С помощью групповых политики можно автоматически скопировать определенные файлы и папки на все компьютеры домена. Можно поместить файлы в определенный каталог профиля пользователя или любой другой каталог на локальном диске компьютера.
С помощью GPO можно автоматически копировать и обновлять из единого репозитория различные файлы конфигурации, ini-файлы, исполняемые exe-файлы приложений, dll-библиотеки или скрипты.
Допустим, у нас есть задача – скопировать два файла (app.exe и settings.xml) на рабочий стол некоторых пользователей домена AD.
Можно автоматизировать копирование файлов на компьютеры домена с помощью логон скриптов GPO (xcopy, robocopy и т.д.), однако в Group Policy Preferences групповых политик есть достаточно простой и удобный графический способ копирования файлов и каталогов.
Прежде всего создайте сетевой каталог, в котором будут хранится исходные файлы, которые нужно скопировать на компьютеры пользователей. Это может быть, как общая папка на файловом сервере, так и каталог SYSVOL на контроллере домена (каталог автоматически реплицируется между всеми DC в домене с помощью DFS, его использовать удобно с точки зрения уменьшения нагрузки на WAN каналы). Я поместил файлы в каталог \\test.com\SYSVOL\test.com\scripts\CorpApp. Убедитесь, что у группы Authenticated Users есть права на чтение в этой папке.
1. Создайте новую группу безопасности в AD – CorpAPPUsers. Можно создать группу с помощью PowerShell командлета:New-ADGroup CorpAPPUsers -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose
Добавьте в группу пользователей, на рабочий стол которых нужно автоматически копировать файлы через GPO:Add-AdGroupMember -Identity CorpAPPUsers -Members aaivanov, bbpetrov, ausidorov
2. Запустите консоль управления политиками Group Policy Management (gpmc.msc).
3. Создайте новую объект GPO (CopyCorpApp) и назначьте его на OU, в котором находятся компьютеры пользователей.
3. Перейдите в режим редактирования GPO (Edit)
4. Разверните следующий раздел предпочтений групповых политик (Group Policy Preferences) User Configuration –> Preferences -> Windows Settings -> Files;
Если нужно скопировать файлы на все компьютеры без исключения, лучше использовать аналогичную политику в секции GPO Computer Configuration.
6. Выберите пункт New –> File
7. Укажите исходный файл в сетевом каталоге (source) и целевой каталог на компьютере, в который нужно скопировать файл.
Можно указать для копирования как конкретный файл, так и скопировать сразу все файлы из каталога, поставив *
Доступно 4 режима работы GPO копирования файлов:
- Create – файл копируется в целевой каталог, только если он в нем отсутствует;
- Replace – целевой файл на компьютере пользователя всегда заменяется исходным;
- Update (политика по умолчанию) – если файл уже существует, он не заменяется оригиналом;
- Delete – удалить целевой файл.
9. В качестве целевого каталога можно выбрать конкретную папку на компьютере, или использовать переменные окружения. Чтобы скопировать файл на рабочий стол текущего пользователя, используйте %DesktopDir%;
Полный список переменных окружения можно вывести, нажав F3.
10. Чтобы файлы копировались на рабочие столы только определенных пользователей, нужно в настройках политики перейти на вкладку Common, включить Item-Level Targeting и нажать кнопку Targetng;
11. В открывшемся окне можно выбрать дополнительные условия применения данной GPO. В нашем случае я хочу ограничить политику так, чтобы она применялась только для членов группы CorpAPPUsers. Для это нужно нажать New Item -> Security Group и выбрать доменную группу пользователей;
12. Т.к. мы назначили GPO на Organizational Unit с компьютерами (а не пользователями), нужно включить опцию замыкания GPO. В Configure user Group Policy loopback processing mode = Merge в Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy;
13. Осталось обновить политики на клиентских компьютерах (gpupdate /force или выполнить логофф/логон), и убедиться, что на рабочий стол пользователей данной группы автоматически cкопируются два файла.
Таким образом можно скопировать на компьютеры пользователей скрипты, исполняемые файлы приложений, или системные утилиты.
Можно скопировать файл в Program Files и через GPO поместить ярлык на него на рабочий стол.
Пару слов о копирование каталогов с помощью групповых политик. В GPO нет встроенной возможности скопировать целиком каталог со всем содержимым. Вместо этого можно использовать политику Computer (User) Configuration –> Preferences -> Windows Settings -> Folders, которая позволяет создать каталог на компьютере. В этом случае для копирования файлов нужно использовать рассмотренный выше сценарий.