Групповые политики/Управление каталогами

Материал из ALT Linux Wiki

Групповая политика Управление каталогами (Folders) позволяет для всех пользователей заданной группы создавать унифицированную структуру каталогов.

Настройка политики

На машине ALT

Примечание: Управление каталогами в GPUI возможно, начиная с версии 0.2.17-alt5.


Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей.

Шаг 3. Запустить GPUI:

  • из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
    Запуск GPUI из ADMC
  • или с указанием каталога групповой политики:
    $ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
    
    где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Папки». В контекстном меню свободной области выбрать пункт «Новый» -> «Папки»:

GPUI. Создание новой политики «Папки»

Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:

GPUI. Диалоговое окно настройки политики «Папки» ­— вкладка «Основные настройки»

Доступные опции на вкладке «Основные настройки» («General»):

  • «Действие» — действие, которое будет выполняться для папки:
    • «Создать» — создание новой папки;
    • «Удалить» — удаление папки;
    • «Заменить» — удаление и создание папки заново. В результате выполнения действия «Заменить» содержимое существующей папки удаляется, и все существующие параметры папки перезаписываются. Если папка не существует, действие «Заменить» создает новую папку;
    • «Обновить» — изменение параметров существующей папки. Если папка не существует, то это действие создает новую папку. Это действие отличается от «Заменить» тем, что не удаляет папку, а только обновляет параметры.
  • «Путь» — путь к папке (с точки зрения клиента). Это поле может содержать переменные (не следует вводить кавычки и завершающую косую черту).
  • «Атрибуты» — атрибуты файловой системы для папки (недоступны для действия «Удалить»):
    • «Только для чтения»;
    • «Скрытый»;
    • «Архивный».
Примечание: Атрибуты «Архивный», «Скрытый» и «Только для чтения» применимы только для Windows систем.


Следующие опции доступны только для действий «Заменить» и «Удалить»:

  • «Удалить папку (если пустая)» — если включена эта опция, папка, указанная в поле «Путь», удаляется, если она пуста. Будет ли эта папка пустой, оценивается после того, как были обработаны опции «Удалить все файлы в папке(ах)» и «Рекурсивное удаление папок (если пустые)». При выборе действия «Удалить» эта опция включена по умолчанию и ее невозможно отключить;
  • «Рекурсивное удаление папок (если пустые)» — если включена эта опция, самый низкий уровень вложенных папок удаляется, если они пусты, повторяется для каждой родительской папки до достижения папки, указанной в поле «Путь». Пустые подпапки оцениваются после того, как опция «Удалить все файлы в папке(ах)» была обработана;
  • «Удалить все файлы в папке(ах)» — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция «Рекурсивное удаление папок (если пустые)», то удаляются также все файлы, которые разрешено удалять во всех подпапках;
  • «Разрешить удаление файлов/папок только для чтения» — если включена эта опция, атрибут «Только для чтения» отключается для удаляемых файлов и папок;
  • «Игнорировать ошибки для файлов/папок, которые не могут быть удалены» — если включена эта опция, подавляются любые сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. Если эта опция не включена, возвращается ошибка, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены.

GPUI. Диалоговое окно настройки предпочтения ­— вкладка «Общие»

Доступные опции на вкладке «Общие» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
  • «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
  • «Удалить элемент если больше не применим»;
  • «Описание».

На машине Windows

Шаг 1. На машине с установленным RSAT открыть «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей, для которых создаются каталоги.

Шаг 3. В контекстном меню GPO выбрать пункт «Изменить». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows» -> «Папки». В контекстном меню свободной области (или в контекстном меню пункта «Папки»), выберите «Создать» -> «Папка»:

Создание новой политики

Шаг 5. В диалоговом окне «Новые свойства папки» задайте настройки политики:

Диалоговое окно «Новые свойства папки»

Доступные опции на вкладке «Общие» («General»):

  • «Действие» — выберите действие, которое будет выполняться для папки:
    • «Создать» — создает новую папку;
    • «Удалить» — удаляет папку;
    • «Заменить» — удаляет и создает заново папку (удаляется все содержимое папки), если папка не существует, то это действие создает новую папку;
    • «Обновить» — изменяет настройки существующей папки. Если папка не существует, то это действие создает новую папку. Это действие отличается от «Заменить» тем, что не удаляет папку, а только обновляет настройки.
  • «Путь» — путь к папке (с точки зрения клиента). Это поле может содержать переменные (отобразить список доступных переменных можно, нажав F3).
  • «Атрибуты» — атрибуты файловой системы для папки (недоступны для действия «Удалить»):
    • «Только чтение»;
    • «Скрытый»;
    • «Архивация».
Примечание: Атрибуты «Архивация», «Скрытый» и «Только чтение» применимы только для Windows систем.

Следующие опции доступны только для действий «Заменить» и «Удалить»:

  • «Удалить папку (если очищена)» — если включена эта опция, папка, указанная в поле «Путь», удаляется, если она пуста. Будет ли эта папка пустой, оценивается после того, как были обработаны опции «Удалить все файлы в папках» и «Удалить все вложенные папки (если очищены)». При выборе действия «Удалить» эта опция включена по умолчанию и ее невозможно отключить;
  • «Удалить все вложенные папки (если очищены)» — если включена эта опция, самый низкий уровень вложенных папок удаляется, если они пусты, повторяется для каждой родительской папки до достижения папки, указанной в поле «Путь». Пустые подпапки оцениваются после того, как опция «Удалить все файлы в папках» была обработана;
  • «Удалить все файлы в папках» — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция «Удалить все вложенные папки (если очищены)», то удаляются также все файлы, которые разрешено удалять во всех подпапках;
  • «Разрешить удаление файлов и папок, доступных только для чтения» — если включена эта опция, атрибут «Только для чтения» отключается для удаляемых файлов и папок;
  • «Игнорировать ошибки для файлов и папок, которые не удалось удалить» — если включена эта опция, подавляются любые сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. Если эта опция не включена, возвращается ошибка, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены.

Доступные опции на вкладке «Общие параметры» («Common»):

  • «Остановить обработку элементов в этом расширении при возникновении ошибки»;
  • «Выполнять в контексте безопасности вошедшего пользователя»;
  • «Удалить этот элемент, когда он более не применяется»;
  • «Применить один раз и не применять повторно»;
  • «Нацеливание на уровень элемента».

Файл настроек политики

Все настройки политики управления каталогами хранятся в файлах:

  • {GUID GPT}/Machine/Preferences/Folders/Folders.xml
  • {GUID GPT}/User/Preferences/Folders/Folders.xml

Пример Folders.xml:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Folders clsid="{77CC39E7-3D16-4f8f-AF86-EC0BBEE2C861}">
  <Folder clsid="{07DA02F5-F9CD-4397-A550-4AE21B6B4BD3}"
          name="MyDir"
	      status="MyDir" 
	      image="2" 
	      bypassErrors="1" 
	      changed="2020-10-27 11:49:19"
	      uid="{57F41C87-4A65-4561-BFFF-4219149DCBF7}">
    <Properties action="U"
                path="%DesktopDir%\MyDir" 
                readOnly="0"
                archive="1"
                hidden="0"/>
  </Folder>
</Folders>

Спецификация Folders.xml: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/e7cdf5a4-1a3c-4bb0-95ec-8f483ae75cb9

Некоторые детали

Чтобы

  • удалить папку, только если она пуста: выбрать «Удалить папку (если пустая)» и «Разрешить удаление файлов/папок только для чтения». Чтобы предотвратить ошибку, если папка содержит файлы и не может быть удалена, выбрать пункт «Игнорировать ошибки для файлов/папок, которые не могут быть удалены»:
    GPUI. Управление каталогами — удалить каталог, только если он пуст
  • удалить папку и всё её содержимое: выбрать «Удалить папку (если пустая)», «Рекурсивное удаление папок (если пустые)», «Удалить все файлы в папке(ах)» и «Разрешить удаление файлов/папок только для чтения»:
    GPUI. Управление каталогами — удалить каталог и всё его содержимое
  • удалить все пустые подпапки в папке: выбрать «Рекурсивное удаление папок (если пустые)» и «Разрешить удаление файлов/папок только для чтения». Чтобы предотвратить ошибку, если папка содержит файлы и не может быть удалена, выбрать пункт «Игнорировать ошибки для файлов/папок, которые не могут быть удалены»:
    GPUI. Управление каталогами — удалить все пустые подкаталоги
  • удалить все файлы в папке, но не подпапки или файлы в подпапках: выбрать «Удалить все файлы в папке(ах)» и «Разрешить удаление файлов/папок только для чтения»:
    GPUI. Управление каталогами — удалить все файлы в каталоге
  • удалить все файлы и подпапки в папке: выбрать «Рекурсивное удаление папок (если пустые)», «Удалить все файлы в папке(ах)» и «Разрешить удаление файлов/папок только для чтения»:
    GPUI. Управление каталогами — удалить содержимое каталога

Ссылки

  • Подробная документация по настройке политики

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc726070(v=ws.10)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc730913(v=ws.10)

http://www.oszone.net/15484/

  • Описание атрибутов XML-файлов из GPT и XML Schema

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/e7cdf5a4-1a3c-4bb0-95ec-8f483ae75cb9