Ярлык на FTP посредством GPO
В процессе разговора своих хотелок мой руководитель обмолвился, что если не удастся сделать как он видит (опять это видение), мне придется каждому ручками подключаться к доменному пользователю и прописывать подключение к FTP ресурсу посредством которого происходит обмен файлами между подрядчиком и офисом. Но вот в процессе этого обсуждения я уловил, что мне нужно как-то это автоматизировать. Еще чего, ну раз — два можно настроить вручную, а если это множество — то наше все это Автоматизация.
Исходные данные:
Hostname: srv-ftp.polygon.com
Roles:ProFTPDIP: 10.90.90.11/24
Hostname: srv-dc1.polygon.com
Roles: AD, DNS, DHCPIP: 10.90.90.3/24
Шаг №1: Вот в интернете у нас развернут ProFTPD on Ubuntu 18.04 Server, но также это может быть внутри офисной сети. Разницы особой нет.
Шаг №2: Авторизуюсь на контроллере домена с правами учетной записи вхожей в группу Domain Admins и создаю на контейнер или на весь домен групповую политику, а ограничение по безопасности указываю созданную группу посредством которой на рабочем столе пользователя будет ярлык на доступ к FTP. И ни какого ручного труда. Раз заморочимся, после будем наслаждаться.
srv-dc1
Win + X - Control panel - View by: Category - Small icons - Administrative Tools - Group Policy Management - Group Policy Management - Forest: polygon.com - Domains — и через правый клик на polygon.com выбираю меню "Create a GPO in this domain, and Link it here..."
Name: GPO: FTP_Desktop_ShortcutSource Started GPO: (none)
и нажимаю OK, изменяю нацеливание применения политики с Security Filtering на группу FTPAccess, а после на вкладке Delegation нужно обязательно добавить группу "Authenticated Users": Allowed Permissions: права на чтение. Иначе политика не будет работать.
перехожу к редактированию GPO
GPO: FTP_Desktop_Shortcut: User Configuration - Preferences - Windows Settings — и через правый клик на Shortcut выбираю New - Shortcut
вкладка General
Action: UpdateName: ftp.polygon.com (это имя ярлыка на рабочем столе)Target type: File System ObjectLocation: DesktopTarget path: %windir%\explorer.exeArguments: "ftp://ftp1:Aa1234567@10.90.90.11"Shortcut key: NoneRun: Normal Window
и нажимаю Apply - Ok
Ниже скриншот созданной групповой политики для наглядности что должно получиться:
Далее закрываем оснастку Group Policy Management
Шаг №3: Берем любую рабочую станцию, к примеру у меня это Windows 10 Pro, авторизуюсь на ней под учетной записью alektest, данная учетная запись включена в группу FTPAccess, после входа на компьютер на рабочем столе теперь ярлык на доступ к FTP ресурсу:
И вот он ярлык: Через двойной клик по нему левой кнопкой мыши открывается explorer.exe и пользователь может работать с данным ресурсом опираясь на права доступа которые я как системный администратор по заданию от своего руководителя предопределил:
У меня для данной ftp-учетной записи полные права. Так было указано в ТЗ.
На заметку: Данная заметка полностью опирается, как если бы Вам требовалось создать ярлык(и) на сетевую папку, как я это уже делал в заметке, но также можно в "Мой компьютер" добавить данные ярлык на доступ, что в процессе работы нужно будет сделать, дабы у пользователя было несколько способов открыть FTP-ресурс.
Шаг №4: Только вот пользователь может открыть свойства ярлыка и увидеть пароль. Но если на сервере сделать что только с определенного IP можно подключиться будет без разницы. Знает он пароль или нет. Средствами firewall-cmd я это сделаю на Ubuntu 18.04 Server.
На заметку: Что для каждого пользователя создавать свою GPO, т.к. доступ к FTP может быть из под разного пользователя, ну наверное да. Хотя руководитель говорил только про одного пользователя, двух и они будут под одной учетной, т.к. это один отдел.
Итого я пока подготовил почву для автоматизированной настройки подключения на рабочих местах к сервису ProFTPD если он виден пользователям, как в домене так и в глобальной сети на администрируемых ресурсах. На этом моя заметка, завершена, с уважением автор блога Олло Александр aka ekzorchik.