Архив

Archive for 14.12.2009

Как присоединить доменный компьютер к HomeGroup


В данной статье предлагаю рассмотреть интересный, на мой взгляд,, вопрос : как присоединить в Домашнюю группу (HomeGroup) компьютер под управлением Windows 7, который является членом домена.  Это бывает нужно, если мы работаем на этом компьютере и дома и на работе, а для обмена документами и прочим не хочется пользоваться сменными носителями. Если есть сеть, то почему ей не воспользоваться ??? 🙂

В настоящее время все чаще настольные компьютеры в крупных компаниях заменяют на мобильные  — ноутбуки. Часто случается, что сотрудники компаний, когда не успевают закончить работу берут домой свои мобильные компьютеры. Однако, в  большинстве компаний ноутбуки подключаются к корпоративному домену. Это позволяет системным администраторам компании управлять и обслуживать эти компьютеры. На подключенные к домену ноутбуки, как правило, налагается гораздо более серьезные ограничения, чем на домашние компьютеры. Учитывая тот факт, что все больше и больше пользователей работают из дома, разработчики Windows 7 позаботаились о возможности включения рабочего компьютера в  HomeGroup. В Windows 7 Ваш подключенный к домену компьютер может стать полноценным участником HomeGroup. Это позволит просматривать дома на рабочем ноутбуке ТВ-программы через Widows Media Centre, слушать музыку и смотреть видео через Windows Media Mlayer или печатать документы на принтере, подключенном к одному из компьютеров HomeGroup. Доступ к сети осуществляется с помощью того же ключа, которым пользуются и другие пользователи домашней сети.

Единственное ограничение в использовании рабочего ноутбука дома будет в том, что  доступ к конфиденциальному контенту, расположенному на жестком диске ноутбука, никогда не будет разделен с другими членами HomeGroup. Т.е., подключенный к домену рабочий ноутбук сможет видеть и использовать все общие ресурсы домашней сети, но ни один из компьютеров домашней сети не сможет видеть его.  Данная мера безопасности предотвращает случайный обмен служебной информацией с другими пользователями HomeGroup.

Хочется отметить, что возможность подключаться к HomeGroup определяется политикой безопасности, которой можно управлять через корпоративный домен: вот  полный путь в консоли управления групповыми политиками Computer ConfigurationAdministrative TemplatesWindows ComponentsHomeGroup :

Имя

Объяснение

Применяется к

Prevent the computer from joining a homegroup

Этот параметр политики позволяет управлять возможностью подключения компьютеров пользователей  к  HomeGroup.

Если этот параметр включен, пользователи не могут обнаружить и присоединиться к HomeGroup.

Если этот параметр  политики отключен или не настраен (по умолчанию), компьютеры пользователи могут обнаружить и присоединиться к HomeGroup.

Windows 7 или Windows Server 2008 R2

 

Самым простым способом обеспечения коимфортной и беспроблемной работы пользователя дома может быть предоставление ему учетных данных администратора. Пользователь с правами администратора мог бы изменять настройки и разрешения, установливать драйвера принтеров и др.. Однако этого не стоит делать по понятным для администраторов причинам – это может привести к нарушению политики безопасности предприятия или, в зависимости от действий пользователя. к полному нарушению работоспособности ПО на рабочем ноутбуке.

Для включения компьютера в HomeGroup пользователь должен установить свое сетевое расположение :  Дома (Home).

clip_image002

ВАЖНО : По умолчанию, на компьютерах под управлением Windows 7, которые не являются членами домена,  пользователи без  административных привилегий не могут изменить свое сетевое расположение. В случае если компьютер под управлением Windows 7 является членом домена, то пользователю для изменения своего сетевого расположения не требуется административных привилегий. Данная настройка управляется следующим параметром в групповой политике : Require domain users to elevate when setting a network’s location . Данный параметр можно найти,  используя консоль управления групповой политикой Group Policy Management Console : Computer ConfigurationPoliciesAdministrative TemplatesNetworkNetwork Connections.

Таким образом,  пользователь может взять домой компьютер, который является членом домена на работе, подключить его к домашней сети, установить сетевое расположение Дом (Home), обнаружить и присоединиться к HomeGroup. Хочется также отметить, что компьютер обнаруживает и автоматически устанавливает общие принтеры в HomeGroup (если драйвера этих принтеров  помечены логотипом Windows).

Теперь необходимо рассмотреть, какие настройки необходимо сделать на компьютере, который является членом домена, чтобы подключить его к HomeGroup.

Администраторам требуется устанавить следующие настройки для присоединения компьютера к HomeGroup, который является членом домена на работе. Все настройки можно разделить на следующие категории :

  1. Параметры брандмауэра;
  2. Параметры IPsec;
  3. Параметры групповой политики.

Рассмотрим настройки брандмауэра:

Для того чтобы подключить компьютер в HomeGroup необходимо открыть определенные нижеперечиленные порты брандмауэра. Если на данном компьютере используется брандмауэр Windows, то необходимые порты открываются по умолчанию при выборе домашней сети. Если на портативном компьютере Вашей организации установлен сторонний брандмауэр, то в нем необходимо создать соотвествующие правила для открытие всех портов, перечисленных в следующем списке для доступа из домашней сети пользователя:

Следующие порты открыты, если выбрано сетевое расположение Дом (Home) :

  • Network discovery (includes WSD, uPNP, SSDP):
    UDP 5355, UDP 138, UDP 137, UDP 3702, UDP 1900, TCP 2869, TCP 5357, TCP 5358, UDP 3702
  • Удаленный помощник:  UDP 3540, UDP 1900, TCP 2869

Все эти порты являются частью "частного" профиля по умолчанию и они напрямую не отвечают за взаимодействие с HomeGroup. Они  здесь перечислены только для полноты картины .

При присоединении компьютера, который является членом домена, к HomeGroup на  брандмауэре открываются следующие дополнительные порты:

  • Peer–to-Peer Grouping: TCP 3587
  • Peer Name Resolution Protocol (PNRP): UDP 3540

Параметры IPsec:

Если в Вашей организации используется IPsec, то необходимо предусмотреть доставку и применение политик  IPsec средствами  доменной  групповой политики. Также необходимо включить правило, которое разрешает хостам из диапазона 192.168.x.x  без IPsec связываться с рабочим компьютером через порты 3587 (Peer–to-Peer Grouping) TCP и UDP 3540 (PNRP).  Здесь необходимо обратить внимание на то, что адреса домашних сетей сотрудников, которые пользуются дома своими компьютерами могут быть совершенно из разных диапазонов (не обязательно 192.168.x.x) и более того, эти адреса могут быть не статическими, а полученными, например, по DHCP. Так что иногда одним диапазоном 192.168.x.x ограничиться невозможно, что создает заметные трудности при написании правил, особенно если таких сотрудников достаточное количество. Думаю, как раз в этом случае не стоит включать компьютеры в HomeGroup по причине трудной настройки. Хотя судить Вам, это мое субъективное мнение.

Параметры групповой политики:

Для управления компьютерами, которые входят в домен на работе и подключаются к HomeGroup,   существует 3 параметра групповой политики в консоли управления групповой политикой:

  1. Полный путь : Computer ConfigurationAdministrative TemplatesNetworkNetwork Connections

Имя

Объяснение

Применяется к

Require domain users to elevate when setting a network’s location

Этот параметр политики позволяет Вам управлять возможностью стандартных доменных пользователей изменять свое сетевое расположение.

Если этот параметр политики включить, то пользователь  должен иметь административные привелегии для изменения своего сетевого расположения.  (Поведение системы аналогичное  Windows Vista).

Если этот параметр политики отключить или не настраивать  (по умолчанию), то стандартные пользователи домена  могут изменять свое сетевое расположение.

Windows 7 или
Windows Server 2008 R2

 

   2.  Полный путь : Computer ConfigurationAdministrative TemplatesWindows ComponentsHomeGroup

Имя

Объяснение

Применяется к

Prevent the computer from joining a homegroup

Этот параметр политики повзоляет Вам  управлять возможностью пользователей  присоединяться  к  HomeGroup.

Если этот параметр включен, пользователи не могут обнаружить или присоединиться к HomeGroup.

Если Вы отключите или не настраите этот параметр политики (по умолчанию), то пользователи могут обнаружить и присоединиться к HomeGroup.

Windows 7 или
Windows Server 2008 R2

 

  3.  Полный путь : Computer ConfigurationAdministrative TemplatesPrinters

Имя

Объяснение

Применяется к

Point and Print Restrictions

Этот параметр  политики повзоляет Вам  управлять установкой драйверов принтеров в HomeGroup.

Если этот параметр включен , то  компьютеры, которые являются членами HomeGroup будут устанавливать  принтеров с других компьютеров, подключенных к этой же HomeGroup, только в случае если драйвера на принтера уже установлены на локальном компьютере.

Если этот параметр политики выключен или не настроен (по умолчанию), то компьютеры, которые являются членами HomeGroup будут автоматически обнаружать и  устанавливать  принтера других компьютеров, подключенных к этой же HomeGroup.

Windows Vista или Windows 7 

 

Вот собственно и все. Если у кого-то возникли вопросы, то отписываем в комментариях.

Рубрики:Windows 7
%d такие блоггеры, как: