групповая политика

Появилась задача по массовой установке программы на все компьютеры. Для этого было решено использовать стандартные возможности Active Directory и групповую политику. Настройка политики в части установки программного обеспечения не дала результата для Windows XP, поэтому пришлось решать возникшую проблему.

Далее...

Порядок подключения к Active Directory.

Если вкратце описать процесс, то:

  1. Компьютер:
    • получает IP-адрес по DHCP или имеет статический
    • определяет сайт и контроллер домена
    • ( _ldap._tcp.dc._msdcs.DnsDomanName и _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.DnsDomanName)

    • установка защищённого канала с контроллером домена
    • аутентификация Керберос и создание защищённого канала
    • получение списка DFS-ссылок
    • трансляция имени в идентификатор (сопоставление имён)
    • запрос данных о LDAP RootDSE
    • поиск групповой политики
    • загрузка политики по SMB
    • автоматическая подача заявки на клиентский сертификат
    • синхронизация времени
    • динамическое обновление имени в DNS
    • завершение процесса подключения

  2. Пользователь:
    • запрос и получение ключей Керберос, установка сессии
    • загрузка политики
    • завершение процесса подключения

В связи с заменой главного доменного сервера пришлось сменить корневой центр сертификации. Перед понижением старого главного контроллера домена до роли рядового сервера система потребовала удалить с него центр сертификации, что и было сделано. Сертификатом этого корневого центра был подписан сертификат центра сертификации для дочернего домена. После удаления корневого центра перестали приниматься и сертификаты, выданные пользователям вторым центром сертификации. Не работали USB-ключи eToken для входа в Windows. После установки на новом главном контроллере домена корневого центра сертификации была предпринята попытка получить новый сертификат для центра сертификации дочернего домена. Она была неудачной, видимо по причине того, что запрос сертификата выполнял не администратор предприятия, администратор дочернего домена. После выполнения запроса сертификата администратором предприятия, он был получен, однако сертификаты, полученные пользователями не воспринимались.

Далее...

На Windows 2000:

secedit /refreshpolicy machine_policy /enforce

На Windows Server 2003 и Windows XP:

gpupdate /force

На контроллере домена появилась проблема:

Event ID: 1058
Source Userenv
Type Error
Description Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=<domain name>,DC=com. The file must be present at the location < \\<domain name>\sysvol\</domain><domain name>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (<error description>.). Group Policy processing aborted. </error></domain>
Далее...

Приложение LogonScripter автоматизирует рутинные действия по созданию сценариев входа пользователей (Logon) в домен для большого количества серверов, групп пользователей.

Далее...

для настроенных на обновление с WSUS компьютеров (Windows XP) можно с помощью команд:

gpupdate /force
wuauclt /detectnow