе юзера или замена ОСИ, значит юзер должен молча кивнуть гривой и ждать, когда ему вернут комп. А на время он садится или за другой компьютер или сисадмин выдает ему подменный. Вы же не лезете в работу планового отдела или бухгалтерии или отдела кадров, поэтому никто не имеет права лезть или просто даже комментировать вашу работу. А разговоры, подобные, что я хочу держать свои личные фото и видео из отпуска на своем рабочем столе я жестко пресекаю. Или держите свои фото на другом локальном диске или на флешке или на специально развернутом для таких целей отдельном файловом сервере.
Это я вкратце сказал вам про степень ответственности и подчинения в моей организации. И поэтому 500 АРМ-ов по 300 гигабайт профиля у меня точно не будет.
В предыдущей статье про перемещаемые профили в комментариях пользователь naves удивился, зачем такое количество OU. Кстати, лично для вас Naves – а вы сами-то знаете, откуда появляются профили V2 или V6? Я вам скажу, откуда они берутся.
Если вы в установках профиля пропишете вот здесь путь к профилю:
тогда и получите профиль юзера Иванова V2. И то, когда вы входите в учетку c Win 7.
Если вы будете входить из-под Win 10, тогда получите профиль Иванова V6.
Я вам предложил вариант в предыдущей статье без этих профилей.
Извиняюсь, отвлекся.
В моей организации, и не только в моей, есть люди, которые приносят свои флешки или SSD-шки и ежедневно что-то с них скачивают к себе на компьютер. Да бог бы сними, пусть качают, раз так хочется. Это безвредные юзеры. Просто качают фотки с отпуска, как заметил пользователь kuzzdra в комментариях. Хотя для этих целей — повторяю — есть отдельный файловый сервер с распределенными правами на каждого юзера.
Но есть еще рукожопые экспериментаторы, которым надо обязательно куда-нибудь влезть, почистить реестр, установить непонятную левую программу, установить супер-пупер модный чистильщик компьютера, установить гаджеты на рабочий стол и все в том же духе. Какие программы у них на носителях — одному богу известно. А потом разводят руками, когда ОСЬ накрывается или исчезают их личные файлы – «не знаю, товарищ командир; не знаю, товарищ командир». А часто бывало и так, что система вообще не запускалась.
Да плюс ко всему замаскированных троянов тащат нещадно. Антивирус установлен, но это не всегда помогает. И вот тогда мне просто хочется убить гада.
Ладно, ближе к теме.
Зачем такое количество OU? Разбираемся. На данный момент имеем эту структуру:
Подразделение БУХГАЛТЕРИЯ имеет общую для всех GPO. Она распространяется на всех, кто прописан в этом подразделении. Но дальше нам надо на разные профили применить разные политики.
Опять пример: юзер Иванова приносит флешки с непонятным содержимым. Затем содержимое, не обезвреженное антивирусом, расползается по сети. Или тащит на комп прогу, которая является трояном. Что можно предпринять? Правильно – дать по наглой рыжей морде. Шутка. Самый хороший вариант — заблокировать ее USB-порты намертво.
Для таких вот «хакеров» создаем GPO-шку с полной блокировкой всех машинных носителей информации, а проще – флешек, жестких дисков, компашек, фото-видеоаппаратуры, которые можно подключить к компьютеру.
Политика создается для пользователя. Здесь видна структура создания GPO для пользователя.
А чтобы ее не применять для законопослушных граждан, а только к нарушителям, поэтому и создана такая иерархия в OU. Связываем (перетаскиваем) политику в OU с профилем Иванова. Теперь политика работает только на нее. И даже тогда, когда этот юзер сядет за другой комп под своей учеткой, всегда для этой учетной записи порты будут закрыты.
Остальным юзерам эта политика мешать не будет, они так же останутся с рабочими портами.
Юзера Петрова связываем с другой GPO-шкой. Например, которая отключает все гаджеты рабочего стола.
Юзеру Сидорова применяем политику, которая ограничивает подключение к сети Интернет.
И вот так применяем разные (или одинаковые политики) для разных пользователей.
т для чего такое количество OU. Надеюсь, что я ответил на комментарий.
Но есть один большой минус в этом. Компьютеры пользователей необходимо перезагрузить. Надо ждать, пока юзер перезагрузит машину. А если он постоянно ее держит включенной и что тогда? Или ждать, когда сервер обновит политики? Но не факт, что политики применятся без перезагрузки. А если нет времени ждать и надо применить политику прямо сейчас?
Можно ли применить политику так, чтобы не перезагружать компьютер? И чтобы политика применилась сразу, как только вы ее скажем так — активировали?
Решение существует, но не совсем простое. Это решение я выложу в другой статье. После прочтения многие скажут, что это вообще лишнее. И причем ведь будут правы. Да, я согласен с тем, что дальнейшая выкладка – это лишний труд, который практически никогда никем не будет применяться. Тем более, чтобы применить следующую политику, надо на компьютере юзера произвести некоторые манипуляции, а точнее – настройку.
Я хотел сделать мгновенное применение политики к юзеру без перезагрузки компьютера. Мне это удалось. И я применяю это решение, хотя пока только на 3-х компьютерах. Почему только на 3-х?
Этот материал будет в следующей статье. Пока только делаю верстку, чтобы просто и доходчиво все рассказать.
Всем спасибо и удачи!
ссылка на оригинал статьи https://habr.com/ru/articles/856014/
Добавить комментарий