ПР_ Управление сетевыми папками через GPO. Подключение сетевых дисков в Windows через групповую политику При работе пользователей в компании перед системным администратором стоит задача обеспечения сохранности данных пользователей. Это становится возможным при размещении папок с данными пользователей на сетевом ресурсе (FTP-сервере). При этом обеспечивается: централизованное хранение данных; гарантированная защита от сбоев оборудования; возможность выполнения бэкапа данных пользователей; Групповые политики можно использовать для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков. Исторически для подключения сетевых дисков использовались *.bat скрипты с командой net use U: \\server1\share. Однако групповые политики намного удобнее, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или Logoff пользователя для подключения сетевых дисков через GPO). Рассмотрим использование GPO для подключения сетевых дисков: выполним подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище. Для выполнения ПР нам понадобятся VM под управлением Windows server и VM под управлением ОС Windows. Сервер должен быть поднят до уровня контроллера домена, ПК windows быть в домене. Имя сервера - фамилия студента-DC, имя компьютера фамилия студента-PC. На сервере должен быть поднят FTP-сервер. 1. Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли Пользователи и компьютеры AD или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell): New-ADGroup "SPB-managers" -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov Используем файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\DC1\share\managers. Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска. 1. Откройте консоль управления доменными GPO — Group Policy Management Console (gpmc.msc); 2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики; 3. Перейдите в секцию выбрав меню изменить, в открывшемся окне выбираем GPO Конфигурация пользователя (User Configuration) => Настройки (Preferences) => Конфигурация Windows (Windows Settings) => Сопоставление дисков (Drive Maps). Создайте новый параметр политики Новые свойства диска (New) => Mapped Drive; На вкладке Общие (General) укажите параметры подключения сетевого диска: Действие (Action): Update (этот режим используется чаше всего); Размещение (Location): UNC путь к каталогу, который нужно подключить, добавляем руками (копируем); Буква диска (Label as): можно выбрать «Использовать первую доступную букву» или указать букву из списка; Подключаться как (Connect as): опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences. 4. 5. Переключитесь на вкладку = > Общие параметры (Common), включите опции = > Выполнять в контексте безопасности вошедшего пользователя ( “Run in logged on users’s security context”) и => Нацеливание на уровень элемента (“Item-level Targeting”). Затем нажмите на кнопку => Нацеливание (“Targeting”); 6. Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите => Нацеливание => Создать элемент (New Item) => Выберите Группа безопасности (Security Group) => укажите имя группы; 7. Сохраните изменения; 8. Выполните обновление политик запустив cmd от имени администратора, используя команду gpupdate. 9. После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ. Самостоятельно: Создайте еще одно новое правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. У нас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Мы хотим, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков. 1. Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (имя пользователя в OU) и назначьте нужные NTFS права. 2. Создайте еще одно правило подключения дисков в той же самой GPO. 3. В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser%. В качестве метки диска укажите %LogonUser% - Personal. 4. Сохраните изменения и обновите политики на компьютерах пользователей командой: gpudate /force Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь, для которого настроены правила GPO. Полный список переменных окружения, которые можно использовать в GPP можно вывести, нажав клавишу F3. Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям. Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры). Настраиваем дисковые квоты пользователям Windows на томах NTFS Дисковые квоты позволяют администраторам Windows контролировать сколько места используют пользователи на файловой системе серверов и рабочих станций. ОС Windows Server поддерживает два типа квотирования: квотирование на базе File Server Resource Manager (дисковые квоты FSRM) и NTFS квоты. Хотя FSRM квотирование и является более гибким и удобным, но в некоторых простых случаях эффективно можно использовать и NTFS квоты. Например, для ограничения размеров каталогов перемещаемых профилей (но не User Profile Disks) и перенаправляемых домашних папок на RDS серверах, личных каталогов пользователей на FTP сервере, личных каталогов на сайтах IIS и т.д. В этой статье мы рассматриваем как настроить дисковые квоты пользователям в Windows. Содержание: Дисковые NTFS квоты в Windows Настройка дисковых NTFS квоты в Windows 10 / Windows Server 2016 Настройка дисковых квот с помощью групповых политик Управление дисковыми квотами из командной строки/PowerShell Дисковые NTFS квоты в Windows С помощью дисковых квот Windows вы можете ограничить максимальный размер файлов и папок каждого пользователя так, чтобы он не превысил установленного лимита и не занял своими данными весь диск. Принадлежность фалов и каталогов определяется в соответствии с владельцем объекта файловой системы NTFS. Дисковые квоты работают как на северных, так и на клиентских версиях Windows. Основные особенности и ограничения NTFS-квот: Квотирование может быть применено только целиком к конкретному тому (разделу), отформатированному в файловой системе NTFS (на ReFS томах квотирование не работает); Квоты действуют на всех пользователей, хранящих свои данные на данном разделе. Нельзя применить квоту на группу пользователей или отдельный каталог. В этом случае лучше использовать FSRM квоты; Принадлежность файлов пользователю определяется по его владельцу (owner) файла, заданного в дескрипторе защиты NTFS; По умолчанию Windows сканирует раздел с включенным квотированием и пересчитывает суммарный размер файлов каждого пользователя 1 раз в час; При использовании NTFS-компрессии, учитывается оригинальный размер файлов (до сжатия). Можно выделить следующие сценарии использования дисковых квот: Мониторинг использования дисков – просмотр статистики использования пользователями места на диске сервера; Мониторинг и оповещение – в дополнении к первому сценарию, при превышении квоты в Event Viver записывается событие с информацией о пользователе и квоте. Контроль использования диска — при превышении квоты пользователь не может сохранять новые файлы. Настройка дисковых NTFS квоты в Windows 10 / Windows Server 2016 Рассмотрим пример настройки NTFS квот на диске с данными пользователей на примере Windows Server 2016. Во всех предыдущих версия Windows (начиная с Windows 2003) дисковые NTFS квоты настраиваются аналогично. Откройте окно свойства диска, на котором нужно включить квоты и перейдите на вкладку Quota. Затем нажмите на кнопку Show Quota Settings: Чтобы включить квоты для данного тома, установите чекбокс Enable quota management. Дальнейшие опции следует выбрать в зависимости от желаемого сценария использования квот: Не выделять место на диске при превышении квот (Deny disk space to users exceeding quota limit) – Запрет выделять места на диске при превышении квоты; Выделить на диске не более (Limit disk space to) — задать лимит на суммарный размер файлов одного пользователя; Регистрировать превышении квоты пользователем (Log event when a user exceeds their quota limit) – записывать в журнал событие при превышении квоты пользователем; Регистрировать превышение порога предупреждения (Log event when a user exceeds their warning level) – записывать в журнал события при приближении к указанному порогу. Не рекомендуется сразу включать правило запрета записи при превышении лимита. Лучше сначала оценить текущее использование пользователями места на диске пользователями. В нашем примере мы хотим, чтобы каждый пользователь мог использовать не более 1 Гб места на диске сервера. Сохраните изменения (Apply). Через некоторое время (в зависимости от размера диска и количества файлов), Windows подсчитает суммарное использования диска каждым пользователем. Нажмите на кнопку Записи квот (Quota Entries). Перед вами появится таблица, в которой указаны квоты и текущий размер занятого места каждым пользователем (файлы которых найдены на файловой системе). Здесь вы сразу видите, какие пользователи уже превысили свои квоты на диске. По умолчанию для всех пользователей устанавливаются одинаковые квоты. Из окна Записи для квот (Quota Entries) можно создать, увеличить или отключить стандартную квоту для конкретного пользователя. Чтобы NTFS квоты не применялись к определенной учетной записи, нужно открыть свойства записи в таблице квот (Properties) и установить опцию => Не ограничивать выделение места на диске (Do not limit disk usage). ВАЖНО. Обязательно следует отключить квотирование для системных учётных записей NT Service\TrustedInstaller и NT AUTHORITY\SYSTEM, иначе Windows может работать некорректно. Настройка дисковых квот с помощью групповых политик Можно управлять настройками дисковых квот на компьютерах и серверах домена с помощью групповых политик. Для этого необходимо создать новую политику. Параметры настройки квот находятся в разделе GPO Конфигурация компьютера (Computer Configuration) => Политики (Policy) => Административные шаблоны (Administrative Templates) => Система (System) => Дисковые квоты (Disk Quotas). Чтобы включить дисковые квоты, аналогичные рассмотренным выше, задайте следующие политики: Включить дисковые квоты (Enable Disk Quotas): Включить (Enable); Обеспечить соблюдение дисковых квот (Enforce Disk Quota Limit): Включить (Enable); Определить квоту и порог предупреждения по умолчанию (Default Quota Limit And Warning Level): Включить (Enable), => Установить максимальную квоту и порог срабатывания предупреждения; Записать в журнал событие при превышении квоты (Log Event When Quota Limit Exceeded): Включить (Enable); Применять политику к съемным носителям (Apply Policy To Removable Media): Enable (если нужно применять квоты для съёмных носителей, в том числе USB флешкам) Осталось назначить такую GPO на OU с компьютерами/серверами, на которых нужно внедрить дисковые квоты и дождаться обновления политик. Дисковые квоты, настроенные через GPO, применяются для всех дисков компьютера. Нельзя настроить исключения для определенных пользователей. ЗАДАНИЕ: 1. Ознакомьтесь с теоретическим блоком, выполните настройки и команды в соответствии с примером. 2. Создайте группы пользователей (OU) teacher и student, добавьте в каждую группу по два пользователя. Создайте на диске (используя файловый сервер) паки для каждой группы пользователей, настройте политики таким образом, чтобы пользователи из группы student могли работать только в папке student, а пользователи из группы teacher могли работать в паке teacher и student. Настройте квоты на каждую папку 100Mb, настройте квоты для каждого пользователя 10Mb. 3. Войдите на компьютер под управлением windows 10 под учетной записью пользователя из группы teacher, проверьте подключение сетевых дисков, попробуйте создать текстовый документ в папках teacher и student. 4. Войдите на компьютер под управлением windows 10 под учетной записью пользователя из группы student, проверьте подключение сетевых дисков, попробуйте создать текстовый документ в папках teacher и student. 5. Измените настройки безопасности для папок для каждой группы, запретите удаление. Проверьте что изменилось, войдя под учетными записями пользователей из каждой группы. При выполнении работы делайте снимки экрана, подготовьте отчет, поместите в отчет снимки экрана с подробным описанием выполняемых действий, вводимых команд и полученного результата. Оформите отчет и сдайте преподавателю.
