Групповые политики/Управление каталогами: различия между версиями

Эта групповая политика позволяет для всех пользователей заданной группы создавать унифицированную структуру каталогов

Настройка политики

На машине ALT

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей.

Шаг 3. Запустить GPUI:

• из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:

  

• или с указанием каталога групповой политики:

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{2DB82FD5-96DF-49E3-9E69-959056CA482A}"

где dc.test.alt – имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Настройки» -> «Настройки системы» -> «Папки». В контекстном меню свободной области выбрать пункт «Новый» -> «Папки»:

Шаг 5. В диалоговом окне «Диалог настроек» задать настройки политики:

Доступные опции на вкладке «Основные настройки» («General»):

• «Действие» — действие, которое будет выполняться для папки:
  • «Создать» — создание новой папки;
  • «Удалить» — удаление папки;
  • «Заменить» — удаление и создание папки заново. В результате выполнения действия «Заменить» содержимое существующей папки удаляется, и все существующие параметры папки перезаписываются. Если папка не существует, действие «Заменить» создает новую папку;
  • «Обновить» — изменение параметров существующей папки. Если папка не существует, то это действие создает новую папку. Это действие отличается от «Заменить» тем, что не удаляет папку, а только обновляет параметры.
• «Путь» — путь к папке (с точки зрения клиента). Это поле может содержать переменные (не следует вводить кавычки и завершающую косую черту).
• «Атрибуты» — атрибуты файловой системы для папки (недоступны для действия «Удалить»):
  • «Только для чтения»;
  • «Скрытый»;
  • «Архивный».

Следующие опции доступны только для действий «Заменить» и «Удалить»:

• «Удалить папку (если пустая)» — если включена эта опция, папка, указанная в поле «Путь», удаляется, если она пуста. Будет ли эта папка пустой, оценивается после того, как были обработаны опции «Удалить все файлы в папке(ах)» и «Рекурсивное удаление папок (если пустые)». При выборе действия «Удалить» эта опция включена по умолчанию и ее невозможно отключить;
• «Рекурсивное удаление папок (если пустые)» — если включена эта опция, самый низкий уровень вложенных папок удаляется, если они пусты, повторяется для каждой родительской папки до достижения папки, указанной в поле «Путь». Пустые подпапки оцениваются после того, как опция «Удалить все файлы в папке(ах)» была обработана;
• «Удалить все файлы в папке(ах)» — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция «Рекурсивное удаление папок (если пустые)», то удаляются также все файлы, которые разрешено удалять во всех подпапках;
• «Разрешить удаление файлов/папок только для чтения» — если включена эта опция, атрибут «Только для чтения» отключается для удаляемых файлов и папок;
• «Игнорировать ошибки для файлов/папок, которые не могут быть удалены» — если включена эта опция, подавляются любые сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. Если эта опция не включена, возвращается ошибка, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены.

Доступные опции на вкладке «Общие» («Common»):

• «Остановить обработку элементов в этом расширении при возникновении ошибки» — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
• «Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик)»;
• «Удалить элемент если больше не применим»;
• «Применить только один раз»;
• «Выбор элементов»;
• «Описание».

На машине Windows

Шаг 1. На машине с установленным RSAT открыть «Управление групповыми политиками».

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей, для которых создаются каталоги.

Шаг 3. В контекстном меню GPO, выберите пункт «Изменить». Откроется редактор GPO.

Шаг 4. Перейдите в «Конфигурация компьютера» или «Конфигурация пользователя» -> «Настройка» -> «Конфигурация Windows». В контекстном меню свободной области (или в контекстном меню пункта «Папки»), выберите «Создать» -> «Папка»:

Шаг 5. В диалоговом окне «Новые свойства папки» задайте настройки политики:

Доступные опции на вкладке «Общие» («General»):

• «Действие» — выберите действие, которое будет выполняться для папки:
  • «Создать» — создает новую папку;
  • «Удалить» — удаляет папку;
  • «Заменить» — удаляет и создает заново папку (удаляется все содержимое папки), если папка не существует, то это действие создает новую папку;
  • «Обновить» — изменяет настройки существующей папки. Если папка не существует, то это действие создает новую папку. Это действие отличается от «Заменить» тем, что не удаляет папку, а только обновляет настройки.
• «Путь» — путь к папке (с точки зрения клиента). Это поле может содержать переменные.
• «Атрибуты» — атрибуты файловой системы для папки (недоступны для действия «Удалить»):
  • «Только чтение»;
  • «Скрытый»;
  • «Архивация».

Следующие опции доступны только для действий «Заменить» и «Удалить»:

• «Удалить папку (если очищена)» — если включена эта опция, папка, указанная в поле «Путь», удаляется, если она пуста. Будет ли эта папка пустой, оценивается после того, как были обработаны опции «Удалить все файлы в папках» и «Удалить все вложенные папки (если очищены)». При выборе действия «Удалить» эта опция включена по умолчанию и ее невозможно отключить;
• «Удалить все вложенные папки (если очищены)» — если включена эта опция, самый низкий уровень вложенных папок удаляется, если они пусты, повторяется для каждой родительской папки до достижения папки, указанной в поле «Путь». Пустые подпапки оцениваются после того, как опция «Удалить все файлы в папках» была обработана;
• «Удалить все файлы в папках» — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция «Удалить все вложенные папки (если очищены)», то удаляются также все файлы, которые разрешено удалять во всех подпапках;
• «Разрешить удаление файлов и папок, доступных только для чтения» — если включена эта опция, атрибут «Только для чтения» отключается для удаляемых файлов и папок;
• «Игнорировать ошибки для файлов и папок, которые не удалось удалить» — если включена эта опция, подавляются любые сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. Если эта опция не включена, возвращается ошибка, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены.

Доступные опции на вкладке «Общие параметры» («Common»):

• «Остановить обработку элементов в этом расширении при возникновении ошибки»;
• «Выполнять в контексте безопасности вошедшего пользователя»;
• «Удалить этот элемент, когда он более не применяется»;
• «Применить один раз и не применять повторно»;
• «Нацеливание на уровень элемента».

Файл настроек политики

Все настройки политики для управления каталогами хранятся в:

• {GUID GPT}/Machine/Preferences/Folders/Folders.xml
• {GUID GPT}/User/Preferences/Folders/Folders.xml

Пример Folders.xml:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Folders clsid="{77CC39E7-3D16-4f8f-AF86-EC0BBEE2C861}">
  <Folder clsid="{07DA02F5-F9CD-4397-A550-4AE21B6B4BD3}"
          name="MyDir"
	      status="MyDir" 
	      image="2" 
	      bypassErrors="1" 
	      changed="2020-10-27 11:49:19"
	      uid="{57F41C87-4A65-4561-BFFF-4219149DCBF7}">
    <Properties action="U"
                path="%DesktopDir%\MyDir" 
                readOnly="0"
                archive="1"
                hidden="0"/>
  </Folder>
</Folders>

Спецификация Folders.xml: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/e7cdf5a4-1a3c-4bb0-95ec-8f483ae75cb9

Некоторые детали

Чтобы

• удалить папку, только если она пуста: выберите «Удалить папку (если очищена)» и «Разрешить удаление файлов и папок, доступных только для чтения». Чтобы предотвратить ошибку, если папка содержит файлы и не может быть удалена, выберите «Игнорировать ошибки для файлов и папок, которые не удалось удалить»;

• удалить папку и все файлы и подпапки в ней: выберите «Удалить папку (если очищена)», «Удалить все вложенные папки (если очищены)», «Удалить все файлы в папках» и «Разрешить удаление файлов и папок, доступных только для чтения»;

• удалить все пустые подпапки в папке: выберите «Удалить все вложенные папки (если очищены)» и «Разрешить удаление файлов и папок, доступных только для чтения». Чтобы предотвратить ошибку, если папка содержит файлы и не может быть удалена, выберите «Игнорировать ошибки для файлов и папок, которые не удалось удалить»;

• удалить все файлы в папке, но не подпапки или файлы в подпапках: выберите «Удалить все файлы в папках» и «Разрешить удаление файлов и папок, доступных только для чтения»;

• удалить все файлы и подпапки в папке: выберите «Удалить все вложенные папки (если очищены)», «Удалить все файлы в папках» и «Разрешить удаление файлов и папок, доступных только для чтения».

Ссылки

• Подробная документация по настройке политики

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc726070(v=ws.10)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc730913(v=ws.10)

http://www.oszone.net/15484/

• Описание атрибутов XML-файлов из GPT и XML Schema

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/e7cdf5a4-1a3c-4bb0-95ec-8f483ae75cb9