Встановлення MyChat в мережі під управлінням Active Directory
У статті використовується Windows Server 2008 R2. В інших версіях серверної ОС всі описані дії виконуються аналогічним чином, можуть бути невеликі відмінності в інтерфейсі операційної системи.
1. Підготування групової політики
Всі налаштування Групової Політики (ГП) будуть виконуватись у "Диспетчері сервера".
Для початку відкрийте домен або піддомен, у якому відбуватиметься встановлення чату. Для цього розкрийте розділи:
"Компоненти" — "Управління груповою політикою" — "Ліс: (назва вашого лісу)" — "Домени" — "назва домену, де проводитиметься установка".
Відкрийте контекстне меню на назві вашого домену і виберіть пункт "Створити об'єкт GPO...", дайте назву ГП, наприклад MyChat.
Тепер потрібно налаштувати щойно створену ГП, у контекстному меню обираєте пункт "Змінити":
2. Налаштування групової політики для автоматичного розгортання пакета
У відкритому "Редакторі управління груповими політиками" будемо налаштовувати "Конфігурацію користувача".
Зараз трохи відволічемося від налаштування Групової Політики, редактор не потрібно закривати.
Увага! Перед тим як продовжити налаштовувати, розташуйте пакет mcclient.msi на загальнодоступному мережевому ресурсі, куди можна зайти із будь-якого комп'ютера, де буде встановлено чат. Наприклад, на самому контролері домену, створіть папку MyChat_msi і відкрийте до неї спільний доступ по мережі. До неї скопіюйте файл mcclient.msi.
Тепер знову повернемось до налаштування ДП. Для розгортання MSI потрібно створити пакет установки, зайдіть в "Конфігурація користувача" — "Політики" - "Конфігурація програм" — "Установка програм". У правій частині в контекстному меню виберіть "Створити" — "Пакет...":
У діалоговому вікні вибору пакета вкажіть шлях до мережі mcclient.msi, це дуже важливо. Після того як ви оберете пакет, система запропонує вам варіант розгортання пакета, виберіть пункт "призначений":
Тепер у списку пакетів з'явився MyChat Client. У контекстному меню пакета відкрийте властивості та перейдіть до розділу "Розгортання":
Встановіть галочку навпроти пункту "Встановлювати цю програму при вході в систему", щоб пакет автоматично був встановлений після авторизації користувача в системі.
Звичайно, доменні користувачі обмежені в правах на встановлення програмного забезпечення (чат можна встановити як в "Program Files" так і у профіль користувача — залежить від типу пакета MSI), тому йому необхідно підвищити права на момент встановлення. Зайдіть в "Конфігурацію користувача" - "Політики" — "Адміністративні шаблони" — "Компоненти Windows" — "Інсталятор Windows" і вмикаємо правило "Завжди встановлювати з підвищеними правами" (аналогічне правило необхідно встановити і в "Конфігурації комп'ютера"):
Увага! Якщо при встановленні у вас виникне на клієнтських комп'ютерах помилка №108 "Система групової політики повинна викликати розширення в синхронному, не фоновому режимі оновлення", вам потрібно встановити додаткове правило, що дозволяє уникнути такої помилки. Вам потрібно встановити синхронний режим застосування політик, для цього відкрийте: "Конфігурація комп'ютера" — "Політики" - "Адміністративні шаблони" — "Система" — "Вхід у систему", далі увімкніть параметр "Завжди чекати на мережу при запуску та вході в систему" .
3. Прозора авторизація користувача в домені та налаштування сценарію для автоматичного запуску клієнта чату
Чат повинен знати, куди підключатися, тому йому потрібно про це якось повідомити. Інформацію про домен (назву та IP адресу) він шукає в локальному реєстрі.
Щоб автоматично додати запис до реєстру клієнтів, створіть логін-скрипт, який буде виконуватися при авторизації користувача в системі.
В каталозі сервера є шаблон файлу реєстра mcdomain.reg:
C:\Program Files (x86)\MyChat Server\doc\ActiveDirectory\mcdomain.reg
Зміст файлу:
REGEDIT4
[HKEY_CURRENT_USER\Software\MyChat Client]
"Domain" = "Domain_name"
"IP" = "IP_address_MyChat_Server"
"Port" = "PORT_MyChat_Server"
"AlternateIP" = "IP_address_MyChat_Server2"
"AlternatePort" = "PORT_MyChat_Server2"
"ServerPassword" = ""
"Secured"=""
Domain — ім'я домену, до якого повинен підключатися клієнт чату;
IP — адреса сервера (IPv4) чату;
Port — TCP порт для підключення користувачів (стандартно: 2004);
AlternateIP — альтернативна (резервна) адреса сервера (IPv4) чату;
AlternatePort — TCP порт для підключення користувачів (стандартно: 2004) для альтернативного сервера;
ServerPassword — пароль до сервера для захисту від публічного доступу, за стандартом не використовується (не плутати з паролем користувача);
Secured — "1", якщо потрібно використовувати шифрування трафіку при підключенні до сервера.
Заповніть ці поля та скопіюйте файл mcdomain.reg в загальнодоступну мережеву папку, де вже лежить пакет для встановлення — mcclient.msi.
Тепер поглянемо на зміст логін-скрипта mcscript.cmd (шаблон в папці C:\Program Files (x86)\MyChat Server\doc\ActiveDirectory\) :
regedit.exe /s \\[SERVER_NAME]\[SHARED_FOLDER]\mcdomain.reg
SERVER_NAME — мережеве ім'я (Host) або IP адреса сервера;
SHARED_FOLDER — ім'я загальнодоступної мережевої папки, де знаходяться файли mcdomain.reg (папка \SHARED_FOLDER не повинна бути прихованою);
regedit.exe /s — ключ "/s" призначений для запису даних в реєстр без питань (не показується діалогове вікно).
Файл mcscript.cmd скопіюйте в каталог для логін-скриптів:
\\[Server_name]\SysVol\[Domain_name]\Policies\[CLSID]\User\Scripts\Logon\
Наприклад:
\\W2008\SYSVOL\NSS\Policies\{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D}\User\Scripts\Logon\
параметри рядка:
W2008 — мережеве ім'я сервера;
NSS — ім'я домену;
{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} — CLUID групової политики, що налаштовується.
Після того як ви підготуєте файли mcdomain.reg і mcscript.cmd зайдіть в редакторі ГП в "Конфигурація користувача" — "Політики" — "Конфігурація Windows" — "Сценарії входу/виходу із системи", далі відкрийте пункт "Вхід в систему" та додайте сценарій mcscript.cmd, вказавши мережевий шлях до нього.
Увага! Зазвичай, коли ви відкриваєте менеджер логін-скриптів в редакторі ГП і натискаєте кнопку "Огляд" (4), автоматично відкриваєте каталог, де система буде шукати цей скрипт. Можна скопіювати шлях і використати для копіювання скрипту mcscript.cmd.
4. Налаштування підрозділів користувачів
ГП для розгортання чату клієнта в корпоративній мережі готова.
Тепер потрібно зв'язати цю ГП з одним або декількома підрозділами користувачів Active Directory, які користуватимуться чатом.
У прикладі створимо підрозділ для користувачів MyChat, а потім зв'яжемо його з підготовленою груповою політикою:
Далі прив'язуємо групову політику з підрозділом, вибираємо потрібний підрозділ та пов'язуємо його з ГП MyChat:
Оскільки кожна нова групова політика не прив'язана до жодного підрозділу, вона поширюється на весь домен. Відкриваємо ГП MyChat та вимикаємо (або видаляємо) зв'язок між нашою груповою політикою та коренем домену:
Закриваємо редактор групової політики MyChat та диспетчер сервера.
В командному рядку виконайте команду "GPUPDATE /FORCE" для негайного застосування створеної ГП.
Користувачі, які входять до підрозділів цієї ГП, після перезавантаження при оновленні політики виконають умови встановлення та налаштування MyChat Client.
5. Імпорт користувачів із Active Directory в MyChat
Імпорт користувачів можна виконати двома способами:
6. Встановлення і налаштування служби AD LDS. Необов'язковий крок
Увага! Це необов'язковий крок.
MyChat підключається до домену за протоколом LDAP для отримання списку користувачів Active Directory та інформації про них.
Для цього є спеціальна служба AD LDS. Якщо ви не знаєте що це таке, думаю, найкраще звернутися до Вікіпедії — стаття про LDAP на Wikipedia.
Службу AD LDS можна встановити в "Диспетчері сервера" в разделе "Роли":
У майстрі встановлення нових ролей сервера виберіть "Служби Active Directory полегшеного доступу до каталогів".
Після закінчення встановлення служби, відкрийте її:
У розділі "Зведення" буде сказано, що не встановлено жодного екземпляра AD LDS, натискаємо посилання "Клацніть тут, щоб створити екземпляр AD LDS".
Далі слідуємо крокам майстра встановлення служби AD LDS.
Перший крок, задаємо ім'я службі:
Другий крок, створюємо унікальний екземпляр служби AD LDS:
На кроці "Порти" вам буде запропоновано вибрати порти, на яких працюватиме ваша служба AD LDS, якщо служба полегшеного доступу до каталогу Active Directory встановлена безпосередньо на контролері домену, майстер установки запропонує порти 50000 для LDAP та 50001 для SSL. Стандартні стандартні порти в цьому випадку не можуть використовуватися, оскільки служба Active Directory їх зайняла.
Наступний крок "Створення розділу каталогу програм для цього екземпляра AD LDS", виберіть перший пункт "Ні, не створювати розділ каталогу програм":
На кроці "облікового запису служби" вибираємо перший пункт "Обліковий запис мережевої служби":
Далі вибираємо обліковий запис або групу, яка матиме адміністративні дозволи для нашого екземпляра AD LDS, я вибираю поточного користувача "Адміністратор":
На останньому кроці "імпорт LDIF-файлів" обираємо файл налаштування служби AD LDS – файл "MS-User.LDF":
На цьому ми закінчили налаштування служби полегшеного доступу AD LDS до каталогу Active Directory.