Windowsin paikallisten ryhmäkäytäntöjen muokkaus Puppetilla

April 10, 2016 – Samuli Seppänen

Monia Windowsien asetuksia on perinteisesti muokattu ryhmäkäytänteillä ("Group Policy"). Vaikka ryhmäkäytänteiden teho onkin melko rajallinen, pystyy niillä tekemään yhtä ja toista. Microsoft on kuitenkin Powershell DSC:n kuitenkin siirtymässä tilan hallintaan perustuviin modernimpiin ratkaisuja, joten Group Policyt jäänevät lähivuosina historiaan.

Tästä huolimatta ryhmäkäytänteitä hyödynnetään yhä erityisesti Active Directory -toimialueiden ("domain") kanssa silloin, kun halutaan standardisoida työasemien asetuksia. Myös Samba 4 tukee ryhmäkäytänteiden jakelua työasemille. Ryhmäkäytänteet eivät kuitenkaan vaadi Active Directoryn tai Samba 4:n käyttöä, sillä käytänteitä voidaan määrittää paitsi verkkoalueelle, myös paikallisesti ("Local Group Policy"). Käytänteet voidaan lisäksi jakaa käyttäjäkohtaisiin ("User policy") ja tietokonekohtaisiin ("Machine policy").

Windows 7:ssa paikalliset ryhmäkäytänteet säilötään kahdessa tiedostossa:

  1. C:WindowsSystem32GroupPolicyUserRegistry.pol ("User Policy")
  2. C:WindowsSystem32GroupPolicyMachineRegistry.pol ("Machine Policy")

Nämä tiedostot ovat - yllättävää kyllä - yksinkertaisia yhden rivin tekstitiedostoja. Alla esimerkki UserRegistry.pol -tiedostosta, joka jaettu selvyyden vuoksi usealle riville:

PReg
 
 [SoftwareMicrosoftWindowsCurrentVersionPoliciesActiveDesktop;NoChangingWallPaper;;;]
 
 [SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem;Wallpaper;;F;c:background.jpg]
 
 [SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem;WallpaperStyle;;;4]
 
 [SoftwarePoliciesMicrosoftWindowsControl PanelDesktop;ScreenSaveActive;;;1]

Kukin käytänne määrittää jonkin rekisteriavaimen sisällön, joten periaatteessa lienee mahdollista muokata rekisteriavaimien arvoja myös suoraan esim. puppetlabs/registry-moduulilla. Registry.pol -tiedoston hakemiston nimi (Machine tai User) määrää sen, sijoitetaanko rekisteriavain HKEY_LOCAL_MACHINE vai HKEY_CURRENT_USER -haaraan.

Registry.pol -tiedoston syntaksi on hyvin määritelty, joten sen muokkaaminen käsin tai Puppetilla on helpohkoa. Jokainen käytänne on eroteltu hakasulkein ja sillä on 1-5 parametria:

[key;value;type;size;data]

Kuten yltä näkyy, usein riittää, että key, value ja data on määritelty. Päällä/pois -tyyppisissä käytänteissä vaikuttaa riittävän se, että key ja value on määritetty.

Paikallisia ryhmäkäytänteitä muokataan normaalisti gpedit.msc -ohjelmalla (ohjeita), jolla voidaan varmistua siitä, että Registry.pol -tiedoston sisältö ja syntaksi on kunnossa. Tiedoston sisältö muuttuu sitä mukaa, kun gpedit.msc:llä lisätään, muutetaan tai poistetaan käytänteitä. Mikäli muutoksia tehdään muulla kuin gpedit.msc:llä, pitää ne ottaa käyttöön gpupdate.exe -ohjelmalla:

> gpupdate.exe /force

Valmiin Registry.pol -tiedoston jakelu onnistuu yksinkertaisimmillaan File-resurssilla:

file { 'local-group-policy':
 ensure => 'present',
 name => 'C:WindowsSystem32GroupPolicyUserRegistry.pol',
 source => 'puppet:///modules/windesktop/Registry.pol',
 }

Tässä lähestymistavassa policy-tiedostojen ylläpito muuttuu helposti työlääksi, sillä pienikin muutos vaatii täysin uuden tiedoston luomisen. Jos käytänteet ovat identtisiä tai lähes identtisiä joka koneella, ei tästä ole juuri haittaa.

Skaalautuvampi lähestymistapa olisi muokata Registry.pol-tiedoston yksittäisiä käytänteitä. Käytänteiden määrittämiseen on olemassa oma Puppet-moduulikin, cannonps/local_group_policy, josta PuppetLabs paikutti aikoinaan kovastikin henkseleitä. Moduulin sisältämässä providerissa on kuitenkin lukuisia ongelmia:

  • Se ei toimi lokalisoidussa, esim. suomenkielisessä Windowsissa, koska se tekee naiiveja oletuksia C:WindowsPolicyDefinitions -hakemiston rakenteesta.
  • Registry.pol-tiedoston polku on virheellinen
  • Se vaikuttaa halvaantuvan, jos Registry.pol-tiedosto on tyhjä
  • Toteutustapa on todella monimutkainen: se lukee XML-tiedostopareista GPO-objektien määritteet (.admx) sekä käännökset (.adml) ja linkittää niiden sisältämän datan yhteen. Tavoitteena lienee ollut se, että resurssien määrittelyistä tulisi helpommin luettavan näköisiä, sillä mitään muuta selitystä tälle monimutkaisuudelle on vaikea löytää.
  • Moduulilla ei ole ollut ylläpitäjää kahteen vuoteen

Aloitin jo moduulin korjaamisen, mutta onneksi tajusin jättää homman (melko) ajoissa kesken huomattuani miten yksinkertainen Registry.pol -tiedoston syntaksi on.

Toistaiseksi päätin jaella staattisen Registry.pol -tiedoston käsin tarvittaville koneille. Myöhemmin tarkoituksena on kirjoittaa huomattavasti local_group_policy -moduulia yksinkertaisempi provider, joka muokkaa Registry.pol -tiedoston sisältöä suoraan.

Want to talk to an expert?

If you want to reach us, just send us a message or book a free call!
Categories

Tags

#aad #Access #acl #alertmanager #ansible #ansible module development #Apache #API #augeas #authentication #authorization #automation #automatization #aws #azure #backup #bash #bitbucket #buildbot #cache #centos #cloud #cloud-init #cloudflare #cloudfront #cluster #connectionsJpa #control repo #custom fact #database #debian #devops #digital sovereignty #DNS #docker #domain mode #duplo #ejabberd #email #encryption #erb #europe #eyaml #fabric #facter #facts #fargate #fedora #file #finnish #foreman #freeipa #git #github #gitlab #gnome #google #grafana #hammer #hiera #IAM #import #infinispan #Infrastructure as Code #ipmi #irc #jboss #jdk #jenkins #JMESPath #kanban #keycloak #librarian-puppet #librenms #linkedin #Linux #Location #loop #marketing #mautic #Mellon #mfa #monitoring #mysql #nagios #network-manager #oauth #oauth2 #office365 #open source #openvpn #oxygen #packer #paranormal #pdk #people #php #pkcs7 #pomodoro #Powershell #preseed #presentation #profiles #prometheus #provisioning #puppet #puppet-bolt #puppet-litmus #puppetboard #puppetdb #Puppetfile #puppetserver #puppet types and providers #pxeboot #qemu #quality #r10k #recruitment #redirect #Restrict #Reverse Proxy #roles #rspec #ruby #SAML #sem #shell #showsql #snmp #snmpd #software developement #spam #ssh #sso #standardization #systemd #systemd-resolved #teams #terraform #ubuntu #user-data #vagrant #vanity awards #variable #vim #virtualbox #visualstudio #webdevelopment #wildfly #Windows #wireguard #wordpress #workflow #x11 #xmpp #zimbra
We are
 Puppeteers
menucross-circle