Windows POL

Samba 3 sørger for at vi har et NT4-domene i nettet vårt. I NT4-domener kan man innføre policies, såkalte POL-filer. Dette er filer som lister opp et sett regler, eller policies, som sier noe forskjellige aspekter ved systemet - alt fra hvorvidt brukeren har lov til å skru av maskinen til bakgrunnsbilde og hvor My Documents skal peke på.

En POL-fil er et såkalt Windows Registry Hive, som i praksis er et subsett av registeret i et binærformat.

Virkemåte

Når man logger på et NT4-domene, vil Windows finne den litt magisk plasserte filen \\samba.samfundet.no\netlogon\NTConfig.POL og legge til policyene i denne filen på systemet.

Veldig kjapp HOWTO

Logg på en Windowsmaskin på domenet som Administrator, kjør m:\pol\poledit.exe - den skal være ferdig konfigurert med ADM-filer. Åpne m:\pol\NTConfig.POL. Lagre og lukk filen før du kopierer den til cassarossa:/etc/samba/netlogon/NTConfig.POL.

Redigere POL-filer

POL-filene kan lages med verktøyet poledit.exe. Det er litt halvveis vanskelig å få tak i - den nyeste utgaven ligger i Windows 2000 Service Pack 4 Network Installation, som må pakkes opp og styres litt med. Det vi er interessert i ligger i en MSI-fil på /home/cassarossa/itk/felles/windows/adminpak.msi, som er en pakke med et lass forskjellige verktøy for NT4-domener.

Når du vil redigere POL-filen vår, er det greieste å logge på en Windows-maskin som Administrator, siden vi skal bruke filer som ligger på Administrators hjemmeområde.

Det finnes et fritt program for å dumpe innholdet i et registry hive til .reg-tekstformatet, dumphive (med Debianpakker noen tydeligvis har viklet sammen). Win32::Registry::File finnes CPAN, som er litt perl for å behandle .reg-filer.

TODO: Basert på dette bør vi jo klare å i det minste lage versjonskontrollering av endringene i NTConfig.POL.

Dersom noen ønsker å plage seg selv en aften, kan de jo skrive en .reg-til-hive-oversetter, eller kanskje et bibliotek, basert på speken.

ADM-filer

poledit.exe trenger å bli fortalt hvilke aspekter (i praksis hvilke registerinnstillinger) ved et system som skal endres. Det gjøres med adm-filer.

I ~administrator/pol/active-adms/ ligger de ADM-templatene vi bruker. custom.adm og pointandprint.adm kommer fra Samba-wikien, og de inneholder en hel del nyttige policies. De øvrige kommer fra en standard Windows XP-installasjon. Om du legger til ADM-filer til policyene, sørg for at ADM-filen ligger i nevnte katalog, mappet som =m:\pol\active-adms\=. Sørg også for at ikke ADM-filene overlapper med innstillinger som allerede finnes - det blir antagelig krøll om flere ADM-templates endrer de samme registry-verdiene.

Man kan gjøre endringer for alle datamaskiner i domenet (Local Computer), alle brukere i domenet (Local User), eller legge til enkeltbokser, -brukere eller -grupper med egne instillinger.

Prodsetting av POL-filer

I ~administrator/pol ligger en NTConfig.POL - denne kan du åpne med poledit.exe (etter at du har lagt til eventuelle nye ADM-filer, se avsnittet over) og redigere på.

For å prodsette endringene, kopier filen til cassarossa:/etc/samba/netlogon/NTConfig.POL og la den være lesbar for verden. Vi burde finne på en lur måte å versjonere denne filen på. Du ønsker dog å teste policiene dine før du prodsetter dem:

Testing av POL-filer

POL-filer er litt under middels intuitive å teste. I poledit.exe kan du åpne policiene for den datamaskinen du er på i stedet for en fil: File -> Open Registry. Endringer du gjør her, vil være lokale for maskinen. Gå til Local Computer -> Network -> System policies update og huk av for Remote update. Update mode skal være Manual og Path for manual update er stien til filen du ønsker å teste. Display error messages kan også være greit å ha. OK, lukk poledit.exe, lagre, støvle, logg på domenet. Legg merke til at endringer ikke innføres før man faktisk logger på.

IKKE sett Remote update på NTConfig.POL, bare på lokale maskiner. Det blir fort krøll om alle maskinene oppdaterer POLene sine fra lokale filer i stedet for sentralt.

Det har vært observert at poledit.exe gir feilen «Unable to save the Registry: error 456432 occurred.» når en lagrer lokalt register i stedet for en fil. Observasjonene er videre at registeret blir lagret likevel.

Referanser:

Lenker: Start, windows registry-innstillinger

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2011-02-27 21:45 | Revisjon: 11 (historie, blame) | Totalt: 1888 kB | Rediger