Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Керівництво по встановленню та налагодженню MyChat в корпоративної мережі за допомогою групових політик Active Directory в Windows 2008 R2

  1. 1. Підготовка і створення Груповий Політики
  2. 2. Налаштування нової Груповий Політики «MyChat»
  3. 3. Прозора авторизація: настройка сценарію автозапуску клієнтських комп'ютерів
  4. 4. Зв'язка підготовленої групової політики MyChat з підрозділами користувачів
  5. 5. Налаштування служби AL LDS для віддаленого доступу до каталогу Active Directory по протоколу LDAP...
  6. 6. Налаштування MyChat Server: отримання списку користувачів каталогу Active Directory
  7. Імпорт користувачів безпосередньо з каталогу Active Directory по протоколу LDAP
  8. Імпорт користувачів з файлу
  9. 7. Метод відновлення MyChat клієнта при виході нової версії

Щодо встановлення MyChat сервера і розгортання клієнта чату в мережі підприємства під управлінням Active Directory. У цій статті я покажу, як встановити MyChat Client в серверній Windows 2008R2, фактично це оновлення старої статті « Установка і оновлення MyChat в Active Directory за допомогою MSI ».

Сам принцип розгортання MyChat в Windows 2008 не сильно відрізняється від методу розгортання в Windows 2003, яка використовувалася в попередній статті, але інтерфейс і оснащення Windows 2008 серверної операційної системи значно відрізняється від Windows 2003.

В результаті встановлені клієнти чату будуть використовувати "прозору" авторизацію на сервері MyChat. Це означає, що клієнти будуть підключатися до сервера, не вимагаючи введення логіна і пароля, автоматично, використовуючи авторизацію в Active Directory.

Тепер розглянемо кроки цього завдання детальніше:

  1. Підготовка та створення Груповий Політики
  2. Налаштування нової Груповий Політики «MyChat»
  3. Прозора авторизація: настройка сценарію автозапуску клієнтських комп'ютерів
  4. Зв'язка підготовленої групової політики MyChat з підрозділами користувачів
  5. Налаштування служби AL LDS для віддаленого доступу до каталогу Active Directory по протоколу LDAP (не обов'язково крок)
  6. Налаштування MyChat Server: отримання списку користувачів каталогу Active Directory
  7. Метод відновлення MyChat клієнта при виході нової версії

1. Підготовка і створення Груповий Політики

У даній статті я спробую більш детально описати всі кроки з розгортання MyChat в Active Directory. Почнемо з того, що створимо Групову Політику (далі ДП) для управління розгортання MyChat в корпоративної мережі вашої компанії.

Всі дії будуть проводитися в «Диспетчері сервера».

Зайдіть в «Компоненти» - «Управління груповою політикою» - «Ліс: (ваш домен)» - «Домени» - «(Ім'я вашого домену)» і в контекстному меню вибираємо пункт «Створити об'єкт GPO в цьому домені і зв'язати його ...» і створюємо нове правило. Називаємо його, наприклад, «MyChat», щоб точно ідентифікувати цю ДП.

Отже, у нас є ДП, яке ми зараз будемо налаштовувати для автоматичного розгортання чату в мережі. У контекстному меню ДП виберіть пункт «змінити»:

2. Налаштування нової Груповий Політики «MyChat»

Тепер у нас відкрилася оснащення «Редактор управління груповими політиками», в якій можна налаштувати правила ДП для комп'ютерів або для користувачів. Ми будемо налаштовувати конфігурацію користувача, можливо, було б правильніше налаштовувати конфігурацію комп'ютера, але я вважаю, що конфігурація користувача більш універсальна і гарантує правильну роботу програми.

Для довідки:

  • Конфігурація комп'ютера призначена для настройки параметрів комп'ютера. У цьому вузлі розташовані параметри, які застосовуються до комп'ютера, незважаючи на те, під який обліковим записом користувач увійшов в систему. Ці параметри застосовуються при запуску операційної системи і оновлюються у фоновому режимі кожні 90-120 хвилин.
  • Конфігурація користувача призначена для налаштувань параметрів користувачів. Параметри, які знаходяться в цьому вузлі, застосовуються при вході конкретного користувача в систему. Так само, як і параметри, розташовані у вузлі конфігурації комп'ютера, параметри, розташовані у вузлі конфігурації користувача оновлюються у фоновому режимі кожні 90-120 хвилин.

Тепер додамо в це ДП інсталяційний MSI пакет MyChat. Для цього заходимо в «Політики» - «Конфігурація програм» - «Установка програм»:

Викликаємо контекстне меню і створюємо новий пакет. У діалоговому вікні вибору інсталяційного MSI пакета необхідно вказати шлях до спільного мережного ресурсу, де розташований файл MCCLIENT.MSI.

Пакет обов'язково повинен розташовуватися на загальнодоступному мережевому ресурсі, інакше користувачі при виконанні інструкцій ГП не зможуть завантажити і встановити підготовлений MSI пакет.

Після того як ви виберете інсталяційний пакет вам буде запропоновано метод розгортання його на клієнтські комп'ютери - вибираємо пункт «призначений»:

Тепер додамо опцію для автоматичної установки програми при авторизації, для цього зайдемо в властивість пакету MyChat Client закладку «Розгортання» і відзначимо пункт «Встановити це додаток при вході в систему».

Далі, для можливості розгортання програми користувачам з обмеженими правами по установці програмного забезпечення, необхідно тимчасово підвищити права для інсталяції. Заходимо в «Конфігурацію користувача» - «Політики» - «Адміністративні шаблони» - «Компоненти Windows» - «інсталятор Windows» і включаємо правило «Завжди встановлювати з підвищеними правами»:

Заходимо в «Конфігурацію користувача» - «Політики» - «Адміністративні шаблони» - «Компоненти Windows» - «інсталятор Windows» і включаємо правило «Завжди встановлювати з підвищеними правами»:

Також, відключаємо автоматичну подачу сертифіката. Для цього заходимо в «Політики» - «Конфігурація Windows» - «Параметри безпеки» - «Політики відкритого ключа» і відключаємо правило «Клієнт служб сертифікації: автоматична подача заявок» (навіть, якщо там стоїть «модель конфігурації» - «не спостерігається» все одно відключаємо):

Ця установка актуальна для версій молодше 5.0

Якщо у вас ще багато старих ОС Windows XP, чат може не встановиться, а в системному журналі ви побачите помилку: Система групової політики повинна викликати розширення в синхронному, що не фоновому режимі оновлення.

Вам знадобиться встановити синхронний режим застосування політик. За замовчуванням в Windows XP стоїть асинхронний режим і політики застосовуються в фоновому режимі вже після того, як користувач увійшов в систему. Як виявилося, дана проблема може спостерігатися навіть на нових системах, тому, якщо у вас виникає 108 помилка при застосуванні політики на клієнтських машинах - встановлюйте це правило.

Щоб поміняти його потрібно змінити параметр:

«Конфігурація комп'ютера» - «Політики» - «Адміністративні шаблони» - «Система» - «Вхід в систему» ​​- «Завжди чекати мережу при запуску і вході в систему» ​​- «Включити»

«Конфігурація комп'ютера» - «Політики» - «Адміністративні шаблони» - «Система» - «Вхід в систему» ​​- «Завжди чекати мережу при запуску і вході в систему» ​​- «Включити»

3. Прозора авторизація: настройка сценарію автозапуску клієнтських комп'ютерів

З налаштуванням політик для коректного розгортання ми закінчили. Тепер чат буде встановлено всім призначеним користувачам, але встановлений клієнт чату не знає, які параметри підключення повинні бути, для підключення до вашого сервера чату. Адже сервер чату не обов'язково повинен бути встановлений на контролер домену, він може працювати на будь-якому сервері в корпоративній мережі.

MyChat клієнт визначає, куди йому потрібно підключатися по запису в системному реєстрі. Ця запис до реєстру робиться через сценарій, який запускається під час авторизації користувача в системі.

Викладаємо на загальнодоступний мережевий ресурс, де розташований інсталяційний пакет MCCLIENT.MSI, файл MCDOMAIN.REG.

Відкрийте його будь-яким текстовим редактором, вміст файлу:

REGEDIT4 [HKEY_CURRENT_USER \ Software \ MyChat Client] "Domain" = "Domain_name" "IP" = "IP_adress_MyChat_Server" "Port" = "PORT_MyChat_Server" "ServerPassword" = ""

Domain - ім'я домену, до якого повинен підключатися клієнт чату;
IP - адреса сервера (IPv4) чату;
Port - порт для підключення користувачів;
ServerPassword - пароль до сервера для захисту від публічного доступу, за замовчуванням не використовується ( не плутати з паролем користувача ).

Тепер необхідно налаштувати завантаження MCDOMAIN.REG на клієнтські комп'ютери. Цю операцію можна виконати декількома способами, але ми будемо розглядати тільки один - через логін-скрипт (сценарій входу / виходу).

Наступним кроком створюємо логін-скрипт MCSCRIPT.CMD, його необхідно розмістити в папці:

\\ [Server_name] \ SysVol \ [Domain_name] \ Policies \ [CLSID] \ User \ Scripts \ Logon \

приклад:

\\ W2008 \ SYSVOL \ NSS \ Policies \ {4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} \ User \ Scripts \ Logon \ mcscript.cmd

параметри рядка:

W2008 - мережеве ім'я сервера;
NSS - ім'я домену;
{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} - CLUID настроюється групової політики.

Розглянемо вміст логін-скрипта:

regedit.exe / s \\ [SERVER_NAME] \ [SHARED_FOLDER] \ mcdomain.reg

де:

SERVER_NAME - мережеве (NetBIOS) ім'я IP-адреса сервера
SHARED_FOLDER - ім'я загальнодоступною мережевого каталогу, де знаходяться файли MyChat (MCDOMAIN.REG);
regedit.exe / s - ключ "/ s" призначений для запису даних в реєстр без питань (не відображається діалогове вікно з питанням).

Отже, у нас є логін-скрипт для користувачів. Пропишемо цей логін-скрипт в завантаження підготовленої ДП, заходимо в «Політики» - «Конфігурація Windows» - «Сценарії входу / виходу з системи» та відкриваємо правило «Вхід в систему», натискаємо кнопку «Додати» і у вікні додавання скрипта тиснемо « огляд ».

Пропишемо цей логін-скрипт в завантаження підготовленої ДП, заходимо в «Політики» - «Конфігурація Windows» - «Сценарії входу / виходу з системи» та відкриваємо правило «Вхід в систему», натискаємо кнопку «Додати» і у вікні додавання скрипта тиснемо « огляд »

У діалоговому вікні вибору файлу вибираємо створений раніше файл MCSCRIPT.CMD. Логін-скрипт для користувачів - готовий.

4. Зв'язка підготовленої групової політики MyChat з підрозділами користувачів

На цьому ми закінчили створення ДП для розгортання клієнта чату в корпоративній мережі. Але цього ще не досить, тепер необхідно пов'язати цю ДП з одним або декількома підрозділами користувачів Active Directory, які будуть користуватися чатом.

У прикладі створимо підрозділ для користувачів MyChat, а потім вже зв'яжемо його з підготовленою груповою політикою:

У прикладі створимо підрозділ для користувачів MyChat, а потім вже зв'яжемо його з підготовленою груповою політикою:

Тепер прив'язуємо групову політику з підрозділом, вибираємо потрібний підрозділ в «Управлінні груповою політикою» і пов'язуємо його з ДП MyChat:

Тепер прив'язуємо групову політику з підрозділом, вибираємо потрібний підрозділ в «Управлінні груповою політикою» і пов'язуємо його з ДП MyChat:

Так як кожна нова групова політика не прив'язана спочатку до жодного підрозділу - вона прив'язана до всього домену. Тому відкриваємо ДП MyChat і вимикаємо (або видаляємо) зв'язок між нашою груповою політикою і коренем домену:

Тому відкриваємо ДП MyChat і вимикаємо (або видаляємо) зв'язок між нашою груповою політикою і коренем домену:

Тепер можна сміливо закривати редактор групової політики MyChat і диспетчер сервера, а в командному рядку виконуємо команду «GPUPDATE / FORCE» для негайного застосування створеної нами ДП. Користувачі, які входять в підрозділи з даної ДП після перезавантаження при оновленні політики виконають умови установки і настройки MyChat Client.

На цьому етапі ми закінчили установку чату в корпоративної мережі під управлінням Active Directory.

5. Налаштування служби AL LDS для віддаленого доступу до каталогу Active Directory по протоколу LDAP (не обов'язково крок)

MyChat має можливість взаємодії з каталогом Active Directory по протоколу LDAP. Якщо ви не знаєте що це таке, думаю, найкраще звернутися до Вікіпедії - стаття про LDAP на Wikipedia .

За допомогою протоколу LDAP сервера MyChat має можливість зв'язатися з вашим контролером домену та імпортувати список користувачів. Але найчастіше служба AD LDS, що дозволяє звертатися до сервера по протоколу LDAP, не встановлена, тому розглянемо її встановлення та налаштування.

У диспетчері сервера відкриваємо контекстне меню на гілці «Ролі» і вибираємо «Додати ролі»:

І в майстра установки нових ролей сервера виберете «Служби Active Directory полегшеного доступу до каталогів».

Після того як встановіть службу полегшеного доступу AD LDS, відкрийте її. У розділі «Зведення» буде сказано, що не встановлено жодного примірника служби AD LDS, натискаємо посилання "Натисніть тут, щоб створити екземпляр AD LDS»:

Якщо ж у вас була встановлена ​​служба полегшеного доступу AD LDS, в розділі «Додаткові інструменти» натисніть - «Майстер установки служби AD LDS»:

Далі прямуємо кроків майстра установки служби AD LDS.

Перший крок, задаємо ім'я службі:

Перший крок, задаємо ім'я службі:

Другий крок, створюємо унікальний екземпляр служби AD LDS:

Другий крок, створюємо унікальний екземпляр служби AD LDS:

На кроці «Порти» вам буде запропоновано вибрати порти, на яких буде працювати ваша служба AD LDS, якщо служба полегшеного доступу до каталогу Active Directory встановлена ​​безпосередньо на контролері домену, майстер установки запропонує порти 50000 для LDAP і 50001 для SSL. Стандартні порти за замовчуванням в даному випадку використовуватися не можуть, так як служба Active Directory їх зайняла.

Стандартні порти за замовчуванням в даному випадку використовуватися не можуть, так як служба Active Directory їх зайняла

Наступний крок «Створення розділу каталогу додатків для цього примірника AD LDS», виберете перший пункт «Ні, не створювати розділу каталогу додатків»:

Наступний крок «Створення розділу каталогу додатків для цього примірника AD LDS», виберете перший пункт «Ні, не створювати розділу каталогу додатків»:

На кроці «облікового запису служби» вибираємо перший пункт «Облікову запис мережевої служби»:

На кроці «облікового запису служби» вибираємо перший пункт «Облікову запис мережевої служби»:

Далі вибираємо обліковий запис або групу, яка буде мати адміністративні дозволу для нашого екземпляра AD LDS, я вибираю поточного користувача «Адміністратор»:

Далі вибираємо обліковий запис або групу, яка буде мати адміністративні дозволу для нашого екземпляра AD LDS, я вибираю поточного користувача «Адміністратор»:

На останньому кроці «імпорт LDIF-файлів» вибираємо файл настройки служби AD LDS - файл «MS-User.LDF»:

LDF»:

На цьому ми закінчили конфігурувати службу полегшеного доступу AD LDS до каталогу Active Directory.

6. Налаштування MyChat Server: отримання списку користувачів каталогу Active Directory

УВАГА! Якщо ви використовуєте версію 5.15 або вище - то вам потрібно продовжити установку по опису в онлайн-довідці .


Головна мета проведених вище операцій - це підготовка до імпорту необхідних користувачів з каталогу Active Directory в MyChat. Імпортуються не тільки логіни, а й вся доступна довідкова інформація (прізвище, ім'я, робочий телефон, мобільний телефон, відділ, офіс, назва організації, E-mail і інші доступні дані).

В MyChat імпортувати користувачів можна двома способами:

  1. Імпорт користувачів безпосередньо з каталогу Active Directory по протоколу LDAP
  2. Імпорт користувачів з файлу

Імпорт користувачів безпосередньо з каталогу Active Directory по протоколу LDAP

Розглянемо детально перший спосіб імпорту користувачів - безпосередньо з Active Directory по протоколу LDAP. Сервер MyChat може бути встановлений на будь-якому комп'ютері в мережі компанії, головне - доступ до сервера з налагодженою службою AD LDS.

В MyChat сервері заходимо в «Управління» і відкриваємо розділ «Інтеграція з Active Directory». У методі імпорту користувачів вибираємо перший пункт «З контролера домену (LDAP)».

Заповнюємо поля необхідні для підключення до Active Directory і тиснемо «Імпорт»:

Як показано на скріншоті, в лівій частині відображається список користувачів, отриманих з каталогу. Тепер їх можна виділити і імпортувати в сервер, для цього відзначте потрібних користувачів, натисніть кнопку, яка відокремлює потрібних користувачів для імпорту (зелена стрілочка вправо), і натисніть «Імпорт користувачів в MyChat».

УВАГА! У версіях MyChat Server до версії 4.12 включно не підтримуються логіни для отримання списку користувачів в кирилиці (російськими буквами "адміністратор"), це ж стосується і паролів, якщо в паролі або логін є російські літери - результат буде нульовим. Отримання списку користувачів, з використанням кириличних логінів і паролів, можливо з версії сервера 4.13 і вище.


Імпорт користувачів з файлу

Тепер звернемо увагу на другий спосіб отримання списку користувачів Active Directory - «З файлу».

Цей спосіб більш універсальний і гнучкий.

Метод отримання користувачів Active Directory з файлу, також розіб'ємо на два простих кроки, для кращого розуміння:

  1. Створюємо файл зі списком доменних користувачів

    Для цього заходимо в каталог, де встановлено сервер чату і знаходимо файл export_ad_users_ru.cmd, якщо сервер встановили в каталог за замовчуванням, ви знайдете його в C: \ Program Files \ MyChatServer \ doc \ ActiveDirectory \.

    Цей скрипт експортує всіх користувачів Active Directory рядком «dsquery user -name * -limit 0 | dsget user -samid -fn -mi -ln -display -office -tel -email -hometel -pager -mobile -fax -iptel -webpg -title -dept -company -mgr -hmdir> users.ad ».

    Опис полів, які імпортуються з ActiveDirectory:

    samid - логін; fn - ім'я; mi - ініціали, не імпортується; ln - прізвище; display - не імпортується; office - номер робочої кімнати, офісу; tel - робочий номер телефону (основний); email - електронна пошта; hometel - домашній номер телефону; pager - номер пейджера; mobile - номер мобільного телефону; fax - факс; iptel - номер IP телефону, не імпортується; webpg - домашня web-сторінка; title - посаду; dept - підрозділ, відділ; company - назва компанії; mgr - не імпортується; hmdir - не імпортується.

    Гнучкість цього способу полягає в тому, що ви можете самостійно налаштувати умови експорту списку користувачів з Active Directory.

    Ви можете налаштувати цей скрипт під себе, наприклад, експортувати користувачів тільки з певних підрозділів. Для цього ознайомтеся з довідковою інформацією по модулях dsquery і dsget .

  2. Після виконання сценарію export_ad_users_ru.cmd ви отримуєте файл users.ad, цей файл і буде імпортовано в сервер MyChat:

    Такими нескладними способами ви отримаєте користувачів домену.

7. Метод відновлення MyChat клієнта при виході нової версії

На закінчення статті розглянемо метод оновлення MyChat клієнтів за допомогою ДП.

В першу чергу необхідно видалити попередній інсталяційний пакет з Груповий Політики - зайдіть в «Редактор управління груповими політиками» і видаліть існуючий пакет. У діалоговому вікні видалення виберіть пункт «Негайне видалення цього додатка з комп'ютерів всіх користувачів».

Не турбуйтеся, будуть видалені тільки виконувані файли програми, історія та налаштування програми не будуть видалені.

Після того як ви видалите старий пакет - додайте повторно нову версію клієнта чату, як було описано на початку статті.

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.