Archiwa gpo - cancer's blog

Windows Server + GPO + LogIN/OFF Script + XCOPY Incremental Backup

Bartosz Maciejewski17 stycznia, 201229 lutego, 2012

W du?ym przedsi?biorstwie zadbanie o backup serwerów i stacji roboczych to do?? istotne przedsi?wzi?cie. U?ytkownicy raczej nie s? ?wiadomi, ?e powinni robi? kopie tego co wa?ne. Po czym wnosz?? Po prawie 4 latach pracy jako Admin w du?ej korpo, na palcach jednej r?ki mog? policzy? osoby które zapyta?y si?, jak lub gdzie maj? zgrywa? swoje dane lub poprosi?y o kupno np dysku USB. Zatem dbamy. Serwery opisz? kiedy indziej – rsync, tar, certyfikaty do ssh, mt – raczej s? znane i stosowane, dodatkowo mo?na zastosowa? bonding do zwi?kszenia transferu, ale o tym jak ju? pisa?em – kiedy indziej.

Dzisiaj prosty sposób na u?ycie polityk Windows Serwera do kopiowania plików u?ytkowników na zdalny storage w mieszanym ?rodowisku Windows 7 i Windows XP.

Co to b?dzie robi?o:
– rozpoznaje jakiego u?ywamy Windowsa :)
– rozpoznaje czy katalog z nazw? u?ytkownika jest ju? stworzony , je?li nie – tworzy.
– w katalogach u?ytkownika dzieli na podkatalogi „dokumenty” i „pulpit” aby nie by?o ba?aganu.
– wy??cza potwierdzenia kopiowania plików na istniej?ce pliki
– kopiuje tak?e pliki ukryte
– po pierwszym kopiowaniu nadpisuje tylko te które si? zmieni?y lub dodaje nowe.

Skrypt BAT wygl?da tak:

IF EXIST %userprofile%\Documents GOTO BackupWin7


:BackupWinXP
	IF EXIST \\storage\data\%username% GOTO TylkoKopia

	mkdir \\storage\data\%username%

	xcopy  /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d

	:TylkoKopia

	xcopy  /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d

	Goto EOF
:BackupWin7

	IF EXIST \\storage\data\%username% GOTO TylkoKopia7

	mkdir \\storage\data\%username%

	xcopy  /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d

	:TylkoKopia7

	xcopy  /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d

	xcopy  /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d

	Goto EOF

:EOF

Zdalna lokalizacja to oczywi?cie storage – trzeba dopisa? swój serwer lub IP gdzie ma si? kopiowa?, lub dopisa? do swojego DNS’a IP do maszyny która b?dzie nazywa? si? storage.

/Y – wy??cza promptowanie o potwierdzenie nadpisania pliku
/D – bez podania czasu dzia?a jak incremental backup

Pierwszy IF EXIST na podstawie katalogu Documents sprawdza czy u?ywamy Windows XP czy 7. Nast?pnie w odpowiednich blokach IF EXIST sprawdza czy jest na serwerze storage katalog z nazw? u?ytkownika, je?li nie ma tworzy j? i zaczyna kopiowanie. Je?li jest, po prostu zaczyna kopiowanie.

Skrypt nale?y zapisa? na serwerze w miejscu dla login lub logoff skryptów (odpowiedni katalog otworzy si? przy dodawaniu skryptu do GPO).

W zale?no?ci od potrzeb podczepiamy skrypt na logowanie lub wylogowywanie. Przy wylogowywaniu backup nast?puje zaraz po zako?czeniu pracy. Je?li u?ytkownik u?ywa komputera stacjonarnego to jest to najlepsza opcja, wy??cza komputer, idzie do domu, komputer kopiuje to co trzeba i si? wy??cza. Gorzej je?li to laptop i u?ytkownik chce go zabra? i musi czeka?, wtedy lepiej da? skrypt jako login. Skrypt odpali si? jednocze?nie z logowaniem i b?dzie dzia?a? w tle umo?liwiaj?c prac?. Mo?na doda? @echo off na pocz?tku aby nie by?o widoczne stado lataj?cych plików :)

Implementacja na Windows Serwer:

1. gpmc.msc
2. Wybieramy odpowiednie OU
3. Prawy klawisz na OU – Create And Link GPO Here…
4. Nadajemy nazw?
5. Prawym klawiszem na nazwie
6. Edit
7. Wybieramy User Configuration
8. Wybieramy Windows Settings
9. Wybieramy Scripts(Login/Logoff)
10. Dwa razy klikamy na wybranym skrypcie (login lub logoff)
11. W Logon lub Logoff Properties Wybieramy Add..
12. Wybieramy Browse.. i wybieramy skrypt do wykonania. (Je?li go nie ma to w?a?nie w tej lokalizacji ma si? znale?? – trzeba go tam wkopiowa?).
13. OK i zamykamy edycj? GPO.
14. W shellu uaktualniamy polityki – gpupdate /force

Próbujemy si? wylogowa? lub zalogowa?, efektem powinny by? katalogi u?ytkowników na zdalnym storageu.

root@storage:/data/samba# ll razem 44 drwxrwxrwx 10 root root 4096 2012-01-17 14:12 ./ drwxr-xr-x 7 root root 4096 2012-01-12 21:42 ../ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:08 user1/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user2/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 12:59 user3/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:56 user4/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:05 user5/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user6/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:06 user7/ drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:12 user8/

Po ci??kim dniu pracy, je?li storage wyposa?ony jest w streamer mo?na ca?y katalog /data/samba nagra? jako gotowy dzienny backup.
Do skryptu oczywi?cie mo?na dopisa? dodatkowe katalogi w/g potrzeb.
Raz na jaki? czas (np. miesi?c)warto skasowa? ca?? zawarto?? backupu, aby wykona? si? pe?en backup, poniewa? skrypt nie kasuje plików które by?y lokalnie, ale ju? ich nie ma.

Job / Praca

Przydatne MSI dla Admina

Bartosz Maciejewski26 maja, 200929 maja, 2009

Dzisiaj do?o?y?em siódm? pozycj? do GPO instaluj?cego oprogramowanie na stacjach roboczych. Po d?ugich poszukiwaniach i problemach zwi?zanych z zrobieniem dzia?aj?cego msi z Adobe Readera, zdecydowa?em si? na Foxit Readera.

Ca?a lista jak na razie przedstawia si? nast?puj?co:

1. Mozilla Firefox 3.0.8 PL – nie ma oficjalnej paczki, ale na tej stronie s? dzia?aj?ce msi w kilku j?zykach.

2. Mozilla Thunderbird 2.0.0.17 – tak?e nie ma oficjalnej paczki, znalaz?em na jakim? forum, którego teraz nie mog? odszuka?, dlatego tu jest lokalny mirror. Polecam je?li musicie w kólko biega? do Outlooków wszelakich i kompaktowa? lub gimnastykowa? si? z plikiem poczty ponad 2 GB :)

3. CD Burner XP – Darmowy, w pe?ni funkcjonalny program do nagrywania CD/DVD. Dost?p do nagrywarki dla zwyk?ego u?ytkownika bez dziwactw w stylu Nero Burning Rights. Paczka MSI od producenta.

4. Eset Nod 32 Business Edition – Firmowy Antywirus z zaimplementowan? konfiguracj? (user, has?o oraz lokalny serwer do aktualizacji). Jedyny komercyjny produkt w zestawie. Producent daje MSI ora zinstrukcje jak zaimplementowa? dane do aktualizacji w paczce. Mo?na tak?e wysy?a? „go?y” program i konfigurowa? go z serwera. Bardzo polecam. Najwa?niejsze, ?e jest ultra lekki nawet na gorszych konfigach.

5. OCS-NG – Klient inwentaryzacyjny. Tutaj paczki MSI nie ma, ale na stronie jest prosty opis jak go zainstalowa? Login skryptem.

6. 7-zip – Darmowy – w pe?ni funkcjonalny program do obs?ugi wszelakich archiwów.

7. Foxit Reader – lekki, szybki czytacz PDF.

Mam nadzieje, ?e komu? lista si? przyda. Wszelkie uzupe?nie listy tak?e mile widziane w komentarzach :)

Fun

Z cyklu „Dziwny jest ten Windows”

Bartosz Maciejewski10 kwietnia, 200910 kwietnia, 2009

Dwa kwiatki z ostatnich dni. Najpierw windows do mnie przemówi? po nie dzia?aj?cym pingu:

Cokolwiek mia?oby to znaczy? niestety nie chcia?o si? powtórzy?, wi?c zagadka pozostaje nierozwi?zana. Ktokolwiek zna Jenny?

Druga rzecz z gatunku „Wszystko dobre co si? dobrze ko?czy” GPO od instalacji Firefoxa na stacjach zg?osi?o b??d – Instalacja zako?czona sukcesem :)

Microsoft – Supply entertainment since 1985 ;)

Job / Praca

Zmiana nazwy komputerów z AD

Bartosz Maciejewski10 kwietnia, 200810 kwietnia, 2008

Pewnie ka?dy administrator, staje z czasem przed problemem, ?e w sieci ma totalny ba?agan jesli chodzi o nazwy hostów, zw?aszcza jak komputery przyje?d?aj? preinstalowane. Ja tak?e postanowi?em zrobi? sobie porz?dek poniewa? w?a?nie przygotowuje sieciowy backup i nie chce jako nazwy klientów podawa? IP, które jest z DHCP, poza tym wybieranie klientów do restore lub backupu po IP to utrudnienie a nie u?atwienie. Dlatego te? komputery b?d? nazywa?y si? tak jak pracuj?cy na nich userzy. Tutaj zaczynaj? si? schody, poniewa? w Active Directory gdzie figuruj? wszystkie komputery nie ma mo?liwo?ci zmiany ich nazwy. Mo?na zarz?dza? wszystkim co tylko mamy pod Zarz?dzaj po klikni?ciu prawym na Mój Komputer, no ale nazwy jednak zmieni? nie mo?na. Nie jest tak ?le i mo?na sobie oszcz?dzi? biegania od komputera do komputera jednak przy pomocy dwóch programów i jednego skryptu. Po pierwsze potrzebujemy PsTools oraz wsname.

Na koniec, potrzebujemy skrypt (nazwij go dowolnie np changer.cmd)

@echo off if "%1" EQU "" GOTO SHOWSYNTAX if "%2" EQU "" GOTO SHOWSYNTAX if "%3" EQU "" GOTO SHOWSYNTAX if "%4" EQU "" GOTO SHOWSYNTAX

if not exist wsname.exe GOTO SHOWSYNTAX if not exist psexec.exe GOTO SHOWSYNTAX

if /i "%5" EQU "REBOOT" ( SET REBOOT=Y ) ELSE ( SET REBOOT=N )

echo Connecting net use \\%1\ipc$ > NUL if NOT ERRORLEVEL == 0 GOTO NETERROR

echo Copying WSNAME locally COPY WSNAME.EXE \\%1\C$ > NUL

echo Launching WSNAME PSEXEC \\%1 C:\WSNAME.EXE /N:%2 /RCID /USER:%3 /PASS:%4 if "%ERRORLEVEL%" NEQ "0" SET REBOOT=N
echo Tidying Up DEL \\%1\C$\WSNAME.EXE

echo Disconnecting net use \\%1\ipc$ /d > NUL

if "%REBOOT%" EQU "Y" ( echo Rebooting '%2' so new the name will take effect shutdown /m \\%1 /r /f /c "Rebooting so new name will take effect" )

GOTO END

:NETERROR echo. echo ERROR: Could not connect to %1 echo. GOTO END

:SHOWSYNTAX echo. echo Remote Rename in Domain echo. Syntax: RemoteName "device existing name" "new name" "userid" "password" [REBOOT] echo. echo. Requires PSEXEC.EXE and WSNAME.EXE echo. echo. Get PSEXEC from www.sysinternals.com echo. echo.

:END SET REBOOT=

Wrzucamy wszystko do jednego katalogu, wchodzimy do shella (cmd) i piszemy (b?d?c w katalogu ze skryptem i programami):

changer 10.1.0.50 JanKowalski DOMENA/Administrator haslo [reboot]

changer – to nazwa naszego skryptu

10.1.0.50 – adres komputera docelowego (mo?e by? te? nazwa NetBIOSowa)

JanKowalski – nowa nazwa komputera

DOMENA/Administrator – u?ytkownik z prawami do zmiany nazwy (gdy komputery s? w domenie to mamy u?atwione zadanie poniewa? wystarczy Administrator domeny dla ka?dego komputera, je?li nie to có?, mam nadzieje, ?e znasz has?a ka?dego komputera ;)

haslo – has?o u?ytkownika DOMENA/Administrator

[reboot] – wymuszenie restartu aby zmiany odnios?y skutek

Napewno b??dem, który napotkasz b?dzie jednak nie dzia?anie tego rozwi?zania z powodu zapory Windowsowej. Znowu w domenie mo?na za?atwi? to przez GPO, bez domeny pozostaje bieganie do komputerów.

Wy??czamy zapor? stosuj?c nast?puj?ce GPO:

i podpinamy do komputerów, których ma dotyczy?.

Nastepnie czekamy, a? polityki si? od?wie?? lub odpalamy gpupdate /force .

Jesli maszyna zacznie odpowiadac na pingi to mo?emy zacz?? zabawe ze zmianami nazw :)

Job / Praca

Firefox przez Active Directory

Bartosz Maciejewski2 kwietnia, 200810 kwietnia, 2008

Ha! Od dzisiaj ka?dy w firmie ma zainstalowanego Firefoxa. Przy pomocy Active Directory i GPO nie jest to oczywi?cie trudne do osi?gni?cia, ale trzeba wybudowa? sobie paczki *.msi poniewa? *.exe nie nadaj? si? do „deploymentu” (bardzo podoba mi si? to s?owo :) jest polski odpowiednik deploy?). Jak narazie moje próby znalezienia darmowego programu, który by dzia?a? i poprawnie budowa? msi spe?z?y na niczym. Ale z Firefoxem jest troch? pro?ciej. Na stronie http://www.frontmotion.com/Firefox/ istniej? gotowe paczki, które instaluj? si? bez problemu, co wa?ne s? wszystkie najwa?niejsze lokalizacje, co równie? jest mi na r?k? z uwagi na wieloj?zykowo?? firmy. Zainstalowa?em 2.0.0.12, a dzisiaj pisz?c t? notk? ju? jest 2.0.0.13 wi?c dzia?aj? ca?kiem szybko. Pozostaje czeka? tylko na kolejnych szcz??liwszych u?ytkowników Internetu :)

P.S. Czy kiedykolwiek pomy?leli?cie, ?e logo Firefoxa ukazuje „p?on?c? kul? ziemsk?”? Niektóre osoby z ca?? stanowczo?ci? w?a?nie tak u mnie twierdzi?y i dopiero po wys?aniu im loga FF 500×500 zmieni?y zdanie (przekona? je nos, ?apy i uszy liska ;)