Установка MyChat в сети под управлением Active Directory
В статье используется Windows Server 2008 R2. В других версиях серверной ОС все описанные действия выполняются аналогичным образом, могут быть только небольшие различия в интерфейсе операционной системы.
- Подготовка групповой политики
- Настройка групповой политики для автоматического развертывания пакета
- Прозрачная авторизация пользователя в домене и настройка сценария для автоматического запуска клиента чата
- Настройка подразделений пользователей
- Импорт пользователей из Active Directory в MyChat
- Установка и настройка службы AD LDS. Необязательный шаг
1. Подготовка групповой политики
Вся настройка Групповой Политики (ГП) будет делаться в "Диспетчере сервера".
Для начала откройте домен или поддомен, в котором будет происходить установка чата. Для этого раскройте разделы:
"Компоненты" — "Управление групповой политикой" — "Лес: (название вашего леса)" — "Домены" — "название домена, где будет производиться установка".
Откройте контекстное меню на названии вашего домена и выберите пункт "Создать объект GPO...", дайте название ГП, например "MyChat".
Теперь нужно настроить только что созданную ГП, в контекстном меню вы берите пункт "Изменить":
2. Настройка групповой политики для автоматического развертывания пакета
В открывшемся "Редакторе управления групповыми политиками" будем настраивать "Конфигурацию пользователя".
Сейчас немного отвлечемся от настройки Групповой Политики, редактор не нужно закрывать.
Внимание! Перед тем как продолжим настраивать ГП, расположите пакет mcclient.msi на общедоступном сетевом ресурсе, куда можно зайти с любого компьютера, где будет установлен чат. Например на самом контроллере домена, создайте папку "MyChat_msi" и откройте к ней общий доступ по сети. В нее скопируйте файл mcclient.msi.
Теперь опять вернемся к настройке ГП. Для развертывания MSI нужно создать пакет установки, зайдите в "Конфигурация пользователя" — "Политики" — "Конфигурация программ" — "Установка программ". В правой части в контекстном меню выберите "Создать" — "Пакет...":
В диалоговом окне выбора пакета укажите Сетевой путь к пакету mcclient.msi, это очень важно. После того как вы выберите пакет, система предложит вам вариант развертывания пакета, выберите пункт "назначенный":
Теперь в списке пакетов появился MyChat Client. В контекстном меню пакета откройте свойства и перейдите в раздел "Развертывание":
Установите галочку напротив пункта "Устанавливать это приложение при входе в систему", чтобы пакет автоматически был установлен после авторизации пользователя в системе.
Естественно, доменные пользователи ограничены в правах на установку программного обеспечения (чат может устанавливаться как в профиль пользователя, так и в папку "Program Files" зависит от типа MSI-пакета), поэтому ему необходимо повысить права на момент установки. Зайдите в "Конфигурацию пользователя" — "Политики" — "Административные шаблоны" — "Компоненты Windows" — "Установщик Windows" и включаем правило "Всегда устанавливать с повышенными правами" (аналогичное правило необходимо установить и в "Конфигурации компьютера"):
Внимание! Если при установке у вас возникнет на клиентских компьютерах ошибка №108 "Система групповой политики должна вызывать расширения в синхронном, не фоновом режиме обновления", вам нужно установить дополнительное правило, позволяющее избежать возникновению такой ошибки. Вам нужно установить синхронный режим применения политик, для этого откройте: "Конфигурация компьютера" — "Политики" — "Административные шаблоны" — "Система" — "Вход в систему", далее включите параметр "Всегда ждать сеть при запуске и входе в систему".
3. Прозрачная авторизация пользователя в домене и настройка сценария для автоматического запуска клиента чата
Чат должен знать куда подключаться, поэтому ему нужно об этом как-то сообщить. Информацию о домене (название и IP адрес) он ищет в локальном реестре.
Чтобы автоматически добавить запись в реестр клиентов, создайте "логин-скрипт", который будет выполнятся при авторизации пользователя в системе.
В каталоге сервера есть шаблон файла реестра mcdomain.reg:
C:\Program Files (x86)\MyChat Server\doc\ActiveDirectory\mcdomain.reg
Содержимое файла:
REGEDIT4
[HKEY_CURRENT_USER\Software\MyChat Client]
"Domain" = "Domain_name"
"IP" = "IP_address_MyChat_Server"
"Port" = "PORT_MyChat_Server"
"AlternateIP" = "IP_address_MyChat_Server2"
"AlternatePort" = "PORT_MyChat_Server2"
"ServerPassword" = ""
"Secured"=""
Domain — имя домена, к которому должен подключаться клиент чата;
IP — адрес сервера (IPv4) чата;
Port — TCP порт для подключения пользователей (по умолчанию: 2004);
AlternateIP — альтернативный (резервный) адрес сервера (IPv4) чата;
AlternatePort — TCP порт для подключения пользователей (по умолчанию: 2004) для альтернативного сервера;
ServerPassword — пароль к серверу для защиты от публичного доступа, по умолчанию не используется (не путать с паролем пользователя);
Secured — "1", если нужно использовать шифрование трафика при подключении к серверу.
Заполните эти поля и скопируйте файл mcdomain.reg в общедоступную сетевую папку, где уже лежит установочный пакет mcclient.msi.
Теперь посмотрим на содержимое логин-скрипта mcscript.cmd (шаблон в папке C:\Program Files (x86)\MyChat Server\doc\ActiveDirectory\) :
regedit.exe /s \\[SERVER_NAME]\[SHARED_FOLDER]\mcdomain.reg
SERVER_NAME — сетевое имя (Host) или IP адрес сервера;
SHARED_FOLDER — имя общедоступной сетевой папки, где находятся файлы mcdomain.reg (папка \SHARED_FOLDER не должна быть скрытой);
regedit.exe /s — ключ "/s" предназначен для записи данных в реестр без вопросов (не показывается диалоговое окно).
Файл mcscript.cmd скопируйте в каталог для логин-скриптов:
\\[Server_name]\SysVol\[Domain_name]\Policies\[CLSID]\User\Scripts\Logon\
Например:
\\W2008\SYSVOL\NSS\Policies\{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D}\User\Scripts\Logon\
параметры строки:
W2008 — сетевое имя сервера;
NSS — имя домена;
{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} — CLUID настраиваемой групповой политики.
После того как вы подготовите файлы mcdomain.reg и mcscript.cmd зайдите в редакторе ГП в "Конфигурация пользователя" — "Политики" — "Конфигурация Windows" — "Сценарии входа /выхода из системы", далее откройте пункт "Вход в систему" и добавьте сценарий mcscript.cmd, указав сетевой путь к нему.
Внимание! Обычно, когда вы открываете менеджер логин-скриптов в редакторе ГП и нажимаете кнопку "Обзор" (4), автоматически открывается каталог, где система будет искать этот скрипт. Можно скопировать путь и использовать для копирования скрипта mcscript.cmd.
4. Настройка подразделений пользователей
ГП для развертывания клиента чата в корпоративной сети готова.
Теперь нужно связать эту ГП с одним или несколькими подразделениями пользователей Active Directory, которые будут пользоваться чатом.
В примере создадим подразделение для пользователей MyChat, а потом свяжем его с подготовленной групповой политикой:
Далее привязываем групповую политику с подразделением, выбираем нужное подразделение и связываем его с ГП MyChat:
Так как каждая новая групповая политика не привязана ни к одному подразделению — она распространяется на весь домен. Открываем ГП MyChat и выключаем (или удаляем) связь между нашей групповой политикой и корнем домена:
Закрываем редактор групповой политики MyChat и диспетчер сервера.
В командной строке выполните команду "GPUPDATE /FORCE" для немедленного применения созданной ГП.
Пользователи, которые входят в подразделения с данной ГП, после перезагрузки при обновлении политики выполнят условия установки и настройки MyChat Client.
5. Импорт пользователей из Active Directory в MyChat
Импорт пользователей можно выполнить двумя способами:
6. Установка и настройка службы AD LDS. Необязательный шаг
Внимание! Это необязательный шаг.
MyChat подключается к домену по протоколу LDAP для получения списка пользователей Active Directory и информации о них.
Для этого есть специальный служба AD LDS. Статья про LDAP на Wikipedia.
Службу AD LDS можно установить в "Диспетчере сервера" в разделе "Роли":
В мастере установки новых ролей сервера выберите "Службы Active Directory облегченного доступа к каталогам".
После окончания установки службы, откройте ее:
В разделе "Сводка" будет сказано, что не установлено ни одного экземпляра службы AD LDS, нажимаем ссылку "Щелкните здесь, чтобы создать экземпляр AD LDS".
Далее следуем шагам мастера установки службы AD LDS.
Первый шаг, задаем имя службе:
Второй шаг, создаем уникальный экземпляр службы AD LDS:
На шаге "Порты" вам будет предложено выбрать порты, на которых будет работать ваша служба AD LDS, если служба облегченного доступа к каталогу Active Directory установлена непосредственно на контроллере домена, мастер установки предложит порты 50000 для LDAP и 50001 для SSL. Стандартные порты по умолчанию в данном случае использоваться не могут, так как служба Active Directory их заняла.
Следующий шаг "Создание раздела каталога приложений для этого экземпляра AD LDS", выберите первый пункт "Нет, не создавать раздела каталога приложений":
На шаге "учетной записи службы" выбираем первый пункт "Учетную запись сетевой службы":
Далее выбираем учетную запись или группу, которая будет иметь административные разрешения для нашего экземпляра AD LDS, я выбираю текущего пользователя "Администратор":
На последнем шаге "импорт LDIF-файлов" выбираем файл настройки службы AD LDS – файл "MS-User.LDF":
На этом мы закончили настройку службы облегченного доступа AD LDS к каталогу Active Directory.