Управление групповыми политиками для работы с файлами

Назначение групповых политик для работы с файлами — загрузка файлов (например, скриптов или конфигурационных файлов) на клиентские машины под управлением ОС Linux. При назначении политики указанный файл скрипта автоматически загружается в SysVol.

Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/VGP/VTLA/Unix/Files/manifest.xml в подкаталоге соответствующего объекта GPO в SysVol. При необходимости они могут быть отредактированы в любом текстовом редакторе.

Серверное расширение (SSE) для работы с данными политиками в GPME отсутствует. Для их администрирования может использоваться только подкоманда samba-tool gpo manage files.

Клиентское расширение (CSE) копирует файлы из SysVol в целевой каталог на клиентских машинах, указанный в настройках политики. Настройки политики применяются только к целевому объекту Machine.

Добавление групповой политики для работы с файлами

Для задания настроек загрузки файлов с помощью групповой политики используется следующий формат вызова:

samba-tool gpo manage files add <gpo> <source> <target> <user> <group> <mode> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.

Также задаются:

  • путь к файлу-источник (source) на хосте, на котором выполняется подкоманда;

  • целевой каталог (target), в который должен быть помещен файл на клиентской машине;

  • атрибуты доступа (user, group, mode), которые должны быть назначены файлу в целевом каталоге.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример настройки загрузки файла скрипта на клиентские машины:

  1. Создайте скрипт. Например:

    cat test_script.sh
#!/bin/sh

echo Something is happening here at startup

  2. Выполните подкоманду:

    samba-tool gpo manage files add \
    {31B2F340-016D-11D2-945F-00C04FB984F9} \
    ./test_script.sh \
     /usr/bin/test_script.sh root root 555 \
    -U Administrator

  3. Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:

    sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Policy
=================================================================
  CSE: vgp_files_ext
  -----------------------------------------------------------
    Policy Type: VGP/Unix Settings/Files
    -----------------------------------------------------------
    [ -r-xr-xr-x root root /usr/bin/test_script.sh -> test_script.sh ]
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

  4. Обновите политики на клиентской машине:

    sudo /app/inno-samba/sbin/samba-gpupdate --force

  5. В результате применения политики указанный в настройках файл физически копируется в указанный каталог с указанными параметрами доступа:

    • для проверки атрибутов доступа скрипта выполните:

      ls -l /usr/bin/test_script.sh
-r-xr-xr-x 1 root root 45 Sep 15 12:07 /usr/bin/test_script.sh

    • для просмотра содержимого скрипта выполните:

      cat /usr/bin/test_script.sh
#!/bin/sh

echo Something is happening daily

Получение информации о групповой политике для работы с файлами

Для получения информации о настройках групповой политики, обеспечивающей загрузку файлов на клиентские машины, в SysVol используется следующий формат вызова:

samba-tool gpo manage files list <gpo> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.

Подкоманда выводит:

  • атрибуты доступа;

  • целевой каталог и имя файла;

  • исходный каталог и имя файла.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения настроек, применяемых в рамках групповой политики для загрузки файла:

samba-tool gpo manage files list \
    {31B2F340-016D-11D2-945F-00C04FB984F9} \
    -U Administrator
-r-xr-xr-x  root    root    /usr/bin/test_script.sh -> test_script.sh

Удаление групповой политики для работы с файлами

Для удаления файлов, которые должны быть скопированы из SysVol в целевые каталоги на клиентских машинах, используется следующий формат вызова:

samba-tool gpo manage files remove <gpo> <target> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall. Также указываются целевой каталог и имя файла (target).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления настроек групповой политики для загрузки файла:

samba-tool gpo manage files remove \
    {31B2F340-016D-11D2-945F-00C04FB984F9} \
    /usr/bin/test_script.sh \
    -U Administrator