Главная > Windows 7 > Как присоединить доменный компьютер к HomeGroup

Как присоединить доменный компьютер к HomeGroup


В данной статье предлагаю рассмотреть интересный, на мой взгляд,, вопрос : как присоединить в Домашнюю группу (HomeGroup) компьютер под управлением Windows 7, который является членом домена.  Это бывает нужно, если мы работаем на этом компьютере и дома и на работе, а для обмена документами и прочим не хочется пользоваться сменными носителями. Если есть сеть, то почему ей не воспользоваться ??? 🙂

В настоящее время все чаще настольные компьютеры в крупных компаниях заменяют на мобильные  — ноутбуки. Часто случается, что сотрудники компаний, когда не успевают закончить работу берут домой свои мобильные компьютеры. Однако, в  большинстве компаний ноутбуки подключаются к корпоративному домену. Это позволяет системным администраторам компании управлять и обслуживать эти компьютеры. На подключенные к домену ноутбуки, как правило, налагается гораздо более серьезные ограничения, чем на домашние компьютеры. Учитывая тот факт, что все больше и больше пользователей работают из дома, разработчики Windows 7 позаботаились о возможности включения рабочего компьютера в  HomeGroup. В Windows 7 Ваш подключенный к домену компьютер может стать полноценным участником HomeGroup. Это позволит просматривать дома на рабочем ноутбуке ТВ-программы через Widows Media Centre, слушать музыку и смотреть видео через Windows Media Mlayer или печатать документы на принтере, подключенном к одному из компьютеров HomeGroup. Доступ к сети осуществляется с помощью того же ключа, которым пользуются и другие пользователи домашней сети.

Единственное ограничение в использовании рабочего ноутбука дома будет в том, что  доступ к конфиденциальному контенту, расположенному на жестком диске ноутбука, никогда не будет разделен с другими членами HomeGroup. Т.е., подключенный к домену рабочий ноутбук сможет видеть и использовать все общие ресурсы домашней сети, но ни один из компьютеров домашней сети не сможет видеть его.  Данная мера безопасности предотвращает случайный обмен служебной информацией с другими пользователями HomeGroup.

Хочется отметить, что возможность подключаться к HomeGroup определяется политикой безопасности, которой можно управлять через корпоративный домен: вот  полный путь в консоли управления групповыми политиками Computer ConfigurationAdministrative TemplatesWindows ComponentsHomeGroup :

Имя

Объяснение

Применяется к

Prevent the computer from joining a homegroup

Этот параметр политики позволяет управлять возможностью подключения компьютеров пользователей  к  HomeGroup.

Если этот параметр включен, пользователи не могут обнаружить и присоединиться к HomeGroup.

Если этот параметр  политики отключен или не настраен (по умолчанию), компьютеры пользователи могут обнаружить и присоединиться к HomeGroup.

Windows 7 или Windows Server 2008 R2

 

Самым простым способом обеспечения коимфортной и беспроблемной работы пользователя дома может быть предоставление ему учетных данных администратора. Пользователь с правами администратора мог бы изменять настройки и разрешения, установливать драйвера принтеров и др.. Однако этого не стоит делать по понятным для администраторов причинам – это может привести к нарушению политики безопасности предприятия или, в зависимости от действий пользователя. к полному нарушению работоспособности ПО на рабочем ноутбуке.

Для включения компьютера в HomeGroup пользователь должен установить свое сетевое расположение :  Дома (Home).

clip_image002

ВАЖНО : По умолчанию, на компьютерах под управлением Windows 7, которые не являются членами домена,  пользователи без  административных привилегий не могут изменить свое сетевое расположение. В случае если компьютер под управлением Windows 7 является членом домена, то пользователю для изменения своего сетевого расположения не требуется административных привилегий. Данная настройка управляется следующим параметром в групповой политике : Require domain users to elevate when setting a network’s location . Данный параметр можно найти,  используя консоль управления групповой политикой Group Policy Management Console : Computer ConfigurationPoliciesAdministrative TemplatesNetworkNetwork Connections.

Таким образом,  пользователь может взять домой компьютер, который является членом домена на работе, подключить его к домашней сети, установить сетевое расположение Дом (Home), обнаружить и присоединиться к HomeGroup. Хочется также отметить, что компьютер обнаруживает и автоматически устанавливает общие принтеры в HomeGroup (если драйвера этих принтеров  помечены логотипом Windows).

Теперь необходимо рассмотреть, какие настройки необходимо сделать на компьютере, который является членом домена, чтобы подключить его к HomeGroup.

Администраторам требуется устанавить следующие настройки для присоединения компьютера к HomeGroup, который является членом домена на работе. Все настройки можно разделить на следующие категории :

  1. Параметры брандмауэра;
  2. Параметры IPsec;
  3. Параметры групповой политики.

Рассмотрим настройки брандмауэра:

Для того чтобы подключить компьютер в HomeGroup необходимо открыть определенные нижеперечиленные порты брандмауэра. Если на данном компьютере используется брандмауэр Windows, то необходимые порты открываются по умолчанию при выборе домашней сети. Если на портативном компьютере Вашей организации установлен сторонний брандмауэр, то в нем необходимо создать соотвествующие правила для открытие всех портов, перечисленных в следующем списке для доступа из домашней сети пользователя:

Следующие порты открыты, если выбрано сетевое расположение Дом (Home) :

  • Network discovery (includes WSD, uPNP, SSDP):
    UDP 5355, UDP 138, UDP 137, UDP 3702, UDP 1900, TCP 2869, TCP 5357, TCP 5358, UDP 3702
  • Удаленный помощник:  UDP 3540, UDP 1900, TCP 2869

Все эти порты являются частью "частного" профиля по умолчанию и они напрямую не отвечают за взаимодействие с HomeGroup. Они  здесь перечислены только для полноты картины .

При присоединении компьютера, который является членом домена, к HomeGroup на  брандмауэре открываются следующие дополнительные порты:

  • Peer–to-Peer Grouping: TCP 3587
  • Peer Name Resolution Protocol (PNRP): UDP 3540

Параметры IPsec:

Если в Вашей организации используется IPsec, то необходимо предусмотреть доставку и применение политик  IPsec средствами  доменной  групповой политики. Также необходимо включить правило, которое разрешает хостам из диапазона 192.168.x.x  без IPsec связываться с рабочим компьютером через порты 3587 (Peer–to-Peer Grouping) TCP и UDP 3540 (PNRP).  Здесь необходимо обратить внимание на то, что адреса домашних сетей сотрудников, которые пользуются дома своими компьютерами могут быть совершенно из разных диапазонов (не обязательно 192.168.x.x) и более того, эти адреса могут быть не статическими, а полученными, например, по DHCP. Так что иногда одним диапазоном 192.168.x.x ограничиться невозможно, что создает заметные трудности при написании правил, особенно если таких сотрудников достаточное количество. Думаю, как раз в этом случае не стоит включать компьютеры в HomeGroup по причине трудной настройки. Хотя судить Вам, это мое субъективное мнение.

Параметры групповой политики:

Для управления компьютерами, которые входят в домен на работе и подключаются к HomeGroup,   существует 3 параметра групповой политики в консоли управления групповой политикой:

  1. Полный путь : Computer ConfigurationAdministrative TemplatesNetworkNetwork Connections

Имя

Объяснение

Применяется к

Require domain users to elevate when setting a network’s location

Этот параметр политики позволяет Вам управлять возможностью стандартных доменных пользователей изменять свое сетевое расположение.

Если этот параметр политики включить, то пользователь  должен иметь административные привелегии для изменения своего сетевого расположения.  (Поведение системы аналогичное  Windows Vista).

Если этот параметр политики отключить или не настраивать  (по умолчанию), то стандартные пользователи домена  могут изменять свое сетевое расположение.

Windows 7 или
Windows Server 2008 R2

 

   2.  Полный путь : Computer ConfigurationAdministrative TemplatesWindows ComponentsHomeGroup

Имя

Объяснение

Применяется к

Prevent the computer from joining a homegroup

Этот параметр политики повзоляет Вам  управлять возможностью пользователей  присоединяться  к  HomeGroup.

Если этот параметр включен, пользователи не могут обнаружить или присоединиться к HomeGroup.

Если Вы отключите или не настраите этот параметр политики (по умолчанию), то пользователи могут обнаружить и присоединиться к HomeGroup.

Windows 7 или
Windows Server 2008 R2

 

  3.  Полный путь : Computer ConfigurationAdministrative TemplatesPrinters

Имя

Объяснение

Применяется к

Point and Print Restrictions

Этот параметр  политики повзоляет Вам  управлять установкой драйверов принтеров в HomeGroup.

Если этот параметр включен , то  компьютеры, которые являются членами HomeGroup будут устанавливать  принтеров с других компьютеров, подключенных к этой же HomeGroup, только в случае если драйвера на принтера уже установлены на локальном компьютере.

Если этот параметр политики выключен или не настроен (по умолчанию), то компьютеры, которые являются членами HomeGroup будут автоматически обнаружать и  устанавливать  принтера других компьютеров, подключенных к этой же HomeGroup.

Windows Vista или Windows 7 

 

Вот собственно и все. Если у кого-то возникли вопросы, то отписываем в комментариях.

Реклама
Рубрики:Windows 7
  1. Volodymyr
    21.12.2009 в 15:07

    Спс. Интересно.

  2. Valerii
    09.02.2010 в 12:33

    Хорошая информация. Только вот смотреть TV, видео и слушать музыку на корпоративном ноуте — это не очень честно :-))

  3. Владимир
    09.02.2010 в 12:49

    спасибо!

  4. Unknown
    10.02.2010 в 03:42

    Доброго времени суток!Вопрос по связанной теме — может подскажете куда обратится более правильно..Есть проблемка с организацией HomeGroupe впринципе.Есть 5 компьютеров, 4ре из которых клонированы (5й — ставился с нуля — отдельная материнская плата).На всех — Windows 7 prof 32bit.После минимальных настроек задался целью поднять HomeGroupe..Проблема:Домашняя группа создана на системнике с уникальной материнкой. К ней удалось подсоединить в полной мере только один компьютер из 4х..Симптомы:Тип сети Домашняя, пользователи одинаковые (пароли), брендмауэр отключен.IPv4 статические, маски и др.параметры одинаковые, IPv6 поумолчанию, рабочая группа прописана одинаковая..В проводнике в ветке Сеть показываются все компьтеры, все устройства мультимедиа (типа библиотеки), есть доступ к расшаренным ресурсам, в т.ч. скрытым.. В WindowsMedia показываются библиотеки всех компьютеров..Проблемы:В ветке Домашняя группа отображается только два компьютера.На компах не появляющихся в Домашней группе показыват что "нет других доступных компьютеров", хотя пароль в "Просмотр параметров " показывает правильный. Выход из и вход обратно в группу не помогает.Средство устранения неполадок на компах не появляющихся в Домашней группе пишет что проблем не найдено, предлагает попробовать другие средства, но в логе ругается :Проверенные потенциальные проблемы Группа безопасности домашней группы настроена неправильноГруппа безопасности домашней группы настроена неправильноЭтот компьютер не сможет подключаться к другим членам домашней сети (и наоборот). Элемент отсутствует Служба поставщика домашней группы не запущенаСлужба поставщика домашней группы не запущенаЭта служба отвечает за сетевые задачи, связанные с настройкой и обслуживанием домашней группы. Чтобы просмотреть компьютеры, входящие в домашнюю группу, необходимо, чтобы эта служба была запущена. Элемент отсутствует Неправильные параметры домашней группыНеправильные параметры домашней группыПараметры, необходимые для правильной работы домашней группы, установлены с ошибками или отсутствуют. Элемент отсутствует Протокол IP версии 6 (IPv6) отключенПротокол IP версии 6 (IPv6) отключенПротокол IPv6 отключен на одном или нескольких сетевых адаптерах. Элемент отсутствует Этот компьютер подключен к нескольким сетямЭтот компьютер подключен к нескольким сетямКонфигурация сети, к которой подключен этот компьютер, может привести к отключению или ограничению функциональных возможностей домашней группы. Элемент отсутствует В расположении домашней сети не настроены сетиВ расположении домашней сети не настроены сетиЧтобы подключиться к домашней группе, создать ее или получить к ней доступ, необходимо, чтобы компьютер был подключен к домашней сети. Тем не менее, не следует менять сетевое размещение на домашнее, если сеть не является надежной или расположена в общественном месте, например в аэропорту или кафе, поскольку при этом ваш компьютер будет виден для других пользователей сети. Элемент отсутствует Служба группирования сетевых участников не запущенаСлужба группирования сетевых участников не запущенаЭта служба обеспечивает возможность группирования одноранговых сетевых участников. Чтобы просмотреть компьютеры, входящие в домашнюю группу, необходимо, чтобы эта служба была запущена. Элемент отсутствует Разрешения для домашней группы заданы неправильноРазрешения для домашней группы заданы неправильноРазрешения, необходимые для правильной работы домашней группы, заданы неправильно. Элемент отсутствует Что несоответствует настройкам..Если выбрать все возможные колонки в ветке Сеть, то есть некоторые ньюансы:IPv4 адреса показываются не увсех (у двух компов (метод обнаружения — WSD, у остальных — NetBIOS)) причем один из показываемых IP не соответствует имени, Ipv6 только у одного. Вопрос:Как полечить/настроить?

  5. Alexandr
    11.02.2010 в 19:36

    sysprep

  6. Laptopchina.com
    20.04.2010 в 06:34

    good

  1. No trackbacks yet.

Добавить комментарий

Please log in using one of these methods to post your comment:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: