Копирование файлов с помощью групповой политики

Обновлено: 21.11.2024

Мы можем автоматически копировать файлы или папки через GPO на все компьютеры домена.

Здесь, в Bobcare, мы видели несколько таких запросов, связанных с групповой политикой, как часть наших служб управления сервером.

Сегодня мы посмотрим, как наши инженеры службы поддержки работают с этим запросом.

Копировать файлы или папки с помощью групповых политик

Как упоминалось ранее, с помощью групповых политик мы можем размещать файлы в папке профиля пользователя или в любом каталоге на локальном диске. Мы можем автоматически копировать или обновлять различные файлы конфигурации, INI-файлы, EXE-файлы, DLL-библиотеки или скрипты из общего репозитория.

Например, чтобы скопировать два файла ( app.exe и settings.xml ) на рабочие столы некоторых пользователей домена Active Directory, мы можем автоматизировать копирование файлов на компьютеры домена с помощью сценариев входа в систему GPO (с помощью xcopy, robocopy и т. д.).

Однако наши специалисты службы поддержки предлагают довольно простой и удобный графический способ копирования файлов или папок с помощью настроек GPO.

Как скопировать содержимое папки с помощью групповой политики

Сначала мы создаем общую папку для хранения исходных файлов. Это может быть общая сетевая папка на выделенном файловом сервере или каталог SYSVOL на контроллере домена.

Кроме того, давайте сосредоточимся на следующем шаге:
  1. Создайте новую группу безопасности Active Directory — CorpAPPUsers. Мы можем создать группу с помощью командлета PowerShell:
  2. Добавить пользователей в группу:
  3. Откройте консоль управления групповыми политиками ( gpmc.msc )
  4. Создайте новый объект GPO ( CopyCorpApp ) и свяжите его с подразделением, содержащим компьютеры пользователей.
  5. Затем перейдите в режим редактирования объекта групповой политики.
  6. Разверните следующий раздел «Настройки групповой политики»: «Конфигурация пользователя» -> «Настройки» -> «Параметры Windows» -> «Файлы».
  7. Далее выберите «Создать» –> «Файл».
  8. Укажите исходный файл в общей сетевой папке и целевой каталог на целевом компьютере.
  9. Здесь доступны четыре действия для копирования файлов с помощью GPO:
    Создать — файл копируется в целевой каталог только в том случае, если файл в нем не существует.
    Заменить — целевой файл на пользователе. компьютер всегда заменяется исходным файлом
    Обновление (политика по умолчанию) — если файл уже существует, он не заменяет исходный файл
    Удалить — удаление целевого файла
  10. Чтобы скопировать файлы на рабочий стол текущего пользователя, используйте %DesktopDir%
  11. Чтобы скопировать файлы на рабочие столы определенных пользователей, откройте настройки политики > вкладка "Общие" > включите параметр "Таргетинг на уровне элементов" > "Таргетинг".
  12. Выберите дополнительные параметры применения объекта групповой политики, нажмите «Новый элемент» -> «Группа безопасности» -> «Домен, группа пользователей».
  13. Поскольку мы привязали объект групповой политики к организационному подразделению, содержащему компьютеры, режим обработки замыкания на себя объекта групповой политики должен быть включен: установите флажок «Настроить режим обработки замыкания на себя групповой политики пользователя» = «Объединить» в разделе «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система» -> Групповая политика
  14. Затем обновите параметры групповой политики на клиентских компьютерах и убедитесь, что два файла были автоматически скопированы на рабочий стол.

Как правило, с помощью этого метода мы можем копировать скрипты, исполняемые файлы приложений и т. д. на компьютеры пользователей и размещать ярлыки для них на рабочем столе с помощью GPO.

GPO не имеет встроенных функций для копирования папки со всем ее содержимым. Вместо этого мы можем использовать политику «Конфигурация компьютера (пользователя)» -> «Настройки» -> «Настройки Windows» -> «Папки», которая позволяет создать папку на целевом компьютере.

Затем выполните сценарий, описанный выше, чтобы скопировать на него файлы.

[Не удается скопировать файлы или папки через объект групповой политики? Мы здесь для вас.]

Заключение

Короче говоря, с помощью групповых политик мы можем автоматически копировать определенные файлы или папки на все компьютеры домена. Сегодня мы увидели эффективный метод, который используют наши инженеры службы поддержки.

Похожие сообщения:

ЗАЩИТИТЕ ВАШ СЕРВЕР ОТ СБОЯ!

Никогда больше не теряйте клиентов из-за низкой скорости сервера! Позвольте нам помочь вам.

Наши специалисты по серверам будут контролировать и обслуживать ваш сервер круглосуточно и без выходных, чтобы он оставался молниеносно быстрым и безопасным.

С помощью групповых политик можно автоматически копировать определенные файлы или папки на все компьютеры домена. Вы можете размещать файлы на рабочем столе, в папке профиля пользователя или в любом другом каталоге на локальном диске. Используя GPO, вы можете автоматически копировать или обновлять различные файлы конфигурации, INI-файлы, EXE-файлы, DLL-библиотеки или скрипты из общего репозитория.

Например, я хочу скопировать два файла ( app.exe и settings.xml ) на рабочие столы некоторых пользователей домена Active Directory.

Вы можете автоматизировать копирование файлов на компьютеры домена с помощью сценариев входа в систему GPO (с помощью xcopy, robocopy и т. д.). Однако существует довольно простой и удобный графический способ копирования файлов или папок с помощью настроек групповой политики.

  1. Создайте новую группу безопасности Active Directory — CorpAPPUsers. Вы можете создать группу с помощью этого командлета PowerShell: New-ADGroup CorpAPPUsers -path 'OU=Groups,OU=DE,dc=woshub,DC=com' -GroupScope Global -PassThru –Verbose Добавьте пользователей в группу, чей рабочий стол вы хотите для автоматического копирования файлов через GPO: Add-AdGroupMember -Identity CorpAPPUsers -Members asmith, bmuller, tweber
  2. Откройте консоль управления групповыми политиками ( gpmc.msc );
  3. Создайте новый объект групповой политики (CopyCorpApp) и свяжите его с подразделением, содержащим компьютеры пользователей;
  4. Перейти в режим редактирования объекта групповой политики ( Edit );
  5. Разверните следующий раздел настроек групповой политики: UserConfiguration -> Preferences -> Windows Settings -> Files;

Если вы хотите копировать файлы на все компьютеры, лучше использовать аналогичную политику в разделе «Конфигурация компьютера» объекта групповой политики.

Вы можете просмотреть полный список переменных среды, доступных в GPP, нажав F3.

С помощью этого метода вы можете копировать скрипты, исполняемые файлы приложений или системные инструменты (PsTools, iperf, Portqry и т. д.) на компьютеры пользователей. Вы можете скопировать файл в Program Files и разместить для него ярлык на рабочем столе с помощью GPO.

Хотелось бы сказать пару слов о копировании папок с помощью GPO. GPO не имеет встроенных функций для копирования папки со всем ее содержимым. Вместо этого вы можете использовать политику «Конфигурация компьютера (пользователя)» -> «Настройки» -> «Настройки Windows» -> «Папки», которая позволяет создать папку на целевом компьютере. Затем используйте сценарий, описанный выше, чтобы скопировать на него файлы.

Групповая политика очень удобна, когда вы хотите выполнять повторяющиеся скучные задачи на нескольких компьютерах, она экономит время и всегда безошибочна. Примером файлов, которые могут быть скопированы через GPO на компьютер, является файл Dll или могут быть переносимые EXE-файлы для пользователей (например, putty.exe).

Один из моих подчиненных получил задание скопировать putty.exe на все серверы Windows около 1200. Не скучно. Поэтому я предложил ему автоматизированное решение, и вот как я справился с задачей за пару минут. Я скопировал Putty.exe, чтобы поделиться папкой, и разрешения на чтение, предоставленные авторизованному пользователю в разделе «Общий доступ и безопасность». Мой общий сетевой путь — \\AD002\files.

Откройте инструмент управления групповой политикой на контроллере домена или на вашем ПК, если вы установили инструменты администрирования. Перейдите к объектам групповой политики, щелкните правой кнопкой мыши и выберите новый объект групповой политики. Дайте ему какое-нибудь имя (Copy_Putty)

Источником является расположение моего общего файла. Здесь я скопировал свой Putty.exe, и отсюда он будет скопирован в место назначения c:\windows на всех серверах.

Пришло время прикрепить политику к организационной единице, в которой находятся мои компьютеры. Перейдите в это подразделение, щелкните правой кнопкой мыши и свяжите существующий объект групповой политики.


Все готово, теперь вам нужно подождать следующие 90 минут или запустить GPupdate /force на компьютерах, вы увидите файл Putty.exe в папке C:\windows.

Здравствуйте! В этой статье я расскажу о том, как выполнять некоторые операции с файлами с помощью объектов групповой политики на наших клиентских компьютерах в среде Active Directory.

Время от времени клиентским компьютерам может потребоваться скопировать, скопировать, удалить существующий файл, заменить существующий файл новым. Также можно найти различные пакетные файлы, но с GPO более практично.

Создав новый объект групповой политики или отредактировав один из существующих объектов групповой политики, перейдите в раздел «Файлы» в разделе «Конфигурация пользователя» или «Конфигурация компьютера».

Если вы определяете его в разделе «Конфигурация компьютера», объект групповой политики применяется перед экраном Ctrl + Alt + Del при включении компьютера, если вы определяете его в разделе «Конфигурация пользователя», объект групповой политики применяется после ввода пароля пользователя. Здесь вы можете выбрать в соответствии с вашими потребностями.

GPO-использование-файловых-операций

Щелкните правой кнопкой мыши справа и выберите "Создать" > "Файл"

Окно появится ниже.

GPO-использование-файловых-операций

Действие : Действие

Исходный файл(ы): путь к нашему исходному файлу

Целевой файл: путь к нашему целевому файлу.

Подавление ошибок в отдельных действиях с файлами: мы можем отключить ошибки

Только для чтения: файл в целевом файле доступен только для чтения

Скрытый: делает файл в целевом файле конфиденциальным.

Архив. Включает атрибут Архив для файла в целевом файле.

Действие:

В действии есть 4 варианта.

  • Создать: источник также укажет файл, указанный вами в качестве места назначения.
  • Заменить: источник также заменяет указанный вами файл на файл, указанный вами в месте назначения. Другими словами, целевой файл удаляется и копируется новый.
  • Обновление. Место назначения также обновляет указанный вами файл, перезаписывая его указанным вами файлом. Если файл не существует, создайте его, действуя так же, как при создании.
  • Удалить: пункт назначения также удаляет указанный вами файл. (Не отправляет на переработку!)

Исходный файл(ы):

В исходном файле (файлах) мы должны указать, где находится наш исходный файл. Здесь мы не должны показывать локальный путь типа C:\Tmp\license.txt при проверке домена как исходный путь. Поскольку это клиентский компьютер, на котором применяется объект групповой политики, он вызовет файл C:\temp\license.txt и получит сообщение об ошибке, поскольку не может его найти. В этом разделе обычно используется файл на файловом сервере для совместного использования, указанный путь. Тем не менее, если у вас во всех ваших клиентах есть C:\tmp\lisans.txt, как вы хотите показать как файл в исходном файле, который, как вы знаете, присутствует в C:\tmp\license.txt, вы можете использовать его как. Достаточное количество клиентских компьютеров может получить доступ к этому файлу по этому пути во время применения объекта групповой политики.

Важный момент на этом этапе, если Конфигурация компьютера При подаче заявки и Источник как \\ fileserver.fabrikam.co I \ license.txt Если у вас есть способ совместного использования, как в разрешениях общего доступа и NTFS «Пользователи домена», кроме того «Всем» необходимо дать читателю полномочия. Потому что, как я уже говорил, объекты групповой политики, применяемые в разделе «Конфигурация компьютера», были реализованы до ввода пароля пользователя, поэтому аутентификация пользователя домена еще не выполнялась. Здесь клиентский компьютер попытается получить доступ к файлу в общей папке с учетной записью SYSTEM.

Целевой файл:

В разделе «Файл назначения» нам нужно указать каталог, в котором файл, указанный в «Исходный файл», должен обрабатываться на клиентских компьютерах. Это должно быть указано в имени файла, а не только в папке. Как вы можете видеть в следующем примере, исходный файл license.txt также является целевым файлом в licence.txt, который мы используем в качестве подражателя.

Если папка, указанная в пункте назначения, не существует, это произойдет автоматически при применении объекта групповой политики. Другими словами, C:\tmp\license.txt в разделе Destination File и каталог C:\temp будут созданы автоматически.

GPO-использование-файловых-операций

Использование системных переменных:

При указании исходного и конечного путей мы также можем использовать системные переменные вместо постоянных значений. Например, вы хотите скопировать файл в Source на рабочий стол пользователей. Каталог рабочего стола каждого пользователя зависит от имени пользователя.

Путь рабочего стола Honor будет C:\Users\Techsoftcenter\Desktop, а путь рабочего стола Derya будет C:\Users\Techsoft\Desktop. Что в этом случае мы будем записывать в конечные файлы? В этот момент нам на помощь приходят системные переменные.

Когда мы нажимаем клавишу F3, когда курсор находится в разделе «Файл назначения» или «Исходный файл (ы)», откроется список системных переменных. Мы можем выбрать то, что нам нужно.

GPO-использование-файловых-операций

Я только что выбрал DesktopDir для только что приведенного примера.

GPO-использование-файловых-операций

Обработка нескольких файлов

До сих пор мы сделали один файл с источником и местом назначения. Чтобы скопировать все файлы из папки, указанной в источнике, в каталог назначения, вы можете записать их следующим образом.

В этом случае все файлы из общего каталога на файловом сервере будут скопированы в каталог файлов на рабочем столе пользователя.

Удаление существующего файла

Если мы хотим удалить определенный файл на всех клиентских компьютерах, нам нужно удалить часть «Действие». Когда мы выбираем Удалить, раздел Исходный файл(ы) будет неактивен.

Таким образом, клиенты с этим объектом групповой политики будут удалены из файлов hidden.xlsx на рабочем столе пользователя.

Примеры были не очень реалистичными, но я надеюсь, что они будут полезны, когда они понадобятся вам в течение дня. Если у вас есть вопросы, вы можете задать их в разделе комментариев.

Я создаю групповую политику в папке Computer Configuration\Preferences\Windows Settings\Files для копирования шрифтов из \\FileServer\Folder\Fonts.oft в C:\Windows\Fonts\Stag-Book.oft, однако это не так. т работает.

Я выяснил, что при создании политики в разделе «Конфигурация компьютера» она будет пытаться получить доступ к общему ресурсу файлового сервера в качестве локальной учетной записи администратора. Однако эта учетная запись не имеет доступа к общему ресурсу, когда я пытаюсь использовать UNC в своих тестах. Общая папка была открыта для доступа к компьютерам домена, но, похоже, это не работает.

Мой вопрос: как заставить эту политику работать и как предоставить локальным учетным записям администраторов доступ к общим ресурсам домена?

Популярные темы в Active Directory и GPO

8 ответов

Джастин1250

  • отметить 439 лучших ответов
  • thumb_up: 859 благодарных отзывов
  • format_list_bulleted 1 Инструкции

Он должен обращаться к общему ресурсу под системной учетной записью.
Отображается ли что-нибудь в средстве просмотра событий? Должна быть запись о том, почему это не удается

Ошибка в этом журнале -

Элемент предпочтения компьютера «Администраторы (встроенные)» в объекте групповой политики «Учетная запись локального администратора» не применялся, поскольку произошел сбой с кодом ошибки «0x80070534 Не выполнено сопоставление между именами учетных записей и идентификаторами безопасности». Эта ошибка была подавлена.

ЭрикN

evanhooper написал:

Я исследовал, что когда политика создается в разделе «Конфигурация компьютера», она будет пытаться получить доступ к общему ресурсу файлового сервера в качестве локальной учетной записи администратора. Однако эта учетная запись не имеет доступа к общему ресурсу, когда я пытаюсь использовать UNC в своих тестах.Общая папка была открыта для доступа к компьютерам домена, но, похоже, это не работает.


Политика компьютера запускается как системная учетная запись на локальном компьютере, который имеет права локального администратора, но не является тем же самым. Он попадает на удаленный сервер (откуда поступают ваши файлы) как не доменная учетная запись, которая не будет распознана с помощью явных разрешений. Попробуйте ослабить разрешения на общий ресурс, чтобы позволить группе «все» читать, и убедитесь, что ваши разрешения NTFS и общий доступ разрешают это.

Это то, что я пробовал, но, кажется, что-то упускаю. В этом примере я предоставил доступ как «Всем», так и «Компьютерам домена» как в разрешениях NTFS, так и в общем доступе, но я все еще не могу получить доступ. Как обычно рекомендуется предоставлять учетной записи локального администратора доступ к общему ресурсу домена?

ЭрикN

Какие еще параметры настроены в этом объекте групповой политики? Код ошибки, который вы указали выше, вероятно, больше связан с чем-то другим, чем с доступом к общему ресурсу. Вы должны увидеть что-то в журнале приложений целевого компьютера о «файле не найдено», если это реальная проблема.

Вот снимок экрана с моей политикой шрифтов, однако я не уверен, что виновата политика, потому что, если я войду в систему как локальная учетная запись администратора и попытаюсь вручную выполнить UNC для общего доступа к файлам, мне будет отказано в доступе. Так что, если я не могу получить к нему доступ, войдя в систему как системная учетная запись, политика тоже не должна работать правильно?

Я читал, что если вы хотите, чтобы локальные учетные записи получили доступ к общим сетевым ресурсам домена, вам нужно было создать локальное имя пользователя на сервере, где сетевой общий ресурс был с тем же именем пользователя и паролем, чтобы аутентификация проходила.< бр />

ЭрикN

Вход в систему в качестве локального администратора отличается от входа в систему в качестве системной учетной записи (чего вы на самом деле не можете сделать). Однако, если вы не можете получить доступ к общему ресурсу в качестве локального администратора, это, вероятно, по той же причине, что и GPO/системная учетная запись не может получить к нему доступ.

Ваши разрешения кажутся правильными, но если бы «все» действительно имели доступ для чтения, вы могли бы скопировать файл из любой учетной записи/компьютера, который может видеть общую папку сервера.

Читайте также: