Групповые политики

Руководство пользователя

Редакция март, 2024

Аннотация

Решение представляет собой систему централизованного управления конфигурациями пользователей и компьютеров в домене Active Directory и реализует централизованное хранение на серверах (виртуальной инфраструктуре) данных о пользователях, рабочих станциях, а также предоставляет возможности управления доменом Active Directory и групповыми политиками с помощью графических средств. Решение является компонентом отечественных операционных систем ОС «Альт», построенных на ядре Linux.

Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения. Актуальная версия руководства в формате HTML со всеми текущими изменениями и дополнениями размещена на сайте с документацией компании ALT Linux http://docs.altlinux.org/.

I. Разворачивание стенда

1. Схема стенда

2. Контроллер домена (Samba AD DC)

2.1. Установка ОС «Альт Сервер»
2.2. Обновление системы до актуального состояния
2.3. Разворачивание сервера Samba AD DC
2.4. Установка административных шаблонов
2.5. Заведение вторичного DC и настройка репликации

3. Настройка рабочей станции

3.1. Установка ОС «Альт Рабочая станция»
3.2. Обновление системы до актуального состояния
3.3. Ввод рабочей станции в домен Active Directory

4. Установка административных инструментов

4.1. Модуль удаленного управления базой данных конфигурации (ADMC)
4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)

5. Установка административных инструментов (машина Windows)

5.1. Настройка сетевого подключения
5.2. Присоединение компьютера к домену
5.3. Включение компонентов удалённого администрирования

II. Описание функций

6. Описание структуры

7. Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах

8. Модуль клиентской машины для применения конфигурации

8.1. Утилиты модуля
8.2. Локальная политика
8.3. Модули клиентской стороны (Applier)
8.4. Периодичность запуска групповых политик

9. Модуль удаленного управления базой данных конфигурации (ADMC)

9.1. Запуск ADMC

9.2. Интерфейс ADMC

9.3. Свойства объектов

9.4. Выбор контейнера

9.5. Управление пользователями

9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя

9.6. Управление контактами

9.6.1. Создание контакта
9.6.2. Изменение свойств контакта

9.7. Управление группами

9.7.1. Создание группы
9.7.2. Изменение группы

9.8. Управление компьютерами

9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера

9.9. Управление подразделениями

9.9.1. Создание подразделения
9.9.2. Изменение подразделения

9.10. Управление общими папками

9.11. Управление объектами групповых политик

9.11.1. Создание объекта групповой политики
9.11.2. Изменение объекта групповой политики
9.11.3. Блокирование наследования

9.12. Добавление/Удаление UPN суффиксов

9.13. Роли FSMO

9.14. Выбор объектов

9.15. Поиск объектов

9.15.1. Простой поиск
9.15.2. Обычный поиск
9.15.3. Продвинутый поиск

9.16. Использование сохранённых результатов поиска

10. Модуль редактирования настроек клиентской конфигурации (GPUI)

10.1. Запуск GPUI для редактирования доменных политик

10.2. Выбор набора шаблонов групповых политик

10.3. Интерфейс

10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка

10.4. Редактирование групповых политик

10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания

10.5. Редактирование предпочтений

10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций

10.6. Управление logon-скриптами

10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем

III. Решение проблем

11. Область действия и статус групповой политики

12. Наследование групповых политик

13. Порядок применения групповых политик

14. Замыкание групповой политики

15. Диагностика применения GPO на стороне клиента

15.1. Коды ошибок

16. Диагностика проблем при работе с политикой скриптов

⁠Часть I. Разворачивание стенда

В этой части приводится общая информация по разворачиванию ПО.

Содержание

1. Схема стенда

2. Контроллер домена (Samba AD DC)

2.1. Установка ОС «Альт Сервер»
2.2. Обновление системы до актуального состояния
2.3. Разворачивание сервера Samba AD DC
2.4. Установка административных шаблонов
2.5. Заведение вторичного DC и настройка репликации

3. Настройка рабочей станции

3.1. Установка ОС «Альт Рабочая станция»
3.2. Обновление системы до актуального состояния
3.3. Ввод рабочей станции в домен Active Directory

4. Установка административных инструментов

4.1. Модуль удаленного управления базой данных конфигурации (ADMC)
4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)

5. Установка административных инструментов (машина Windows)

5.1. Настройка сетевого подключения
5.2. Присоединение компьютера к домену
5.3. Включение компонентов удалённого администрирования

⁠Глава 1. Схема стенда

⁠

Таблица 1.1. Состав технических и программных средств стенда

№ ПЭВМ	Программная среда	Описание
1	ОС «Альт Сервер»	Контроллер домена (DC)
2	ОС «Альт Сервер»	Вторичный DC
3	ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование») Должны быть установлены модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)	Целевая рабочая станция с инструментами администрирования
4	ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование»)	Целевая рабочая станция
5	ОС Microsoft Windows Server (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно). Должны быть установлены компоненты удаленного администрирования	Рабочая станция с административными инструментами

Параметры домена:

домен AD — test.alt;
сервер AD (ОС ALT) — dc1.test.alt (192.168.0.122);
вторичный сервер AD (ОС ALT) — dc2.test.alt (192.168.0.141);
рабочая станция 1 (ОС ALT) — host-01.test.alt (192.168.0.124);
рабочая станция 2 (ОС ALT) — host-02.test.alt (192.168.0.125);
рабочая станция 3 (ОС Windows) — PK1.test.alt (192.168.0.109);
имя пользователя-администратора — Administrator;
пароль администратора — Pa$$word.

⁠Глава 2. Контроллер домена (Samba AD DC)

2.1. Установка ОС «Альт Сервер»
2.2. Обновление системы до актуального состояния
2.3. Разворачивание сервера Samba AD DC
2.4. Установка административных шаблонов
2.5. Заведение вторичного DC и настройка репликации

⁠2.1. Установка ОС «Альт Сервер»

Примечание

В данной инструкции рассмотрена установка системы в режиме режиме UEFI. Особенности установки в legacy mode отображены в примечаниях.

Для начала установки ОС «Альт Сервер» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.

Установка сервера. Загрузка с установочного диска в режиме UEFI

Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Install ALT Server, и нажать Enter.

Примечание

Начальный загрузчик в режиме Legacy:

Установка сервера. Загрузка с установочного диска

Во время установки системы выполняются следующие шаги:

язык;
лицензионное соглашение;
дата и время;
подготовка диска;
перемонтирование;
установка системы;
сохранение настроек;
установка загрузчика;
настройка сети;
администратор системы;
системный пользователь;
системный пользователь;
завершение установки.

Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы:

После окна выбора языковых параметров ОС «Альт Сервер» программа установки переходит к окну «Лицензионное соглашение»:

Установка сервера. Лицензионное соглашение

Для подтверждения согласия с условиями лицензии, необходимо отметить пункт Да, я согласен с условиями и нажать кнопку Далее.

На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени. Для ручной установки текущих даты и времени нужно нажать кнопку Изменить….

На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Сервер», в первую очередь — выделяется свободное место на диске.

В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:

Установка рабочей станции — единственная файловая система ext4 под корень (swap и раздел под efi автоматически);
Вручную.

Примечание

При установке системы в режиме UEFI рекомендуется выбрать автоматическое разбиение диска для создания необходимых разделов для загрузки с EFI.

Предупреждение

При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков (включая внешние USB-носители) без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.

По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Сервер».

Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Сервер» и установлены вместе с ней на диск:

Для установки пакетов, необходимых для разворачивания контроллера домена, следует выбрать профиль Сервер Samba DC (контроллер AD) и нажать кнопку Далее:

Начнётся установка пакетов:

Установка происходит автоматически в два этапа:

получение пакетов;
установка пакетов.

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

На этапе «Установка загрузчика» программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС «Альт Сервер».

При установке системы в режиме UEFI следует выбрать в качестве устройства для установки специальный раздел «EFI»:

Установка сервера. Установка загрузчика в режиме UEFI

Примечание

Установка загрузчика при установке в режиме Legacy:

Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, шлюз по умолчанию и DNS-серверы:

Примечание

Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделённых точкой.

На вторичном сервере обязательно нужно указать первичный сервер в поле DNS-серверы:

Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Администратор системы» загрузчик создает учётную запись администратора:

Установка сервера. Задание пароля администратора

В открывшемся окне необходимо ввести пароль учётной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учётной записи вводится дважды. Подтверждение введенного (или сгенерированного) пароля учётной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.

На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Сервер»:

Установка сервера. Создание пользователя

В этом окне необходимо заполнить следующие поля:

Имя — имя учётной записи пользователя ОС «Альт Сервер» (слово, состоящее только из строчных латинских букв, цифр и символа подчеркивания «_», причем цифра и символ «_» не могут стоять в начале слова);
Пароль — пароль учётной записи пользователя (чтобы исключить опечатки при вводе пароля, пароль пользователя вводится дважды).

Подтверждение введенного (или сгенерированного) пароля учётной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.

Если на этапе подготовки диска были созданы шифруемые разделы (LUKS-разделы), то на этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому разделу:

Установка сервера. Установка пароля на шифруемые разделы

Примечание

Если шифруемые разделы не создавались, этот шаг пропускается автоматически

На экране последнего шага установки отображается информация о завершении установки:

После нажатия кнопки Завершить автоматически начнется перезагрузка системы. Далее можно загружать установленную систему в обычном режиме.

⁠2.2. Обновление системы до актуального состояния

После установки системы, её следует обновить до актуального состояния.

Для обновления системы необходимо выполнить команды (с правами администратора):

# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:

$ su -

или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.

⁠2.3. Разворачивание сервера Samba AD DC

Все действия выполняются на узле dc1.test.alt (192.168.0.122).

Для установки Samba AD DC выполняются следующие шаги:

Установить пакет task-samba-dc (этот шаг можно пропустить, если при установке системы на этапе «Установка системы» был выбран профиль Сервер Samba DC (контроллер AD)):
```
# apt-get install task-samba-dc
```

Остановить конфликтующие службы krb5kdc и slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done

Очистить базы и конфигурацию Samba:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Установить имя домена (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»). Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделенных точкой. При этом должно быть установлено правильное имя узла и домена для сервера. Для этого в файл /etc/sysconfig/network необходимо добавить строку:
```
HOSTNAME=dc1.test.alt
```
И выполнить команды:
```
# hostnamectl set-hostname dc1.test.alt
# domainname test.alt
```
Примечание
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
Для корректного функционирования домена в файле /etc/resolv.conf должна присутствовать строка:
```
nameserver 127.0.0.1
```
Если этой строки в файле /etc/resolv.conf нет, то в конец файла /etc/resolvconf.conf следует добавить строку:
```
name_servers='127.0.0.1'
```
и перезапустить сервис resolvconf:
```
# resolvconf -u
```
Создать домен test.alt с паролем администратора Pa$$word:
```
# samba-tool domain provision --realm=test.alt --domain test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc --use-rfc2307
```
где
- --realm — область Kerberos (LDAP), и DNS имя домена;
- --domain — имя домена (имя рабочей группы);
- --adminpass — пароль основного администратора домена;
- dns forwarder — внешний DNS-сервер;
- --server-role — тип серверной роли;
- --use-rfc2307 — позволяет поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Примечание
Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.
Примечание
Если уровень домена не указан, то домен разворачивается на уровне 2008_R2. Для разворачивания домена на другом уровне, уровень необходимо явно указать, например:
```
# samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --option="ad dc functional level = 2016" --server-role=dc --function-level=2016
```
Запустить службу:
```
# systemctl enable --now samba
```
Настроить Kerberos. В момент создания домена Samba конфигурирует шаблон файла krb5.conf для домена в каталоге /var/lib/samba/private/. Заменить этим файлом файл, находящийся в каталоге /etc/:
```
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
```

Проверить работоспособность домена:

просмотр общей информации о домене:

# samba-tool domain info 127.0.0.1
Forest           : test.alt
Domain           : test.alt
Netbios domain   : TEST
DC name          : dc1.test.alt
DC netbios name  : DC1
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

убедиться в наличии nameserver 127.0.0.1 в файле /etc/resolv.conf:

# cat /etc/resolv.conf
search test.alt
nameserver 127.0.0.1

# host test.alt
test.alt has address 192.168.0.122

проверить имена хостов:

# host -t SRV _kerberos._udp.test.alt.
_kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.
# host -t SRV _ldap._tcp.test.alt.
_ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.
# host -t A dc1.test.alt.
dc1.test.alt has address 192.168.0.122

проверка Kerberos (имя домена должно быть в верхнем регистре):
```
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
```
Примечание
Если имена не находятся, необходимо проверить выключение службы named.

Создать и разблокировать пользователя ivanov в домене:

# samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
# samba-tool user setexpiry ivanov --noexpiry

⁠2.4. Установка административных шаблонов

Для задания конфигурации необходимо установить административные шаблоны (ADMX-файлы). Для этого:

Установить пакеты политик admx-basealt, admx-chromium, admx-firefox, admx-yandex-browser и утилиту admx-msi-setup:
```
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
```
Скачать и установить ADMX-файлы от Microsoft:
```
# admx-msi-setup
```
После установки, политики будут находиться в каталоге /usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
```
# samba-tool gpo admxload -U Administrator
```

⁠2.5. Заведение вторичного DC и настройка репликации

Все действия выполняются на узле dc2.test.alt (192.168.0.141), если не указано иное.

Для заведения вторичного DC выполняются следующие шаги:

Установить пакет task-samba-dc (этот шаг можно пропустить, если при установке системы на этапе «Установка системы» был выбран профиль Сервер Samba DC (контроллер AD)):
```
# apt-get install task-samba-dc
```

Остановить конфликтующие службы krb5kdc и slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done

Очистить базы и конфигурацию Samba:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Задать имя компьютера (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
```
# hostnamectl set-hostname dc2.test.alt
```
Примечание
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
На вторичном DC в файле /etc/resolv.conf обязательно должен быть добавлен PDC как nameserver (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
```
# echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.122
nameserver 8.8.8.8
```
На Primary Domain Controller (PDC) проверить состояние службы bind:
```
# systemctl status bind
```
И, если она была включена, выключить службу bind и перезапустить службу samba:
```
# systemctl stop bind
# systemctl restart samba
```
На PDC завести IP-адрес для dc2:
Предупреждение
Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
```
# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.141 -Uadministrator
Password for [TEST\administrator]:
Record added successfully
```
На вторичном DC установить следующие параметры в файле конфигурации клиента Kerberos (файл /etc/krb5.conf):
```
[libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
```

Для проверки настройки запросить билет Kerberos для администратора домена:

# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:

Убедиться, что билет получен:

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
27.03.2024 11:06:43  27.03.2024 21:06:43  krbtgt/TEST.ALT@TEST.ALT
	renew until 03.04.2024 11:06:39

Ввести вторичный DC в домен test.alt в качестве контроллера домена (DC):
```
# samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
```
Если всё нормально, в конце будет выведена информация о присоединении к домену:
```
Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
```
Запустить и сделать службу samba запускаемой по умолчанию:
```
# systemctl enable --now samba
```

Настройка репликации:

Произвести репликацию на вторичном DC (с первичного):
```
# samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc1.test.alt to dc2.test.alt was successful.
```
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
Произвести репликацию на вторичном DC (на первичный):
```
# samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc2.test.alt to dc1.test.alt was successful.
```
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
Просмотр статуса репликации на PDC:
```
# samba-tool drs showrepl
```

⁠Глава 3. Настройка рабочей станции

3.1. Установка ОС «Альт Рабочая станция»
3.2. Обновление системы до актуального состояния
3.3. Ввод рабочей станции в домен Active Directory

⁠3.1. Установка ОС «Альт Рабочая станция»

Примечание

В данной инструкции рассмотрена установка ОС «Альт Рабочая станция». ОС «Альт Рабочая станция K» и «Альт Образование» устанавливаются аналогично.

Примечание

Для начала установки ОС «Альт Рабочая станция» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.

Установка рабочей станции. Загрузка с установочного диска в режиме UEFI

Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Установить ALT Workstation, и нажать Enter.

Примечание

Начальный загрузчик в режиме Legacy:

Установка рабочей станции. Загрузка с установочного диска

Во время установки системы выполняются следующие шаги:

язык;
лицензионное соглашение;
дата и время;
подготовка диска;
перемонтирование;
установка системы;
сохранение настроек;
установка загрузчика;
настройка сети;
администратор системы;
системный пользователь;
системный пользователь;
завершение установки.

После окна выбора языковых параметров ОС «Альт Рабочая станция» программа установки переходит к окну «Лицензионное соглашение»:

Установка рабочей станции. Лицензионное соглашение

Установка рабочей станции. Выбор часового пояса

На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Рабочая станция», в первую очередь — выделяется свободное место на диске.

Установка рабочей станции — единственная файловая система ext4 под корень (swap и раздел под efi автоматически);
Установка рабочей станции (BtrFS) — будет создан раздел BtrFS с разбивкой на подразделы @ и @home;
Вручную.

Примечание

Предупреждение

На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Рабочая станция».

Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Рабочая станция» и установлены вместе с ней на диск:

Установка рабочей станции. Выбор групп пакетов

В группе пакетов Групповые политики можно выбрать к установке инструменты применения/администрирования групповых политик:

Инструменты администрирования — пакеты admc, gpui;
Шаблоны групповых политик — пакеты admx-basealt, admx-firefox, admx-chromium, admx-chromium, admx-msi-setup;
Клиент (средства применения) — пакеты gpupdate, alterator-gpupdate, task-auth-ad-sssd;

Список программных пакетов, входящих в группу пакетов

Выбрав необходимые группы, следует нажать Далее, после чего начнётся установка пакетов.

Установка происходит автоматически в два этапа:

получение пакетов;
установка пакетов.

Установка рабочей станции. Сохранение настроек

После сохранения настроек осуществляется автоматический переход к следующему шагу.

Установка рабочей станции. Установка загрузчика в режиме UEFI

Примечание

Установка загрузчика при установке в режиме Legacy:

Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, в качестве первичного DNS должен указать DNS-сервер домена (192.168.0.122) и в поле Домены поиска — домен для поиска:

Установка рабочей станции. Настройка сети на рабочей станции

Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Администратор системы» загрузчик создает учётную запись администратора:

Установка рабочей станции. Задание пароля администратора

На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Рабочая станция»:

Установка рабочей станции. Создание пользователя

В этом окне необходимо заполнить следующие поля:

Имя — имя учётной записи пользователя ОС «Альт Рабочая станция» (слово, состоящее только из строчных латинских букв, цифр и символа подчеркивания «_», причем цифра и символ «_» не могут стоять в начале слова);
Пароль — пароль учётной записи пользователя (чтобы исключить опечатки при вводе пароля, пароль пользователя вводится дважды).

Установка рабочей станции. Установка пароля на шифруемые разделы

Примечание

Если шифруемые разделы не создавались, этот шаг пропускается автоматически.

На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива.

Установка рабочей станции. Завершение установки

⁠3.2. Обновление системы до актуального состояния

После установки системы, её следует обновить до актуального состояния.

Для обновления системы необходимо выполнить команды (с правами администратора):

# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:

$ su -

или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.

⁠3.3. Ввод рабочей станции в домен Active Directory

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd (и все его зависимости) и пакет alterator-gpupdate для включения групповых политик:

# apt-get install task-auth-ad-sssd alterator-gpupdate

Примечание

Необходимо произвести настройку сети, если она не выполнялась при установке системы. Для этого в ЦУС в разделе Сеть → Ethernet интерфейсы следует задать имя компьютера, указать в поле DNS-серверы DNS-сервер домена и в поле Домены поиска — домен для поиска:

В результате в файле /etc/resolv.conf должны появиться строки:

search test.alt
nameserver 192.168.0.122

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.

Для ввода рабочей станции в домен необходимо запустить ЦУС (Меню MATE → Приложения → Администрирование → Центр управления системой). В ЦУС следует перейти в раздел Пользователи → Аутентификация. В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:

Ввод в домен в Центре управления системой

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль, установить отметку в поле Включить групповые политики и нажать кнопку ОК:

Пароль для учётной записи с правами подключения к домену

При успешном подключении к домену, отобразится соответствующая информация:

Далее необходимо перезагрузить рабочую станцию.

Проверить подключение к домену (ivanov — пользователь в домене)

# getent passwd ivanov
ivanov:*:1327601105:1327600513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash

# net ads info
LDAP server: 192.168.0.122
LDAP server name: dc1.test.alt
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Ср, 27 мар 2024 10:36:51 EET
KDC server: 192.168.0.122
Server time offset: 2
Last machine account password change: Ср, 20 мар 2024 11:13:27 EET

# net ads testjoin
Join is OK

Примечание

Список пользователей можно посмотреть на сервере командой:

# samba-tool user list

⁠Глава 4. Установка административных инструментов

4.1. Модуль удаленного управления базой данных конфигурации (ADMC)
4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)

Административные инструменты устанавливаются на рабочей станции, введённой в домен.

⁠4.1. Модуль удаленного управления базой данных конфигурации (ADMC)

Установить пакет admc:

# apt-get install admc

Запуск ADMC осуществляется из меню запуска приложений: пункт Системные → ADMC или из командной строки (команда admc).

Примечание

Для использования ADMC необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:

$ kinit administrator

Интерфейс модуля удаленного управления базой данных конфигурации

⁠4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)

Установить пакет gpui:

# apt-get install gpui

Примечание

В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:

# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup

Для использования GPUI необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:

$ kinit administrator

Окно модуля редактирования настроек клиентской конфигурации (GPUI)

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…:

либо с указанием каталога групповой политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"

Ключ -p позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.

Пример запуска GPUI для редактирования политики:

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

⁠Глава 5. Установка административных инструментов (машина Windows)

5.1. Настройка сетевого подключения
5.2. Присоединение компьютера к домену
5.3. Включение компонентов удалённого администрирования

Для возможности использования административных инструментов Windows (RSAT) необходимо ввести компьютер с Windows в домен. Для выполнения этой процедуры требуется членство в группе «Администраторы» или в эквивалентной группе на локальном компьютере.

⁠5.1. Настройка сетевого подключения

В центре управления сетями и общим доступом выбрать Подключение по локальной сети, в контекстном меню выбрать пункт Свойства. В появившемся окне выбрать Протокол Интернета версии 4 (TCP/IPv4) и нажать кнопку Свойства:

Подключение по локальной сети - свойства

В открывшемся окне задать IP-адрес, в качестве предпочитаемого DNS-сервера указать DNS-сервер домена (192.168.0.122). Сохранить изменения, нажав кнопку ОК:

⁠5.2. Присоединение компьютера к домену

Для ввода машины с ОС Windows в домен необходимо выполнить следующие действия:

В свойствах компьютера, в разделе Имя компьютера, имя домена и параметры рабочей группы нажать ссылку Изменить параметры:
В открывшемся окне на вкладке Имя компьютера нажать кнопку Изменить:
В открывшемся окне задать имя компьютера, отметить пункт Является членом, указать название домена и нажать кнопку ОК:
На запрос имени пользователя и пароля, следует ввести данные пользователя, имеющего право на присоединение компьютеров к домену. После этого потребуется перезагрузка компьютера.

⁠5.3. Включение компонентов удалённого администрирования

Для включения компонентов удалённого администрирования:

Перейти в Панель управления → Программы → Включение или отключение компонентов Windows:
Включить следующие компоненты:
- Средства удалённого администрирования сервера → Средства администрирования возможностей → Средства управления групповыми политиками
- Средства удалённого администрирования сервера → Средства администрирования ролей → Средства доменных служб Active Directory и служб Active Directory облегчённого доступа к каталогам → Оснастки и программы командной строки доменных служб Active Directory
- Средства удалённого администрирования сервера → Средства администрирования ролей → Средства доменных служб Active Directory и служб Active Directory облегчённого доступа к каталогам → Центр администрирования Active Directory
- Средства удалённого администрирования сервера → Средства администрирования ролей → Средства серверов DNS
Корректно установленные административные шаблоны будут отображены в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютера/Конфигурация пользователя → Политики → Административные шаблоны:

Примечание

Для запуска консоли Управление групповыми политиками в Windows достаточно выполнить команду gpmc.msc в командной строке, cmd или окне Выполнить (Win+R). Для запуска Редактора управления групповыми политиками следует в консоли Управление групповыми политиками в контекстном меню объекта ГП выбрать пункт Изменить…:

⁠Часть II. Описание функций

Содержание

6. Описание структуры

8. Модуль клиентской машины для применения конфигурации

8.1. Утилиты модуля
8.2. Локальная политика
8.3. Модули клиентской стороны (Applier)
8.4. Периодичность запуска групповых политик

9. Модуль удаленного управления базой данных конфигурации (ADMC)

9.1. Запуск ADMC

9.2. Интерфейс ADMC

9.3. Свойства объектов

9.4. Выбор контейнера

9.5. Управление пользователями

9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя

9.6. Управление контактами

9.6.1. Создание контакта
9.6.2. Изменение свойств контакта

9.7. Управление группами

9.7.1. Создание группы
9.7.2. Изменение группы

9.8. Управление компьютерами

9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера

9.9. Управление подразделениями

9.9.1. Создание подразделения
9.9.2. Изменение подразделения

9.10. Управление общими папками

9.11. Управление объектами групповых политик

9.11.1. Создание объекта групповой политики
9.11.2. Изменение объекта групповой политики
9.11.3. Блокирование наследования

9.12. Добавление/Удаление UPN суффиксов

9.13. Роли FSMO

9.14. Выбор объектов

9.15. Поиск объектов

9.15.1. Простой поиск
9.15.2. Обычный поиск
9.15.3. Продвинутый поиск

9.16. Использование сохранённых результатов поиска

10. Модуль редактирования настроек клиентской конфигурации (GPUI)

10.1. Запуск GPUI для редактирования доменных политик

10.2. Выбор набора шаблонов групповых политик

10.3. Интерфейс

10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка

10.4. Редактирование групповых политик

10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания

10.5. Редактирование предпочтений

10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций

10.6. Управление logon-скриптами

10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем

⁠Глава 6. Описание структуры

Логическая структура Решения содержит следующие компоненты:

сервер базы данных с информацией о клиентах и их конфигурации;
клиентское ПО для репликации и применения конфигурации;
графическая панель управления включением механизма применения конфигурации;
графический редактор базы данных конфигурации;
графический редактор настроек клиентской конфигурации.

Решение включает следующие компоненты:

модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах;
модуль клиентской машины для применения конфигурации;
модуль удалённого управления базой данных конфигурации;
модуль редактирования настроек клиентской конфигурации.

⁠Глава 7. Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах

Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах предназначен для управления включением работы групповых политик и выбором политики по умолчанию.

Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах представляет собой модули Центр управления системой (далее — ЦУС): «Аутентификация (пакет alterator-auth) и Групповые политики (пакет alterator-gpupdate).

ЦУС представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач по управлению сервером: добавление и удаление локальных пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т. п. ЦУС состоит из независимых диалогов-модулей. Каждый модуль отвечает за настройку определенной функции или свойства системы. Модули настройки сгруппированы по задачам:

Возможность включения групповых политик реализована как при вводе машины в домен AD, так и на уже включенной в домен рабочей станции.

Для включения групповых политик при вводе машины в домен следует в модуле ЦУС Аутентификация выбрать пункт Домен Active Directory, заполнить поля Домен, Рабочая группа и Имя компьютера, и нажать кнопку Применить:

В открывшемся окне ввести имя пользователя, имеющего право вводить машины в домен, и его пароль, отметить пункт Включить групповые политики и нажать кнопку ОК:

Включение групповых политик при вводе в домен

Включить поддержку управления групповыми политиками на машине уже введенной в домен можно в модуле ЦУС Групповые политики:

Включение групповых политик в модуле ЦУС «Групповые политики»

Модуль Групповые политики позволяет управлять включением/выключением поддержки групповых политик на машинах введенных в домен, а также выбирать профиль политики по умолчанию — Сервер, Контроллер домена Active Directory или Рабочая станция.

Для возможности включения групповых политик на машинах под управлением ОС «Альт», на которых не установлена графическая оболочка, модуль Групповые политики доступен также в веб-интерфейсе ЦУС:

Веб-интерфейс модуля ЦУС «Групповые политики»

Работа с веб-ориентированным интерфейсом ЦУС может происходить из любого веб-браузера с любого компьютера сети.

⁠Глава 8. Модуль клиентской машины для применения конфигурации

8.1. Утилиты модуля
8.2. Локальная политика
8.3. Модули клиентской стороны (Applier)
8.4. Периодичность запуска групповых политик

Модуль клиентской машины для применения конфигурации (далее — gpupdate) отвечает за применение заданных администратором системы настроек конфигурации к клиентской машине и/или пользователю машины.

ПО состоит из компонента, который авторизуется в домене и выполняет скачивание файлов настроек на клиентскую машину. Далее происходит разбор файлов настроек и складывание полученных данных в хранилище именуемое также «реестр». Это позволяет развязать методы доставки и применения настроек.

При успешной репликации настроек запускается часть системы называемая «фронтенд». Она отвечает за запуск различных модулей (appliers), каждый из которых отвечает за свою логическую функцию. Например, модуль ﬁrefox отвечает за вычитывание настроек для браузера Mozilla Firefox и создание файла политик для него, а модуль ntp отвечает за чтение настроек, касающихся NTP-сервера и создании подходящей конфигурации. Количество и функционал модулей может меняться по мере развития и актуализации продукта и компонентов системы, с которыми они работают.

Групповые политики обрабатываются в следующем порядке:

объект локальной групповой политики;
объекты групповой политики, связанные с доменом (в рамках возможностей и ограничений поддержки леса доменов в Samba, как наборе клиентских компонент);
объекты групповой политики, связанные с OU: сначала обрабатываются объекты групповой политики связанные с OU, находящейся на самом высоком уровне в иерархии Active Directory, затем объекты групповой политики, связанные с дочерним подразделением и т. д. Последними обрабатываются объекты групповой политики, связанные с OU, в которой находится пользователь или компьютер.

Процесс применения настроек:

настройки для машины реплицируются при запуске компьютера и далее обновляются раз в час;
настройки для пользователя реплицируются при входе пользователя в систему и далее обновляются раз в час.

Для работы механизмов применения пользовательских настроек задействовано множество компонентов ОС таких, как systemd, D-Bus, PAM.

Часть проекта, отвечающая за получение и применение групповых политик, внутри использует базу данных («реестр»), для хранения настроек полученных из различных источников.

⁠8.1. Утилиты модуля

Модуль состоит из трёх утилит:

gpoa — системная утилита, осуществляющая применение групповых политик для компьютера или пользователя (gpoa без параметра отрабатывает только для машины, для пользователя нужно указывать username);
gpupdate — утилита, осуществляющая запрос на применение групповых политик. При запуске с привилегиями администратора может непосредственно выполнить применение групповых политик минуя необходимость повышения привилегий;
gpupdate-setup — инструмент администрирования механизмов применения групповых политик. Позволяет включать и отключать применение групповых политик, а также задавать шаблон политики по умолчанию («Рабочая станция», «Сервер», «Контроллер домена»).

⁠ Синтаксис команды gpoa:

gpoa [-h] [--dc DC] [--nodomain] [--noupdate] [--noplugins] [--list-backends] [--loglevel LOGLEVEL] [пользователь]

⁠

Таблица 8.1. Опции команды gpoa

Ключ	Описание
-h, --help	Вывести справку о команде
--dc DC	Указать полное имя (FQDN) контроллера домена для реплицирования SYSVOL
--nodomain	Работать без домена (применить политику по умолчанию)
--noupdate	Не пытаться обновить хранилище, только запустить appliers
--noplugins	Не запускать плагины
--list-backends	Показать список доступных бэкэндов
--loglevel LOGLEVEL	Установить уровень журналирования
пользователь	Имя пользователя домена

Примеры работы с командой gpoa:

получить и применить настройки для текущей машины:
```
# gpoa --loglevel 0
```
применить закэшированные настройки для текущей машины:
```
# gpoa --noupdate
```
получить и применить настройки с контроллера домена dc1.test.alt для пользователя ivanov:
```
# gpoa --dc dc1.test.alt --loglevel 3 ivanov
```
применить политику по умолчанию:
```
# gpoa --nodomain --loglevel 0
```

Синтаксис команды gpupdate:

gpupdate [-h] [-u USER] [-t {ALL,USER,COMPUTER}] [-l LOGLEVEL] [-s]

⁠

Таблица 8.2. Опции команды gpupdate

Ключ	Описание
-h, --help	Вывести справку о команде
-u USER, --user USER	Имя пользователя для обновления GPO
--target TARGET	Указать политики, которые нужно обновить (пользователя или компьютера). Возможные значения: All (по умолчанию), Computer, User
--loglevel LOGLEVEL	Установить уровень журналирования
-s, --system	Запустить gpupdate в системном режиме

Только root может указать любое имя пользователя для обновления. Пользователь может выполнять gpupdate только для машины или самого себя.

Примеры работы с командой gpupdate:

получить и применить настройки для текущей машины:
```
$ gpupdate --target Computer
Apply group policies for computer.
```
получить и применить настройки для текущего пользователя:
```
$ gpupdate --target User
Apply group policies for kudrin.
```
получить и применить настройки для текущего пользователя и машины:
```
$ gpupdate
Apply group policies for kudrin.
```

попытаться получить настройки для пользователя ivanov (с правами пользователя kudrin):

$ gpupdate -u ivanov --target User --loglevel 0
2022-03-15 08:38:50.676|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'User'}
2022-03-15 08:38:50.677|[W00002]| Текущий уровень привилегий не позволяет выполнить gpupdate для указанного пользователя. Будут обновлены настройки текущего пользователя.|{'username': 'kudrin'}
2022-03-15 08:38:50.690|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
2022-03-15 08:38:50.691|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'kudrin'}
2022-03-15 08:39:12.282|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
Apply group policies for kudrin.

попытаться получить настройки для пользователя ivanov (с правами суперпользователя):

# gpupdate -u ivanov --target User --loglevel 0
2022-03-24 13:32:16.243|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'User'}
2022-03-24 13:32:16.257|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
2022-03-24 13:32:16.258|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'ivanov'}
2022-03-24 13:32:24.615|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
Apply group policies for ivanov.

Синтаксис команды gpupdate-setup:

gpupdate-setup [-h] действие …

⁠

Таблица 8.3. Опции команды gpupdate-setup

Ключ	Описание
list	Показать список доступных типов локальной политики
list-backends	Показать список доступных бэкэндов
status	Показать текущий статус групповой политики (действие по умолчанию)
enable	Включить подсистему групповой политики
disable	Отключить подсистему групповой политики
update	Обновить состояние. Проверяет в каком состоянии находилась служба gpupdate. В случае если служба gpupdate запущена, gpupdate-setup также запустит весь перечень необходимых служб (например, gpupdate-run-scripts)
write	Операции с групповыми политиками (включить, отключить, указать тип политики по умолчанию)
set-backend	Установить или изменить активную в данный момент серверную часть (бэкэнд)
default-policy	Показать название политики по умолчанию
active-policy	Показать название текущего профиля политики
active-backend	Показать текущий настроенный бэкэнд

Примеры работы с командой gpupdate-setup:

просмотр текущего состояния подсистемы групповых политик:
```
# gpupdate-setup
disabled
```

включение групповых политик (для включения через ЦУС доступен соответствующий графический модуль управления, а также отметка во время введения машины в домен см. раздел Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах):

# gpupdate-setup enable
workstation
Created symlink /etc/systemd/user/default.target.wants/gpupdate-user.service → /usr/lib/systemd/user/gpupdate-user.service.
Created symlink /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service → /lib/systemd/system/gpupdate-scripts-run.service.
Created symlink /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service → /usr/lib/systemd/user/gpupdate-scripts-run-user.service.
Created symlink /etc/systemd/system/timers.target.wants/gpupdate.timer → /lib/systemd/system/gpupdate.timer.
Created symlink /etc/systemd/user/timers.target.wants/gpupdate-user.timer → /usr/lib/systemd/user/gpupdate-user.timer.
# control system-policy
gpupdate

выключение групповых политик:

# gpupdate-setup disable
Removed /etc/systemd/system/multi-user.target.wants/gpupdate.service.
Removed /etc/systemd/user/default.target.wants/gpupdate-user.service.
Removed /etc/systemd/system/timers.target.wants/gpupdate.timer.
Removed /etc/systemd/user/timers.target.wants/gpupdate-user.timer.
Removed /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service.
Removed /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service.

вывести список доступных бэкендов:
```
# gpupdate-setup list-backends
local
samba
```
включить групповые политики и установить профиль политики по умолчанию server:
```
# gpupdate-setup write enable server
```

По умолчанию, нет необходимости конфигурировать gpupdate. Однако в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:

раздел [gpoa]:
- backend — способ получения настроек;
- local-policy — профиль политики по умолчанию, который будет применен сразу после загрузки ОС (ad-domain-controller, workstation, server, default);
раздел [samba]:
- dc — контроллер домена, с которого нужно обновлять групповые политики.

Пример, файла /etc/gpupdate/gpupdate.ini на контроллере домена:

[gpoa]
backend = samba
local-policy = ad-domain-controller

Пример, файла /etc/gpupdate/gpupdate.ini на рабочей станции:

[gpoa]
backend = samba
local-policy = workstation

В следующем примере указан пустой профиль локальной политики. Указать пустой профиль бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:

[gpoa]
backend = samba
local-policy = /usr/share/local-policy/default

[samba]
dc = dc1.test.alt

⁠8.2. Локальная политика

Настройки локальной политики находятся в каталоге /usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и разворачивать её единообразно на всех клиентах. Формат шаблонов политик по умолчанию представляет собой архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

⁠

Таблица 8.4. Состав локальной политики

Описание	Комментарий
Включение oddjobd.service	Необходимо для обеспечения возможности запуска `gpupdate` для пользователя с правами администратора
Включение gpupdate.service	Необходимо для регулярного обновления настроек машины
Включение sshd.service	Необходимо для обеспечения возможности удалённого администрирования
Включение аутентификации с помощью GSSAPI для sshd	Необходимо для аутентификации в домене при доступе через SSH
Ограничение аутентификации для sshd по группам wheel и remote	Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии)
Открытие порта 22	Необходимо для обеспечения возможности подключения по SSH на машинах при старте Firewall applier

Пример локальной политики (файл /usr/share/local-policy/workstation/Machine/Registry.pol.xml):

<?xml version="1.0" encoding="utf-8"?>
<PolFile num_entries="9" signature="PReg" version="1">
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>ssh-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups-list</ValueName>
        <Value>remote</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>system-policy</ValueName>
        <Value>gpupdate</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>oddjobd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>sshd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>gpupdate.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules</Key>
        <ValueName>OpenSSH</ValueName>
        <Value>v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|</Value>
    </Entry>
</PolFile>

⁠8.3. Модули клиентской стороны (Applier)

На клиентский компьютер должны распространяться параметры политики, указанные в соответствующем объекте GPO.

Каждая группа параметров групповой политики обслуживается определенным модулем (Applier) клиентской стороны.

⁠

Таблица 8.5. Список модулей

Расширение клиентской стороны	Модуль	Описание
Управление control framework	control	Управляет фреймворком control. Может быть вызван только машинной политикой. Принцип работы — вызвать утилиту `control` с нужным параметром
Политики доступа к съёмным носителям	polkit	Управляет генерацией настроек PolicyKit. Данный applier является машинным и способен реагировать на одно единственное свойство — запрет подключения всех внешних носителей информации. Работа с правилами PolicyKit ведется методом генерации файлов `.rules`
Включение или выключение различных служб	systemd	Управление включением или выключением сервисов systemd. Данный applier реализован только для машин. Его функция — включение или выключение systemd units (при их наличии). Applier способен обрабатывать параметры, полученные из PReg файлов (через ADMX) в виде ветвей реестра
Настройка браузера Chromium	chromium	Генерирует файл политики для Chromium (`policies.json`). Данные настройки устанавливаются из ADMX-файлов для Chromium. Может быть вызван только машинной политикой.
Настройка браузера Firefox	firefox	Генерирует файл политики для Firefox (`policies.json`). Данные настройки устанавливаются из ADMX-файлов для Firefox. Может быть вызван только машинной политикой.
Настройка Яндекс.Браузера	yandex	Генерирует файл политики для Яндекс.Браузера (`policies.json`). Данные настройки устанавливаются из ADMX-файлов для Яндекс.Браузера. Может быть вызван только машинной политикой.
Управление ярлыками запуска программ	shortcuts	Управляет `.desktop` файлами (создание/удаление/замена)
Управление ярлыками запуска программ	shortcuts_user	Управляет `.desktop` файлами в контексте пользователя. Способен реагировать на опцию выполнения операций в контексте администратора или пользователя
Управление подключением сетевых дисков	drives	Управляет подключением сетевых дисков
Управление подключением сетевых дисков	drives_user	Управляет подключением сетевых дисков в контексте пользователя
Управление каталогами файловой системы	folder	Управляет каталогами файловой системы (создание/удаление/пересоздание)
Управление каталогами файловой системы	folder_user	Управляет каталогами файловой системы в контексте пользователя
Управление файлами	files	Управляет файлами (создание/удаление/пересоздание)
Управление файлами	files_user	Управляет файлами в контексте пользователя
Управление INI-файлами	inifiles	Управляет INI-файлами (создание/удаление/пересоздание)
Управление INI-файлами	inifiles_user	Управляет INI-файлами в контексте пользователя
Управление переменными среды	environmentvariables	Управляет переменными среды
Управление переменными среды	environmentvariables_user	Управляет переменными среды в контексте пользователя
Управление общими каталогами	networkshares	Управляет общими каталогами
Управление общими каталогами	networkshares_user	Управляет общими каталогами в контексте пользователя
Управление gsettings (настройки графической среды Mate)	gsettings	Разворачивает системные настройки gsettings. Редактирование системных настроек осуществляется методом развертывания файлов с расширением `.gschema.override` (в формате INI) в директории с XML схемами. После разворачивания необходимо осуществить вызов glib-compile-schemas, для того чтобы настройки вступили в силу
Управление gsettings (настройки графической среды Mate)	gsettings_user	Устанавливает настройки gsettings для пользователя
Управление пакетами	package	Средство работы с пакетным менеджером для установки и удаления пакетов программ

Модель групповых политик вызывает Applier отвечающие за внесение изменений, согласно параметрам политики. Для выполнения настроек, указанных в параметрах групповой политики, расширения клиентской стороны изменяют конкретные параметры операционной системы. Изменения, внесённые в операционную систему при помощи модуля групповых политик, записываются в журналы событий.

⁠8.4. Периодичность запуска групповых политик

Каждый фронтенд срабатывает на определённые ветки настроек. Запуск фронтенда для машины по умолчанию производится раз в час средством Systemd — gpupdate.timer. Запуск фронтенда для пользователя в административном контексте производится с помощью модуля pam_oddjob при входе в систему и далее раз в час (по умолчанию) также средством Systemd — gpupdate-user.timer.

Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).

Изменить периодичность запуска системного таймера можно, изменив значение параметра OnUnitActiveSec в файле /lib/systemd/system/gpupdate.timer:

[Unit]
Description=Run gpupdate every hour

[Timer]
OnStartupSec=1
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target

По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера можно, выполнив команду:

# systemctl status gpupdate.timer
● gpupdate.timer - Run gpupdate every hour
     Loaded: loaded (/lib/systemd/system/gpupdate.timer; enabled; vendor preset: disabled)
     Active: active (waiting) since Fri 2022-12-09 09:31:41 EET; 3h 31min ago
    Trigger: Fri 2022-12-09 13:15:05 EET; 12min left
   Triggers: ● gpupdate.service

дек 09 09:31:41 edu.test.alt systemd[1]: Started Run gpupdate every hour.

Изменить периодичность запуска пользовательского таймера можно, изменив значение параметра OnUnitActiveSec в файле /usr/lib/systemd/user/gpupdate-user.timer:

[Unit]
Description=Run gpupdate-user every hour

[Timer]
OnStartupSec=1
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target

По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера можно, выполнив команду от имени пользователя:

$ systemctl --user status gpupdate-user.timer
● gpupdate-user.timer - Run gpupdate-user every hour
     Loaded: loaded (/usr/lib/systemd/user/gpupdate-user.timer; enabled; vendor preset: enabled)
     Active: active (waiting) since Fri 2022-12-09 12:49:21 EET; 2min 54s ago
    Trigger: Fri 2022-12-09 13:49:28 EET; 57min left
   Triggers: ● gpupdate-user.service

дек 09 12:49:21 edu.test.alt systemd[47372]: Started Run gpupdate-user every hour.

Чтобы изменения, внесённые в файл /usr/lib/systemd/user/gpupdate-user.timer, вступили в силу следует выполнить команду:

$ systemctl --user daemon-reload

Примечание

Управлять периодичностью запуска gpupdate можно также через групповые политики (см. раздел Настройка периодичности запроса конфигураций).

Просмотреть список запущенных системных таймеров можно, выполнив команду:

$ systemctl list-timers

Просмотреть список запущенных пользовательских таймеров можно, выполнив команду:

$ systemctl --user list-timers

⁠Глава 9. Модуль удаленного управления базой данных конфигурации (ADMC)

9.1. Запуск ADMC

9.2. Интерфейс ADMC

9.3. Свойства объектов

9.4. Выбор контейнера

9.5. Управление пользователями

9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя

9.6. Управление контактами

9.6.1. Создание контакта
9.6.2. Изменение свойств контакта

9.7. Управление группами

9.7.1. Создание группы
9.7.2. Изменение группы

9.8. Управление компьютерами

9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера

9.9. Управление подразделениями

9.9.1. Создание подразделения
9.9.2. Изменение подразделения

9.10. Управление общими папками

9.11. Управление объектами групповых политик

9.11.1. Создание объекта групповой политики
9.11.2. Изменение объекта групповой политики
9.11.3. Блокирование наследования

9.12. Добавление/Удаление UPN суффиксов

9.13. Роли FSMO

9.14. Выбор объектов

9.15. Поиск объектов

9.15.1. Простой поиск
9.15.2. Обычный поиск
9.15.3. Продвинутый поиск

9.16. Использование сохранённых результатов поиска

Компонент удаленного управления базой данных конфигурации (далее — ADMC) предназначен для управления:

объектами в домене (пользователями, группами, компьютерами, подразделениями);
групповыми политиками.

ADMC позволяет:

создавать и администрировать учётные записи пользователей, компьютеров и групп;
менять пароли пользователя;
создавать организационные подразделения, для структурирования и выстраивания иерархической системы распределения учётных записей в AD;
просматривать и редактировать атрибуты объектов;
создавать и просматривать объекты групповых политик;
выполнять поиск объектов по разным критериям;
сохранять поисковые запросы;
переносить поисковые запросы между компьютерами (выполнять экспорт и импорт поисковых запросов).

В ADMC реализована функция поиска объектов групповых политик.

⁠9.1. Запуск ADMC

Примечание

$ kinit administrator

⁠9.2. Интерфейс ADMC

Включить/выключить отображение панелей можно, отметив соответствующий пункт в меню Вид:

Журнал сообщений — показать/скрыть панель журнала. В панели журнала отображается сообщения о статусе приложения. Эти сообщения содержат отчеты обо всех выполненных действиях над объектами:
Панель инструментов — показать/скрыть панель инструментов;
Дерево консоли — показать/скрыть панель дерева объектов Active Directory. Панель дерева объектов Active Directory отображается слева, в правой панели будут отображаться сведения о выбранном объекте. По умолчанию дерево показывает объекты типа «контейнер»:
Область описания — выводить описание контейнера. В области описания отображается название контейнера и количество объектов в контейнере:

В меню Вид → Тема можно выбрать тему значков:

Примечание

Системная тема берётся из каталога /usr/share/icons, пользовательские темы берутся по умолчанию из каталога /usr/share/ad-integration. Каталоги с темами определяются по наличию в них файла index.theme и могут быть символическими ссылками.

В меню Настройки можно изменить параметры ADMC:

Дополнительные возможности — показывать расширенные объекты и элементы приложения;
Подтверждать действия — выводить окно Подтвердить действие при выполнении потенциально опасных действий, например, удалении объекта:
Ставить фамилию перед именем — изменить формат полного имени (поле «cn») по умолчанию на «Фамилия Имя»;
Вносить информацию о поиске в журнал сообщений — вносить в журнал поисковые запросы;
Метки времени в журнале сообщений — показывать в журнале время события;
Показывать неконтейнерные объекты в дереве консоли — показывать неконтейнерные объекты (например, учётные записи пользователей и компьютерные учётные записи) в панели дерева объектов Active Directory;
Загрузить необязательные атрибуты — позволяет загрузить значения необязательных атрибутов на вкладке Атрибуты в окне свойств пользователя;
Язык — выбрать язык интерфейса (русский или английский).

Выбранные параметры сохраняются и восстанавливаются при каждом запуске программы.

При выборе корневого элемента в дереве консоли будет отображена информация о домене: дерево с сайтами, контроллерами домена и ролями FSMO. Данный виджет также содержит версию контроллера домена, количество сайтов и контроллеров домена, режимы работы домена и леса, версию схемы домена:

Роли FSMO:

Меню операций с объектом открывается из строки меню (пункт Действие) после выбора объекта:

или в контекстном меню объекта:

Меню операций содержит действия, применимые к выделенному объекту.

⁠9.3. Свойства объектов

Существует два режима работы ADMC: обычный и расширенный режим. При включении расширенного режима (Настройки → Дополнительные возможности) в свойствах всех объектов появляются дополнительно две вкладки: Атрибуты и Объект. Для объекта пользователь также появляется вкладка Безопасность.

Окно Учетная запись пользователя – Свойства в расширенном режиме:

Окно «Учетная запись пользователя – свойства – ADMC»

По умолчанию отображается вкладка Общее.

⁠

Таблица 9.1. Назначение вкладок окна «Свойства учётной записи пользователя»

Вкладка	Описание	Расширенный режим
Общее	Основная вкладка, содержащая информацию, идентифицирующую личность пользователя, которой соответствует данная учётная запись	-
Учётная запись	Характеристики учётной записи пользователя, настройка правил регистрации в сети	-
Адрес	Почтовый адрес пользователя	-
Организация	Данные о сотруднике согласно штатному расписанию	-
Телефоны	Настройка телефонии	-
Группы	Управление членством в группах безопасности	-
Атрибуты	Список атрибутов объекта	+
Объект	Информация об объекте	+
Делегирование		-
Безопасность	Права доступа к объекту	+

Во вкладке Общее задаются личные данные сотрудника и его контактная информация: телефоны, размещение, адрес электронной почты и др. Вкладка Общее отображается по умолчанию при вызове свойств учётной записи любого объекта AD. В качестве значений параметров указаны названия соответствующих им полей в AD.

⁠

Таблица 9.2. Соответствие параметров на вкладке «Общее» полям в AD

Поле на вкладке Общее	Примечание	Поле в Active Directory	Тип
Полное имя	Во вкладке Общее значение этого поля изменить нельзя	cn, name	Юникод
Описание		description	Юникод
Имя		givenName	Юникод
Фамилия		sn	Юникод
Отображаемое имя	Значение этого параметра складывается из суммы значений трех параметров: First Name, Initials и Last Name	diplayName	Юникод
Инициалы	Длина не более 6 символов	initials	Юникод
Электронная почта	Автоматически заполняемое поле в соответствии с форматом UPN (RFC 822) при создании почтового ящика для учётной записи пользователя. По умолчанию поле пустое	mail	Юникод
Расположение офиса	Указывается физическое месторасположение пользователя: комната, офис и т.д.	physicalDeliveryOfficeName	Юникод
Номер телефона		telephoneNumber	Юникод
Другие телефоны	Можно задать, нажав кнопку Другие…	otherTelephone	Юникод
Адрес веб-страницы		wWWHomePage	Юникод
Другие адреса веб-страниц	Можно задать, нажав кнопку Другие…	url	Юникод

Во вкладке Учетная запись сосредоточены настройки, характеризующие правила доступа пользователя к сети, включая имя входа в сеть:

⁠

Таблица 9.3. Соответствие параметров на вкладке «Учетная запись» полям в AD

Поле на вкладке Учетная запись	Примечание	Поле в Active Directory	Тип
Имя для входа	Имя пользователя для входа (логин пользователя)	userPrincipalName	Юникод
Разблокировать учётную запись	Позволяет разблокировать учётную запись пользователя, если она была заблокирована, например, из-за слишком большого количества неудачных попыток входа	userAccountControl = 16	Целое число
Срок действия учётной записи	Дата отключения учётной записи (по умолчанию Никогда — неограниченный срок действия). Если нужно задать дату окончания срока действия учётной записи пользователя, следует выбрать Конец и затем выбрать дату	accountExpires	Большое целое число
Время входа…	Часы, в которые пользователю разрешено выполнять вход в домен	logonHours	Октет
Учетная запись отключена (ACCOUNTDISABLE)	Если эта опция включена, пользователь не сможет войти в систему	userAccountControl = 0x0002 (2)	Целое число
Пользователь не может изменить пароль (PASSWD_CANT_CHANGE)		userAccountControl = 0x0040 (64)	Целое число
Пользователь должен сменить пароль при следующем входе в систему		pwdLastSet	Большое целое число
Пароль не истекает (DONT_EXPIRE_PASSWORD)	Срок действия пароля для этой учётной записи никогда не истечет	userAccountControl = 0x10000 (65536)	Целое число
Хранить пароль с использованием обратимого шифрования (ENCRYPTED_TEXT_PWD_ALLOWED)	Для шифрования ключей использовать DES-шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности	userAccountControl = 0x0080 (128)	Целое число
Смарт-карта необходима для интерактивного входа в систему (SMARTCARD_REQUIRED)	Пользователь должен войти в систему с помощью смарт-карты	userAccountControl = 0x40000 (262144)	Целое число
Учетная запись является конфиденциальной и не может быть делегирована (NOT_DELEGATED)	Пользователю нельзя доверять делегирование полномочий	userAccountControl = 0x100000 (1048576)	Целое число
Использовать Kerberos DES тип шифрования для этой учётной записи (USE_DES_KEY_ONLY)	Ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей	userAccountControl = 0x200000 (2097152)	Целое число
Не требовать предварительной аутентификации Kerberos (DONT_REQ_PREAUTH)	Для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos	userAccountControl = 0x400000 (4194304)	Целое число
Доверять делегирование (TRUSTED_FOR_DELEGATION)	Учетная запись пользователя или компьютера, под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу	userAccountControl = 0x80000 (524288)	Целое число

Примечание

userAccountControl — атрибут управления учётной записью пользователя. Значение атрибута userAccountControl, образуется путем суммирования всех установленных значений. В таблице приведены только те значения, которые можно изменить явным образом на вкладках Учетная запись и Делегирование. Значения UserAccountControl по умолчанию для определенных объектов:

обычный пользователь (NORMAL_ACCOUNT): 0x200 (512);
контроллер домена (SERVER_TRUST_ACCOUNT): 0x2000 (8192);
рабочая станция или сервер (WORKSTATION_TRUST_ACCOUNT): 0x1000 (4096).

На вкладке Группы формируется список групп, членом которых является текущий пользователь. Здесь также можно назначить основную группу (Primary Group). Для управления членством пользователя в группах безопасности AD используются две кнопки, находящиеся под списком групп, членами которой является пользователь: Добавить и Удалить. По умолчанию пользователь входит в группу Domain Users.

На вкладке Делегирование доступно два параметра:

Не доверять делегирование — запрещение делегирования услуг;
Доверять делегирование любых служб с использованием Kerberos — задает возможность делегирования услуг только с помощью протокола Kerberos.

Примечание

Протокол проверки подлинности Kerberos — это основной протокол безопасности для проверки подлинности в домене. Он проверяет подлинность пользователя и системы.

Каждому объекту в сети назначается набор данных об управлении доступом. Этот набор данных определяет, какой тип доступа разрешается пользователям и группам. Управление разрешениями для выбранного объекта доступно на вкладке Безопасность:

В поле Разрешения отображается список действующих разрешений и запретов для каждой выбранной группы. Чтобы установить разрешения для группы, которая отсутствует в списке можно воспользоваться кнопкой Добавить… или Добавить известное доверенное лицо….

Для тонкого редактирования свойств объектов AD (пользователей, компьютеров, групп) можно воспользоваться вкладкой Атрибуты:

Эту вкладку можно использовать для просмотра и редактирования атрибутов, недоступных через другие вкладки окна Свойства объекта (например, для просмотра значений неизменяемых атрибутов).

Содержимое окна редактирования атрибута зависит от типа атрибута. Окно редактирования атрибута целого типа:

Изменение значения целочисленного атрибута

Окно редактирования атрибута логического типа:

Изменение значение атрибута логического типа

Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например, значение атрибута lastLogon или lastLogonTimestamp (информация о времени последнего входа пользователя в домен) во вкладке Атрибуты и в окне редактирования атрибута отображается в формате «Дата Время», хотя время хранится в виде большого целого числа, представляющего число 100-наносекундных интервалов с 1 января 1601 (UTC):

Кнопка Загрузить необязательные атрибуты позволяет загрузить значения необязательных атрибутов:

Кнопка Фильтр позволяет управлять отображением списка атрибутов:

Без значения — показывать пустые атрибуты;
Только для чтения — показывать все атрибуты, в том числе на правку которых нет полномочий. Если снять отметку с этого пункта, будут показаны только те атрибуты, на правку которых делегированы полномочия (например, если у пользователя нет полномочий на изменение атрибутов данного объекта, список атрибутов будет пуст);
Обязательные — показывать обязательные атрибуты;
Необязательные — показывать необязательные (дополнительные) атрибуты;
Системные — показывать системные атрибуты, которые может изменять только сервер AD (например, objectClass);
Сконструированные — показывать атрибуты, которые не хранятся в каталоге, но вычисляются контроллером домена (например, canonicalName);
Обратные ссылки — показывать связанные атрибуты (например, memberOf).

Управление отображением списка атрибутов

⁠9.4. Выбор контейнера

При перемещении объекта в новый контейнер (пункт Переместить… в контекстном меню объекта) открывается окно, в котором можно выбрать контейнер, в который следует переместить объект.

⁠9.5. Управление пользователями

Учетная запись пользователя AD:

удостоверяет личность пользователя;
разрешает или запрещает доступ к ресурсам домена.

В ADMC предусмотрена возможность создания новых учётных записей пользователей в доменных службах AD и управления существующими учётными записями пользователей.

Примечание

Для доступа к некоторым операциям необходимо быть членом одной из этих групп: Account Operators, Domain Admins, Enterprise Admins.

Примечание

Объект InetOrgPerson является производным от класса пользователь (user). Он может работать в качестве субъекта безопасности так же, как и объект класса пользователь. Для создания учётной записи InetOrgPerson в контекстном меню контейнера следует выбрать пункт Создать → inetOrgPerson.

⁠9.5.1. Создание учётной записи пользователя

Для создания учётной записи пользователя в контекстном меню контейнера следует выбрать пункт Создать → Пользователь. Окно мастера создания учётной записи пользователя:

При создании учётной записи пользователя можно указать следующие параметры (атрибуты):

Имя — имя пользователя;
Фамилия — фамилия пользователя;
Полное имя — полное имя пользователя (в это поле можно добавить отчество или поменять имя и фамилию местами);
Инициалы — инициалы пользователя;
Имя для входа — имя пользователя для входа (логин пользователя). В раскрывающемся списке перечисляются доступные суффиксы основного имени пользователя (UPN), которые можно использовать для создания имени пользователя для входа. Список содержит полное имя системы доменных имен (DNS) текущего домена и все альтернативные суффиксы UPN:
Имя для входа (до Windows 2000) — имя пользователя для входа в старые системы (пред-Windows 2000);
Пароль/Подтвердите пароль — пароль пользователя;
Пользователь должен сменить пароль при следующем входе в систему — пользователь должен изменить пароль при следующем входе в систему. Если эта опция включена, только пользователь будет знать свой пароль;
Пользователь не может изменить пароль — предотвращает изменение пароля пользователем;
Пароль не истекает — установить бессрочный пароль. Если эта опция включена, срок действия учётной записи пользователя не ограничен (по умолчанию срок действия пароля задан атрибутом minPwdAge);
Учетная запись отключена — отключить учётную запись пользователя. Если эта опция включена, пользователь не сможет войти в систему.

Примечание

Для совместимости с доменами пред-Windows 2000 (Windows NT) в AD задается два имени пользователя, значения которых имеют разный формат. Первое имя, используемое в доменах Window 2k, — UPN-имя, которому в AD соответствует поле userPrincipalName, имеющее формат user@domain, где domain — DNS-имя домена, например, TEST.ALT; user — имя пользователя в сети. Для удобства назначения имен UPN-имя разделено на две части (префикс UPN и суффикс UPN). Второе задаваемое имя пользователя — SAM-имя, которое используется для совместимости в доменах Windows NT. Структура SAM-имени следующая: domain\user, где domain — сокращенное имя домена, например, TEST; user — имя пользователя. В AD хранится только имя пользователя в поле samAccountName. Первая часть SAM-имени однозначно вычисляется из DNS-имени домена.

По умолчанию суффиксом основного имени (UPN) для учётной записи пользователя является DNS имя домена AD, которое содержит учётную запись пользователя. Для упрощения процессов администрирования и входа пользователя в систему можно добавить альтернативные суффиксы UPN.

⁠9.5.2. Изменение учётной записи пользователя

Для изменения учётной записи пользователя следует в контекстном меню пользователя выбрать соответствующее действие:

Для добавления пользователя в группу:

В контекстном меню пользователя выбрать пункт Добавить в группу….
В открывшемся окне выбрать группы, в которые следует добавить учётную запись пользователя в качестве участника:
Нажать кнопку ОК.

Для переименования пользователя:

В контекстном меню пользователя выбрать пункт Переименовать.
В открывшемся окне, если необходимо, изменить соответствующие поля:
Нажать кнопку ОК для сохранения изменений.

Для изменения пароля пользователя:

В контекстном меню пользователя выбрать пункт Сбросить пароль.
В открывшемся окне ввести новый пароль и подтвердить его:
Если необходимо, чтобы пользователь изменил этот пароль при следующем входе в систему, установить отметку Пользователь должен изменить пароль при следующем входе в систему.
Установить отметку Разблокировать учётную запись, если необходимо разблокировать учётную запись пользователя.
Нажать кнопку ОК для сохранения изменений.

Для перемещения пользователя в другой контейнер:

В контекстном меню пользователя выбрать пункт Переместить….
В открывшемся окне выбрать контейнер, в который следует переместить учётную запись пользователя:
Нажать кнопку ОК.

Для включения/отключения учётной записи пользователя необходимо в контекстном меню пользователя выбрать пункт Отключить или Включить (в зависимости от состояния учётной записи будет доступно одно из этих действий).

Чтобы разблокировать учётную запись пользователя:

В контекстном меню пользователя выбрать пункт Свойства.
В открывшемся окне на вкладке Учетная запись отметить пункт Разблокировать учётную запись:
Нажать кнопку ОК или Применить.

Для удаления учётной записи пользователя следует в контекстном меню пользователя выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, пользователь будет удален сразу после выбора пункта меню Удалить.

Для того чтобы найти группы, участником которых является пользователь:

В контекстном меню пользователя выбрать пункт Свойства.
В открывшемся окне на вкладке Группы будут отображаться группы, в которые входит данный пользователь:

⁠9.6. Управление контактами

Контакт предназначен для хранения информации о пользователях, которым не требуется регистрация в домене.

⁠9.6.1. Создание контакта

Для создания контакта в контекстном меню контейнера следует выбрать пункт Создать → Контакт. Окно мастера создания контакта:

При создании контакта можно указать следующие параметры (атрибуты):

Имя — имя пользователя;
Фамилия — фамилия пользователя;
Инициалы — инициалы пользователя;
Полное имя — полное имя пользователя (в это поле можно добавить отчество или поменять имя и фамилию местами);
Отображаемое имя — имя, отображаемое в адресной книге для определенной учётной записи.

⁠9.6.2. Изменение свойств контакта

Для изменения учётной записи пользователя следует в контекстном меню контакта выбрать соответствующее действие:

Вкладки Общие, Адрес, Телефоны и Организация в окне Свойства контакта идентичны соответствующим вкладкам окна Свойства учётной записи пользователя.

На вкладке Группы можно, по аналогии с учётными записями пользователей, указать, членом каких групп является контакт. Возможность членства в группах не даёт контакту никаких прав в рамках домена и предназначена для организации групп рассылки. Для контакта нельзя указать основную группу, так как это не требуется для функционирования групп рассылки.

⁠9.7. Управление группами

Группа состоит из учётных записей пользователей и компьютеров, контактов и других групп и может управляться как единое целое. Пользователи и компьютеры, входящие в определённую группу, являются членами группы.

Группы характеризуются областью действия и типом. Область действия группы определяет пределы применения группы внутри домена или леса. Тип группы определяет возможность использования группы для назначения разрешений с ресурса общего доступа (для групп безопасности) или только для списков рассылки электронной почты (для групп рассылки).

⁠9.7.1. Создание группы

Для создания группы следует в контекстном меню контейнера выбрать пункт Создать → Группа. Окно мастера создания группы:

При создании группы можно указать следующие параметры (атрибуты):

Имя — название группы;
Имя группы (до Windows 2000) — название группы для старых систем (пред-Windows 2000);
Область группы — область действия группы:
- Глобальная — членами глобальной группы могут быть другие группы и учётные записи только из того домена, в котором определена группа. Членам этой группы разрешения могут назначаться в любом домене леса;
- Домен локальная — членам такой группы разрешения могут назначаться только внутри домена (доступ к ресурсам одного домена);
- Универсальная — членами универсальных групп могут быть другие группы и учётные записи из любого домена дерева доменов или леса. Членам такой группы разрешения могут назначаться в любом домене дерева доменов или леса;
Тип группы — тип группы:
- Безопасность — используется для назначения разрешений доступа к общим ресурсам;
- Рассылка — используется для создания списков рассылки электронной почты.

⁠9.7.2. Изменение группы

Для изменения группы следует в контекстном меню группы выбрать соответствующее действие:

Для добавления группы в другую группу:

В контекстном меню группы выбрать пункт Добавить в группу….
В открывшемся окне выбрать группы, в которые следует добавить данную группу в качестве участника:
Нажать кнопку ОК.

Для перемещения группы в другой контейнер:

В контекстном меню группы выбрать пункт Переместить….
В открывшемся окне выбрать контейнер, в который следует переместить группу:
Нажать кнопку ОК.

Для переименования группы:

В контекстном меню группы выбрать пункт Переименовать.
В открывшемся окне, если необходимо, изменить соответствующие поля:
Нажать кнопку ОК для сохранения изменений.

Для удаления группы следует в контекстном меню группы выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, группа будет удалена сразу после выбора пункта меню Удалить.

Для того чтобы добавить участников в группу:

В контекстном меню группы выбрать пункт Свойства.
В открывшемся диалоговом окне на вкладке Участники нажать кнопку Добавить…:
Выбрать объекты, которые необходимо добавить в группу:
Нажать кнопку ОК.
Нажать кнопку ОК или Применить для сохранения изменений.

Для изменения области действия/типа группы:

В контекстном меню группы выбрать пункт Свойства.
В открывшемся диалоговом окне на вкладке Общее в выпадающем списке Тип группы выбрать тип группы, в выпадающем списке Область группы выбрать область действия группы:
Нажать кнопку ОК или Применить для сохранения изменений.

⁠9.8. Управление компьютерами

Учетные записи компьютеров представляют собой устройства, подключенные к AD. Они хранятся в базе данных AD после того, как их подключат к домену.

⁠9.8.1. Создание учётной записи компьютера

Учетная запись компьютера создается во время стандартной процедуры присоединения к домену.

Для создания вручную учётной записи компьютера следует в контекстном меню контейнера выбрать пункт Создать → Компьютер. Окно мастера создания учётной записи компьютера:

При создании учётной записи компьютера необходимо указать название компьютера (поле Имя) и название компьютера для старых систем (поле Имя для входа (до Windows 2000)).

⁠9.8.2. Изменение учётной записи компьютера

Для изменения учётной записи компьютера следует в контекстном меню компьютера выбрать соответствующее действие:

Для включения/отключения учётной записи компьютера необходимо в контекстном меню компьютера выбрать пункт Отключить или Включить (в зависимости от состояния учётной записи будет доступно одно из этих действий).

Для сброса учётной записи компьютера следует в контекстном меню компьютера выбрать пункт Сбросить учётную запись. При этом учётная запись выбранного компьютера будет переустановлена. Переустановка учётной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.

Для перемещения компьютера в другой контейнер:

В контекстном меню компьютера выбрать пункт Переместить….
В открывшемся окне выбрать контейнер, в который следует переместить учётную запись компьютера:
Нажать кнопку ОК.

Для удаления учётной записи компьютера следует в контекстном меню компьютера выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, компьютер будет удалён сразу после выбора пункта меню Удалить.

⁠9.9. Управление подразделениями

Организационная единица или, подразделение (Organizational Unit, OU) — это субконтейнер в AD, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделение — самая маленькая область или единица, для которой можно назначить параметры групповой политики. Подразделения могут быть вложенными.

⁠9.9.1. Создание подразделения

Для создания подразделения следует в контекстном меню контейнера выбрать пункт Создать → Подразделение. Окно мастера создания подразделения:

При создании подразделения необходимо указать название подразделения (поле Имя).

Примечание

Если при создании подразделения отметить пункт Защитить от удаления, то для удаления данного подразделения, необходимо сначала снять данную отметку в окне свойств подразделения.

⁠9.9.2. Изменение подразделения

Для изменения подразделения следует в контекстном меню подразделения выбрать соответствующее действие:

Для переименования подразделения:

В контекстном меню подразделения выбрать пункт Переименовать.
В открывшемся окне изменить имя подразделения:
Нажать кнопку ОК для сохранения изменений.

Для удаления подразделения следует в контекстном меню подразделения выбрать пункт Удалить.

Предупреждение

Если при создании подразделения был отмечен пункт Защитить от удаления, то сразу удалить подразделение не получится, необходимо сначала снять данную отметку в окне свойств подразделения:

Для перемещения подразделения в другой контейнер:

В контекстном меню подразделения выбрать пункт Переместить….
В открывшемся окне выбрать контейнер, в который следует переместить подразделение:
Нажать кнопку ОК.

⁠9.10. Управление общими папками

Общая папка является ссылкой на общий сетевой ресурс и не содержит никаких данных.

Для создания общей папки следует в контекстном меню контейнера выбрать пункт Создать → Общая папка. Окно мастера создания общей папки:

В поле Имя следует ввести название папки, под которым она будет отображаться в каталоге AD, а в поле Сетевой путь — полный сетевой путь к общей папке.

Примечание

Чтобы просмотреть содержимое общей папки, на машине Windows в дереве консоли управления «Active Directory — пользователи и компьютеры» в контекстном меню общей папки следует выбрать пункт Проводник. Откроется новое окно Проводника, в котором будет показано содержимое общей папки.

Для изменения общей папки следует в контекстном меню общей папки выбрать соответствующее действие:

⁠9.11. Управление объектами групповых политик

Групповая политика состоит из набора политик, называемых объектами групповой политики. Для вступления настроек в силу, объект групповой политики необходимо связать с одним или несколькими контейнерами AD. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

ADMC позволяет управлять объектами групповых политик: создавать, удалять, создавать ссылки на групповые политики.

В разделе Объекты групповой политики отображаются групповые политики, которые назначены на различные OU (отображается вся структура OU). Полный список политик (GPO) в текущем домене доступен в разделе Все политики.

Примечание

В каждом домене Active Directory по умолчанию создаются два объекта групповой политики, которые действуют на все компьютеры и контроллеры домена соответственно:

Default Domain Policy;
Default Domain Controller Policy.

ADMC. Объекты групповой политики по умолчанию

Эти объекты групповой политики очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости.

Групповые политики Active Directory можно назначить на OU или весь домен. Чаще всего политики привязываются к OU с компьютерами или пользователями.

Примечание

Редактирование групповых политик реализуется в модуле редактирования настроек клиентской конфигурации (GPUI).

⁠9.11.1. Создание объекта групповой политики

Для того чтобы создать новый объект групповой политики и сразу назначить его на OU, необходимо выполнить следующие действия:

В контекстном меню нужного контейнера выбрать пункт Создать политику и связать с этим подразделением:
В открывшемся окне задать имя политики:
Нажать кнопку ОК.

Для того чтобы создать новый объект групповой политики, не назначая его на OU, необходимо выполнить следующие действия:

В контекстном меню папки Все политики выбрать пункт Создать политику:
В открывшемся окне задать имя политики:
Нажать кнопку ОК.

Созданный объект групповой политики не будет задействован, пока не будет привязан к подразделению.

⁠9.11.2. Изменение объекта групповой политики

Для изменения объекта групповой политики следует в контекстном меню политики выбрать соответствующее действие:

ADMC. Контекстное меню объекта групповой политики

⁠9.11.2.1. Переименование объекта групповой политики

Для переименования политики:

В контекстном меню политики выбрать пункт Переименовать.
В открывшемся окне ввести новое название:
Нажать кнопку ОК для сохранения изменений.

⁠9.11.2.2. Удаление объекта групповой политики

Для удаления политики:

В контекстном меню политики в разделе Все политики выбрать пункт Удалить:
Подтвердить удаление, нажав кнопку Да:

Примечание

Если выбрать пункт Удалить в контекстном меню политики в подразделении, на которое она назначена:

ADMC. Удаление связи между политикой и подразделением

будет удалена только связь между политикой и подразделением:

ADMC. Подтверждение удаления связи между политикой и подразделением

⁠9.11.2.3. Создание и удаление связи между политикой и подразделением

Для связи между политикой и подразделением (создания ссылки на политику):

В контекстном меню политики выбрать пункт Добавить связь….
Выбрать объекты, которые необходимо связать с политикой:
Нажать кнопку ОК.

Для удаления ссылки на объект групповой политики:

Выбрать политику, которую следует изменить (в папке Все политики или в папке соответствующего OU).
В контекстном меню подразделения, связь с которым нужно отключить от политики, выбрать пункт Удалить связь:

Удалить связь между политикой и подразделением также можно, выбрав пункт Удалить в контекстном меню политики в подразделении, на которое она назначена:

⁠9.11.2.4. Параметры ссылки на объект групповой политики

В ADMC можно изменить параметры ссылки на объект групповой политики:

опция Принудительно — принудительное применение политик более высокого уровня к объекту;
опция Отключено — временно отключить связь политики с подразделением.

Чтобы отредактировать параметры ссылки, необходимо:

Выбрать политику, которую следует отредактировать.
На панели результатов найти подразделение, для которого нужно изменить параметры ссылки.
Включить опцию Принудительно, чтобы запретить переопределение параметров политик (см. Блокирование наследования). Политика, с включённой опцией Принудительно, отображается в списке политик с красным кружком.
Включить опцию Отключено, чтобы временно отключить действие политики. Отключённая политика, в списке политик отображается серым цветом.

Примечание

Если необходимо, чтобы политика перестала действовать на клиентов в данном подразделении, можно либо удалить ссылку (при этом сама объект GPO не будет удален), либо временно отключить действие политики.

Включить/отключить опции Принудительно и Отключено также можно:

в контекстном меню политики в подразделении:
на вкладке Привязанные политики подразделения:

⁠9.11.2.5. Редактирование настроек групповой политики

Примечание

Для возможности редактирования настроек политики, на машине должен быть установлен модуль редактирования настроек клиентской конфигурации (GPUI).

Для изменения настроек политики необходимо в контекстном меню политики выбрать пункт Изменить…, будет запущен модуль редактирования настроек клиентской конфигурации, где можно изменить параметры групповой политики.

При создании каждого нового объекта групповой политики, в базе данных AD создается контейнер групповой политики (Group Policy Container, GPC). Для возможности просмотра контейнера групповой политики (это дочерний контейнер Policies контейнера System) в настройках ADMC должен быть отмечен пункт Дополнительные возможности.

В AD контейнер групповой политики создается как тип groupPolicyContainer, причем его GUID можно увидеть в ADMC в столбце Имя:

Контейнеры групповой политики в домене AD

Ниже перечислены некоторые атрибуты, позволяющие описать различные типы данных объекта групповой политики:

displayName — атрибут, определяющий имя объекта групповой политики;
gPCFileSysPath — атрибут, указывающий путь к расположению текущего шаблона групповой политики с соответствующим именем GUID;
gPCMachineExtensionNames — атрибут, определяющий список расширений клиентской стороны конфигурации компьютера, используемых для обработки объекта групповой политики. Значение атрибута выглядит следующим образом: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}], что представляет собой [{GUID CSE-расширения}{GUID расширения MMC}{GUID второго расширения MMC}][GUID-идентификаторы последующих CSE- и MMC-расширений];
gPCUserExtensionNames — атрибут, определяющий список расширений клиентской стороны конфигурации пользователя, используемых для обработки объекта групповой политики;
versionNumber — в этом атрибуте определен номер версии контейнера GPC объекта групповой политики, который, для осуществления синхронизации двух объектов, должен быть идентичным с номером версии шаблона групповой политики;
flags — состояние объекта групповой политики: объект GPO включен (значение 0), отключен раздел «Конфигурация пользователя» (значение 1), отключен раздел «Конфигурация компьютера» (значение 2), объект GPO полностью отключен (значение 3).

Примечание

Вручную изменять атрибуты объекта групповой политики не рекомендуется.

⁠9.11.3. Блокирование наследования

Для того чтобы параметры групповой политики, определенные на уровне вышестоящих контейнеров, не распространялись на содержимое конфигурируемого контейнера, необходимо выполнить одно из следующих действий:

в контекстном меню контейнера, к которому привязан объект групповой политики установить отметку Блокировать наследование:
в окне свойств контейнера, к которому привязан объект групповой политики, на вкладке Групповая политика установить отметку Заблокировать наследование политик:

Так как администратор домена может не согласиться с тем, что администратор подразделения блокирует параметры политики домена, существует возможность запретить переопределение параметров с помощью отметки Принудительно:

Отметка в поле Принудительно означает, что связь установлена принудительно. Это приведёт к принудительному применению политик более высокого уровня к объектам более низкого уровня, например, применение политики домена ко всем дочерним подразделениям, или применения политики сайта ко всем доменам и подразделениям в пределах сайта.

При использовании параметра Принудительно выигрывает та политика, которая находится выше в иерархии домена (например, политика Default Domain Policy будет выигрывать у всех других ГП, если у неё активирован параметр Принудительно).

Примечание

Подразделение с блокированным наследованием отображается в дереве консоли со значком замка.

После установки параметра Принудительно, на значке групповой политики появится красный кружок, означающий, что для данной политики запрещено переопределение параметров.

ADMC. Отметки «Принудительно» и «Блокировать наследование»

На вкладке Наследуемые политики подразделения можно увидеть, какие политики применяются к подразделению, а также местонахождение политики:

⁠9.12. Добавление/Удаление UPN суффиксов

UserPrincipalName (UPN) — имя для входа пользователя в формате email-адреса, например, ivanov@test.alt. Здесь ivanov это UPN-префикс (имя пользователя в домене AD), test.alt — UPN-суффикс. По умолчанию в AD в качестве UPN-суффикса используется DNS имя домена AD. Добавление дополнительных имен доменов позволяет упростить процесс входа и повысить безопасность.

Для того чтобы добавить/удалить дополнительный UPN-суффикс, необходимо выполнить следующие шаги:

В контекстном меню домена выбрать пункт Изменить суффиксы UPN:
В открывшемся диалоговом окне нажать кнопку Добавить…:
Ввести альтернативный суффикс:
Не требуется, чтобы суффикс UPN был действительным DNS-именем домена. Суффиксы UPN должны соответствовать условиям DNS-имен в отношении допустимых символов и синтаксиса.
Нажать кнопку ОК, чтобы добавить новый суффикс в список.
Чтобы удалить существующий суффикс, необходимо выбрать его в списке и нажать кнопку Удалить:

⁠9.13. Роли FSMO

FSMO, или Flexible single-master operations (операции с одним исполнителем) — это операции, выполняемые контроллерами домена AD, которые требуют обязательной уникальности сервера для каждой операции. В зависимости от типа операции уникальность FSMO подразумевается в пределах одного домена или леса доменов. Различные типы FSMO могут выполняться как на одном, так и на нескольких контроллерах домена. Выполнение FSMO сервером называют ролью сервера, а сами сервера — хозяевами операций.

Для просмотра текущего владельца роли необходимо выбрать пункт меню Файл → Мастера Операций. В открывшемся окне в списке слева выбрать роль и в поле Текущий мастер будет показан владелец роли:

Список возможных ролей:

DNS домена — Domain DNS Zone Master role;
DNS леса — Forest DNS Zone Master role;
PDC эмуляция — эмулятор PDC;
Схема — хозяин схемы;
Имена домена — хозяин именования доменов;
Инфраструктура — хозяин инфраструктуры;
RID распределение — хозяин RID.

Если отмечен пункт Редактирование политик только с подключением к PDC-Emulator, при отсутствии подключения к контроллеру домена с ролью PDC-эмуляции, действия, затрагивающие шаблоны групповых политик (редактирование/изменение/удаление политик) будут запрещены:

ADMC. Запрет редактирования групповой политики

Для штатной передачи роли необходимо выполнить следующие действия:

В окне Параметры подключения — ADMC (Файл → Параметры подключения) выбрать контроллер домена, который должен стать новым владельцем роли и нажать кнопку ОК:
В окне Мастера Операций — ADMC (Файл → Мастера Операций) выбрать роль (при этом в поле Текущий мастер будет показан текущий владелец роли, а в поле Изменить на — контроллер домена, который должен стать новым владельцем роли) и нажать кнопку Изменить:
Владелец роли будет изменён:

⁠9.14. Выбор объектов

Выбор объектов осуществляется в диалоговом окне Выбрать объекты — ADMC. Доступ к этому диалоговому окну можно получить из разных мест, например, при выборе действия Добавить в группу… в контекстном меню учётной записи пользователя.

Диалоговое окно «Выбрать объекты — ADMC»

Для выбора объекта достаточно указать класс объекта, выбрать расположение, с которого требуется начать поиск и в поле Имя ввести имена объектов:

В поле Классы, нажав кнопку Выбрать…, выбрать типы объектов, которые будут использоваться для поиска (в большинстве случаев это поле будет заполнено автоматически, в зависимости от контекста задачи).
В поле Искать в выбрать объект, который будет использоваться в качестве основы для поиска.
В поле Имя ввести имя объекта (можно ввести часть имени или выполнить поиск по имени для входа).
Нажать кнопку Добавить для поиска объекта по названию.
Если объект найден, он будет добавлен в список найденных объектов.
Если объект не найден, исправить имя и повторить попытку.
Если есть несколько совпадений, откроется диалоговое окно, в котором можно выбрать одно или несколько совпадений:
Если объект не найден, исправить имя и повторить попытку.
Повторить пункты 1-7, пока не будут добавлены все объекты.
Чтобы удалить объект из списка, нужно выбрать объект и нажать кнопку Удалить.

Для выбора объектов можно также использовать продвинутый поиск, который можно открыть, нажав кнопку Продвинутый.

⁠9.15. Поиск объектов

Поиск объектов осуществляется в диалоговом окне Поиск объектов — ADMC. Доступ к этому диалоговому окну можно получить, выбрав пункт Найти… в меню >Действие или в контекстном меню контейнера.

Поиск объектов в домене возможен по разным критериям:

по типу и имени (простой поиск) — вкладка Упрощенный;
по атрибутам — вкладка Обычный;
в синтаксисе запросов LDAP — вкладка Продвинутый.

Примечание

В диалоговом окне, вызываемом меню Вид → Настроить колонки можно выбрать поля, которые будут отображаться в списке результатов поиска.

ADMC. Поля, отображаемые в результатах поиска

⁠9.15.1. Простой поиск

Процедура простого поиска:

В диалоговом окне Поиск объектов — ADMC выбрать вкладку Упрощенный:
В поле Классы, нажав кнопку Выбрать…, выбрать классы объектов для поиска:
В поле Имя ввести имя объекта.
Нажать кнопку Поиск:

⁠9.15.2. Обычный поиск

При использовании обычного поиска создаются фильтры, определяющие критерии поиска:

В диалоговом окне Поиск объектов — ADMC выбрать вкладку Обычный:
В поле Классы, нажав кнопку Выбрать…, выбрать классы объектов для поиска:
Создать фильтр:
- в списке Класс атрибута выбрать класс атрибута;
- в списке Атрибут выбрать атрибут (список атрибутов зависит от выбранного класса атрибутов);
- в списке Состояние выбрать условие, которое будет использоваться для фильтра;
- в поле Значение ввести значение условия (не для всех условий необходимо вводить значения).
Нажать кнопку Добавить.
Повторить пункты 2-3, чтобы добавить больше фильтров (фильтры для создания критериев поиска объединяются логическим И).
Нажать кнопку Удалить, если необходимо удалить фильтр из списка.
Нажать кнопку Очистить, если необходимо очистить список фильтров.
Нажать кнопку Поиск:

⁠9.15.3. Продвинутый поиск

Продвинутый поиск предполагает использование LDAP-фильтров.

Использование LDAP-фильтров является наиболее эффективным способом поиска объектов в AD.

Синтаксис LDAP-фильтра имеет вид:

<Фильтр>=(<Атрибут><оператор сравнения><значение>)

При наличии нескольких условий поиска фильтры можно комбинировать с помощью логических операторов.

Процедура продвинутого поиска:

В диалоговом окне Поиск объектов — ADMC выбрать вкладку Продвинутый:
В поле Искать в выбрать область поиска (можно воспользоваться кнопкой Обзор).
Ввести LDAP-фильтр в поле Введите фильтр LDAP.
Нажать кнопку Поиск:

⁠9.16. Использование сохранённых результатов поиска

Сохранение запросов (результатов поиска) — это удобный способ сохранять и воспроизводить поиск. Сохранённые запросы позволяют создавать различные LDAP-фильтры для выборки объектов AD. С помощью сохранённых запросов можно быстро и эффективно решать задачи поиска и выборки объектов в AD по различным критериям.

При использовании сохранённых запросов администратор может выполнять групповые операции с объектами из разных OU AD. Например, можно выполнить массовую блокировку/разблокировку, удаление учётных записей, переименование.

Сохранённые запросы можно организовать в древовидную структуру:

ADMC. Древовидная структура сохранённых запросов

Создание папки запросов:

В контекстном меню папки Сохранённые запросы или её подпапки выбрать пункт Создать → Папка запросов:
В диалоговом окне Создать папку запросов — ADMC в поле Имя вести название папки, в поле Описание можно добавить описание папки:
Нажать кнопку ОК.

Создание запроса:

В контекстном меню папки запроса выбрать пункт Создать → Элемент запроса:
В диалоговом окне создания запроса необходимо указать:
- Имя — название запроса;
- Описание — описание запроса;
- Искать в — объект, который будет использоваться в качестве основы для поиска. По умолчанию поиск выполняется по всему домену AD. Сузить область поиска можно, нажав кнопку Обзор и выбрав контейнер;
- Рекурсивный поиск — поиск должен включать объекты более чем одного уровня;
Нажать кнопку Изменить фильтр, чтобы создать фильтр поиска (для получения информации о том, как создавать фильтры см. раздел Поиск объектов).
После создания фильтра, он будет отображаться в поле Фильтр (в формате LDAP).
Нажать кнопку ОК.

При выборе сохранённого запроса, в правом окне появится список объектов, который соответствует данному запросу:

Редактирование запроса:

В контекстном меню запроса выбрать пункт Изменить…:
Внести необходимые изменения.
Нажать кнопку ОК.

В ADMC существует возможность переноса поисковых запросов между компьютерами (экспорт и импорт поисковых запросов).

Экспорт запроса:

В контекстном меню запроса выбрать пункт Экспортировать запрос….
В открывшемся диалоговом окне указать название файла (<имя_файла>.json) и место назначения.
Нажать кнопку Сохранить.

Импорт запроса:

В контекстном меню папки, в которую будет импортирован запрос, выбрать пункт Импортировать запрос…:
В открывшемся диалоговом окне выбрать экспортированный файл поиска.
Нажать кнопку Открыть.

Для удаления запроса или папки запросов, необходимо в контекстном меню объекта выбрать пункт Удалить.

⁠Глава 10. Модуль редактирования настроек клиентской конфигурации (GPUI)

10.1. Запуск GPUI для редактирования доменных политик

10.2. Выбор набора шаблонов групповых политик

10.3. Интерфейс

10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка

10.4. Редактирование групповых политик

10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания

10.5. Редактирование предпочтений

10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций

10.6. Управление logon-скриптами

10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем

Модуль редактирования настроек клиентской конфигурации (далее — GPUI) предназначен для настройки и изменения параметров групповой политики в объектах групповой политики, которые могут ссылаться на организационные подразделения в AD.

GPUI предоставляет администраторам иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики. Эти объекты групповой политики могут быть связаны с организационными единицами (OU), содержащими компьютерные или пользовательские объекты. Связать объекты групповой политики с OU можно в модуле ADMC.

GPUI состоит из двух основных разделов: конфигурация компьютера и конфигурация пользователя. Раздел конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления. Раздел конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.

Каждая политика в объекте GPO может находится в одном из трех состояний: Включено, Отключено, Не сконфигурировано. В состоянии Отключено в настройках можно указать параметры политики. В состоянии Не сконфигурировано — политика на объект не воздействует.

GPUI является расширяемым инструментом. Самый простой способ для разработчиков расширить редактор объектов групповой политики для своих приложений — это написать файлы настраиваемых административных шаблонов, которые «подключаются» к редактору объектов групповой политики.

⁠10.1. Запуск GPUI для редактирования доменных политик

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…:

либо с указанием каталога групповой политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"

Примечание

GUID шаблона групповой политики можно узнать в ADMC (это дочерний контейнер Policies контейнера System), в настройках должен быть отмечен пункт Дополнительные возможности:

Пример запуска GPUI для редактирования политики:

$ gpui-main -p "smb://dc.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

⁠10.2. Выбор набора шаблонов групповых политик

По умолчанию GPUI загружает ADMX-файлы, содержащие описание шаблонов групповых политик, из каталога /usr/share/PolicyDefenitions.

Для того чтобы указать другой набор шаблонов групповых политик, GPUI можно запустить с ключом -b:

$ gpui-main -b "/usr/share/PolicyDefinitions"

Каталог шаблонов групповых политик также можно выбрать в графическом интерфейсе:

Выбрать пункт меню Файл → Открыть папку с ADMX файлами:
Открыть папку с шаблонами.

⁠10.3. Интерфейс

Все настройки в GPUI разделены на два раздела:

Компьютер (Machine) — раздел с настройками параметров компьютера;
Пользователь (User) — раздел с настройками параметров пользователей AD.

В каждом разделе есть три подраздела:

Административные шаблоны (Administrative Templates) — содержит параметры различных компонентов. Здесь доступны как административные шаблоны ОС «Альт» и Windows, так и дополнительные admx-шаблоны (например, admx-шаблоны для Mozilla Firefox или для Google Chrome);
Настройки (Preferences) — содержит дополнительный набор настроек (предпочтений). С помощью предпочтений можно настроить, в том числе такие параметры: создание ярлыков, подключение сетевых дисков, копирование файлов и папок на компьютеры;
Настройки системы (System settings) — позволяет указать сценарии запуска и завершения работы компьютера, входа и выхода из системы пользователя.

Для быстрого доступа к политике можно воспользоваться поиском, для этого следует ввести в поле Поиск… ключевое слово.

⁠10.3.1. Редактирование параметров в разделе «Административные шаблоны»

Чтобы изменить любой параметр групповой политики, нужно найти раздел, в котором он находится и открыть его настройки в правой панели:

Параметры политики административных шаблонов могут иметь одно из трех состояний: Не сконфигурировано/Включено/Отключено. Параметры политики в состоянии Не сконфигурировано не влияют на пользователей или компьютеры. Если параметр политики находится в состоянии Включено, к пользователю или компьютеру применяется действие, описанное в заголовке параметра политики. Если параметр политики находится в состоянии Отключено, к пользователю или компьютеру применяется действие, противоположное описанному в заголовке параметра политики. Как правило, состояния параметров политики Не сконфигурировано и Отключено приводят к одинаковым результатам.

В каждом параметре политики административных шаблонов предоставлены подробные сведения о состояниях Включено, Отключено и Не сконфигурировано. Можно просмотреть эти сведения в поле Помощь для каждого параметра политики административных шаблонов.

В поле Поддерживается на указаны версии ОС, для которых данная политика применима. Например, 9 платформа ALT как минимум означает, что политика применима только к дистрибутивным решениям ОС «Альт» Девятой (p9) и Десятой платформ (p10). Данный параметр не будет работать на Восьмой платформе (p8).

По умолчанию все параметры в разделе административных шаблонов не настроены (не сконфигурированы). Чтобы изменить настройку параметра групповой политики, достаточно выбрать новое состояние и нажать кнопку ОК.

У некоторых настроек групповых политик можно задать дополнительные параметры, которые можно настроить в секции Опции. Например, чтобы установить изображение в качестве фона рабочего стола через ГП, нужно включить политику и указать путь к файлу с изображением в поле Файл:

GPUI. Установка изображения в качестве фона рабочего стола

В поле Комментарий (Comment) можно указать примечание для ГП.

⁠10.3.2. Фильтрация административных шаблонов

По умолчанию в GPUI отображаются все установленные административные шаблоны. Чтобы изменить отображение параметров политик административных шаблонов можно настроить фильтр административных шаблонов.

Фильтр административных шаблонов можно применять, если необходимо найти определенный параметр политики или ограничить количество параметров политики, отображаемых в GPUI.

Административные шаблоны можно отфильтровать на основе следующих факторов:

настраиваемых параметров политики;
ключевых слов в заголовке политики или тексте помощи к параметрам политики;
требований параметров политики к платформам или приложениям.

GPUI. Диалог фильтра административных шаблонов

Примечание

Фильтры являются включающими, поэтому необходимо выбирать элементы, которые следует отображать, а не исключаемые элементы.

⁠10.3.2.1. Фильтр по настроенным параметрам

Фильтр по настроенным параметрам имеет три состояния:

Любой — отображать все параметры политики административных шаблонов (по умолчанию);
Да — отображать только сконфигурированные параметры политики административных шаблонов;
Нет — отображать только не сконфигурированные параметры политики административных шаблонов.

Для установки фильтра по настроенным параметрам необходимо:

В меню выбрать Вид → Фильтр → Редактировать фильтр:
В открывшемся окне в списке Сконфигурирован выбрать необходимый фильтр:
Нажать кнопку ОК, чтобы сохранить параметры фильтра.
Чтобы применить фильтр в меню выбрать Вид → Фильтр → Включить фильтр:

⁠10.3.2.2. Фильтр по ключевым словам

Для установки фильтра по ключевым словам необходимо:

В меню выбрать Вид → Фильтр → Редактировать фильтр:
В открывшемся окне установить отметку Включить фильтр ключевых слов:
Ввести одно или несколько ключевых слов в поле Фильтр слов и выбрать необходимый фильтр:
- Содержит любое слово — фильтр содержит любое слово из поля Фильтр слов;
- Содержит все слова — фильтр содержит все слова из поля Фильтр слов;
- Полностью совпадает — фильтр содержит точное соответствие словам Фильтр слов.
Установить соответствующие отметки в поле Внутри:
- Заголовка — фильтр включает поиск в заголовке параметра политики;
- Текста помощи — фильтр включает поиск в тексте помощи параметра политики.
Нажать кнопку ОК, чтобы сохранить параметры фильтра:
Чтобы применить фильтр в меню выбрать Вид → Фильтр → Включить фильтр:

Результат применения фильтра по ключевым словам:

⁠10.3.2.3. Фильтр по требованиям

При помощи этого способа фильтрации, можно отобразить параметры, соответствующие всем выбранным платформам или отобразить параметры, соответствующие любой из выбранных платформ.

Для установки фильтра по требованиям необходимо:

В меню выбрать Вид → Фильтр → Редактировать фильтр:
В открывшемся окне установить отметку Включить фильтр требований:
В списке Выберите желаемые фильтры для платформы и приложений выбрать необходимый фильтр:
- Включать настройки, которые совпадают с любой из выбранных платформ;
- Включить настройки, которые совпадают со всеми выбранными платформами;
Выбрать необходимые платформы:
Можно выбрать пункт Решения на базе Сизифа или нажать кнопку Выбрать всё, чтобы выбрать все элементы в списке, или нажать кнопку Очистить всё, чтобы снять выделение всех элементов списка.
Нажать кнопку ОК, чтобы сохранить параметры фильтра.
Чтобы применить фильтр в меню выбрать Вид → Фильтр → Включить фильтр:

⁠10.3.3. Работа с предпочтениями групповых политик

GPUI позволяет настраивать следующие предпочтения:

Значки (управление ярлыками) — создание, редактирование или удаление ярлыков;
Окружение (управление переменными среды) — создание, редактирование или удаление переменных среды;
Папки (управление каталогами) — создание, редактирование или удаление каталогов;
Реестр — копирование параметров реестра и их применение к другим компьютерам, создание, замена или удаление параметров реестра (для машин Windows);
Сетевые папки (управление общими каталогами) — создание, удаление (скрытие из общего доступа) или редактирование общих ресурсов;
Сетевые диски (подключение сетевых дисков) — создание, редактирование или удаление сопоставленных дисков и настройка видимости всех дисков;
Файлы (управление файлами) — копирование, замена, удаление или изменение атрибутов файлов;
INI-файлы (управление INI-файлами) — добавление, замена или удаление разделов/свойств файлов параметров настройки (INI) или информации об установке (INF).

Предпочтения можно настроить для пользователей и компьютеров (пункт Настройки соответственно в элементах Компьютер и Пользователь):

В каждом объекте групповой политики с каждым из расширений предпочтения можно создать несколько элементов предпочтения.

Для создания предпочтения необходимо перейти в Компьютер/Пользователь → Настройки → Настройки системы, выбрать соответствующее предпочтение, затем в контекстном меню свободной области выбрать пункт Новый → Название_предпочтения.

Например, для создания нового предпочтения Папки необходимо перейти в Компьютер/Пользователь → Настройки → Настройки системы → Папки. В контекстном меню свободной области выбрать пункт Новый → Папки.

Откроется диалоговое окно Диалог настроек, где на вкладке Основные настройки можно задать параметры, характерные для соответствующего предпочтения (подробнее параметры настройки предпочтений рассмотрены в следующих разделах данного документа):

GPUI. Создание предпочтения — вкладка «Основные настройки»

Вкладка Общие содержит настройки одинаковые для всех предпочтений:

Остановить обработку элементов в этом расширении при возникновении ошибки — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик);
Удалить элемент, если больше не применим;
Описание.

GPUI. Создание предпочтения — вкладка «Общие»

Для редактирования элемента предпочтения следует дважды щелкнуть мышью по элементу:

GPUI. Редактирование элемента предпочтения

Откроется окно редактирования предпочтения:

GPUI. Редактирование предпочтения «Папки»

Для удаления элемента следует в контекстном меню предпочтения выбрать пункт Удалить элемент:

⁠10.3.4. Работа со скриптами

Работа со скриптами подробно описана на странице: Управление logon-скриптами.

⁠10.3.5. Смена языка

Для того чтобы изменить язык интерфейса, необходимо в меню выбрать Вид → Язык:

⁠10.4. Редактирование групповых политик

⁠10.4.1. Включение или выключение различных служб (сервисов systemd)

Данные групповые политики позволяют управлять состоянием (включением или выключением) различных служб (сервисов systemd).

Для настройки политики следует перейти в Компьютер → Административные шаблоны → Система ALT → Службы → Systemd:

При выборе политики, откроется диалоговое окно настройки политики:

Можно не задавать настройку политики, включить или отключить:

Не сконфигурировано — не изменять системное состояние службы;
Включено — перевести службу во включенное состояние (выполнить команду systemctl enable <служба>);
Отключено — перевести службу в состояние выключено (выполнить команду systemctl disable <служба>).

⁠

Таблица 10.1. Список служб, состояние которых можно изменить, настроив соответствующую политику в GPUI

Служба	Описание	Сервис Systemd
Менеджер модема	Политика определяет, включен ли systemd юнит диспетчера модемов	ModemManager.service
Ожидание Network Manager'ом сети при загрузке	Политика определяет, включен ли systemd юнит «Network Manager Wait Online»	NetworkManager-wait-online.service
Управление службой Network Manager	Политика определяет, включен ли systemd юнит «Network Manager»	NetworkManager.service
Служба учётных записей (accounts-daemon)	Политика определяет, включен ли systemd юнит службы учётных записей (accounts-daemon)	accounts-daemon.service
Служба события ACPI	Политика определяет, включен ли systemd юнит системной службы событий ACPI	acpid.service
Сервер frontend веб-интерфейса Alterator	Политика определяет, включен ли systemd юнит веб-сервера frotend WWW интерфейса Alterator	ahttpd.service
Серверная часть Alterator	Политика определяет, включен ли systemd юнит внутреннего сервера Alterator	alteratord.service
Служба аудита безопасности	Политика определяет, включен ли системный модуль службы аудита безопасности	auditd.service
Avahi mDNS/DNS-SD	Политика определяет, включен ли systemd юнит стека mDNS/DNS-SD Avahi	avahi-daemon.service
DNS-сервер BIND	Политика определяет, включен ли systemd юнит DNS-сервера (сервиса) BIND (Berkeley Internet Name Domain)	bind.service
Chronyd (служба NTP)	Политика определяет, включен ли systemd юнит NTP клиента/сервера Chronyd	chronyd.service
Сервис colord	Политика определяет, включен ли systemd юнит colord (сервис для управления, установки и создания цветовых профилей)	colord.service
Сервис Сonsolesaver SYSV	Политика определяет, включен ли systemd юнит Сonsolesaver (SYSV: этот пакет загружает конфигурацию энергосбережения консоли)	consolesaver.service
Cpufreq-simple сервис	Политика определяет, включен ли systemd юнит службы Cpufreq-simple (загружает модули ядра, необходимые для масштабирования cpufreq)	cpufreq-simple.service
Служба Crond	Политика определяет, включен ли systemd юнит службы Cron	crond.service
Шина системных сообщений D-Bus	Политика определяет, включен ли systemd юнит шины системных сообщений D-Bus	dbus.service
Служба Dnsmasq	Политика определяет, включен ли systemd юнит службы Dnsmasq (облегченный DHCP и кэширующий DNS-сервер, а также TFTP-сервер для поддержки загрузки по сети)	dnsmasq.service
Менеджер мыши в консоли	Политика определяет, включен ли sytemd юнит диспетчера мыши консоли	gpm.service
Системный модуль kmod-static-nodes	Политика определяет, включен ли systemd юнит kmod-static-nodes (создаёт список необходимых статических узлов устройства для текущего ядра)	kmod-static-nodes.service
Kerberos 5 KDC	Политика определяет, включен ли systemd юнит Kerberos 5 KDC	krb5kdc.service
Графический менеджер входа в систему (lightdm)	Политика определяет, включен ли systemd юнит службы графического менеджера входа в систему	lightdm.service
Служба сетевых подключений	Политика определяет, включен ли systemd юнит службы сетевых подключений	network.service
Samba NMB сервис	Политика определяет, включен ли systemd юнит сервиса Samba NMB	nmb.service
Сервис кэширования службы имен (nscd)	Политика определяет, включён ли systemd юнит сервиса кэширования службы имен	nscd.service
Сервис службы именования LDAP-клиента (nslcd)	Политика определяет, включен ли systemd юнит сервиса служб именования клиента LDAP	nslcd.service
Системный модуль oddjobd	Политика определяет, включен ли systemd юнит oddjobd (используется для запуска привилегированных операций для непривилегированных процессов)	oddjobd.service
SYSV: интерфейс терминала смарт-карт	Политика определяет, включен ли systemd юнит Openct (SYSV: терминал смарт-карт)	openct.service
Планировщик CUPS	Политика определяет, включен ли systemd юнит Service CUPS (планировщик)	org.cups.cupsd.service
Служба PC/SC Smart Card	Политика определяет, включен ли systemd юнит службы поддержки PC/SC Smart Card	pcscd.service
Диспетчер авторизации (polkit)	Политика определяет, включен ли systemd юнит диспетчера авторизации (polkit)	polkit.service
Агент передачи почты Postfix	Политика определяет, включен ли systemd юнит агента передачи почты Postfix	postfix.service
Сервис отображения универсальных адресов и номеров программ RPC	Политика определяет, включен ли systemd юнит RPC bind	rpcbind.service
Samba SMB сервис	Политика определяет, включен ли systemd юнит сервис Samba SMB	smb.service
Служба защищенного управления (sshd)	Политика определяет, включен ли systemd юнит демона сервера OpenSSH	sshd.service
Демон Upower	Политика определяет, включен ли systemd юнит Daemon Upower (управление питанием)	upower.service
Samba Winbind сервис	Политика определяет, включен ли systemd юнит Samba Winbind	winbind.service

⁠10.4.2. Управление control framework

Через групповые политики реализовано управление настройками control.

control — использующийся в ОС «Альт» механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор. Подсистема control используется для управления доступом к службам и позволяет переключать многие системные службы между заранее определенными состояниями.

Для настройки политики следует перейти в Компьютер → Административные шаблоны → Система ALT. В этом разделе есть несколько подразделов, соответствующих категориям control:

После выбора категории, в правом окне редактора отобразится список политик:

GPUI. Список политик группы «Безопасность»

При выборе политики, откроется диалоговое окно настройки политики:

GPUI. Диалоговое окно настройки политики

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно выбрать режим доступа для данного control:

Все control в GPUI разделены на категории:

Безопасность;
Службы;
Сетевые приложения;
Приложения для CD/DVD;
Монтирование;
Виртуализация;
Графическая подсистема.

⁠

Таблица 10.2. Категория «Безопасность»

Политика	Control	Описание	Режимы
Выполнение программы `/usr/bin/chage`	chage	Политика позволяет контролировать доступ для выполнения программы `/usr/bin/chage`	Только root — только суперпользователь (root) может выполнить `/usr/bin/chage` Любой пользователь — любой пользователь может просмотреть, когда ему следует сменить свой пароль, используя команду `chage -l имя_пользователя`
Выполнение программы `/usr/bin/chfn`	chfn	Политика позволяет контролировать поведение и права доступа к команде `chfn` (`/usr/bin/chfn`). Команда `chfn` может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учётной записи пользователя. Обычный пользователь может изменять поля только для своей учётной записи, с учётом ограничений в `/etc/login.defs` (конфигурация по умолчанию не позволяет пользователям менять свое полное имя)	Только root — только суперпользователь (root) может выполнить `/usr/bin/chfn` Любой пользователь — любой пользователь может использовать команду `/usr/bin/chfn`
Выполнение программы `/usr/bin/chsh`	chsh	Политика позволяет управлять правами доступа к команде `chsh` (`/usr/bin/chsh`). Команда `chsh` позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется `/bin/bash`). Обычный пользователь может изменить командную оболочку только для своей учётной записи (командная оболочка должна быть перечислена в файле `/etc/shells`). Суперпользователь может изменить настройки для любой учётной записи (могут быть указаны любые значения)	Только root — только суперпользователь (root) может выполнить `/usr/bin/chsh` Все пользователи — любой пользователь может использовать команду `/usr/bin/chsh`
Разрешение на использование `consolehelper`	consolehelper	Определяет права доступа к инструменту `consolehelper` (`/usr/lib/consolehelper/priv/auth`), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM. Когда это возможно, аутентификация выполняется графически; в противном случае выполняется в текстовой консоли, с которой был запущен `consolehelper`	Любой пользователь — любой пользователь может использовать `consolehelper` Только wheel — только члены группы «wheel» могут использовать команду `consolehelper` Только root — только суперпользователь (root) может использовать `consolehelper`
Выполнение программы `/usr/bin/gpasswd`	gpasswd	Определяет права на запуск инструмента `/usr/bin/gpasswd`	Любой пользователь — любой пользователь может выполнить `/usr/bin/gpasswd` Только wheel — только члены группы «wheel» могут выполнять `/usr/bin/gpasswd` Только root — только суперпользователь (root) может выполнить `/usr/bin/gpasswd`
Выполнение программы `/usr/bin/groupmems`	groupmems	Определяет права на выполнение программы `/usr/bin/groupmems`	Любой пользователь — любой пользователь может выполнить `/usr/bin/groupmems` Только wheel — только члены группы «wheel» могут выполнять команду `/usr/bin/groupmems` Только root — только суперпользователь (root) может выполнить `/usr/bin/groupmems`
Выполнение программы `usr/sbin/hddtemp`	groupmems	Разрешение на использование инструмента `usr/sbin/hddtemp` — отслеживание температуры жёсткого диска	Любой пользователь — любой пользователь может выполнить `usr/sbin/hddtemp` Только wheel — только члены группы «wheel» могут выполнять `usr/sbin/hddtemp` Только root — только суперпользователь (root) может выполнить `usr/sbin/hddtemp`
Разрешения для `/usr/bin/newgrp`	newgrp	Разрешение на использование инструмента `/usr/bin/newgrp`	Любой пользователь — любой пользователь может выполнить `/usr/bin/newgrp` Только wheel — только члены группы «wheel» могут выполнять `/usr/bin/newgrp` Только root — только суперпользователь (root) может выполнить `/usr/bin/newgrp`
Создание временных каталогов	pam_mktemp	Определяет, следует ли создавать отдельные временные каталоги для пользователей	Отключено — отключить создание отдельных временных каталогов для пользователей Включено — включить создание отдельных временных каталогов для пользователей
Управление паролями с помощью `passwd`	passwd	Определяет политику управления паролями с помощью команды `/usr/bin/passwd`	TCB — любой пользователь может изменить свой пароль, используя `/usr/bin/passwd`, когда включена схема tcb Традиционный (схема tcb отключена) — любой пользователь может изменить свой пароль, используя `/usr/bin/passwd`, когда схема tcb отключена Только root — только суперпользователь (root) имеет право изменять пароли пользователей
Управление проверками сложности пароля	passwdqc-enforce	Политика управляет паролями для достаточной надежности пароля	Все — включить проверку сложности пароля для всех пользователей Только для пользователей — включить проверку сложности пароля для всех пользователей, кроме суперпользователей
Разрешения для `/bin/su`	su	Определяет разрешения для `/bin/su`	Любой пользователь — любой пользователь может запускать `/bin/su` Все пользователи, кроме root — любой пользователь может запускать `/bin/su`, но только пользователи группы «wheel» могут повышать привилегии суперпользователя Только wheel — только пользователи из группы «wheel» могут запускать `/bin/su` Только root — только суперпользователь (root) может запускать `/bin/su`
Разрешения для `/usr/bin/sudo`	sudo	Определяет разрешения для `/usr/bin/sudo`	Любой пользователь — любой пользователь может запускать `/usr/bin/sudo` Только wheel — только пользователи из группы «wheel» могут запускать `/usr/bin/sudo` Только root — только суперпользователь (root) может запускать `/usr/bin/sudo`
Режим передачи родительской среды в sudo	sudoers	Определяет, передаются ли переменные среды в sudo	Строгий — не передавать переменные окружения дочернему процессу Слабый — передать переменные окружения дочернему процессу
Разрешения для `/usr/bin/sudoreplay`	sudoreplay	Определяет разрешения для `/usr/bin/sudoreplay`	Любой пользователь — любой пользователь может запускать `/usr/bin/sudoreplay` Только wheel — только пользователи из группы «wheel» могут запускать `/usr/bin/sudoreplay` Только root — только суперпользователь (root) может запускать `/usr/bin/sudoreplay`
Разрешить команду `sudo` членам группы «wheel»	sudowheel	Эта политика разрешает или запрещает членам группы «wheel» применять команду `sudo`. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду `sudo`. Если политика не сконфигурирована или отключена, пользователи, входящие в группу «wheel», не смогут применить команду `sudo`	Отключено — пользователи группы «wheel» не могут повысить привилегии через команду `sudo` Включено — пользователи группы «wheel» могут повысить привилегии через команду `sudo`
Метод аутентификации	system-auth	Определяет метод аутентификации пользователя	Winbind — использовать Winbind для аутентификации SSSD — использовать метод проверки подлинности демона System Security Services
Разрешения для `/usr/lib/chkpwd/tcb_chkpwd`	tcb_chkpwd	Определяет разрешения для привилегированного помощника `/usr/lib/chkpwd/tcb_chkpwd`	Любой пользователь с отключенным tcb — любой пользователь может быть аутентифицирован с использованием привилегированного помощника `/usr/lib/chkpwd/tcb_chkpwd` когда отключена схема tcb Любой пользователь с включенным tcb — любой пользователь может аутентифицироваться с помощью привилегированного помощника `/usr/lib/chkpwd/tcb_chkpwd` если включена схема tcb Только root — только суперпользователь (root) может быть аутентифицирован с помощью `/usr/lib/chkpwd/tcb_chkpwd`
Разрешения для `/usr/bin/write`	write	Определяет разрешения для `/usr/bin/write`	Любой пользователь — любой пользователь может запускать `/usr/bin/write` Только root — только суперпользователь (root) может запускать `/usr/bin/write`

Примечание

Для поддержки общих сетевых ресурсов с помощью политик на клиенте должны быть выполнены следующие условия:

установлен пакет samba-usershares;
в файле /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf (include = /etc/samba/usershares.conf).

⁠

Таблица 10.3. Категория «Службы»

Политика	Control	Описание	Режимы
Права доступа и поведение очереди заданий `/usr/bin/at`	at	Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска `/usr/bin/at`)	Все пользователи — всем пользователям разрешено запускать `/usr/bin/at` Только root — только суперпользователь (root) может запускать `/usr/bin/at` Режим совместимости — режим «atdaemon» (не должен использоваться)
Режим демона NTP Chrony	chrony	Политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени	Сервер — в файл конфигурации будет добавлена директива «allow all» Клиент — директива «allow» в файле конфигурации демона будет закомментирована
Разрешение на использование `crontab`	crontab	Политика определяет права доступа к инструменту `crontab` (`/usr/bin/crontab`)	Любой пользователь — любой пользователь может использовать `/usr/bin/crontab` Только root — только суперпользователь (root) может использовать `/usr/bin/crontab`
Режим CUPS	cups	Политика определяет поведение CUPS	Внешний интерфейс IPP — внешний интерфейс IPP доступен для пользователя Только локальные утилиты — только локальные утилиты могут работать с CUPS
Обратный поиск DNS для запросов OpenLDAP	ldap-reverse-dns-lookup	Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP	Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
Проверка сертификата при установлении соединений TLS OpenLDAP	ldap-tls-cert-check	Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP	По умолчанию — установить соединение только с правильным сертификатом Никогда — не выполнять никаких проверок Разрешить — установить соединение, даже если сертификат отсутствует или неверный Пробовать — установить соединение, если нет сертификата или с действующим сертификатом Требовать — установить соединение только с правильным сертификатом
Режим работы Postfix MTA	postfix	Политика определяет режим работы MTA Postfix (почтовый транспортный агент)	Локальный (отключен) — Postfix MTA отключен Сервер (фильтры отключены) — Postfix MTA включен без почтовых фильтров Фильтр — Postfix MTA включен с почтовыми фильтрами
Разрешения для `/usr/sbin/postqueue`	postqueue	Определяет разрешения для `/usr/sbin/postqueue`	Любой пользователь — любому пользователю разрешено запускать `/usr/sbin/postqueue` Группа mailadm — пользователям из группы «mailadm» разрешено запускать `/usr/sbin/postqueue` Только root — только суперпользователю (root) разрешено запускать `/usr/sbin/postqueue`
Режим работы Rpcbind	rpcbind	Политика определяет режим работы `rpcbind` (`/sbin/rpcbind`)	Сервер — rpcbind будет прослушивать входящие соединения из сети Локальный — rpcbind будет принимать только локальные запросы
Поддержка SFTP на сервере OpenSSH	sftp	Политика определяет поддержку SFTP на сервере OpenSSH	Включено — включить поддержку SFTP на сервере OpenSSH Отключено — отключить поддержку SFTP на сервере OpenSSH
Поддержка аутентификации OpenSSH-клиентов через GSSAPI	ssh-gssapi-auth	Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI	Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена
Samba опции
Гостевой доступ к общим каталогам	smb-conf-usershare-allow-guests	Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Данная политика управляет параметром `usershare allow guests` в файле `/etc/samba/usershares.conf`.	Включено — разрешить предоставление гостевого доступа к общему ресурсу; разрешить создание общих каталогов с параметром доступа без авторизации (`usershare allow guests = yes`) Отключено — запретить предоставление гостевого доступа к общему ресурсу; запретить создание общих каталогов с параметром доступа без авторизации (`usershare allow guests = no`)
Доступ к общим каталогам других пользователей	smb-conf-usershare-owner-only	Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Данная политика управляет параметром `usershare owner only` в файле `/etc/samba/usershares.conf`.	Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (`usershare owner only = yes`) Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (`usershare owner only = no`)
Доступ членам группы «sambashare» к управлению общими каталогами	role-sambashare	Политика управляет разрешением членам группы «sambashare» управлять общими каталогами. Конфигурации пользовательских общих ресурсов расположены в каталоге `/var/lib/samba/usershares`, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».	Включено — разрешить членам группы «sambashare» управлять общими каталогами Отключено — запретить членам группы «sambashare» управлять общими каталогами
Доступ членам группы «users» к управлению общими каталогами	role-usershares	Политика управляет разрешением членам группы «users» управлять общими каталогами. Конфигурации пользовательских общих ресурсов расположены в каталоге `/var/lib/samba/usershares`, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».	Включено — разрешить членам группы «users» управлять общими каталогами Отключено — запретить членам группы «users» управлять общими каталогами. Данный параметр также влияет на разрешение управления общими каталогами через настройку предпочтений
Запрет на создание общих каталогов в системных каталогах	smb-conf-usershare-deny-list	Данная политика управляет параметром `usershare prefix deny list` в файле `/etc/samba/usershares.conf` — открывая или закрывая комментарием этот параметр. Параметр `usershare prefix deny list` определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре `usershare prefix deny list` заданы каталоги: `/etc`, `/dev`, `/sys`, `/proc`. Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.	Включено — включить список запрещенных каталогов (параметр `usershare prefix deny list` будет раскомментирован) Отключено — отключить список запрещенных каталогов (параметр `usershare prefix deny list` будет закомментирован)
Разрешение на создание общих каталогов в системных каталогах	smb-conf-usershare-allow-list	Данная политика управляет параметром `usershare prefix allow list` в файле `/etc/samba/usershares.conf` — открывая или закрывая комментарием этот параметр. Параметр `usershare prefix allow list` определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре `usershare prefix allow list` заданы каталоги: `/home`, `/srv`, `/mnt`, `/media`, `/var`. Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.	Включено — включить список разрешенных каталогов (параметр `usershare prefix allow list` будет раскомментирован) Отключено — отключить список разрешенных каталогов (параметр `usershare prefix allow list` будет закомментирован)
Разрешение на создание пользовательских общих каталогов	smb-conf-usershare	Политика управляет возможностью создания пользовательских общих каталогов на компьютере. Дананя политика управляет параметром `usershare max shares` в файле `/etc/samba/usershares.conf`, который устанавливает предельное число общих каталогов.	Включено — включить возможность создания и использования общих каталогов пользователей (`usershare max shares = 100`) Отключено — отключить возможность создания и использования общих каталогов пользователей (`usershare max shares = 0`)
SSHD опции
Контроль доступа по группам к серверу OpenSSH	ssh-gssapi-auth	Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп	Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен
Группы для контроля доступа к серверу OpenSSH	sshd-allow-groups-list	Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH	Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users» Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote») Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel») Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»
Поддержка GSSAPI-аутентификации на сервере OpenSSH	sshd-gssapi-auth	Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH	Включено — поддержка GSSAPI на сервере OpenSSH включена Отключено — поддержка GSSAPI на сервере OpenSSH отключена
Аутентификация по паролю на сервере OpenSSH	sshd-password-auth	Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH	Включено — поддержка аутентификации по паролю на сервере OpenSSH включена Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена
Аутентификация суперпользователя на сервере OpenSSH	sshd-permit-root-login	Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH	Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете
SSSD опции
Контроль доступа в SSSD через групповые политики	sssd-ad-gpo-access-control	Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)	Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорирование политик при недоступности GPT	sssd-ad-gpo-ignore-unreadable	Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)	Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кэширование учётных данных пользователей	sssd-cache-credentials	Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD	Включить — сохранение в локальном кэше SSSD учётных данных пользователей включено Отключить — сохранение в локальном кэше SSSD учётных данных пользователей отключено По умолчанию — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Режим привилегий службы SSSD	sssd-drop-privileges	Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)	Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root) Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd) По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете
Обновление DNS-записей прямой зоны	sssd-dyndns-update	Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD	Включить — автоматическое обновление DNS-записи клиента через SSSD включено Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
Обновление DNS-записей обратной зоны	sssd-dyndns-update-ptr	Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»	Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете

⁠

Таблица 10.4. Категория «Сетевые приложения»

Политика	Control	Описание	Режимы
Разрешение на использование `/usr/bin/mtr`	mtr	Разрешение на использование сетевого инструмента `/usr/bin/mtr`	Любой пользователь — любой пользователь может выполнить `/usr/bin/mtr` Группа netadmin — только члены группы «netadmin» могут выполнять `/usr/bin/mtr` Только root — только суперпользователь (root) может выполнить `/usr/bin/mtr`
Разрешения для `/usr/bin/ping`	ping	Эта политика определяет разрешения для `/usr/bin/ping`	Любой пользователь — любой пользователь может запускать `/usr/bin/ping` Группа netadmin — пользователям из группы «netadmin» разрешено запускать `/usr/bin/ping` Только root — только суперпользователь (root) может запускать `/usr/bin/ping` Любой пользователь (в контейнерах) — любой пользователь может запускать `/usr/bin/ping` (в контейнерах) Группа netadmin (в контейнерах) — пользователям из группы «netadmin» разрешено запускать `/usr/bin/ping` (в контейнерах)
Разрешения для `/usr/sbin/pppd`	ppp	Эта политика определяет разрешения для `/usr/sbin/pppd`	Только root — только суперпользователю (root) разрешено запускать `/usr/sbin/pppd` Традиционный — любой пользователь имеет право запустить `/usr/sbin/pppd` без повышения привилегий Группа uucp — пользователям из группы «uucp» имеют право запускать `/usr/sbin/pppd` с правами суперпользователя Любой пользователь — любой пользователь имеет право запускать `/usr/sbin/pppd` с правами суперпользователя
Разрешения для wireshark-capture (`dumpcap`)	wireshark-capture	Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (`/usr/bin/dumpcap`)	Любой пользователь — любой пользователь имеет право запустить `/usr/bin/dumpcap`, захват трафика включен Любой пользователь, без захвата трафика — любой пользователь имеет право запустить `/usr/bin/dumpcap`, захват трафика отключен Группа netadmin — пользователям из группы «netadmin» имеют право запускать `/usr/bin/dumpcap` Только root — только суперпользователь (root) может запускать `/usr/bin/dumpcap`

⁠

Таблица 10.5. Категория «Приложения для CD/DVD»

Политика	Control	Описание	Режимы
Разрешение на использование `/usr/bin/dvd-ram-control`	dvd-ram-control	Эта политика определяет права доступа к `/usr/bin/dvd-ram-control`	Только cdwriter — только члены группы «cdwriter» могут выполнять `/usr/bin/dvd-ram-control` Только root — только суперпользователь (root) может выполнять `/usr/bin/dvd-ram-control` Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование `/usr/bin/dvd+rw-booktype`	dvd+rw-booktype	Эта политика определяет права доступа к `/usr/bin/dvd+rw-booktype`	Только cdwriter — только члены группы «cdwriter» могут выполнять `/usr/bin/dvd+rw-booktype` Только root — только суперпользователь (root) может выполнять `/usr/bin/dvd+rw-booktype` Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование `/usr/bin/dvd+rw-format`	dvd+rw-format	Эта политика определяет права доступа к `/usr/bin/dvd+rw-format`	Только cdwriter — только члены группы «cdwriter» могут выполнять `/usr/bin/dvd+rw-format` Только root — только суперпользователь (root) может выполнять `/usr/bin/dvd+rw-format` Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование `/usr/bin/dvd+rw-mediainfo`	dvd+rw-mediainfo	Эта политика определяет права доступа к `/usr/bin/dvd+rw-mediainfo`	Только cdwriter — только члены группы «cdwriter» могут выполнять `/usr/bin/dvd+rw-mediainfo` Только root — только суперпользователь (root) может выполнять `/usr/bin/dvd+rw-mediainfo` Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование `/usr/bin/growisofs`	growisofs	Эта политика определяет права на использование инструмента `/usr/bin/growisofs`	Только cdwriter — только члены группы «cdwriter» могут выполнять `/usr/bin/growisofs` Только root — только суперпользователь (root) может выполнять `/usr/bin/growisofs` Режим совместимости — режим совместимости, не должен использоваться

⁠

Таблица 10.6. Категория «Монтирование»

Политика	Control	Описание	Режимы
Доступ к инструментам FUSE	fusermount	Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ `/usr/bin/fusermount` и `/usr/bin/fusermount3`)	Любой пользователь — любой пользователь может выполнить `/usr/bin/fusermount` и `/usr/bin/fusermount3` Только fuse — только члены группы «fuse» могут выполнять `/usr/bin/fusermount` и `/usr/bin/fusermount3` Только wheel — только члены группы «wheel» могут выполнять `/usr/bin/fusermount` и `/usr/bin/fusermount3` Только root — только суперпользователь (root) может выполнить `/usr/bin/fusermount` и `/usr/bin/fusermount3`
Разрешения для `/bin/mount` и `/bin/umount`	mount	Эта политика определяет разрешения для `/bin/mount` и `/bin/umount`	Любой пользователь — любому пользователю разрешено запускать `/bin/mount` и `/bin/umount` Группа wheel — пользователям из группы «wheel» разрешено запускать `/bin/mount` и `/bin/umount` Непривилегированный пользователь — любой пользователь может запускать `/bin/mount` и `/bin/umount` для непривилегированных действий (не от имени root) Только root — только суперпользователь (root) может запускать `/bin/mount` и `/bin/umount`
Разрешения для `/sbin/mount.nfs`	nfsmount	Эта политика определяет разрешения для `/sbin/mount.nfs`	Любой пользователь — любому пользователю разрешено запускать `/sbin/mount.nfs` Только wheel — пользователям из группы «wheel» разрешено запускать `/sbin/mount.nfs` Только root — только суперпользователю (root) может запускать `/sbin/mount.nfs`
Правила подключения USB-накопителей	udisks2	Эта политика определяет правила подключения USB-накопителей	По умолчанию — подключить накопитель индивидуально (`/run/media/$user/`) для каждого пользователя Общий — подключить накопитель к общедоступной точке (`/media/`)

⁠

Таблица 10.7. Категория «Виртуализация»

Политика	Control	Описание	Режимы
Разрешения для VirtualBox	virtualbox	Эта политика определяет разрешения для VirtualBox	Любой пользователь — любому пользователю разрешено использовать VirtualBox Группа vboxusers — пользователям из группы «vboxusers» разрешено использовать VirtualBox Только root — только суперпользователю (root) разрешено использовать VirtualBox

⁠

Таблица 10.8. Категория «Графическая подсистема»

Политика	Control	Описание	Режимы
Cписок пользователей в greeter (LightDM)	lightdm-greeter-hide-users	Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет	Показать — показать список доступных пользователей в greeter Скрыть — не перечислять всех пользователей в greeter
Стандартные каталоги в home	xdg-user-dirs	Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя	Отключено — функция сохранения списка пользовательских каталогов отключена Группа vboxusers — функция сохранения списка пользовательских каталогов включена
Разрешения для Xorg	xorg-server	Эта политика определяет разрешения для Xorg (`/usr/bin/Xorg`)	Любой пользователь — любому пользователю разрешено запускать `/usr/bin/Xorg` Группа xgrp — пользователям группы «xgrp» разрешено запускать `/usr/bin/Xorg` Только root — только суперпользователь (root) может запускать `/usr/bin/Xorg`

⁠10.4.3. Управление настройками службы Polkit

Через групповые политики реализовано управление настройками службы Polkit (PolicyKit).

В настоящий момент реализованы следующие настройки:

Ограничения службы Login — формирование правил PolKit для управления службой Login;
Ограничения службы Machine — формирование правил PolKit для управления службой Machine;
Ограничения Udisks — формирование правил PolKit для монтирования файловых систем (демон udisk2);
Ограничения PackageKit — формирование правил PolKit для установки, удаления, обновления пакетов;
Ограничения Realmd — формирование правил PolKit для управления службой Realmd;
Ограничения NetworkManager — формирование правил PolKit для операций с сетевыми подключениями и настройкой сетевых интерфейсов;
Ограничения ModemManager — формирование правил PolKit для операций с ModemManager (взаимодействие с модемом или мобильным телефоном);
Ограничения для работы с токенами и смарт-картами — формирование правил PolKit для работы с токенами и смарт-картами.

Для настройки политики следует перейти в Компьютер/Пользователь → Административные шаблоны → Система ALT → Правила Polkit. Здесь есть несколько разделов:

При выборе раздела, в правом окне редактора отобразится список политик:

При выборе политики, откроется диалоговое окно настройки политики:

GPUI. Диалоговое окно настройки ограничения Polkit

Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии Отключено/Не сконфигурировано ограничения определяются системными параметрами. Если выбрать параметр Включено, в разделе Опции в выпадающем списке можно будет выбрать вариант ограничения:

Если выбран параметр Включено, для каждой из этих политик доступны следующие ограничения:

No — установить ограничение с запретом действия (пользователю не разрешено выполнять действие);
Yes — снять ограничение (пользователь может выполнять действие без какой-либо аутентификации);
Auth_self — пользователь должен ввести свой пароль для аутентификации. Следует обратить внимание, что этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение Auth_admin;
Auth_admin — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора;
Auth_self_keep — подобно Auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Следует обратить внимание, что этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение Auth_admin_keep;
Auth_admin_keep — аналогично Auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут).

Примечание

Администратор — в ОС «Альт» определён в правиле /etc/polkit-1/rules.d/50-default.rules:

polkit.addAdminRule(function(action, subject) {
        return ["unix-group:wheel"];
});

По умолчанию запрашивается пароль пользователя, находящегося в группе wheel.

Для машинной политики создается файл правил 49-alt_group_policy_permissions.rules, для пользовательской политики — 48-alt_group_policy_permissions_user.<USERNAME>.rules. Правила для пользовательской политики обрабатываются до правил для машинной политики. У машинных политик имеются блокировки (параметр Блокировать), при установке которых машинные политики становятся приоритетнее пользовательских (создается файл правил 47-alt_group_policy_permissions.rules).

⁠

Таблица 10.9. Ограничения для работы с токенами и смарт-картами

Политика	Описание	Правило Polkitd
Ограничение возможности доступа к демону PC/SC	Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами	org.debian.pcsc-lite.access_pcsc
Ограничение возможности доступа к смарт-картам	Данная политика управляет ограничением возможности доступа к смарт-картам	org.debian.pcsc-lite.access_card

Таблица 10.10. Ограничения службы Login

⁠

Таблица 10.11. Ограничения службы Machine

Политика	Описание	Правило Polkitd
Ограничение возможности авторизации в локальном контейнере	Политика управляет ограничением возможности авторизации в локальном контейнере	org.freedesktop.machine1.login
Ограничение возможности авторизации на локальном хосте	Политика управляет ограничением возможности авторизации на локальном хосте	org.freedesktop.machine1.host-login
Ограничение возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере	Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере	org.freedesktop.machine1.shell
Ограничение возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте	Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте	org.freedesktop.machine1.host-shell
Ограничение возможности получения псевдотелетайпа (TTY) в локальном контейнере	Политика управляет ограничением возможности получения псевдотелетайпа (TTY) в локальном контейнере	org.freedesktop.machine1.open-pty
Ограничение возможности получения псевдотелетайпа (TTY) на локальном хосте	Политика управляет ограничением возможности получения псевдотелетайпа (TTY) на локальном хосте	org.freedesktop.machine1.host-open-pty
Ограничение возможности управления локальными виртуальными машинами и контейнерами	Политика управляет ограничением возможности управления локальными виртуальными машинами и контейнерами	org.freedesktop.machine1.manage-machines
Ограничение возможности управления локальными виртуальными машинами и образами контейнеров	Политика управляет ограничением возможности управления локальными виртуальными машинами и образами контейнеров	org.freedesktop.machine1.manage-images

⁠

Таблица 10.12. Ограничения ModemManager

Политика	Описание	Правило Polkitd
Ограничение возможности блокировки и управления мобильным широкополосным устройством	Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства	org.freedesktop.ModemManager1.Device.Control
Ограничение возможности добавления, изменения или удаления контактов устройства	Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа	org.freedesktop.ModemManager1.Contacts
Ограничение возможности запросов и использования сетевой информации и услуг	Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы	org.freedesktop.ModemManager1.USSD
Ограничение возможности запросов информации о сетевом времени и часовом поясе	Политика ограничивает возможность запрашивать информацию о сетевом времени	org.freedesktop.ModemManager1.Time
Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений	Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства	org.freedesktop.ModemManager1.Messaging
Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова	Политика ограничивает возможность голосовых вызовов	org.freedesktop.ModemManager1.Voice
Ограничение возможности просмотра информации о географическом положении и позиционировании	Политика ограничивает возможность просмотра информации о географическом положении	org.freedesktop.ModemManager1.Location
Ограничение возможности управления демоном Modem Manager	Политика ограничивает возможность управления диспетчером модемов	org.freedesktop.ModemManager1.Control
Ограничение возможности управления прошивкой мобильного широкополосного устройства	Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства	org.freedesktop.ModemManager1.Firmware

⁠

Таблица 10.13. Ограничения NetworkManager

Политика	Описание	Правило Polkitd
Ограничение возможности включения или отключения сети	Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации	org.freedesktop.NetworkManager.enable-disable-network
Ограничение возможности включения или отключения статистики	Политика управляет ограничением возможности включения или отключения счётчика статистики устройства	org.freedesktop.NetworkManager.enable-disable-statistics
Ограничение возможности включения или отключения устройств Wi-Fi	Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi	org.freedesktop.NetworkManager.enable-disable-wifi
Ограничение возможности включения или отключения устройств WiMAX	Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX	org.freedesktop.NetworkManager.enable-disable-wimax
Ограничение возможности включения или отключения WWAN-устройств	Политика управляет ограничением возможности включения или отключения WWAN-устройств	org.freedesktop.NetworkManager.enable-disable-wwan
Ограничение возможности изменения общих настроек DNS	Политика управляет ограничением возможности изменений общей конфигурации DNS	org.freedesktop.NetworkManager.settings.modify.global-dns
Ограничение возможности изменения персональных сетевых настроек	Данная политика управляет ограничением возможности изменений личных сетевых соединений	org.freedesktop.NetworkManager.settings.modify.own
Ограничение возможности изменения постоянного имени хоста	Данная политика управляет ограничением возможности изменения постоянного имени (hostname) системы	org.freedesktop.NetworkManager.settings.modify.hostname
Ограничение возможности изменения сетевых подключений для всех пользователей	Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей	org.freedesktop.NetworkManager.settings.modify.system
Ограничение возможности изменения системных настроек для сети	Политика управляет ограничением возможности изменения системных сетевых настроек	org.freedesktop.NetworkManager.network-control
Ограничение возможности изменения состояния сна NetworkManager	Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы). В спящем состоянии все интерфейсы, которыми управляет NetworkManager, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NetworkManager не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы.	org.freedesktop.NetworkManager.sleep-wake
Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке	Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней	org.freedesktop.NetworkManager.checkpoint-rollback
Ограничение возможности перезагрузки NetworkManager	Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager	org.freedesktop.NetworkManager.reload
Ограничение возможности проверки подключения сети	Политика управляет ограничением возможности включения или отключения проверки подключения к сети	org.freedesktop.NetworkManager.enable-disable-connectivity-check
Ограничение возможности сканирования Wi-Fi сетей	Данная политика управляет ограничением возможности сканирования Wi-Fi сетей	org.freedesktop.NetworkManager.wifi.scan
Ограничение возможности совместных подключений через защищённую сеть Wi-Fi	Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi	org.freedesktop.NetworkManager.wifi.share.protected
Ограничение возможности совместных подключений через открытую сеть Wi-Fi	Политика управляет ограничением возможности совместного подключения ерез открытую сеть Wi-Fi	org.freedesktop.NetworkManager.wifi.share.open

Ограничения NetworkManager для текущего пользователя можно просмотреть, выполнив команду:

$ nmcli general permissions
PERMISSION                                                        VALUE
org.freedesktop.NetworkManager.checkpoint-rollback                auth
org.freedesktop.NetworkManager.enable-disable-connectivity-check  нет
org.freedesktop.NetworkManager.enable-disable-network             auth
org.freedesktop.NetworkManager.enable-disable-statistics          auth
org.freedesktop.NetworkManager.enable-disable-wifi                да
org.freedesktop.NetworkManager.enable-disable-wimax               да
org.freedesktop.NetworkManager.enable-disable-wwan                да
org.freedesktop.NetworkManager.network-control                    да
org.freedesktop.NetworkManager.reload                             auth
org.freedesktop.NetworkManager.settings.modify.global-dns         нет
org.freedesktop.NetworkManager.settings.modify.hostname           auth
org.freedesktop.NetworkManager.settings.modify.own                auth
org.freedesktop.NetworkManager.settings.modify.system             да
org.freedesktop.NetworkManager.sleep-wake                         да
org.freedesktop.NetworkManager.wifi.scan                          да
org.freedesktop.NetworkManager.wifi.share.open                    да
org.freedesktop.NetworkManager.wifi.share.protected               да

⁠

Таблица 10.14. Ограничения PackageKit

Политика	Описание	Правило Polkitd
Ограничение возможности восстановления пакетов в системе	Данная политика ограничивает пользователям возможность восстановления системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.repair-system
Ограничение возможности добавления ключа электронной подписи	Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.system-trust-signing-key
Ограничение возможности обновления пакетов	Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.system-update
Ограничение возможности обновления системных источников пакетов	Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.system-sources-refresh
Ограничение возможности переустановки пакетов	Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.package-reinstall
Ограничение возможности принятия лицензионного соглашения	Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.package-eula-accept
Ограничение возможности редактирования источников пакетов	Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.system-sources-configure
Ограничение возможности удаления пакетов	Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.package-remove
Ограничение возможности установки пакетов	Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.package-install
Ограничение возможности установки непроверенных пакетов	Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit	org.freedesktop.packagekit.package-install-untrusted

⁠

Таблица 10.15. Ограничения Realmd

Политика	Описание	Правило Polkitd
Ограничение возможности возможности запустить обнаружение области Kerberos REALM	Данная политика управляет ограничением возможности запустить обнаружение области Kerberos REALM	org.freedesktop.realmd.discover-realm
Ограничение возможности изменения политики входа в систему	Данная политика управляет ограничением возможности изменения политики входа в систему	org.freedesktop.realmd.login-policy
Ограничение возможности присоединения машины к домену или Kerberos REALM	Данная политика управляет ограничением возможности присоединения машины к домену или Kerberos REALM	org.freedesktop.realmd.configure-realm
Ограничение возможности отключения машины из домена или Kerberos REALM	Данная политика управляет ограничением возможности удаления машины из домена или Kerberos REALM	org.freedesktop.realmd.deconfigure-realm

⁠

Таблица 10.16. Ограничения Udisks

Политика	Описание	Правило Polkitd
Общая политика ограничения возможности монтирования	Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах	org.freedesktop.udisks2.filesystem-mount org.freedesktop.udisks2.filesystem-mount-other-seat org.freedesktop.udisks2.filesystem-mount-system
Ограничение возможности включения/отключения SMART	Данная политика управляет ограничением возможности включения/отключения SMART	org.freedesktop.udisks2.ata-smart-enable-disable
Ограничение возможности запуска самопроверки SMART	Данная политика управляет ограничением возможности запуска самопроверки SMART	org.freedesktop.udisks2.ata-smart-selftest
Ограничение возможности монтирования системных разделов	Данная политика ограничивает возможность монтирования системных разделов. Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная `HintSystem` установлена в значение `True`. Жёсткий диск с установленной ОС относится к системным устройствам.	org.freedesktop.udisks2.filesystem-mount-system
Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах	Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии)	org.freedesktop.udisks2.filesystem-mount-other-seat
Ограничение возможности монтирования файловой системы	Данная политика управляет ограничением возможности монтирования файловой системы устройства	org.freedesktop.udisks2.filesystem-mount
Ограничение возможности надежно стереть жесткий диск	Данная политика управляет ограничением возможности надежно стереть жесткий диск	org.freedesktop.udisks2.ata-secure-erase
Ограничение возможности обновить данные SMART	Данная политика управляет ограничением возможности обновить данные SMART	org.freedesktop.udisks2.ata-smart-update
Ограничение возможности отправить команду ожидания для диска с удаленного места	Данная политика управляет ограничением возможности отправить команду ожидания для диска с удаленного места	org.freedesktop.udisks2.ata-standby-other-seat
Ограничение возможности отправить команду режима ожидания на системный диск	Данная политика управляет ограничением возможности отправить команду режима ожидания на системный диск	org.freedesktop.udisks2.ata-standby-system
Ограничение возможности отправить резервную команду	Данная политика управляет ограничением возможности отправить резервную команду	org.freedesktop.udisks2.ata-standby
Ограничение возможности разрешения на проверку состояния питания жесткого диска	Данная политика управляет ограничением возможности разрешения на проверку состояния питания жесткого диска	org.freedesktop.udisks2.ata-check-power
Ограничение возможности установить данные SMART из большого двоичного объект	Данная политика управляет ограничением возможности установить данные SMART из большого двоичного объекта	org.freedesktop.udisks2.ata-smart-simulate

⁠

Таблица 10.17. Другие политики

Политика	Описание	Правило Polkitd
Ограничение возможности запуска программы от имени другого пользователя	Данная политика управляет ограничением возможности запуска программы от имени другого пользователя	org.freedesktop.policykit.exec

Все настройки политики управления политиками Polkit хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.

Пример файла Registry.pol:

PReg
[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;]
[Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No]
[Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self]
[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.NetworkManager.network-control;;;]
[Software\BaseALT\Policies\Polkit;org.freedesktop.NetworkManager.network-control;;Yes]

⁠10.4.4. Политика доступа к съемным носителям

Эта групповая политика позволяет централизованно для компьютеров или пользователей настраивать доступ к съемным запоминающим устройствам (CD, DVD, USB и др.).

Примечание

Политика полного запрета на доступ к съемным носителям реализована через правила в Polkit (/etc/polkit-1/rules.d/).

Правила для пользовательской политики обрабатываются до правил для машинной политики. Для машинной политики создается файл правил 49-gpoa_disk_permissions.rules, для пользовательской политики — 48-gpoa_disk_permissions_user.<USERNAME>.rules.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам:

GPUI. Политика «Доступ к съемным запоминающим устройствам»

Примечание

На данный момент реализована только политика Съемные запоминающие устройства всех классов: Запретить любой доступ (машинная и пользовательская).

Щелкнуть левой кнопкой мыши на политике Съемные запоминающие устройства всех классов: Запретить любой доступ, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить:

GPUI. Редактирование политики «Съемные запоминающие устройства всех классов»

Для включения запрета на доступ следует выбрать параметр Включено, для отключения — Отключено или Не сконфигурировано.

Настройки политики управления пакетами хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.

Пример файла Registry.pol:

PReg
[Software\Policies\Microsoft\Windows\RemovableStorageDevices;Deny_All;;;]

⁠10.4.5. Управление gsettings

Данные групповые политики позволяют управлять ключами gsettings. В свою очередь gsettings управляет ключами dconf.

В настоящий момент реализованы настройки удаленного доступа к рабочему столу (VNC) через Vino и настройки графической среды Mate, а именно:

настройки фона рабочего стола;
настройки хранителя экрана;
настройки ограничений пользователя.

Машинные политики являются действующими по умолчанию, а пользовательские, при установке, замещают машинные. У машинных политик имеются блокировки, при установке которых пользовательские настройки игнорируются, а для применения используются значения, установленные машинными политиками.

Порядок применения политик:

Машинные политики применяются при загрузке компьютера.
Машинные политики без блокирования могут применяться, но только в том случае, если пользователь ни разу не изменял эти политики.
Машинные политики с блокировкой применяются независимо от пользовательских настроек.
Пользовательские политики применяются при логине пользователя и только в случае, если нет таких же машинных политик с блокировкой.

Для настройки политики следует перейти в Компьютер/Пользователь → Административные шаблоны → Система ALT → Настройки Mate/Удаленный доступ через Vino. Выбрать раздел, в правом окне редактора отобразится список политик:

При выборе политики, откроется диалоговое окно настройки политики:

GPUI. Диалоговое окно настройки политики «Тип градиента»

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно указать настройки политики:

GPUI. Установка градиента в политике «Тип градиента»

Политика управляющая настройкой фона рабочего стола изменяет ключ KEY в схеме org.mate.background. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.background.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.mate.background.KEY.

⁠

Таблица 10.18. Настройки фона рабочего стола

Политика	Ключ	Описание	Значение
Картинка фона рабочего стола	picture-filename	Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение	Строка, содержащая путь (с точки зрения клиента) к файлу изображения (например, `/usr/share/backgrounds/mate/nature/Wood.jpg`)
Метод отображения картинки фона	picture-options	Устанавливает метод отображения изображения, заданного параметром Картинка фона рабочего стола	None (нет) — нет изображения Wallpaper (мозаика) — дублирует изображение в оригинальном размере таким образом, что изображение полностью покрывает рабочий стол Centered (по центру) — отображает изображение в центре рабочего стола в соответствии с оригинальным размером изображения Scaled (масштаб) — увеличивает изображение, сохраняя пропорции, до тех пор, пока величина одной из границ изображения не совпадет с величиной одной из границ экрана Stretched (растянуть) — увеличивает изображение для соответствия размеру рабочего стола, изменяя пропорции при необходимости Zoom (приближение) — увеличивает наименьшую из сторон изображения до тех пор, пока ее величина не совпадет с величиной соответствующей границы экрана; изображение может быть обрезано по другой стороне Spanned (заполнение) — увеличивает изображение, сохраняя пропорции, до тех пор, пока величина одной из границ изображения не совпадет с величиной одной из границ экрана
Тип градиента	color-shading-type	Устанавливает тип градиента фона рабочего стола. Этот параметр имеет смысл, только если не установлен параметр Картинка фона рабочего стола	Вертикальный градиент — градиентный эффект от верхнего края экрана к нижнему Горизонтальный градиент — градиентный эффект от левого края экрана к правому Сплошная заливка — заполнить фон рабочего стола одним цветом
Конечный цвет градиента	secondary-color	Устанавливает «конечный» цвет градиента фона рабочего стола. Данным цветом заканчивается градиент и, в зависимости от типа градиента, параметр определяет цвет правого или нижнего края рабочего стола. Данный параметр не используется, если в параметре Тип градиента выбрана Сплошная заливка	Ключевое слово цвета (red, aqua, navy и т.д.) Строка типа #RRGGBB Строка типа rgb(0,0,0)
Начальный цвет градиента	primary-color	Устанавливает начальный цвет градиента фона рабочего стола. Данным цветом начинается градиент и, в зависимости от типа градиента, параметр определяет цвет левого или верхнего края рабочего стола, или цвет сплошной заливки	Ключевое слово цвета (red, aqua, navy и т.д.) Строка типа #RRGGBB Строка типа rgb(0,0,0)

Политика управляющая настройкой хранителя экрана изменяет ключ KEY в схеме org.mate.screensaver. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.screensaver.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.mate.screensaver.KEY.

⁠

Таблица 10.19. Настройки хранителя экрана

Политика	Ключ	Описание	Значение
Время смены тем	cycle-delay	Устанавливает интервал (в минутах) между сменами тем хранителя экрана. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и если для параметра Режим работы установлено значение Случайные темы.	Время в минутах
Время до блокировки паролем	lock-delay	Устанавливает количество минут, по истечении которых после активации хранителя экрана, компьютер будет заблокирован. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера	Время в минутах
Блокировка компьютера	lock-enabled	Включает блокировку компьютера при активации хранителя экрана. Блокировка будет включена через интервал времени, установленный настройкой Время до блокировки паролем. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана	-
Время до выхода из сеанса	logout-delay	Устанавливает количество минут, по истечении которых после активации хранителя экрана, при разблокировании пользователю будет предоставлена возможность выхода из сеанса. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Выход из сеанса после блокировки	Время в минутах
Выход из сеанса после блокировки	logout-enabled	После некоторой задержки добавляет кнопку выхода из сеанса (>Завершить сеанс) к диалогу разблокирования экрана. Время задержки указывается в настройке Время выхода из сеанса. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)	-
Режим работы	mode	Устанавливает режим работы хранителя экрана. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана	Доступны следующие режимы: Отключён — режим отключён Пустой экран — не показывать никаких изображений, только чёрный экран Выбранная тема — показывать одну (указанную) тему хранителя экрана Случайные темы — выбрать тему хранителя экрана случайным образом
Переключить пользователя после блокировки	user-switch-enabled	Добавляет кнопку Переключить пользователя к диалогу разблокирования экрана. Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)	-
Включение хранителя экрана	idle-activation-enabled	Обеспечивает включение хранителя экрана при бездействии системы	-

Политика управляющая настройкой ограничений пользователя изменяет ключ KEY в схеме org.mate.lockdown. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.lockdown.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.mate.lockdown.KEY.

⁠

Таблица 10.20. Настройки ограничений пользователя

Политика	Ключ	Описание	Значение
Запрет блокировки экрана	picture-filename	Запрещает пользователю блокировать экран паролем. При установке данной настройки, значение параметра Блокировка компьютера игнорируется	-
Запрет пользователю завершать сеанс	disable-log-out	Запрещает пользователю завершать свой сеанс	-
Запрет выбора тем рабочего стола	picture-filename	Запрещает пользователю изменять тему оформления графической среды Mate	-
Запрет переключения пользователей	disable-user-switching	Запрещает пользователю переключение на другую учётную запись, пока активен его сеанс. Отключает кнопку Переключить пользователя в диалоговом окне, вызываемом при выборе в главном меню пункта Завершить сеанс	-

Политика управляющая настройкой удаленного доступа VNC изменяет ключ KEY в схеме org.gnome.Vino. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.gnome.Vino.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.gnome.Vino.KEY.

⁠

Таблица 10.21. Настройки удаленного доступа VNC

Политика	Ключ	Описание	Значение
Альтернативный порт	alternative-port	Устанавливает альтернативный порт для удаленного подключения к рабочему столу. Используется только при установленном параметре Включить альтернативный порт	Значение номера порта в пределах от 5 000 до 50 000. По умолчанию используется порт 5900
Методы аутентификации	authentication-methods	Устанавливает методы аутентификации пользователей, подключающихся к рабочему столу. Используется только при установленном параметре Пароль для подключения	None — пароль для подключения не требуется Vnc — для подключения необходим пароль
Удаленный доступ	enabled	Разрешает удаленный доступ к рабочему столу с использованием протокола RFB и VNC	Включено — удаленный доступ разрешен Отключено — удаленный доступ запрещён
Иконка подключения	icon-visibility	Управляет отображением значка подключения в области уведомления	Никогда — значок не отображается Всегда — значок отображается всегда Только при подключении клиента — значок отображается при подключении удалённого пользователя
Подтверждение при подключении	prompt-enabled	Включает запрос подтверждения при любой попытке доступа к рабочему столу. Рекомендуется при отсутствии защиты подключения паролем	Включено — запрашивается подтверждение доступа Отключено — подтверждение доступа не запрашивается
Включить альтернативный порт	prompt-enabled	Включить прослушивание альтернативного порта для удалённых подключений (вместо порта по умолчанию 5 900). Порт указывается в параметре Альтернативный порт	Включено — включить прослушивание альтернативного порта Отключено — не включать прослушивание альтернативного порта
Удалённое управление	view-only	Запрещает удалённое управление рабочим столом. Удалённым пользователям, разрешается только просматривать рабочий стол, но не управлять мышью и клавиатурой	Включено — удаленное управление разрешено Отключено — удаленное управление запрещёно

Политика управляющая настройкой оконного менеджера Marco изменяет ключ KEY в схеме org.mate.Marco.general. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.pMarco.general.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.mate.Marco.general.KEY.

⁠

Таблица 10.22. Настройки оконного менеджера Marco

Политика	Ключ	Описание	Значение
Иконки заголовка окна	button-layout	Настройки расположения кнопок в заголовке окна	Строка вида: menu:minimize,maximize,spacer,close Разделителем правой и левой половин является двоеточие. Имена кнопок разделяются запятыми. Например, строка 'menu:minimize,maximize,spacer,close' — расположить кнопку меню окна слева, а справа кнопки свернуть, распахнуть, закрыть окно. Дублирование кнопок не допускается. Неизвестные имена кнопок игнорируются без уведомления. Специальный элемент spacer может использоваться для вставки пробела между двумя кнопками.
Действие по нажатию средней кнопки	action-middle-click-titlebar	Установливает действие, выполняемое по нажатию средней кнопки мыши по заголовку окна	Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты Свернуть (minimize) — свернуть окно Показать меню (menu) — показать меню окна Задвинуть (lower) — поместить окно под другими Ничего не делать (none) — никакого действия не производить Последнее действие (last) — повторить предыдущее действие
Действие по нажатию правой кнопки	action-right-click-titlebar	Устанавливает действие, выполняемое по нажатию правой кнопки мыши по заголовку окна	Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты Свернуть (minimize) — свернуть окно Показать меню (menu) — показать меню окна Задвинуть (lower) — поместить окно под другими Ничего не делать (none) — никакого действия не производить Последнее действие (last) — повторить предыдущее действие
Действие по двойному щелчку	action-double-click-titlebar	Устанавливает действие, выполняемое по двойному щелчку левой кнопкой мыши по заголовку окна	Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты Свернуть (minimize) — свернуть окно Показать меню (menu) — показать меню окна Задвинуть (lower) — поместить окно под другими Ничего не делать (none) — никакого действия не производить Последнее действие (last) — повторить предыдущее действие
Изменение размеров окна при перетаскивании	primary-color	Включает изменение размеров окна при перетаскивании его в различные области экрана. Если включено, перетаскивание окна на границу экрана распахивает окно вертикально и изменяет горизонтальный размер до половины доступного пространства. Если активирован параметр Распахнуть окно при перетаскивании к верхнему краю экрана, перетаскивание окна наверх разворачивает окно.	-
Разворачивание при перетаскивании (Распахнуть окно при перетаскивании к верхнему краю экрана)	allow-top-tiling	Включает разворачивание окна во весь экран при перетаскивании его к верхнему краю экрана. Этот параметр имеет смысл только при активированном параметре Изменение размеров окна при перетаскивании	-
Размер окна переключения Alt+Tab	alt-tab-max-columns	Устанавливает количество колонок в окне переключения приложений Alt+Tab	Количество колонок
Задержка при восстановлении	alt-tab-max-columns	Временной интервал в миллисекундах, по истечении которого окно в фокусе будет поднято поверх остальных. Этот параметр имеет смысл только при активированном параметре Автоматически поднимать окно, получившее фокус	Время в миллисекундах
Автоматически поднимать окно, получившее фокус	auto-raise	При включении этой политики, окно, получившее фокус, автоматически отображается поверх остальных. Параметр Переключение фокуса окон должен быть установлен в Sloppy или Mouse. Интервал, по истечении которого, окно поднимается, устанавливается в параметре Задержка при восстановлении	-
Новые окна по центру	center-new-windows	Если включено, то новые окна будут открываться по центру экрана. В противном случае они будут открыты в левом верхнем углу экрана	-
Миниатюры при переключении окон	compositing-fast-alt-tab	Если включено, то вместо миниатюр предварительного просмотра в окне переключения Alt+Tab будут отображаться значки приложений	-
Режим активации окна	focus-mode	Режим переключения фокуса в окно определяет, как активируются окна	Click — для активации окна на нём надо щелкнуть Sloppy — окно активируется, когда на него перемещается указатель мыши Mouse — окно активируется, когда в него перемещается указатель мыши, и перестает быть активным, когда указатель мыши уходит из него
Переключение фокуса на новое окно	focus-new-windows	Определяет, как новое окно получает фокус	Smart — новое окно получает фокус при создании Strict — окна, запущенные из терминала, не получают фокус
Размер иконок в окне Alt+Tab	icon-size	Устанавливает размер значков, отображаемых в окне переключения приложений Alt+Tab	Интервал допустимых значений: 8-256
Количество рабочих областей (мест)	num-workspaces	Установка количества рабочих мест	Интервал допустимых значений 1-36
Расположение новых окон	placement-mode	Указывает как будут позиционироваться новые окна	Автоматически (automatic) — система выбирает местоположение на основе доступного пространства на рабочем столе, или располагает каскадом, если нет места Указатель (pointer) — новые окна размещаются в соответствии с положением указателя мыши Ручной (manual) — пользователь должен вручную расположить новое окно с помощью мыши или клавиатуры
Граница окна при переключении с помощью Alt+Tab	show-tab-border	Выделять границу выбранного окна при переключении с помощью Alt+Tab	-
Тема оформления	theme	Устанавливает тему, отвечающую за отображение границ окон, заголовка и т.д.	Строка, содержащая название темы (например, Dopple)
Шрифт заголовка окна	titlebar-font	Устанавливает шрифт заголовков окон. Этот параметр игнорируется, если активирован параметр Системный шрифт в заголовке окон	Строка, содержащая название шрифта и через пробел, размер шрифта (например, Noto Sans Bold 10)
Системный шрифт в заголовке окна	titlebar-uses-system-font	Если включено, в заголовках окон используется стандартный системный шрифт. Параметр Шрифт заголовка окна при этом игнорируется	-
Переключение рабочих областей (столов)	wrap-style	Определяет, каким образом пролистывать от одного рабочего стола к другому на границе переключателя рабочих мест	No wrap — при попытке пролистать рабочее место за границу переключателя ничего не произойдет Classic — конец одной строки ведет на начало следующей и конец одной колонки ведет к началу следующей Toroidal — конец каждой строки ведет к её же началу и конец каждой колонки ведёт к её же началу

Политика управляющая настройкой клавиатуры изменяет ключ KEY в схеме org.mate.peripherals-keyboard. В реестре Windows изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.peripherals-keyboard.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks, ключ org.mate.peripherals-keyboard.KEY.

⁠

Таблица 10.23. Настройки клавиатуры

Политика	Ключ	Описание	Значение
Задержка перед повтором	delay	Задержка перед повтором нажатой и удерживаемой клавиши	Время в миллисекундах
Скорость повтора	rate	Устанавливает скорость повтора нажатой и удерживаемой клавиши	Количество повторов в секунду
Повторять удерживаемую нажатой клавишу	repeat	Включить повтор нажатой и удерживаемой клавиши. Если нажать и удерживать клавишу при включённом повторе ввода, действие, соответствующее клавише, будет повторяться. Например, если нажать и удерживать клавишу с буквой, то эта буква будет многократно повторена.	-

⁠10.4.6. Управление настройками среды рабочего стола KDE

Данные групповые политики позволяют управлять настройками среды рабочего стола KDE.

Для реализации применения групповых политик управления настройками среды рабочего стола KDE используется механизм, основанный на редактировании конфигурационных файлов.

Файл конфигурации состоит из пар «ключ=значение», которые размещены в группах. Начало группы обозначается именем группы, заключенным в квадратные скобки. Все последующие записи «ключ=значение» принадлежат этой группе. Группа заканчивается, когда начинается другая группа или когда достигается конец файла. Записи в верхней части файла, которым не предшествует имя группы, относятся к группе по умолчанию. Пустые строки, как и строки, начинающиеся с решетки («#»), в файлах конфигурации игнорируются.

Пример файла конфигурации:

[General]
FilterBar=0
Version=202
ViewPropsTimestamp=2023,10,5,18,6,33.478

[MainWindow]
MenuBar=Disabled
ToolBarsMovable=Disabled

Если в дереве каталогов обнаружено несколько файлов конфигурации с одинаковым именем, их содержимое объединяется. Здесь играет роль порядок приоритета каталогов: когда два файла определяют один и тот же ключ конфигурации, файл с наивысшим приоритетом определяет, какое значение используется для ключа. Конфигурационные файлы из $KDEHOME всегда обладают наивысшим приоритетом. В случае, если в одном конфигурационном файле один ключ указан несколько раз, будет использовано последнее его значение.

Машинные политики являются действующими по умолчанию, а пользовательские, при установке, замещают машинные. У политик имеются блокировки. При установке машинных блокировок пользовательские настройки игнорируются, а для применения используются значения, установленные машинными политиками.

Примечание

Поведение разных приложений на блокировку может отличаться. Одни приложения могут распознавать блокировку, другие использовать пользовательские настройки, несмотря на наличие блокировки.

Порядок применения политик:

Машинные политики применяются при загрузке компьютера.
Машинные политики без блокирования могут применяться, но только в том случае, если пользователь ни разу не изменял эти политики.
Машинные политики с блокировкой применяются независимо от пользовательских настроек.
Пользовательские политики применяются при логине пользователя и только в случае, если нет таких же машинных политик с блокировкой.

Для настройки политики следует перейти в Компьютер/Пользователь → Административные шаблоны → Система ALT → Настройки KDE. Выбрать раздел, в правом окне редактора отобразится список политик:

GPUI. Управление настройками среды рабочего стола KDE

При выборе политики, откроется диалоговое окно настройки политики:

GPUI. Диалоговое окно настройки политики «Виртуальные рабочие столы»

GPUI. Настройка политики «Виртуальные рабочие столы»

Политики управления настройками среды рабочего стола KDE относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Значения параметров прописываются в файлы конфигурации:

/etc/xdg/<имя_файла> — машинная политика;
~/.config/<имя_файла> — пользовательская политика.

⁠

Таблица 10.24. Настройки среды рабочего стола KDE

Политика	Описание	Примечание
Виртуальные рабочие столы	Позволяет настроить количество виртуальных рабочих столов.	Файлы конфигурации: `/etc/xdg/kwinrc` — машинная политика `~/.config/kwinrc` — пользовательская политика Пример файла конфигурации: [Desktops] Number=4 Rows=1 Где: `Rows=1` — количество строк отображения виртуальных окон на панели; `Number=4` — количество виртуальных окон на панели.
Графические эффекты	Позволяет настроить включение или отключение графических эффектов при входе в систему.	Файлы конфигурации: `/etc/xdg/kwinrc` — машинная политика `~/.config/kwinrc` — пользовательская политика Пример файла конфигурации: [Compositing] Enabled=1 Возможные значения: `Enabled=1` — включить эффекты при входе в систему; `Enabled=0` — не включать эффекты при входе в систему; `Enabled[$i]=1` — включить эффекты при входе в систему и заблокировать возможность изменения данной настройки пользователем.
Задержка отрисовки	Позволяет установить уровень задержки и плавности анимации.	Возможные значения: Принудительно низкая задержка (может привести к артефактам) (`LatencyPolicy=ExtremelyLow`) Предпочитать низкую задержку (`LatencyPolicy=Low`) Баланс скорости и плавности (`LatencyPolicy=Medium`) Предпочитать более плавную анимацию (`LatencyPolicy=High`) Принудительно наиболее плавная анимация» (по умолчанию) (`LatencyPolicy=NONE`) Файлы конфигурации: `/etc/xdg/kwinrc` — машинная политика `~/.config/kwinrc` — пользовательская политика Пример файла конфигурации: [Compositing] LatencyPolicy=Medium
Наличие кнопки «Удалить» в контекстном меню Dolphin	Позволяет управлять отображением кнопки «Удалить» в контекстном меню Dolphin.	Файлы конфигурации: `/etc/xdg/kdeglobals` — машинная политика `~/.config/kdeglobals` — пользовательская политика Пример файла конфигурации: [KDE] ShowDeleteCommand[$i]=1 Возможные значения: `ShowDeleteCommand=1` — показывать кнопку «Удалить» в контекстном меню Dolphin; `ShowDeleteCommand=0` — не показывать кнопку «Удалить» в контекстном меню Dolphin; `ShowDeleteCommand[$i]=1` — показывать кнопку «Удалить» в контекстном меню Dolphin и заблокировать возможность изменения данной настройки пользователем.
Настройка подключаемых устройств	Позволяет настроить автоматическое монтирование подключаемых устройств.	Возможные значения: Автоматически монтировать устройства — если этот параметр отключён (`AutomountEnabled=0`), никакие носители информации не будут монтироваться автоматически; При входе в систему — если этот параметр включён (`AutomountOnLogin=1`) и при входе пользователя в систему к ней были подключены внешние носители информации, Plasma автоматически сделает их содержимое доступным для других программ; При подключении — если этот параметр включён (`AutomountOnPlugin=1`), устройства будут монтироваться при подключении их к системе; Автоматически монтировать те носители, которые никогда ранее не были примонтированы вручную — если этот параметр отключён (`AutomountUnknownDevices=0`), автоматически будут монтироваться только те носители, информацию о которых помнит система (носитель «запоминается», если он был хотя бы один раз был смонтирован). Файлы конфигурации: `/etc/xdg/kded_device_automounterrc` — машинная политика `~/.config/kded_device_automounterrc` — пользовательская политика Пример файла конфигурации: [General] AutomountEnabled=1 AutomountOnLogin=1 AutomountOnPlugin=0 AutomountUnknownDevices=0
Открытие файла или каталога одним щелчком	Позволяет настроить открытие файла или каталога одним щелчком.	Файлы конфигурации: `/etc/xdg/kdeglobals` — машинная политика `~/.config/kdeglobals` — пользовательская политика Пример файла конфигурации: [KDE] SingleClick[$i]=1 Возможные значения: `SingleClick=1` — щелчок по файлу или каталогу открывает объект; `SingleClick=0` — щелчок по файлу или каталогу выделяет объект; `SingleClick[$i]=1` — щелчок по файлу или каталогу открывает объект, возможность изменения данной настройки пользователем заблокирована.
Региональные и языковые параметры	Позволяет установить региональные и языковые параметры. Эти параметры меняют настройки не только самого языка системы, но и задают настройки валюты, стандарт времени, числовые значения, стиль написания имени, телефонный код и стандарт телефонного номера страны. Параметры вписываются в поля Стандарт и Язык. Примеры: «Русский язык»: Стандарт — ru_RU.UTF-8; Язык — ru; Французский язык»: Стандарт — fr_FR.UTF-8; Язык — fr; Немецкий язык»: Стандарт — de_DE.UTF-8; Язык — de; «Английский язык (Американский)»: Стандарт — en_US.UTF-8; Язык — en_US; «Английский язык (Британский)»: Стандарт — en_GB.UTF-8; Язык — en_GB;	Файлы конфигурации: `/etc/xdg/plasma-localerc` — машинная политика `~/.config/plasma-localerc` — пользовательская политика Пример файла конфигурации: [Formats] LANG[$i]=ru_RU.UTF-8 [Translation] LANGUAGE=ru Где: `LANG[$i]=ru_RU.UTF-8` — стандарт русского языка, возможность изменения данной настройки пользователем заблокирована; `LANGUAGE=ru` — русский язык.
Режим активации окна	Позволяет определить как активируются окна при переключении фокуса.	Возможные значения: Фокус по щелчку — при выборе этого значения (`FocusPolicy=FocusFollowMouse`), окно становится активным по щелчку по нему мышью; Фокус по щелчку + Приоритет мыши (`FocusPolicy=FocusFollowMouse` + `NextFocusPrefersMouse=1`) — этот режим похож на Фокус по щелчку. Если система сама должна выбрать активное окно (например, при закрытии активного окна), предпочтение будет отдано окну, находящемуся под указателем мыши; Фокус следует за мышью — при выборе этого значения (`FocusPolicy=FocusFollowsMouse`), окно активируется при перемещении в него указателя мыши. Окна, которые появляются под указателем мыши случайно, не будут получать фокус, так как предотвращение смены фокуса работает как обычно. Этот вариант похож на Фокус по щелчку, но щелчок не требуется; Фокус следует за мышью + Приоритет мыши (`FocusPolicy=FocusFollowsMouse` + `NextFocusPrefersMouse=1`) — этот режим похож на Фокус следует за мышью. Если система сама должна выбрать активное окно (например, при закрытии активного окна), предпочтение будет отдано окну, находящемуся под указателем мыши. Данный режим следует выбрать для смены фокуса по наведению указателя мыши; Фокус под мышью — при выборе этого значения (`FocusPolicy=FocusUnderMouse`), активным становится окно, находящееся под указателем мыши. Если последний указывает не на окно (а, например, на обои рабочего стола), фокус перемещается на окно, которое находилось под указателем мыши последним. Примечание: предотвращение смены фокуса и переключение через Alt+Tab противоречат этому поведению и не будут работать; Фокус строго под мышью (`FocusPolicy=FocusStrictlyUnderMouse`) — этот режим схож с режимом Фокус под мышью, но имеет более узкое применение. Активным становится только то окно, которое находится под указателем мыши. При смещении указателя мыши с окна фокус теряется. Примечание: предотвращение смены фокуса и переключение через Alt+Tab противоречат этому поведению и не будут работать. Файлы конфигурации: `/etc/xdg/kwinrc` — машинная политика `~/.config/kwinrc` — пользовательская политика Пример файла конфигурации: [Windows] FocusPolicy=FocusFollowMouse NextFocusPrefersMouse=0
Служба поиска файлов	Позволяет включить службу поиска файлов и задать параметры индексирования файлов.	Возможные значения: Включить службу поиска файлов — включить поиск файлов с помощью Baloo (`Indexing-Enabled=1`); Включить индексацию содержимого файлов — индексировать не только имена файлов, но и их содержимое (`only basic indexing=1`); Включить индексацию скрытых файлов и папок — индексировать также скрытые файлы и папки (`index hidden folders=1`). Файлы конфигурации: `/etc/xdg/baloofilerc` — машинная политика `~/.config/baloofilerc` — пользовательская политика Пример файла конфигурации: [Basic Settings] Indexing-Enabled=1 [General] index hidden folders=0 only basic indexing=1 Примечание Параметры Включить индексацию содержимого файлов и Включить индексацию скрытых файлов и папок имеют смысл только при включённом параметре Включить службу поиска файлов.

⁠10.4.6.1. Внешний вид

⁠

Таблица 10.25. Внешний вид

Политика	Описание	Значение
Оформление рабочего стола	Позволяет выбрать оформление рабочего стола (определяет то, как отображаются различные компоненты Plasma), указав название темы (например, breeze-light). Используются темы оформления рабочего стола, доступные в `/usr/share/kf5/plasma/desktoptheme`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	default — тема по умолчанию (Breeze) breeze-dark — Breeze, тёмный вариант breeze-light — Breeze, светлый вариант oxygen — Oxygen air — Air
Оформление рабочей среды	Позволяет установить тему оформления рабочей среды, указав название темы (например, org.kde.название.desktop или org.kde.название). Используются темы оформления рабочего стола, доступные в `/usr/share/kf5/plasma/look-and-feel/`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	org.kde.breeze.desktop org.kde.breezedark.desktop org.kde.oxygen org.kde.breezetwilight.desktop
Тема заставки	Позволяет установить тему заставки, указав название темы (например, org.kde.название.desktop или org.kde.название). Используются темы заставки, доступные в `/usr/share/kf5/plasma/look-and-feel/`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	org.kde.breeze.desktop org.kde.oxygen
Тема значков	Позволяет установить тему значков, указав название темы (например, gnome). Применение темы значков зависит от её наличия в системе. Используются темы значков, доступные в `/usr/share/icons/`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	Adwaita oxygen breeze breeze-dark gnome
Тема курсора	Позволяет установить тему курсора мыши, указав название темы (например, Adwaita). Применение темы курсора зависит от её наличия в системе. Используются темы курсоров, доступные в `/usr/share/icons/`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	Adwaita — Adwaita Breeze_Snow — Breeze, светлый вариант KDE_Classic — классический KDE Oxygen_Black — Oxygen, чёрный вариант Oxygen_Blue — Oxygen, синий вариант Oxygen_White — Oxygen, белый вариант Oxygen_Yellow — Oxygen, жёлтый вариант Oxygen_Zion — Oxygen Zion jimmac — jimmac breeze_cursors — Breeze
Цвета	Позволяет установить цветовую схему, указав название схемы (например, BreezeClassic). Применение цветовой схемы зависит от её наличия в системе. Используются цветовые схемы, доступные в `/usr/share/kf5/color-schemes`. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.	Варианты цветовых схем: OxygenCold — холодный Oxygen BreezeClassic — Breeze, классический вариант BreezeLight — Breeze, светлый вариант BreezeDark — Breeze, тёмный вариант Oxygen — Oxygen
Пользовательские политики
Обои рабочего стола	Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение.	В качестве значения должна быть указана строка, содержащая путь (с точки зрения клиента) к файлу изображения. Например: `/usr/share/wallpapers/table.png` — локальный путь к изображению; `smb://dc.test.alt/reGr/test.png` — путь в формате Linux к изображению в общем каталоге на сервере; `\\computername\share\image.png` — путь в формате Windows к изображению в общем каталоге на сервере.
Включение панели фильтрации в файловом менеджере Dolphin	Позволяет включить или отключить панель фильтрации в файловом менеджере Dolphin.	-

⁠10.4.6.2. Управление электропитанием

Данные политики позволяют настроить параметры энергосбережения в зависимости от режима электропитания: «Питание от сети», «Питание от батареи» и «Низкий уровень заряда».

Значения параметров прописываются в файл конфигурации:

/etc/xdg/powermanagementprofilesrc — машинная политика;
~/.config/powermanagementprofilesrc — пользовательская политика.

⁠

Таблица 10.26. Управление электропитанием

Политика	Описание	Файл конфигурации
Потухание экрана	Позволяет настроить время до угасания экрана (уменьшения яркости до нуля) в зависимости от режима электропитания.	Для указания значения используется точное время в минутах, заданное в миллисекундах. Если время в миллисекундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например: 60000 — угасание монитора через 60000 миллисекунд, 1 минуту; 80000 — угасание монитора через 80000 миллисекунд, 1 минуту; 120000 — угасание монитора через 120000 миллисекунд, 2 минуты; 600000 — угасание монитора через 600000 миллисекунд, 10 минут. Пример файла конфигурации: [AC][DimDisplay] idleTime=800000 [Battery][DimDisplay] idleTime=600000 [LowBattery][DimDisplay] idleTime=600000
Энергосбережение монитора	Позволяет настроить время до выключения монитора (при бездействии) в зависимости от режима электропитания.	Для указания значения используется точное время в минутах, заданное в секундах. Если время в секундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например: 120 — выключение монитора через 120 секунд, 2 минуты; 300 — выключение монитора через 300 секунд, 5 минут; 600 — выключение монитора через 600 секунд, 10 минут; 700 — выключение монитора через 600000 секунд, 11 минут. Пример файла конфигурации: [AC][DPMSControl] idleTime=800 [Battery][DPMSControl] idleTime=600 [LowBattery][DPMSControl] idleTime[$i]=60
Яркость клавиатуры	Позволяет настроить яркость клавиатуры в зависимости от режима электропитания.	Для указания значения используется число от 0 до 100, например: 0 — яркость клавиатуры 0 процентов; 60 — яркость клавиатуры 60 процентов; 100 — яркость клавиатуры 100 процентов. Пример файла конфигурации: [AC][KeyboardBrightnessControl] value=60 [Battery][KeyboardBrightnessControl] value=20 [LowBattery][KeyboardBrightnessControl] value[$i]=0
Яркость экрана	Позволяет настроить яркость экрана в зависимости от режима электропитания.	Для указания значения используется число от 0 до 100, например: 0 — яркость экрана 0 процентов; 60 — яркость экрана 60 процентов; 100 — яркость экрана 100 процентов. Пример файла конфигурации: [AC][BrightnessControl] value=80 [Battery][BrightnessControl] value=50 [LowBattery][BrightnessControl] value=30

⁠10.4.6.3. Настройки приложений

⁠

Таблица 10.27. Настройки приложений

Политика	Описание	Значение
Браузер по умолчанию	Позволяет выбрать браузер по умолчанию.	Возможные значения: Yandex-Browser Firefox Chromium-gost Примечание Применение настроек доступно только в случае, если в системе установлен выбранный браузер.

⁠10.4.7. Управление пакетами

Эта групповая политика позволяет централизованно для компьютеров устанавливать и удалять пакеты.

Для настройки политики следует перейти в Компьютер/Пользователь → Административные шаблоны → Система ALT → Управление пакетами. Выбрать раздел, в правом окне редактора отобразится список политик:

Для задания списка пакетов, которые необходимо установить, щелкнуть левой кнопкой мыши на политике Установка пакетов, откроется диалоговое окно настройки политики:

GPUI. Диалоговое окно «Установка пакетов»

Для включения политики следует установить отметку в поле Включено. Для задания списка пакетов, которые должны быть установлены/удалены нажать кнопку Редактировать и в открывшемся окне ввести список пакетов, по одному на каждой строке:

Для добавления/удаления строк можно воспользоваться соответствующими кнопками.

Примечание

Для задания списка пакетов, которые необходимо удалить, необходимо выбрать политику Удаление пакетов.

Можно также включить политику Синхронная работа с пакетами. Включение данной настройки запретит работу (установка, удаление) с пакетами в фоновом режиме, что может замедлить работу компьютера при применении политики (при загрузке машины, если политика машинная, или входе пользователя в систему, если политика пользовательская).

Для включения политики Синхронная работа с пакетами следует в разделе Компьютер/Пользователь → Административные шаблоны → Система ALT → Управление пакетами выбрать пункт Синхронная работа с пакетами, в открывшемся окне установить отметку в поле Включено и нажать кнопку ОК, для сохранения изменений:

GPUI. Включение политики «Синхронная работа с пакетами»

Политики управления пакетами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Все настройки политики управления пакетами хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.

Пример файла Registry.pol:

PReg
[Software\BaseALT\Policies\GPUpdate;GlobalExperimental;;;]
[Software\BaseALT\Policies\Packages;Sync;;;]
[Software\BaseALT\Policies\Packages\Install;gimp;;;gimp]
[Software\BaseALT\Policies\Packages\Install;simple-scan;;;simple-scan]
[Software\BaseALT\Policies\Packages\Remove;python3-tools;;;python3-tools]

⁠10.4.8. Экспериментальные групповые политики

На тех машинах Альт, где применяются экспериментальных политики, должны быть включены «Экспериментальные групповые политики».

Для включения экспериментальных групповых политик следует в разделе Компьютер → Административные шаблоны → Система ALT → Групповые политики выбрать пункт Экспериментальные групповые политики и установить в открывшемся окне отметку в поле Включено:

GPUI. Включение политики «Экспериментальные групповые политики»

⁠10.4.9. Механизмы GPUpdate

Каждый механизм применения групповых политик можно отдельно включить или отключить. Для этого следует включить/отключить соответствующую политику в разделе Компьютер → Административные шаблоны → Система ALT → Групповые политики → Механизмы GPUpdate. Например, включить/отключить механизм групповых политик управления пакетами (Packages) можно, включив/отключив политики Установка и удаление программ или Установка и удаление программ для пользователей:

⁠10.4.10. Управление политиками браузера Chromium

Эти групповые политики позволяют централизованно для компьютеров управлять настройками интернет-браузера Google Chromium.

Механизм Chromium в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска веб-браузер Google Chromium считывает файл /etc/chromium/policies/managed/policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.

Примечание

Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для браузера Chromium требует дополнительной установки ADMX-файлов Google Chrome (пакет admx-chromium).

Результат применения параметров групповой политики для Chromium можно проверить, указав в адресной строке URL: chrome://policy:

В качестве примера рассмотрим политику установки URL домашней страницы.

Для редактирования политик браузера Chromium следует перейти в Компьютер → Административные шаблоны → Google → Google Chrome. Отобразится список политик:

GPUI. Политики настройки веб-браузера Chromium

Для установки URL домашней страницы следует выбрать пункт Главная страница и страница быстрого доступа при запуске, щелкнуть левой кнопкой мыши на политике Настройка URL домашней страницы, откроется диалоговое окно настройки политики. Выбрать параметр Включено, в разделе Параметры ввести URL и нажать кнопку ОК:

GPUI. Настройка URL домашней страницы веб-браузера Chromium

Результат применения политики:

Все настройки политики браузера Chromium хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:

PReg[Software\Policies\Google\Chrome;HomepageLocation;;;https://docs.altlinux.org]

В таблице Примеры политик управляющих настройками браузера Chromium описаны только некоторые политики. Полный список политик и их описание можно найти в браузере Chromium, указав в адресной строке URL: chrome://policy и установив отметку на пункте Показывать правила, значения которых не заданы.

⁠

Таблица 10.28. Примеры политик управляющих настройками браузера Chromium

Политика	Ключ	Описание
Действие при запуске	RestoreOnStartup	Настройка процесса запуска Chromium. При выборе значения Восстановить последний сеанс или «Открыть список URL и восстановить последний сеанс» будут отключены некоторые функции, такие как удаление данных о работе в браузере или сессионных файлов cookie при завершении работы. Если для политики указано значение Открыть список URL и восстановить последний сеанс, браузер будет восстанавливать предыдущий сеанс и открывать URL, заданные в политике URL, открывающиеся при запуске, в отдельном окне. Если пользователь не закроет страницы с этими URL, они также будут восстановлены в новом сеансе. Если политика находится в состоянии Включено, пользователи не смогут изменить эту настройку в Chromium.
Настройка URL домашней страницы	HomepageLocation	Позволяет установить URL домашней страницы и запрещает пользователям его изменять. Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию (открыть эту страницу в Chromium можно, нажав кнопку Главная страница на панели инструментов). Пользователи при этом не смогут изменить домашнюю страницу. Если политика находится в состоянии Отключено, пользователи не смогут установить домашнюю страницу. Если политика находится в состоянии Не сконфигурировано, пользователь может сам установить и изменить домашнюю страницу. Данная политика не будет работать, если пользователем или политикой «Сделать страницу быстрого доступа главной» в качестве главной страницы была задана страница быстрого доступа.
Настройка URL страницы быстрого доступа	NewTabPageLocation	Позволяет установить URL страницы быстрого доступа по умолчанию и запрещает пользователям его изменять. Страница быстрого доступа появляется, когда пользователь открывает новую вкладку или окно. Политика не определяет, какие страницы открываются при запуске. Для этого применяется политика Действие при запуске. Но если страница быстрого доступа используется в качестве главной или стартовой страницы, эта политика также распространяется и на них. Если политика находится в состоянии Не сконфигурировано или URL не указан, используется страница быстрого доступа, установленная по умолчанию.
Отображать кнопку Главная страница на панели инструментов	ShowHomeButton	Позволяет управлять отображением кнопки Главная страница на панели инструментов. Если политика находится в состоянии Включено, кнопка Главная страница отображается на панели инструментов. Если политика находится в состоянии Отключено, кнопка Главная страница не будет отображаться. Если эта политика настроена, пользователи не смогут изменить эту настройку в Chromium. В противном случае пользователи смогут добавить или скрыть кнопку главного экрана.
Сделать страницу быстрого доступа главной	HomepageIsNewTabPage	Если политика находится в состоянии Включено, в качестве главной страницы используется страница быстрого доступа. Заданный URL главной страницы игнорируется. Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа открывается, только когда в качестве URL главной страницы указан путь `chrome://newtab`. Если эта политика настроена, пользователи не смогут изменить главную страницу в Chromium. Если политика не сконфигурирована, пользователи смогут выбрать, устанавливать ли страницу быстрого доступа в качестве главной.
URL, открывающиеся при запуске	RestoreOnStartupURLs	Если для политики Действие при запуске задано значение Открыть одну или несколько страниц, в данной политике можно настроить список URL-адресов. В противном случае при запуске будет открываться страница быстрого доступа.
Включить сохранение паролей	PasswordManagerEnabled	Если политика находится в состоянии Включено или Не сконфигурировано, Chromium будет предлагать запоминать введенные пароли (а также предлагать их при следующем входе). Если политика находится в состоянии Отключено, пользователям будут доступны только ранее сохраненные пароли, а сохранить новые будет нельзя. Если политика настроена, пользователи не могут изменить её в Chromium. В противном случае пользователи при желании смогут отключить функцию сохранения паролей.
Включить поисковую систему по умолчанию	DefaultSearchProviderEnabled	Если политика находится в состоянии Включено, то при вводе в адресную строку текста (не URL) будет выполняться поиск в используемой по умолчанию поисковой системе. Задать поисковую систему по умолчанию можно с помощью других политик. Если значения для этих политик не установлены, пользователь может сам выбрать поисковую систему по умолчанию. Если политика находится в состоянии Отключено, то поиск текста, введенного в адресную строку, не выполняется.
Название поисковой системы по умолчанию	DefaultSearchProviderName	Если политика Включить поисковую систему по умолчанию включена, то данная политика задает название поисковой системы по умолчанию. Если параметр Включить поисковую систему по умолчанию не задан, то используется имя хоста, указанное в URL поискового запроса.
Показ URL страницы быстрого доступа в поисковой системе по умолчанию	DefaultSearchProviderNewTabURL	Если политика Включить поисковую систему по умолчанию включена, то данная политика указывает URL поисковой системы, используемой для страницы быстрого доступа. Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа не будет использоваться.
URL поиска для поисковой системы по умолчанию	DefaultSearchProviderSearchURL	Если политика Включить поисковую систему по умолчанию включена, то данная политика содержит URL поисковой системы, используемой по умолчанию. В URL должна быть строка '{searchTerms}', которая во время отправки запроса заменяется на текст пользователя. URL поисковой системы Google можно указать так: '{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion} {google:assistedQueryStats}{google:searchFieldtrialParameter} {google:searchClient}{google:sourceId}ie={inputEncoding}'. URL поисковой системы Яндекс можно указать так: https://yandex.ru/search/?text={searchTerms}
Включить панель закладок	BookmarkBarEnabled	Если политика находится в состоянии Включено, в Chromium будет видна панель закладок. Если политика находится в состоянии Отключено, панель закладок будет всегда скрыта. Если эта политика настроена, пользователи не смогут её изменить. Если политика находится в состоянии Не сконфигурировано, пользователи смогут самостоятельно решать, использовать эту функцию или нет.
Разрешить пользователям менять фон на странице быстрого доступа	NTPCustomBackgroundEnabled	Если политика находится в состоянии Отключено, пользователи не смогут изменять фон страницы быстрого доступа. Уже используемые изображения удаляются без возможности восстановления. Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут изменять фон страницы быстрого доступа.
Блокировать изображения на этих сайтах	ImagesBlockedForUrls	Позволяет задать список шаблонов URL для указания сайтов (значение * не поддерживается для этой политики), на которых запрещен показ изображений. Если политика находится в состоянии Включено, Chromium будет блокировать изображения на указанных сайтах. Если политика находится в состоянии Не сконфигурировано, то действует политика Настройка изображений по умолчанию) при условии, что оно задано. В противном случае применяются персональные настройки пользователя.
Блокировка доступа к списку URL	URLBlocklist	Если политика находится в состоянии Включено, страницы с запрещенными URL не загружаются (задаются шаблоны запрещенных URL). Если политика находится в состоянии Не сконфигурировано, браузер не блокирует URL. Формат шаблона URL должен соответствовать требованиям, указанным на странице `https://www.chromium.org/administrators/url-blocklist-filter-format`. В политике URLAllowlist можно задавать не более 1000 исключений.
Всегда открывать PDF-файлы во внешнем приложении	AlwaysOpenPdfExternally	Если политика находится в состоянии Включено, встроенное средство просмотра PDF-файлов в Chromium отключается, они начинают обрабатываться как скачанный контент, а пользователю разрешается открывать их в приложении, установленном по умолчанию. Если политика находится в состоянии Отключено, для просмотра PDF-файлов будет использоваться плагин PDF (если он не отключен пользователем). Если политика находится в состоянии Не сконфигурировано, пользователи смогут настраивать этот параметр самостоятельно.
Всегда указывать место для скачивания	PromptForDownloadLocation	Если политика находится в состоянии Включено, то при скачивании каждого файла пользователь должен указать, в какой каталог его сохранить. Если политика находится в состоянии Отключено, скачивание выполняется без запроса каталога для сохранения. Если политика находится в состоянии Не сконфигурировано, пользователи могут выбрать каталог, в который всегда будут сохраняться файлы.
Выбор каталога для скачиваний	DownloadDirectory	В этой политике указывается каталог, в котором браузер Chromium сохраняет скачиваемые файлы. Данный каталог используется, даже если пользователь выбрал каталог для сохранения или установил флажок, позволяющий выбирать каталог при каждом скачивании файла. Эта политика отменяет действие политики DefaultDownloadDirectory. Если политика находится в состоянии Не сконфигурировано, браузер Chromium скачивает файлы в каталог по умолчанию, а пользователь может его изменить. Список переменных можно посмотреть на странице `https://www.chromium.org/administrators/policy-list-3/user-data-directory-variables`.
Доступ к поисковой системе по умолчанию в контекстном меню	DefaultSearchProviderContextMenuAccessAllowed	Позволяет использовать поисковую систему по умолчанию в контекстном меню. Если политика находится в состоянии Включено или Не сконфигурировано, поиск в системе по умолчанию будет доступен в контекстном меню. Если политика находится в состоянии Отключено, поиск будет недоступен в контекстном меню. Значение этой политики применяется только в том случае, если включена политика Включить поисковую систему по умолчанию.
Доступность режима инкогнито	IncognitoModeAvailability	Определяет, может ли пользователь просматривать страницы в Chromium в режиме инкогнито. Если политика находится в состоянии Включено или значение не задано, страницы можно открывать в режиме инкогнито. Если политика находится в состоянии Отключено, пользователи не смогут открывать страницы в режиме инкогнито. Если для политики выбрано значение Включить принудительно, страницы можно просматривать ТОЛЬКО в режиме инкогнито.
Удаление истории просмотров и загрузок браузера	AllowDeletingBrowserHistory	Определяет, может ли пользователь удалять историю просмотров и скачиваний. Если политика находится в состоянии Включено или Не сконфигурировано, то историю просмотров и скачиваний можно удалить. Если политика находится в состоянии Отключено, то историю просмотров и скачиваний удалить нельзя.
Разрешить вызов окна выбора файлов	AllowFileSelectionDialogs	Если политика находится в состоянии Включено или Не сконфигурировано, то пользователи смогут открывать в Chromium окна выбора файлов. Если политика находится в состоянии Отключено, и пользователь выполняет действия, для которых нужно открыть окно выбора файлов (например, импортирует закладки, загружает файлы, сохраняет ссылки и т.д.), вместо окна отображается сообщение и предполагается, что пользователь нажал кнопку Отмена в окне выбора файлов.
Включить поисковые подсказки	SearchSuggestEnabled	Если политика находится в состоянии Включено, в адресной строке Chromium при поиске будут появляться подсказки. Если политика находится в состоянии Отключено, поисковые подсказки не отображаются. Эта политика не влияет на показ в строке поиска закладок и страниц из истории просмотров. Если политика настроена, пользователи не могут изменить её. Если политика не сконфигурирована, подсказки при поиске будут включены, но пользователи смогут отключить их в любое время.
Настройка изображений по умолчанию	DefaultImagesSetting	Если политика находится в состоянии Включено и выбрано значение 1 — Разрешить показ изображений на всех сайтах, на всех сайтах могут показываться изображения. При значении 2 — Запретить показ изображений на всех сайтах, показ изображений на сайтах запрещен. Если политика находится в состоянии Не сконфигурировано, показ изображений разрешен, но пользователи могут изменять этот параметр.
Разрешить полноэкранный режим	FullscreenAllowed	Если политика находится в состоянии Включено или Не сконфигурировано, то при наличии необходимых разрешений пользователи, приложения и расширения смогут включать полноэкранный режим, в котором виден только контент веб-страниц. Если политика находится в состоянии Отключено, то полноэкранный режим будет заблокирован для всех пользователей, приложений и расширений.
Управляемые закладки	ManagedBookmarks	Политика позволяет установить список закладок в Chromium. Если политика настроена, будет создан список закладок Каждая закладка представляет собой словарь, где ключам name и url соответствуют значения — название закладки и URL-адрес сайта ([{"name": "Документация","url": "docs.altlinux.org"},{"name": "Wiki","url": "altlinux.org"}]). По умолчанию папка называется «Управляемые закладки». Чтобы изменить это название, необходимо добавить в правило дополнительный словарь с единственным ключом `toplevel_name` и названием папки в качестве значения. Можно также задать подпапку для закладок. Для этого вместо ключа `url` следует использовать ключ `children`, а в качестве его значения указать список вложенных закладок или папок ([{"toplevel_name":"ALT"},{"name":"BaseALT","url":"basealt.ru"}, {"name":"ALT docs","children":[{"name": "Документация","url": "docs.altlinux.org"}, {"name": "Wiki","url": "altlinux.org"}]}]). Chromium дополняет неполные URL так же, как при их вводе в адресной строке. Например, адрес altlinux.org будет преобразован в `https://altlinux.org/`. Пользователи не смогут изменять папки с закладками, а только скрывать их на панели. Управляемые закладки не синхронизируются с аккаунтом пользователя, а расширения не могут их изменять.
Включить анонимный сбор данных о URL	UrlKeyedAnonymizedDataCollectionEnabled	Если политика находится в состоянии Включено, то всегда выполняется анонимный сбор данных о URL (эти сведения отправляются в Google с целью улучшить поиск и просмотр веб-страниц). Если политика находится в состоянии Отключено, сбор данных о URL не выполняется. Если политика находится в состоянии Не сконфигурировано, пользователь может разрешить или запретить анонимный сбор данных о URL.
Удаление данных о работе в браузере при выходе	ClearBrowsingDataOnExitList	Политика позволяет настроить список данных о работе в браузере, которые должны удаляться, когда пользователь закрывает все окна браузера. Можно указать следующие типы данных: browsing_history (история браузера) download_history (история скачиваний) cookies_and_other_site_data (файлы cookie и другие данные сайтов) cached_images_and_files (изображения и другие файлы, сохраненные в кэше) password_signin (пароли) autofill (автозаполнение) site_settings (настройки сайтов) hosted_app_data (данные размещенных приложений) У этой политики нет приоритета над политикой Удаление истории просмотров и загрузок браузера. Эта политика работает, если политика Отключить синхронизацию данных с Google находится в состоянии Включено. В противном случае политика игнорируется. Если Chromium закрывается непредвиденно (например, из-за сбоя в работе браузера или ОС), данные о работе в браузере удаляются при следующей загрузке профиля. Если политика находится в состоянии Отключено, то данные о работе, при закрытии браузера, не удаляются.
Отключить синхронизацию данных с Google	SyncDisabled	Если политика находится в состоянии Включено, синхронизация данных в Chromium с помощью сервисов, размещенных в Google, отключается. Полностью отключить сервис «Chrome Sync» можно через Google Admin console. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно решать, использовать ли им сервис «Chrome Sync».
Включает гостевой режим в браузере	BrowserGuestModeEnabled	Если политика находится в состоянии Включено или Не сконфигурировано, разрешается использовать гостевой доступ. При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито. При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито. Если политика находится в состоянии Отключено, в браузере не разрешается использовать гостевые профили.
Задать объем кеша в байтах	DiskCacheSize	Если для политики задано значение None, Chromium использует объем кэша по умолчанию для хранения кэшированных файлов на диске. В этом случае пользователи не могут изменить правило. Если политика находится в состоянии Включено Chromium будет использовать указанный размер кэша независимо от того, указали ли пользователи значение экспериментального параметра `--disk-cache-size`. Объем кэша задается в байтах, например, чтобы задать размер кэша 300МБ, необходимо указать 314572800. Значения меньше нескольких мегабайтов округляются. Если политика находится в состоянии Не сконфигурировано, Chromium использует объем по умолчанию. В этом случае пользователи могут менять размер кэша с помощью экспериментального параметра `--disk-cache-size`. Указанное в правиле значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.
Список разрешенных серверов для аутентификации	AuthServerAllowlist	Это правило указывает, какие серверы можно использовать для встроенной проверки подлинности Windows (IWA). Встроенная проверка подлинности включается, только когда Chromium получает запрос на аутентификацию от прокси-сервера или от сервера из списка разрешенных. Если политика находится в состоянии Не сконфигурировано, Chromium отвечает на запросы IWA только после того, как определяет, находится ли сервер в интранете. Если сервер находится в Интернете, Chromium игнорирует поступающие от него IWA запросы (веб-сайту не разрешается использовать аутентификацию SPNEGO с помощью браузера). Названия серверов нужно разделять запятыми. Допустимы подстановочные знаки (*).
Управление расширениями (Позволяет управлять расширениями)	ExtensionSettings	Это правило контролирует настройки управления расширениями в Chromium, включая те, которые заданы другими правилами. Оно заменяет любые ранее действовавшие правила. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения. Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики: идентификатор расширения или URL обновления привязывается только к одной конкретной настройке; идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация; если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL. Пример значения: { "hdokiejnpimakedhajhdlcegeplioahd": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" }, "pioclpoplcdbaefihamjohnefbikjilc": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" } } Параметры политики: `allowed_types` — типы приложений и расширений, которые пользователям разрешено устанавливать в браузере (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *; `blocked_install_message` — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения; `blocked_permissions` — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения); `installation_mode` — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы: `allowed` — пользователи могут установить это расширение (поведение по умолчанию); `blocked` — пользователи не могут установить это расширение; `removed` — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено; `force_installed` — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр `update_url`); `normal_Installed` — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр `update_url`); `install_sources` — список URL страниц, с которых разрешено загружать и устанавливать расширения Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода); `minimum_version_required` — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения; `update_url` — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл: если расширение размещено в интернет-магазине Chrome, следует указать `https://clients2.google.com/service/update2/crx` если расширение размещено в интернет-магазине Opera, следует указать `https://extension-updates.opera.com/api/omaha/update/` `override_update_url` — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля `update_url` или `update` в политике `ExtensionInstallForcelist`. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения; `verified_contents_url` — указывает путь до файла `extension.verified_contents`. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет); `runtime_allowed_hosts` — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле `runtime_blocked_hosts`. Можно указать до 100 сайтов; `runtime_blocked_hosts` — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов; `toolbar_pin` — определяет, закреплен ли значок расширения на панели инструментов. Возможные значения: `force_pinned` — значок расширения закреплен на панели инструментов и постоянно виден Пользователь не может скрыть его в меню расширения; `default_unpinned` — расширение скрыто в меню расширений (по умолчанию), пользователь может закрепить его на панели инструментов.

⁠10.4.11. Управление политиками браузера Firefox

Эти групповые политики позволяют централизованно для компьютеров управлять настройками интернет-браузера Mozilla Firefox.

Механизм Firefox в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска веб-браузер Mozilla Firefox считывает собственный файл policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.

Путь к файлу policies.json, в зависимости от версии веб-браузера Firefox:

/etc/firefox/policies — новые версии;
/usr/lib64/firefox/distribution — старые версии.

Примечание

Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для браузера Mozilla Firefox требует дополнительной установки ADMX-файлов Firefox (пакет admx-firefox).

Результат применения параметров групповой политики для Mozilla Firefox можно проверить, указав в адресной строке URL: about:policies#active:

В качестве примера рассмотрим политику установки URL домашней страницы.

Для редактирования политик браузера Mozilla Firefox следует перейти в Компьютер → Административные шаблоны → Mozilla → Firefox:

GPUI. Политики настройки веб-браузера Firefox

Раскрыть группу Домашняя страница, щелкнуть левой кнопкой мыши на политике URL для домашней страницы, откроется диалоговое окно настройки политики. Выбрать параметр Включено, в разделе Параметры ввести URL и нажать кнопку ОК:

GPUI. Настройка URL домашней страницы веб-браузера

В результате применения данной политики будет установлена домашняя страница по умолчанию, а также будет заблокирована возможность изменения домашней страницы пользователем:

Все настройки политики браузера Chromium хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:

PReg[Software\Policies\Mozilla\Firefox\Homepage;URL;;;https://basealt.ru]
[Software\Policies\Mozilla\Firefox\Homepage;Locked;;;]

В таблице Примеры политик управляющих настройками веб-браузера Mozilla Firefox описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания шаблонов политик Mozilla Firefox или в браузере Mozilla Firefox, указав в адресной строке URL: about:policies#documentation.

⁠

Таблица 10.29. Примеры политик управляющих настройками веб-браузера Mozilla Firefox

Политика	Ключ	Описание
Менеджер паролей	PasswordManagerEnabled	Позволяет запретить доступ к менеджеру паролей через настройки и блокирует about:logins. Если эта политика находится в состоянии Включено или Не сконфигурировано, менеджер паролей доступен в настройках и на странице about:logins. Если эта политика находится в состоянии Отключено, Firefox запрещает доступ к менеджеру паролей через настройки и блокирует about:logins.
Отключить создание мастер-пароля	DisableMasterPasswordCreation	Позволяет отключить возможность установить мастер-пароль (основной пароль). Если эта политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут создать мастер-пароль. Если эта политика находится в состоянии Включено, то она работает так же, как установка политики Основной (главный) пароль состояние Отключено, и пользователи не могут создать мастер-пароль. Если используются и политика «Отключить создание мастер-пароля», и «Основной (главный) пароль», то политика Отключить создание мастер-пароля имеет приоритет.
Предлагать сохранить логины	OfferToSaveLogins	Позволяет настроить будет ли Firefox предлагать запоминать сохранённые логины и пароли. Если политика находится в состоянии Отключено, Firefox не будет предлагать сохранять логины и пароли веб-сайтов. Если политика находится в состоянии Включено или Не сконфигурировано, Firefox будет предлагать сохранять логины и пароли веб-сайтов.
Отключить инструменты разработчика	DisableDeveloperTools	Позволяет управлять доступом к инструментам разработчика. Если политика находится в состоянии Включено, инструменты веб-разработчика недоступны в Firefox. Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты веб-разработчика доступны в Firefox.
Отключить приватный просмотр	DisablePrivateBrowsing	Запрещает доступ к приватному просмотру. Если политика находится в состоянии Включено, приватный просмотр запрещен. Если политика находится в состоянии Отключено или Не сконфигурировано, приватный просмотр разрешен.
Нет закладок по умолчанию	NoDefaultBookmarks	Отключает создание закладок по умолчанию (идущих вместе с Firefox), и смарт-закладки (часто посещаемые, недавние). Если политика находится в состоянии Включено, закладки по умолчанию и смарт-закладки (наиболее посещаемые, недавние теги) не создаются. Если политика находится в состоянии Отключено или Не сконфигурировано, создаются закладки по умолчанию и смарт-закладки (наиболее посещаемые, последние теги). Примечание: эта политика эффективна только в том случае, если она используется до первого запуска профиля.
Запрос места загрузки	PromptForDownloadLocation	Спрашивает, куда сохранять файлы при загрузке. Если политика находится в состоянии Отключено, файлы будут сохраняться в каталог указанный в настройках (пользователю не предлагается указать место для загрузки файла). Если политика находится в состоянии Включено, пользователю будет всегда выдаваться запрос на сохранение файла. Если политика находится в состоянии Не сконфигурировано, пользователю будет выдаваться запрос на сохранение файла, но он может изменить значение по умолчанию.
Отключить историю форм	DisableFormHistory	Отключает запоминание истории поиска и данных форм. Если политика находится в состоянии Включено, Firefox не запоминает историю форм или поиска. Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox будет помнить историю форм и поиска.
Блокировка редактора настроек (about:config)	BlockAboutConfig	Блокирует доступ к странице about:config. Если эта политика находится в состоянии Включено, пользователь не может получить доступ к about:config. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к about:config.
Блокировка страницы управления профилями (about:profiles)	BlockAboutProfiles	Блокирует доступ к странице управления профилями (about:profiles). Если политика находится в состоянии Включено, пользователь не может получить доступ к профилям about:profiles. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к профилям about:profiles.
Блокировка информации об устранении неполадок	BlockAboutSupport	Блокирует доступ к странице about:support. Если политика находится в состоянии Включено, пользователь не может получить доступ к информации для устранения неполадок или about:support. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к информации для устранения неполадок или about:support.
Captive Portal (портал захвата)	CaptivePortal	Включает или отключает тест соединения (поддержку перехватывающего портала). Если политика находится в состоянии Отключено, то поддержка captive portal отключена. Если политика находится в состоянии Включено или Не сконфигурировано, то поддержка captive portal включена. Примечание: Браузер Mozilla Firefox при запуске проверяет, требует ли используемое сетевое соединение вход в систему. Во время теста Firefox пытается подключиться к `http://detectportal.firefox.com/success.txt`, чтобы проверить возможность соединения с этим адресом. Этот адрес также используется для проверки поддержки активного сетевого соединения IPv6. Отключение этой функциональности уменьшает количество автоматических подключений и может немного ускорить запуск браузера.
Отключить встроенную программу просмотра PDF (PDF.js)	DisableBuiltinPDFViewer	Отключает PDF.js, встроенный просмотрщик PDF в Firefox. Если политика находится в состоянии Включено, файлы PDF не просматриваются в Firefox. Если политика находится в состоянии Отключено или Не сконфигурировано, файлы PDF просматриваются в Firefox.
Отключить команды обратной связи	DisableFeedbackCommands	Отключает команды отправки отзывов в меню Справка (Отправить отзыв… и Сообщить о поддельном сайте…). Если политика находится в состоянии Включено, пункты меню Отправить отзыв… и Сообщить о поддельном сайте… недоступны из меню Справка. Если политика находится в состоянии Отключено или Не сконфигурировано, пункты меню Отправить отзыв… и Сообщить о поддельном сайте… доступны из меню Справка.
Отключить снимки экрана Firefox	DisableFirefoxScreenshots	Отключает функцию Firefox Screenshots. Если политика находится в состоянии Включено, снимки экрана Firefox недоступны. Если политика находится в состоянии Отключено или Не сконфигурировано, доступны снимки экрана Firefox.
Отключить учетные записи Firefox	DisableFirefoxAccounts	Отключает службы, основанные на Аккаунте Firefox, включая синхронизацию. Если политика находится в состоянии Включено, учетные записи Firefox отключены, в том числе отключена синхронизация. Если политика находится в состоянии Отключено или Не сконфигурировано, доступны Аккаунты Firefox и синхронизация.
Отключить исследования Firefox	DisableFirefoxStudies	Запрещает Firefox выполнять исследования. Если политика находится в состоянии Включено, Firefox никогда не будет проводить исследования SHIELD или опросы Heartbeat. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может включить исследования SHIELD или опросы Heartbeat. Для получения дополнительной информации см. `https://support.mozilla.org/en-US/kb/shield` и `https://wiki.mozilla.org/Firefox/Shield/Heartbeat`
Отключить кнопку «Забыть»	DisableForgetButton	Закрывает доступ к кнопке Забыть. Если политика находится в состоянии Включено, кнопка Забыть о части истории веб-сёрфинга недоступна. Если политика находится в состоянии Отключено или Не сконфигурировано, кнопка Забыть о части истории веб-сёрфинга доступна.
Запретить показывать пароли в сохраненных логинах	DisablePasswordReveal	Не позволяет просматривать пароли у сохранённых логинов. Если политика находится в состоянии Включено, пользователи не могут отображать пароли в сохраненных логинах. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут отображать пароли в сохраненных логинах.
Отключить Pocket	DisablePocket	Отключает сохранение страниц в Pocket. Если политика находится в состоянии Включено, Pocket недоступен. Если политика находится в состоянии Отключено или Не сконфигурировано, Pocket доступен. Примечание: Pocket — это специальный сервис для хранения различной информации, найденной в ходе веб-сёрфинга.
Отключить импорт профиля	DisableProfileImport	Отключает команду меню для импорта данных из другого браузера. Если политика находится в состоянии Включено, опция Импортировать данные из другого браузера… в окне закладок недоступна. Если политика находится в состоянии Отключено или Не сконфигурировано, опция Импортировать данные из другого браузера… доступна.
Отключить обновление профиля	DisableProfileRefresh	Отключает кнопку Обновить Firefox на странице about:support. Если политика находится в состоянии Включено, кнопка Обновить Firefox будет недоступна на странице about:support. Если эта политика отключена или не сконфигурирована, кнопка Обновить Firefox будет доступна.
Отключить безопасный режим	DisableSafeMode	Отключает функцию для перезапуска в безопасном режиме. Если политика находится в состоянии Включено, пользователь не может перезапустить браузер в безопасном режиме. Если политика находится в состоянии Отключено или Не сконфигурировано, безопасный режим разрешен.
Не проверять браузер по умолчанию	DontCheckDefaultBrowser	Отключает проверку браузера по умолчанию при запуске. Если политика находится в состоянии Включено, Firefox не проверяет, является ли он браузером по умолчанию при запуске. Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox при запуске проверяет, является ли он браузером по умолчанию.
Аппаратное ускорение	HardwareAcceleration	Отключает аппаратное ускорение. Если политика находится в состоянии Отключено, аппаратное ускорение не может быть включено. Если политика находится в состоянии Включено или Не сконфигурировано, включено аппаратное ускорение.
Основной (главный) пароль	PrimaryPassword	Требовать или не давать использовать мастер-пароль. Если политика находится в состоянии Отключено, пользователи не могут создать основной пароль. Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут создать основной пароль.
Прогнозирование сети	NetworkPrediction	Включает или отключает прогнозирование сети (предварительная выборка DNS). Предварительная выборка DNS — это технология, используемая Firefox для ускорения загрузки новых веб-сайтов. Если политика находится в состоянии Отключено, прогнозирование сети (предварительная выборка DNS) будет отключено. Если политика находится в состоянии Включено или Не сконфигурировано, будет включено прогнозирование сети (предварительная выборка DNS).
Новая вкладка	NewTabPage	Включает или отключает страницу новой вкладки. Если эта политика находится в состоянии Отключено, в новой вкладке будет загружена пустая страница. Если эта политика в состоянии Включено или Не сконфигурировано, в новой вкладке будет загружена страница по умолчанию.
Подсказки по поиску	SearchSuggestEnabled	Включает или отключает поисковые предложения. Если эта политика находится в состоянии Отключено, поисковые подсказки будут отключены. Если эта политика в состоянии Включено, поисковые подсказки будут включены. Если эта политика в состоянии Не сконфигурировано, поисковые подсказки будут включены, но пользователь может отключить их.
Показывать кнопку «Домашняя страница» на панели инструментов	ShowHomeButton	Включает кнопку Домашняя страница на панели инструментов. Если политика находится в состоянии Отключено, кнопка Домашняя страница не будет отображаться на панели инструментов. Если политика находится в состоянии Включено, кнопка Домашняя страница отображается на панели инструментов.
Блокировка менеджера дополнений (about:addons)	BlockAboutAddons	Блокирует доступ к менеджеру дополнений (about:addons). Если политика находится в состоянии Отключено или Не сконфигурировано пользователь может получить доступ к менеджеру дополнений (about:addons). Если политика находится в состоянии Включено, пользователь не может получить доступ к менеджеру дополнений (about:addons).
URL для домашней страницы	Homepage	Устанавливает URL домашней страницы при старте браузера и, если необходимо, блокирует её смену. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может установить и изменить домашнюю страницу. Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию, а также заблокировать возможность изменения домашней страницы.
SPNEGO	SPNEGO	Включает аутентификацию через SPNEGO/Kerberos. Если политика находится в состоянии Отключено или Не сконфигурировано, никаким веб-сайтам не разрешается использовать аутентификацию SPNEGO с помощью браузера. Если политика находится в состоянии Включено, указанным веб-сайтам разрешается использовать аутентификацию SPNEGO в браузере. Записи в списке имеют формат altlinux.org или https://altlinux.org
Не разрешать изменять настройки аутентификации	Authentication Locked	Блокирует настройки аутентификации от изменений пользователем. Если политика находится в состоянии Включено или Не сконфигурировано, пользователь не может изменить параметры проверки подлинности. Если политика находится в состоянии Отключено, пользователь может изменить параметры проверки подлинности.
Разрешить неполное доменное имя (Non FQDN)	Authentication AllowNonFQDN	Разрешить SPNEGO или NTLM для неполных доменных имен (Non FQDN). Если политика находится в состоянии Отключено или Не сконфигурировано, NTLM и SPNEGO не будут включены для неполных доменных имен. Если политика находится в состоянии Включено (и флажки отмечены), SPNEGO или NTLM будут включены для неполных доменных имен (Non FQDN).
Расширения для установки	Extensions\Install	Задаёт список URL-адресов или собственных путей для устанавливаемых расширений. Если политика находится в состоянии Отключено или Не сконфигурировано, расширения не устанавливаются. Если политика находится в состоянии Включено, можно указать список URL-адресов или путей расширений, которые будут устанавливаться при запуске Firefox. При каждом изменении этого списка политики будут переустанавливаться. URL политики необходимо задавать в формате .xpi (например, `https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi`). Можно также указать путь на локальный каталог, в который политикой копирования файлов скопировать расширение в формате .xpi.
Управление расширениями	ExtensionSettings	Это правило позволяет управлять всеми аспектами расширений. Политика сопоставляет идентификатор расширения с его конфигурацией. Если указан идентификатор расширения, конфигурация будет применяться только к указанному расширению. Конфигурация по умолчанию может быть установлена для специального идентификатора , который будет применяться ко всем расширениям, для которых не задана пользовательская конфигурация в этой политике. Чтобы получить идентификатор расширения, можно установите расширение и посмотреть идентификатор на странице about:support в разделе Расширения. Если политика находится в состоянии Отключено* или Не сконфигурировано, расширения не будут управляться. Если политика находится в состоянии Включено, можно использовать JSON для описания политики управления расширениями. Пример JSON: { "*": { "blocked_install_message": "Custom error message" }, "adblockultimate@adblockultimate.net": { "installation_mode": "force_installed", "install_url": "file:///home/user/file.xpi" }, "rutokenplugin@rutoken.ru": { "installation_mode": "force_installed", "install_url": "https://addons.mozilla.org/…/plugin.xpi" } } Конфигурация для каждого расширения — это еще один словарь, который может содержать следующие поля: `installation_mode` — режим установки расширения. Допустимые значения: `allowed` — разрешает установку расширения пользователем (поведение по умолчанию). Поле `install_url` не используется и будет автоматически определено на основе идентификатора; `blocked` — блокирует установку расширения и удаляет его, если оно уже установлено; `force_installed` — расширение устанавливается автоматически и не может быть удалено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует `install_url`; `normal_installed` — расширение устанавливается автоматически, но может быть отключено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует `install_url`; `install_url` — сопоставляется с URL-адресом, указывающим, откуда Firefox может загрузить расширение (при `force_installed` или `normal_installed`). При установке из локальной файловой системы следует использовать URL-адрес file:///. При установке с сайта addons.mozilla.org можно использовать URL-адрес в виде `https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi`; `install_sources` — список источников, из которых разрешена установка расширений с использованием шаблонов соответствия URL. Этот параметр не нужен, если разрешена установка только определенных расширений по идентификатору. Данный параметр можно использовать только для конфигурации по умолчанию; `minimum_version_required` — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения; `allowed_types` — белый список разрешённых типов расширений/приложений, которые можно установить в Firefox. Значение представляет собой список строк (допустимые строки: «extension», «theme», «dictionary», «locale»). Этот параметр можно использовать только для конфигурации по умолчанию; `override_update_url` — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля `update_url` или `update` в политике `ExtensionInstallForcelist`. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения; `blocked_install_message` — сообщение об ошибке, которое будет отображаться для пользователей, если им заблокирована установка расширения. Этот параметр можно использовать только для конфигурации по умолчанию; `restricted_domains` — массив доменов, на которых нельзя запускать сценарии контента. Этот параметр можно использовать только для конфигурации по умолчанию; `updates_disabled` — логическое значение, указывающее, следует ли отключать автоматические обновления для отдельного расширения; `default_area` — указывает, где должен быть размещен значок расширения. Возможные значения: `navbar` и `menupanel`.

⁠10.4.12. Управление политиками «Яндекс.Браузера»

Эти групповые политики позволяют централизованно для компьютеров управлять настройками «Яндекс.Браузера».

Механизм Yandex в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска «Яндекс.Браузер» считывает файл /etc/opt/yandex/browser/policies/managed/policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.

Примечание

Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).

Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: browser://policy:

В качестве примера рассмотрим политику установки URL домашней страницы.

Для редактирования политик браузера «Яндекс.Браузера» следует перейти в Компьютер → Административные шаблоны → Яндекс → Яндекс.Браузер:

GPUI. Политики настройки «Яндекс.Браузера»

GPUI. Настройка URL домашней страницы «Яндекс.Браузера»

В результате применения данной политики будет установлена домашняя страница по умолчанию:

Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt+Home.

Все настройки политики «Яндекс.Браузера» хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:

Preg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]

В таблице Примеры политик управляющих настройками «Яндекс.Браузера» описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания политик «Яндекс.Браузера» или в «Яндекс.Браузере», указав в адресной строке URL: browser://policy/ и установив отметку на пункте Показывать правила, значения которых не заданы.

⁠

Таблица 10.30. Примеры политик управляющих настройками «Яндекс.Браузера»

Политика	Ключ	Описание
Включить или отключить панель закладок	BookmarkBarEnabled	Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере». Если политика находится в состоянии Включено, панель закладок отображается. Если политика находится в состоянии Отключено, панель закладок не отображается. Если политика находится в состоянии Не сконфигурировано, пользователь может самостоятельно решать, включить или отключить панель закладок.
Настроить закладки	EditBookmarksEnabled	Политика включает или отключает возможность изменения закладок. Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут добавлять, изменять и удалять закладки. Если политика находится в состоянии Отключено, пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными.
Задать форматы файлов, которые будут автоматически открываться после скачивания	AutoOpenFileTypes	Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания. Если политика находится в состоянии Включено, в ней можно перечислить форматы файлов (без точки), которые будут автоматически открываться после скачивания (например, txt, jpg). Если политика находится в состоянии Отключено или Не сконфигурировано, после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»).
Настроить показ всплывающих окон	DefaultPopupsSetting	Политика разрешает или запрещает всплывающие окна на всех сайтах. Если политика находится в состоянии Отключено или Не сконфигурировано, всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера. Если политика находится в состоянии Включено, администратор может определить режим применения политики: Блокировать на всех сайтах Разрешить на всех сайтах Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера.
Разрешить полноэкранный режим	FullscreenAllowed	Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта. Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения. Если политика находится в состоянии Отключено, полноэкранный режим отключен для всех пользователей, приложений и расширений.
Задать URL домашней страницы	HomepageLocation	Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут сами установить URL домашней страницы в настройках браузера. Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, `https://altlinux.org`). Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt+Home. Пользователи не могут менять домашнюю страницу в браузере.
Отключить контекстное меню для выделенного текста	InstaserpDisabled	Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице. Если политика находится в состоянии Включено, контекстное меню не показывается, пользователи не могут включить его в настройках (опция При выделении текста показывать кнопки «Найти» и «Копировать» неактивна). Если политика находится в состоянии Отключено, контекстное меню показывается, пользователи не могут отключить его в настройках. Если политика находится в состоянии Не сконфигурировано, контекстное меню показывается, пользователи могут отключить его в настройках.
Отображать боковую панель	SidePanelMode	Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настроить режим отображения боковой панели. Если политика находится в состоянии Включено, администратор может выбрать режим отображения боковой панели: Закрепить только на экране новой вкладки Закрепить на сайтах Скрыть
Включить автозаполнение адресов	AutofillAddressEnabled	Политика разрешает пользователям автозаполнение адресов. Если политика находится в состоянии Включено или Не сконфигурировано, автозаполнение адресов включено. Если политика находится в состоянии Отключено, автозаполнение адресов отключено, введенные адреса не сохраняются.
Настроить режим Инкогнито	IncognitoModeAvailability	Политика определяет, могут ли пользователи включать режим «Инкогнито». Если политика находится в состоянии Не сконфигурировано, пользователи могут открывать страницы в режиме Инкогнито. Если политика находится в состоянии Включено, администратор может определить режим применения политики: Принудительное использование режима Инкогнито — режим «Инкогнито» всегда включен; Режим Инкогнито доступен — пользователи могут просматривать страницы как в обычном режиме, так и в режиме «Инкогнито»; Режим Инкогнито отключён — пользователи могут просматривать страницы только в обычном режиме. Если политика находится в состоянии Отключено, пользователи могут просматривать страницы только в обычном режиме.
Запретить использовать мастер-пароль	MasterPasswordDisabled	Политика запрещает пользователям использовать мастер-пароль. Если политика находится в состоянии Включено или Не сконфигурировано, пользователь может использовать мастер-пароль. Если политика находится в состоянии Отключено, мастер-пароль в браузере отключен.
Разрешить сохранять пароли	PasswordManagerEnabled	Политика разрешает сохранять пароли в браузере и автоматически подставлять их при авторизации на сайтах. Если политика находится в состоянии Не сконфигурировано, сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей. Если политика находится в состоянии Включено, сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей. Если политика находится в состоянии Отключено, сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей.
Запретить сохранять историю просмотров	SavingBrowserHistoryDisabled	Политика запрещает сохранять историю просмотров и синхронизировать открытые вкладки. При синхронизации информация передается на сервер Яндекса по защищенному каналу. Если политика находится в состоянии Отключено или Не сконфигурировано, история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Пользователи могут импортировать историю из других браузеров. Если политика находится в состоянии Включено, история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена.
Выбрать папку кеша на диске	DiskCacheDir	Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях. Если политика находится в состоянии Отключено или Не сконфигурировано, браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра `disk-cache-dir`. Если политика находится в состоянии Включено, браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра `disk-cache-dir`.
Задать объём кеша в байтах	DiskCacheSize	Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок. Если политика находится в состоянии Не сконфигурировано, браузер использует объем кеша по умолчанию. Если политика находится в состоянии Включено, браузер использует заданный размер кеша независимо от параметра `--disk-cache-size`. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ. Если политика находится в состоянии Отключено, браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра `--disk-cache-size`.
Блокировать внешние расширения	BlockExternalExtensions	Политика позволяет запретить установку внешних расширений. Если политика находится в состоянии Отключено или Не сконфигурировано, установка внешних расширений разрешена. Если политика находится в состоянии Включено, установка внешних расширений запрещена.
Блокировать URL'ы из заданного списка	URLBlocklist	Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список. Если политика находится в состоянии Отключено или Не сконфигурировано, браузер не блокирует URL. Если политика находится в состоянии Включено, страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные. Общий формат шаблона URL: scheme://host:port/path, где: scheme — схема обращения к ресурсу (например, http, https). Если префикс scheme:// не задан, блокируются все пути и все протоколы (http, https, ftp и т.д.). Блокировать внутренние URL с префиксом browser:// и chrome:// не рекомендуется; host — полное доменное имя или IP-адрес хоста. Имя или IP-адрес хоста должны быть указаны обязательно. По умолчанию блокируются все субдомены хоста. Чтобы этого избежать, можно добавить точку (.) перед именем хоста. Звездочка (*) блокирует все домены; port — номер порта. Можно указать номер от 1 до 65535. Если номер не указан, блокируются все порты; path — URL-адрес. Общий формат шаблона локального файла file://path, где: file — путь до конкретного файла .html; path — абсолютный путь к каталогу с файлами (все пути, для которых path является префиксом, будут внесены в список).
Задать исключения для политики URLBlocklist (Разрешить доступ к списку URL)	URLAllowlist	Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики Блокировать URL'ы из заданного списка). Если политика находится в состоянии Отключено или Не сконфигурировано, исключений из правила URLBlocklist нет. Если политика находится в состоянии Включено, указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL. Форматы шаблонов см. в описании политики Блокировать URL'ы из заданного списка.
Разрешить вызывать окно выбора файлов	AllowFileSelectionDialogs	Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки. Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т.д.). Пользователи также могут сохранить файл с помощью контекстного меню и изменять настройки в разделе Загруженные файлы (Настройки → Инструменты → Загруженные файлы). Если политика находится в состоянии Отключено и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т.д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки Отмена в окне выбора файлов. Пользователи также не смогут сохранить файл из контекстного меню и изменять настройки в разделе Загруженные файлы.
Ограничить инструменты разработчика	DeveloperToolsAvailability	Политика ограничивает использование инструментов разработчика. Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой. Если политика находится в состоянии Включено можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры: Запретить Запретить для расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях Разрешить
Управлять настройками расширений	ExtensionSettings	Политика управляет настройками расширений в «Яндекс.Браузере». Заменяет любые другие политики по настройке расширений. Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения. Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики: идентификатор расширения или URL обновления привязывается только к одной конкретной настройке; идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация; если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL. Пример значения: { "hdokiejnpimakedhajhdlcegeplioahd": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" }, "pioclpoplcdbaefihamjohnefbikjilc": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" } } Параметры политики: `allowed_types` — типы приложений и расширений, которые пользователям разрешено устанавливать в браузере (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *; `blocked_install_message` — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения; `blocked_permissions` — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения); `installation_mode` — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы: `allowed` — пользователи могут установить это расширение (поведение по умолчанию); `blocked` — пользователи не могут установить это расширение; `removed` — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено; `force_installed` — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр `update_url`); `normal_installed` — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр `update_url`); `install_sources` — список URL страниц, с которых разрешено загружать и устанавливать расширения Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода); `minimum_version_required` — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения; `update_url` — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл: если расширение размещено в интернет-магазине Chrome, следует указать `https://clients2.google.com/service/update2/crx` если расширение размещено в интернет-магазине Opera, следует указать `https://extension-updates.opera.com/api/omaha/update/` `override_update_url` — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля `update_url` или `update` в политике `ExtensionInstallForcelist`. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения; `verified_contents_url` — указывает путь до файла `extension.verified_contents`. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет); `runtime_allowed_hosts` — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле `runtime_blocked_hosts`. Можно указать до 100 сайтов; `runtime_blocked_hosts` — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов.

⁠10.4.13. Политика замыкания

Описание политики замыкания см. в разделе Замыкание групповой политики.

Для настройки этой политики следует перейти в Компьютер → Административные шаблоны → Система → Групповая политика:

Примечание

Для быстрого доступа к политике можно ввести в поле Поиск… ключевое слово.

Щелкнуть левой кнопкой мыши на политике Настройка режима обработки замыкания пользовательской групповой политики, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить:

GPUI. Редактирование политики «Настройка режима обработки замыкания пользовательской групповой политики»

Если выбрать параметр Включено, в разделе Опции в выпадающем списке можно выбрать режим:

Слияние — указывает, что параметры политики пользователя определенные в объектах групповой политики компьютера, и обычно применяемые параметры пользователя для этого пользователя должны быть объединены. Если возникает конфликт этих параметров политики, то параметры пользователя в объектах групповой политики компьютера имеют приоритет над обычными параметрами пользователя;
Замена — указывает, что параметры политики пользователя, определенные в объектах групповой политики компьютера, заменяют параметры политики пользователя, обычно применяемые для этого пользователя.

Если выбрать параметр Отключено или не настраивать этот параметр политики, порядок применения параметров определяется объектами групповой политики для пользователей.

⁠10.5. Редактирование предпочтений

⁠10.5.1. Управление ярлыками

Групповая политика Управление ярлыками позволяет централизованно для компьютеров или пользователей:

создавать ярлыки;
удалять ярлыки;
изменять свойства ярлыков.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Значки. В контекстном меню свободной области выбрать пункт Новый → Значок

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Значки»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для ярлыка:
- Создать — создание нового ярлыка;
- Удалить — удаление ярлыка;
- Заменить — удаление и повторное создание ярлыка. Если ярлык не существует, то это действие создает новый ярлык;
- Обновить — изменение параметров существующего ярлыка. Если ярлык не существует, то это действие создает ярлык. Это действие отличается от Заменить тем, что не удаляет ярлык, а только обновляет параметры ярлыка, определенные в элементе настройки;
Название — отображаемое имя для ярлыка. При изменении или удалении ярлыка имя должно совпадать с именем существующего ярлыка;
Тип цели — тип конечного объекта, на который указывает ярлык (при изменении или удалении ярлыка выбранный тип объекта должен соответствовать существующему ярлыку):
- Объект файловой системы — путь в ФС, например, файл, папка, диск, общий ресурс или компьютер;
- URL-адрес — URL-адрес, например, веб-сайт;
- Объект оболочки — объект, например, принтер, элемент рабочего стола или панели управления, файл, папка, общий ресурс, компьютер или сетевой ресурс;
Место нахождения — место, где ярлык должен отображаться на компьютерах, для которых применяется политика. Размещения, отличные от Общее…, относятся к текущему пользователю. При изменении существующего ярлыка выбранное размещение должно совпадать с размещением существующего ярлыка. Если выбран пункт Укажите полный путь, то место задается полным путем в поле Название (при этом можно использовать переменные, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в Program Files, необходимо ввести %ProgramFilesDir%\Ярлыки\Почта). Чтобы разместить ярлык в подпапке для выбранного размещения из списка, следует указать <название подпапки>\<имя ярлыка> в поле Название, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в размещении Рабочий стол, необходимо ввести Ярлыки/Почта в поле Название и выбрать Рабочий стол в поле Место нахождения:
Целевой путь — локальный путь (с точки зрения клиента) для типа Объект файловой системы, URL для типа URL-адрес или объект для типа Объект оболочки. Если выбран тип цели Объект файловой системы или URL-адрес, то это поле может принимать переменные. Это поле недоступно, если выбрано действие Удалить;
Аргументы — аргументы, которые будут использоваться при открытии целевого файла или папки. Это поле доступно только в том случае, если выбран тип цели Объект файловой системы, и выбрано действие Создать, Заменить или Обновить;
Путь к файлу значка и Индекс значка — значок для ярлыка. Для указания значка, отличного от значка по умолчанию необходимо выбрать значок или ввести полный путь к значку (с точки зрения клиента) и указать индекс значка. Поле Путь к файлу значка принимает переменные. Эти поля недоступны, если выбрано действие Удалить;
Начинать — рабочий каталог, содержащий файлы, необходимые для конечного объекта. Это поле принимает переменные. Поле доступно в случае, если выбрано действие Создать, Заменить или Обновить;
Быстрая клавиша — сочетание клавиш для запуска ярлыка. Чтобы назначить сочетание клавиш следует установить курсор в поле Быстрая клавиша и нажать комбинацию клавиш. Это поле недоступно, если выбрано действие Удалить. Чтобы удалить сочетание клавиш, можно нажать клавишу CTRL или ALT, или нажать на значок, расположенный справа от сочетания клавиш:
Запуск — размер окна, в котором нужно открыть цель ярлыка. Поле доступно только в том случае, если выбран тип объекта Объект файловой системы или Объект оболочки, и выбрано действие Создать, Заменить или Обновить;
Комментарий — всплывающая подсказка, когда указатель мыши приостановлен на ярлыке. Поле принимает переменные. Поле доступно только в том случае, если выбран тип объекта Объект файловой системы или Объект оболочки, и выбрано действие Создать, Заменить или Обновить.

Предупреждение

Чтобы ярлыку назначались корректные права (для пользовательской политики), необходимо установить отметку в пункте Выполнять в контексте безопасности текущего пользователя. на вкладке Общие.

Все настройки политики управления ярлыками хранятся в файлах:

{GUID GPT}/Machine/Preferences/Shortcuts/Shortcuts.xml
{GUID GPT}/User/Preferences/Shortcuts/Shortcuts.xml

Пример файла Shortcuts.xml:

<?xml version="1.0" encoding="utf-8"?>
<Shortcuts clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}">
<Shortcut bypassErrors="0"
    changed="2022-11-17 11:07:40"
    clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}"
    desc=""
    image="0"
    name="Почта"
    removePolicy="0"
    status=""
    uid="{dfd45a36-4634-47d9-8a22-5f702fba21bc}"
    userContext="0">
<Properties
    action="U"
    arguments=""
    comment=""
    iconPath="/usr/lib64/thunderbird/chrome/icons/default/default32.png"
    pidl=""
    shortcutPath="%DesktopDir%\Почта"
    startIn=""
    targetPath="/usr/bin/thunderbird"
    targetType="FILESYSTEM"
    window=""/>
</Shortcut>
</Shortcuts>

⁠10.5.2. Управление каталогами

Групповая политика Управление каталогами позволяет для всех пользователей заданной группы создавать унифицированную структуру каталогов.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Папки. В контекстном меню свободной области выбрать пункт Новый → Папки

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Папки»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для папки:
- Создать — создание новой папки;
- Удалить — удаление папки;
- Заменить — удаление и повторное создание папки. В результате выполнения действия Заменить содержимое существующей папки удаляется, и все существующие параметры папки перезаписываются. Если папка не существует, действие Заменить создает новую папку;
- Обновить — изменение параметров существующей папки. Если папки не существует, то это действие создает новую папку. Это действие отличается от Заменить тем, что не удаляет папку, а только обновляет параметры;
Путь — путь к папке (с точки зрения клиента). Это поле может содержать переменные (не следует вводить кавычки и завершающую косую черту);
Атрибуты — атрибуты файловой системы для папки (недоступны для действия Удалить):
- Только для чтения;
- Скрытый;
- Архивный;

Следующие опции доступны только для действий Заменить и Удалить:

Удалить папку (если пустая) — если включена эта опция папка, указанная в поле Путь, удаляется, если она пуста. Будет ли эта папка пустой, оценивается после того, как были обработаны опции Удалить все файлы в папке(ах) и Рекурсивное удаление папок (если пустые). При выборе действия Удалить эта опция включена по умолчанию и её невозможно отключить;
Рекурсивное удаление папок (если пустые) — если включена эта опция, самый низкий уровень вложенных папок удаляется, если они пусты, повторяется для каждой родительской папки до достижения папки, указанной в поле Путь. Пустые подпапки оцениваются после того, как опция Удалить все файлы в папке(ах) была обработана;
Удалить все файлы в папке(ах) — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция Рекурсивное удаление папок (если пустые), то удаляются также все файлы, которые разрешено удалять во всех подпапках;
Разрешить удаление файлов/папок только для чтения — если включена эта опция, атрибут Только для чтения отключается для удаляемых файлов и папок;
Игнорировать ошибки для файлов/папок, которые не могут быть удалены — если включена эта опция, подавляются любые сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. Если эта опция не включена, возвращается ошибка, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены.

Примечание

Атрибуты Архивный, Скрытый и Только для чтения применимы только для Windows систем.

Все настройки политики управления каталогами хранятся в файлах:

{GUID GPT}/Machine/Preferences/Folders/Folders.xml
{GUID GPT}/User/Preferences/Folders/Folders.xml

Пример файла Folders.xml:

<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<Folders clsid="{77CC39E7-3D16-4f8f-AF86-EC0BBEE2C861}">
  <Folder clsid="{07DA02F5-F9CD-4397-A550-4AE21B6B4BD3}"
        name="MyDir"
        status="MyDir"
        image="2"
        bypassErrors="1"
        changed="2020-10-27 11:49:19"
        uid="{57F41C87-4A65-4561-BFFF-4219149DCBF7}">
    <Properties
        action="U"
        path="%DesktopDir%\MyDir"
        readOnly="0"
        archive="1"
        hidden="0"/>
  </Folder>
</Folders>

⁠10.5.3. Управление INI-файлами

Групповая политика Управление INI-файлами позволяет:

добавить свойство в файл параметров конфигурации (.ini);
заменить свойство в INI-файле;
удалить свойство из INI-файла;
удалить раздел из INI-файла;
удалить INI-файл.

В разделах INI-файлов используется следующий формат:

[sectionA]
var01=value01

[sectionB]
var01=value01
var02=value02

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Ini файлы. В контекстном меню свободной области выбрать пункт Новый → Ini файл

GPUI. Создание новой политики «Ini файл»

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Ini файл»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для INI-файла:
- Создать — добавление свойства в INI-файл. Если файл не существует, он будет создан;
- Удалить — удаление свойства или раздела из INI-файла (либо удаление INI-файла);
- Заменить — удаление и повторное создание свойства в INI-файле (суммарный итог действия Заменить — переопределение свойства. Если свойство не существует, действие Заменить создаст его);
- Обновить — удаление и повторное создание свойства в INI-файле (аналогично действию Заменить);
Путь к файлу — путь к INI-файлу с точки зрения клиента (путь не должен включать кавычки). Если файл и родительские папки не существуют, они будут созданы;
Имя секции — имя раздела в файле, свойство которого нужно настроить или удалить. Чтобы удалить INI-файл целиком, следует оставить это поле пустым;
Имя свойства — имя свойства, которое нужно настроить или удалить. Чтобы удалить целиком раздел файла или весь файл, следует оставить это поле пустым;
Значение свойства — значение свойства. Значения могут содержать символы кавычек, которые, однако, при чтении значений приложением или операционной системой обычно удаляются. Все значения воспринимаются как текст. Если данное поле оставлено пустым, свойству присваивается пустое значение, что воспринимается как отсутствие свойства. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить.

Политики управления INI-файлами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Все настройки политики управления INI-файлами хранятся в файлах:

{GUID GPT}/Machine/Preferences/Inifiles/Inifiles.xml
{GUID GPT}/User/Preferences/Inifiles/Inifiles.xml

Пример файла Inifiles.xml:

<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<IniFiles clsid="{694C651A-08F2-47fa-A427-34C4F62BA207}">
  <Ini changed="2022-11-21 09:13:44"
        clsid="{EEFACE84-D3D8-4680-8D4B-BF103E759448}"
        image="3"
        name="version.ini"
        status="version.ini"
        uid="{ADAA9BCF-C2EA-4004-980F-CEDA823E3B91}"
        bypassErrors="1">
    <Properties
        path="C:\tmp\version.ini"
        section=""
        value=""
        property="BP"
        action="D"/>
  </Ini>
</IniFiles>

⁠10.5.4. Управление переменными среды

Групповая политика Управление переменными среды позволяет централизованно для компьютеров или пользователей:

создать постоянные пользовательские или системные переменные среды;
удалить переменные среды;
изменить переменные среды, например:
- изменить приглашение командной строки (системная переменная PROMPT для Windows или PS1 для Linux (BASH));
- изменить расположение папки временных файлов (системная переменная TEMP для Windows или TMPDIR для Linux);
- заменить значение всей переменной PATH;
- добавить сегменты в переменную PATH (разделенные точкой с запятой для Windows или двоеточием для Linux);
- удалить сегменты из переменной PATH.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Окружение. В контекстном меню свободной области выбрать пункт Новый → Переменные окружения

GPUI. Создание новой политики «Переменные окружения»

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Переменные окружения»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для переменной среды:
- Создать — создание новой переменной среды (если переменная среды с таким именем уже есть, например, создана локально, то её значение изменено не будет);
- Удалить — удаление переменной среды;
- Заменить — удаление и повторное создание переменной среды (если переменная среды с таким именем не существует, то это действие создаёт новую переменную среды);
- Обновить — изменение параметров существующей переменной среды. Если переменная среды с таким именем не существует, то это действие создает новую переменную среды (фактически это действие полностью аналогично действию Заменить). Применение этого действия к сегменту переменной PATH не имеет практического эффекта; в этом сегменте возможно только изменение регистра текста;
Пользовательская переменная:
- параметр для переменной среды в разделе Конфигурация пользователя — влияние переменной среды будет для каждого пользователя независимым. Переменная среды хранится в разделе реестра HKEY_CURRENT_USER;
- параметр для переменной среды в разделе Конфигурация компьютера — переменная среды будет влиять только на пользователя компьютера по умолчанию;
Системная переменная — переменная среды будет влиять на всех пользователей компьютера. Переменная среды будет храниться в реестре в разделе HKEY_LOCAL_MACHINE;
Имя — имя переменной среды, к которой применяется действие. Чтобы выбрать переменную PATH, следует оставить это поле пустым;
Значение — значение переменной среды. В это поле можно вводить переменные;
PATH — действие будет применяться к переменной PATH: можно создать/заменить значение переменной PATH или добавить/удалить сегмент значения переменной PATH. В поле Имя будет отмечено значение «PATH» и оно не будет доступно для редактирования. Эта опция доступна только в том случае, если выбран параметр Системная переменная;
Значение — значение переменной среды. В это поле можно вводить переменные;

Все настройки политики управления переменными среды хранятся в файлах:

{GUID GPT}/Machine/Preferences/EnvironmentVariables/EnvironmentVariables.xml
{GUID GPT}/User/Preferences/EnvironmentVariables/EnvironmentVariables.xml

Пример файла EnvironmentVariables.xml:

<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<EnvironmentVariables clsid="{BF141A63-327B-438a-B9BF-2C188F13B7AD}">
  <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}"
        name="VAR"
        status="VAR = value_1"
        image="0"
        changed="2020-06-05 12:16:20"
        uid="{6738058D-5455-4D9A-9B84-78E87DDD18D7}"
        desc="environment variable example"
        bypassErrors="1">
    <Properties
        action="C"
        name="VAR"
        value="value_1"
        user="1"
        partial="0"/>
  </EnvironmentVariable>
  <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}"
        name="PATH"
        status="PATH = value_2"
        image="2"
        changed="2020-06-05 12:16:48"
        uid="{15E854D6-C338-4AD2-BF8D-72292B364BA3}">
    <Properties
        action="U"
        name="PATH"
        value="value_2"
        user="0"
        partial="1"/>
  </EnvironmentVariable>
</EnvironmentVariables>

Примечание

Для того чтобы политики применились (под доменным пользователем), необходимо перелогиниться.

Проверить наличие переменных окружения можно, выполнив команду:

$ env |grep имя_переменной

Просмотреть все переменные, назначенные с помощью групповой политики, можно в файле /etc/gpupdate/environment:

TEMP DEFAULT="C:\tmp"
Var DEFAULT="Value1"
HTTPS_PROXY DEFAULT="https://10.0.66.52:3128"

⁠10.5.5. Управление файлами

Групповая политика Файлы позволяет проводить операции с файлами: копировать файлы в нужное расположение, удалять, заменять, обновлять атрибуты файлов.

Для компьютеров или пользователей эта политика предоставляет возможность:

копировать файл (или несколько файлов из одного каталога) в новое место, а затем настроить атрибуты этих файлов;
удалить файл (или несколько файлов в одном каталоге;
удалить файл (или несколько файлов в одном каталоге) и заменить его копией файла из исходного каталога;
изменить атрибуты файла (или нескольких файлов в одном каталоге);
изменить атрибуты, заменить или удалить все файлы с определённым расширением в одном каталоге;
изменить атрибуты, заменить или удалить все файлы в определённом каталоге.

Примечание

В групповой политике Файлы нет встроенной возможности скопировать целиком каталог со всем содержимым. Вместо этого можно использовать политику Папки, которая позволяет создавать каталоги на компьютере, а для копирования файлов использовать групповую политику Файлы.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Файлы. В контекстном меню свободной области выбрать пункт Новый → Файл

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Файлы»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для файла(ов):
- Создать — копирование файла (или нескольких файлов из одного каталога) из исходного местоположения в конечное, если файл еще не существует в местоположении назначения, и настройка атрибутов этих файлов;
- Удалить — удаление файла (или нескольких файлов в одной папке);
- Заменить — удаление файла (или нескольких файлов в одной папке), замена его другим файлом и настройка атрибутов этих файлов. Конечным результатом действия Заменить будет перезапись файлов в местоположении назначения. Если файл не существует в месте назначения, действие Заменить копирует его из исходного местоположения в место назначения;
- Обновить — изменение параметров существующего файла (или нескольких файлов в одной папке). Это действие отличается от действия Заменить тем, что только обновляет атрибуты файла, определенные в элементе предпочтений. Все остальные атрибуты файла не изменяются. Если файл не существует, действие Обновить копирует его из исходного местоположения в место назначения;
Источник файла(ов) — местоположение (с точки зрения клиента), из которого требуется скопировать исходные файлы. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Это поле может содержать переменные. Поле может содержать подстановочные знаки одного (?) или нескольких (*) символов, позволяя копировать или изменять несколько файлов (только для работы с файлами в ОС Windows). Поле недоступно для действия Удалить;
Примечание
В настоящее время в ОС Альт можно использовать подстановочный знак (*) только для копирования всех файлов из папки:
Место назначения файлов — местоположение папки (с точки зрения клиента), в которую требуется скопировать файлы, или местоположение файлов, которые требуется изменить. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Родительские папки создаются по мере необходимости. Необходимо включить имя файла, которое затем можно будет изменить, указав другое имя в поле Исходные файлы. Это поле может содержать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить, а поле Источник файла(ов) не содержит подстановочные знаки;
Папка назначения — место назначения копирования файла или местоположение файла (с точки зрения клиента), который требуется изменить. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Родительские папки создаются по мере необходимости. Это поле может содержать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить, а поле Источник файла(ов) включает подстановочные знаки;
Удалить файл(ы) — путь к файлу (с точки зрения клиента), который требуется удалить. Чтобы удалить несколько файлов из одной папки необходимо включить в имя файла подстановочные знаки одного (?) или нескольких (*) символов (только для удаления файлов в ОС Windows). Этот параметр доступен, только если выбрано действие Удалить:
Примечание
В настоящее время в ОС Альт можно использовать подстановочный знак (*) только для копирования всех файлов из папки:
Подавление ошибок при действиях с отдельными файлами — разрешить передачу одного или нескольких файлов даже в случае сбоя передачи отдельных файлов. Не отображаются только ошибки, связанные с попыткой замены, удаления или настройки атрибутов файла. Такие ошибки могут быть вызваны тем, что файл используется, был отказ в доступе или исходный файл не найден. Если этот параметр включен, такие ошибки могут быть обнаружены только в файле трассировки. Этот параметр отличается от параметра пропуска ошибок предпочтений по умолчанию, который можно изменить на вкладке Общее;
Атрибуты — атрибуты файловой системы для папки (недоступны для действия Удалить):
- Только для чтения;
- Скрытый;
- Архивный;
- Исполняемый.

Примечание

Атрибуты Архивный, Скрытый и Только для чтения применимы только для Windows систем.

Политики управления файлами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Опционально можно включить политику Настройка механизма копирования файлов. Данная политика конфигурирует механизм «копирования файлов», формируя список суффиксов (расширений), идентифицирующих файл как исполняемый, (например, .sh) и список целевых путей копирования.

Для включения политики Настройка механизма копирования файлов следует в разделе Компьютер → Административные шаблоны → Система ALT → Групповые политики выбрать пункт Настройка механизма копирования файлов. В открывшемся окне установить отметку в поле Включено:

GPUI. Диалоговое окно «Настройка механизма копирования файлов»

Для задания списка суффиксов (расширений), идентифицирующих файл как исполняемый, в поле Список суффиксов файлов нажать кнопку Редактировать и в открывшемся окне ввести список суффиксов, по одному на каждой строке:

Для задания списка целевых путей копирования в поле Список путей копирования нажать кнопку Редактировать и в открывшемся окне ввести список путей, по одному на каждой строке:

В результате применения данной политики при копировании файлов с указанными суффиксами в назначенные пути, этим файлам будет задано право на выполнение (chmod +x).

Все настройки политики управления файлами хранятся в файлах:

{GUID GPT}/Machine/Preferences/Files/Files.xml
{GUID GPT}/User/Preferences/Files/Files.xml

Пример файла Files.xml:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Files clsid="{215B2E53-57CE-475c-80FE-9EEC14635851}">
  <File bypassErrors="0"
        changed="2023-08-20 13:18:25"
        clsid="{50BE44C8-567A-4ed1-B1D0-9234FE1F38AF}"
        desc="Файл с сервера"
        image="0"
        name="Задание.txt"
        removePolicy="0"
        status=""
        uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}"
        userContext="0">
    <Properties
        action="C"
        archive="0"
        executable="0"
        fromPath="\\TEST.ALT\sysvol\test.alt\newfile"
        hidden="0"
        readOnly="0"
        suppress="0"
        targetPath="%DesktopDir%\New\Задание.txt"/>
  </File>
</Files>

⁠10.5.6. Управление общими каталогами

Групповая политика Управление общими каталогами позволяет:

создать общие ресурсы и настроить их свойства;
изменить путь к папке общего ресурса путём замены ресурса;
удалить (вывести из общего доступа) или изменить лимит пользователей, функцию перечисления на основе доступа и комментарий для следующих объектов:
- общий ресурс;
- все общие ресурсы, кроме скрытых;
- все скрытые ресурсы, кроме административных общих ресурсов с присвоением буквы диска;
- все административные общие ресурсы с присвоением буквы диска;
- все общие ресурсы.

Примечание

Для создания общего сетевого ресурса, папка, используемая при их создании, должна существовать на всех компьютерах, к которым применяется объект групповой политики. Вместе с удалением сетевого ресурса удаляется ссылка на папку, но не сама папка и её содержимое.

Примечание

Для поддержки общих сетевых ресурсов с помощью политик на клиенте должны быть выполнены следующие условия:

установлен пакет samba-usershares;
control smb-conf-usershares установлен в enabled;
в файле /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf (include = /etc/samba/usershares.conf).

Примечание

Для создания или удаления папок с помощью групповой политики можно использовать предпочтение Папки.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Сетевые папки. В контекстном меню свободной области выбрать пункт Новый → Сетевая папка

GPUI. Создание новой политики «Сетевая папка»

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Сетевая папка»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для общего сетевого ресурса:
- Создать — создание нового сетевого ресурса;
- Удалить — удаление общего ресурса;
- Заменить — удаление и повторное создание сетевого ресурса. Суммарный итог действия Заменить — переопределение всех существующих параметров, связанных с общим ресурсом. Если сетевого ресурса не существует, то это действие создаёт новый сетевой ресурс;
- Обновить — изменение параметров существующего сетевого ресурса. Если сетевого ресурса не существует, то это действие создаёт сетевой ресурс Это действие отличается от Заменить тем, что не удаляет сетевой ресурс, а только обновляет параметры сетевого ресурса, определённые в элементе настройки;
Имя общего сетевого ресурса — имя общего ресурса. В этом поле можно указывать переменные;
Путь к каталогу — путь к существующей папке, на которую будет указывать общий ресурс. В этом поле можно указывать переменные;
Комментарий — текст для отображения в поле Примечание общего ресурса. Если выбрано действие Обновить, общий ресурс уже существует и данное поле оставлено пустым, существующий комментарий будет оставлен без изменений. В этом поле можно указывать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить;
Модификаторы действий — изменять и удалять общие ресурсы конкретного типа можно не только индивидуально, но и все вместе. Эти параметры доступны, если выбранное действие — Обновить или Удалить:
- Обновление всех регулярных общих сетевых ресурсов — изменение или удаление всех общих ресурсов, которые не являются скрытыми (с именами, оканчивающимися на $) или специальными (SYSVOL или NETLOGON);
- Обновление всех скрытых не административных общих сетевых ресурсов — изменение или удаление всех скрытых общих ресурсов, за исключением административных общих ресурсов с буквенным обозначением дисков, ADMIN$, FAX$, IPC$ и PRINT$;
- Обновление всех административных дисков общих сетевых ресурсов — изменение или удаление всех административных общих ресурсов с буквенным обозначением дисков (в их именах после буквы диска следует $);
Лимит пользователей — настройка числа пользователей, которым можно одновременно подключаться к общему ресурсу:
- Без изменений — не изменять допустимое число пользователей при обновлении общего ресурса (если этот параметр выбран при создании или замене общего ресурса, число пользователей будет настроено на максимально допустимое);
- Максимально допустимое — неограниченное число пользователей;
- Разрешение на количество пользователей — ограничить число пользователей (следует ввести допустимый максимум пользователей);
Перечисление на основе доступа — настройка видимости папок общего ресурса:
- Без изменений — не изменять видимость папок общего ресурса при обновлении общего ресурса;
- Включить — сделать папки общего ресурса видимыми только при наличии доступа на чтение;
- Отключить — сделать папки общего ресурса видимыми для всех пользователей.

Политики управления общими каталогами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Все настройки политики управления общими каталогами хранятся в файлах:

{GUID GPT}/Machine/Preferences/NetworkShares/NetworkShares.xml
{GUID GPT}/User/Preferences/NetworkShares/NetworkShares.xml

Пример файла NetworkShares.xml:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<NetworkShareSettings clsid="{520870D8-A6E7-47e8-A8D8-E6A4E76EAEC2}">
  <NetShare changed="2022-11-21 13:03:10"
        clsid="{2888C5E7-94FC-4739-90AA-2C1536D68BC0}"
        image="0"
        name="share2"
        status=""
        uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}"
        userContext="0"
        removePolicy="0">
    <Properties
        action="C"
        name="share2"
        path="/var/share2"
        comment=""
        limitUsers="NO_CHANGE"
        abe="NO_CHANGE"/>
  </NetShare>
</NetworkShareSettings>

⁠10.5.7. Подключение сетевых дисков

Групповая политика Подключение сетевых дисков позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств.

Точки монтирования для отображения общих ресурсов на машинах Альт:

/media/gpupdate/drives.system — для системных ресурсов;
/media/gpupdate/.drives.system — для скрытых системных ресурсов;
/run/media/USERNAME/drives — для общих ресурсов пользователя;
/run/media/USERNAME/.drives — для скрытых общих ресурсов пользователя.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Сетевые диски. В контекстном меню свободной области выбрать пункт Новый → Сетевой диск

GPUI. Создание новой политики «Сетевой диск»

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Сетевой диск»

Опции доступные на вкладке Основные настройки:

Действие — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
- Создать — создание нового сетевого диска;
- Удалить — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жёсткий диск, CD-Drive);
- Заменить — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жёсткий диск, CD-Drive);
- Обновить — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от Заменить тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы);
Путь — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диск (определяемый по букве диска), следует оставить это поле пустым;
Переподключиться — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему;
Название — пользовательское имя для диска (можно оставить это поле пустым);
Примечание
Если в названии есть кириллица или пробелы, то название необходимо заключить в двойные кавычки.
Имя диска — буква, на которую будет назначен диск:
- чтобы назначить сетевому диску первую доступную букву диска, следует выбрать Первый доступный, начиная с, а затем выбрать букву диска, с которой начинать проверку доступности букв;
- чтобы назначить сетевому диску определённую букву, следует выбрать Использовать, а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
- чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать Использовать, а затем выбрать букву диска;
- чтобы удалить все сопоставления дисков начиная с определённой буквы, следует выбрать Удалить, начиная с, а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии Удалить;
- чтобы удалить определенный сопоставленный диск, следует выбрать Удалить, а затем выбрать букву диска. Данный параметр доступен только при выбранном действии Удалить;
Примечание
Пункт Имя диска совместно с Первый доступный, начиная с рекомендуется использовать для дисков, которые должны подключаться в ОС Windows. Так как если будет создано несколько дисков с данными параметрами, то в ОС «Альт» будет отображаться только один диск (последний).
Параметры Скрыть/Показать — настройка отображения сопоставленного диска (параметры Скрыть/Показать диск имеют приоритет над параметрами Скрыть/Показать все диски):
- Без изменений — оставить отображение сопоставленного диска неизменным;
- Скрыть диск — скрыть диск в окне файлового менеджера;
- Показать диск — отобразить диск в окне файлового менеджера.

Политики подключения сетевых дисков относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы). Для этого следует включить политики монтирования Отображение сетевых дисков пользователя в домашнем каталоге и/или Отображение сетевых дисков машины в домашнем каталоге. Политики монтирования находятся в разделе Пользователь → Административные шаблоны → Система ALT → Монтирование:

Для включения политики монтирования необходимо щёлкнуть на нужной политике, в открывшемся окне установить отметку в поле Включено и нажать кнопку ОК:

GPUI. Политика «Отображение сетевых дисков пользователя в домашнем каталоге»

После обновления политик в сессии пользователя будет подключен сетевой диск, доступный из файлового менеджера и других программ:

Сетевые диски в файловом менеджере Thunar

Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки:

~/net.drives.system — ссылка на /media/gpupdate/drives.system;
~/.net.drives.system — ссылка на /media/gpupdate/.drives.system;
~/net.drives — ссылка на /run/media/USERNAME/drives;
~/.net.drives — ссылка на /run/media/USERNAME/.drives;

Ссылки на сетевые диски в файловом менеджере Thunar

Все настройки политики подключения сетевого диска хранятся в файлах:

{GUID GPT}/Machine/Preferences/Drives/Drives.xml
{GUID GPT}/User/Preferences/Drives/Drives.xml

В одном GPO возможно задать подключение более одного сетевого диска. Пример файла Drives.xml с двумя сетевыми дисками:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
  <Drive bypassErrors="0"
        changed="2022-11-29 16:28:32"
        clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
        desc=""
        image="2"
        name="\\dc\Free"
        removePolicy="0"
        status="O:"
        uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}"
        userContext="0">
    <Properties
        action="U"
        allDrives="SHOW"
        cpassword=""
        label=""
        letter="O"
        path="\\dc\Free"
        persistent="1"
        thisDrive="SHOW"
        useLetter="1"
        userName=""/>
  </Drive>
  <Drive bypassErrors="0"
        changed="2022-11-29 14:34:53"
        clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
        desc=""
        image="2"
        name="I:"
        status="I:"
        uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}"
        userContext="0">
    <Properties
        action="U"
        allDrives="SHOW"
        cpassword=""
        label=""
        letter="I"
        path="\\dc.test.alt\sysvol"
        persistent="1"
        thisDrive="SHOW"
        useLetter="0"
        userName=""/>
  </Drive>
</Drives>

⁠10.5.8. Настройка реестра

Групповая политика Настройка реестра позволяет управлять настройками реестра Windows.

Для настройки этой политики следует перейти в Компьютер/Пользователь → Настройки → Настройки системы → Реестр. В контекстном меню свободной области выбрать пункт Новый → Значение реестра

GPUI. Создание новой политики «Настройка реестра»

В диалоговом окне Диалог настроек задать настройки политики:

GPUI. Диалоговое окно настройки политики «Настройка реестра»

Опции доступные на вкладке Основные настройки:

Действие — действие, которое будет выполняться для элемента реестра:
- Создать — создание нового значения или раздела реестра;
- Удалить — удаление значения или раздела реестра и всех его значений и подразделов;
- Заменить — удаление и повторное создание значения или раздела реестра. Если целевым объектом является значение реестра, то конечным результатом действия будет перезапись всех существующих параметров, сопоставленных данному значению реестра. Если целевым объектом является раздел реестра, то конечным результатом будет удаление всех значений и подразделов реестра, и останется только имя значения по умолчанию без данных. Если значение или раздел реестра не существует, то действие Заменить приведет к созданию нового значения или раздела;
- Обновить — изменение параметров существующего значения или раздела реестра. Это действие отличается от Заменить тем, что оно обновляет только параметры, определенные в элементе настройки. Все остальные параметры значения или раздела реестра остаются прежними. Если значение или раздел реестра не существует, то действие Обновить приведет к созданию нового значения или раздела;
Улей — улей (куст) для раздела реестра:
- HKEY_CLASSES_ROOT — информация о зарегистрированных в Windows типах файлов (это псевдоним для HKEY_LOCAL_MACHINE\Software\Classes);
- HKEY_CURRENT_USER — настройки пользователя, вошедшего в Windows (это псевдоним для HKEY_USERS\куст текущего пользователя). HKEY_USERS\.Default используется в том случае, когда HKEY_CURRENT_USER настроен в разделе конфигурации компьютера;
- HKEY_LOCAL_MACHINE — настройки, относящиеся к компьютеру (параметр по умолчанию для политики компьютера). Эти параметры применяются ко всем пользователям компьютера;
- HKEY_USERS — настройки для всех пользователей (параметр по умолчанию для политики пользователя). Эти параметры применяются к отдельным пользователям;
- HKEY_CURRENT_CONFIG — сведения о настройках оборудования (это псевдоним для HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current);
Путь к ключу — путь к ключу. Не нужно указывать улей и вводить косую черту до или после пути. Это поле воспринимает переменные процесса настройки;
Имя значения — для настройки значения следует установить, либо отметку в пункте По умолчанию, чтобы принять значение раздела по умолчанию, либо ввести имя настраиваемого значения. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные;
Тип значения — тип значения. Данный параметр доступен только при выбранном действии Создать, Заменить или Обновить и введённом значении Имя значения;
Данные значения — значения реестра. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные. Данный параметр доступен только при выбранном действии Создать, Заменить или Обновить и введенном значении Имя значения.

Все настройки политики управления настройками реестра Windows хранятся в файлах:

{GUID GPT}/Machine/Preferences/Registry/Registry.xml
{GUID GPT}/User/Preferences/Registry/Registry.xml

Пример файла Registry.xml:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<RegistrySettings clsid="{A3CCFC41-DFDB-43a5-8D26-0FE8B954DA51}">
  <Registry changed="2022-11-21 18:36:20"
        clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}"
        image="12"
        name="failed_count"
        status="failed_count"
        uid="{D5855321-D2BA-4595-BD28-4DF452BFF65F}"
        bypassErrors="1">
    <Properties
        action="U"
        displayDecimal="0"
        hive="HKEY_CURRENT_USER"
        key="Software\Google\Chrome\BLBeacon"
        name="failed_count"
        type="REG_DWORD"
        value="00000001">
        <SubProp id="" mask="0" value="0"/">
    </Properties>
  </Registry>
</RegistrySettings>

⁠10.5.9. Указание прокси-сервера

C помощью групповых политик можно указать прокси-сервер.

Примечание

Если прокси-сервер был настроен в модуле Прокси-сервер ЦУС, предварительно необходимо удалить эти настройки и в файле /etc/sysconfig/network удалить строки:

HTTP_PROXY=
HTTPS_PROXY=
FTP_PROXY=
NO_PROXY=

Для настройки этой политики используется политика управления переменными среды (см. раздел Управление переменными среды).

Настройка политики для указания прокси-сервера:

Настроить групповую политику управления переменными окружения:
- в поле Действие выбрать пункт Заменить;
- в поле Имя указать имя переменной: HTTPS_PROXY;
- в поле Значение указать адрес и порт прокси-сервера, и, при необходимости, аутентификационные данные в формате http://username:password@address:port
Аналогичным способом создать настройки окружения для переменных HTTP_PROXY и FTP_PROXY (в поле Имя указывать соответственно HTTP_PROXY, FTP_PROXY).

Проверка применения политики:

Применить групповые политики на целевом компьютере, выполнив команду:
```
$ gpupdate
```
Повторно авторизоваться на целевом компьютере.

Проверить наличие переменных окружения, выполнив команду:

$ env |grep PROXY
HTTP_PROXY=http://10.0.66.52:3128
HTTPS_PROXY=http://10.0.66.52:3128
FTP_PROXY=http://10.0.66.52:3128

Запустить веб-браузер, убедиться, что сайты открываются через прокси-сервер.

⁠10.5.10. Настройка периодичности запроса конфигураций

Для изменения периодичности запроса конфигураций можно создать файлы:

/etc/systemd/user/gpupdate-user.timer.d/override.conf — изменение пользовательского таймера;
/etc/systemd/system/gpupdate.timer.d/override.conf — изменение системного таймера.

С содержимым:

[Timer]
OnUnitActiveSec = 10min

где 10min — периодичность запроса конфигураций.

Периодичность запроса конфигураций (запроса gpupdate) можно установить с помощью групповых политик.

Для настройки этой политики используются политика управления каталогами (см. раздел Управление каталогами) и политика управления INI-файлами (см. раздел Управление INI-файлами).

Пример настройки политики задания периодичности запроса конфигураций:

Настроить групповую политику создания каталога:
- в поле Действие выбрать пункт Создать;
- в поле Путь указать /etc/systemd/system/gpupdate.timer.d (или /etc/systemd/system/gpupdate-user.timer.d для пользовательского таймера).
Настроить групповую политику создания INI-файла:
- в поле Действие выбрать пункт Обновить;
- в поле Путь к файлу указать /etc/systemd/system/gpupdate.timer.d/override.conf (или /etc/systemd/system/gpupdate-user.timer.d/override.conf для пользовательского таймера).
- в поле Имя секции указать Timer;
- в поле Имя свойства указать OnUnitActiveSec;
- в поле Значение свойства указать периодичность запроса, в данном примере 10 минут: 10min.

Проверка применения политики:

Применить групповые политики на целевом компьютере, выполнив команду:
```
$ gpupdate
```
Выполнить команду (или перезагрузить компьютер):
```
# systemctl daemon-reload
```

Убедиться, что политика применилась, выполнив команды

$ cat /etc/systemd/system/gpupdate.timer.d/override.conf
[Timer]
OnUnitActiveSec = 10min

$ systemctl status gpupdate.timer
…
Trigger: Thu 2023-06-29 20:01:06 +04; 3min left

Примечание

Применить пользовательские настройки можно, выполнив команду:

$ systemctl --user daemon-reload

Примечание

Файл override.conf подменяет настройки системной библиотеки в файле /lib/systemd/system/gpupdate.timer только если значение секции Timer в файле override.conf меньше, чем значение аналогичной секции в gpupdate.timer.

⁠10.6. Управление logon-скриптами

Групповые политики позволяют запускать сценарии запуска и завершения работы компьютера, входа и выхода из системы пользователя. Возможно связать один или несколько файлов сценариев (scripts) с четырьмя инициируемыми событиями:

Для машины:
- Запуск компьютера (Startup)
- Выключение компьютера/Завершение работы (Shutdown)
Для пользователя:
- Вход пользователя (Logon)
- Выход пользователя (Logoff)

Система выполняет сценарии на языках, которые поддерживает клиентский компьютер. В среде Windows эту задачу выполняет Windows Script Host (WSH), который поддерживает языки сценариев, включая bat, cmd, VBScript и Jscript. В случае, если указано более одного сценария, они будут выполняться согласно перечню в списке.

Примечание

В сценариях, запускаемых на машинах на базе ОС ALT, необходимо в первой строке указывать шебанг, например, #!/usr/bin/env bash

Примечание

Если сценарии (scripts) хранятся в SYSVOL, они реплицируются между контроллерами домена. SYSVOL доступен всем членам домена, что гарантирует запуск сценария.

⁠10.6.1. Сценарии для входа/выхода пользователя

Для удобства можно скопировать нужные сценарии в каталог User\Scripts\Logon (например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\User\Scripts\Logon) или User\Scripts\Logoff соответствующей политики.

Для настройки политики следует перейти в Пользователь → Настройки системы → Скрипты. Щёлкнуть левой кнопкой мыши на политике Вход в систему или Выход из системы:

В диалоговом окне свойств политики нажать кнопку Добавить:

GPUI. Диалоговое окно свойств политики «Вход в систему»

В диалоговом окне Добавить скрипт в поле Имя скрипта ввести путь к сценарию, в поле Аргументы скрипта ввести необходимые параметры аналогично вводу этих параметров в командной строке. Нажать кнопку ОК.

Пример добавления сценария для ОС ALT:

GPUI. Диалоговое окно добавления сценария для ОС ALT

Примечание

Применение локальных скриптов реализовано в механизме gpupdate версии 0.9.11. В версиях ниже скрипты для ОС ALT должны находиться в GPT настраиваемого объекта групповой политики.

Пример добавления сценария для ОС Windows (можно указать локальный скрипт на компьютере клиента):

GPUI. Диалоговое окно добавления сценария для ОС Windows

При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх/вниз, следует выбрать его в списке и нажать кнопку Вверх/Вниз. Для того чтобы изменить параметры сценария, необходимо выбрать его в списке и нажать кнопку Изменить. Кнопка Удалить предназначена для удаления сценария из списка:

На вкладке Скрипты PowerShell можно добавить сценарии с расширением *.ps1.

⁠10.6.2. Сценарии для автозагрузки или завершения работы компьютера

Для удобства можно скопировать нужные сценарии в каталог Machine\Scripts\Startup (например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\Machine\Scripts\Startup) или Machine\Scripts\Shutdown соответствующей политики.

Для настройки политики следует перейти в Компьютер → Настройки системы → Скрипты. Щёлкнуть левой кнопкой мыши на политике Запуск или Завершение работы:

GPUI. Сценарий (запуск/завершение работы)

В диалоговом окне свойств политики нажать кнопку Добавить:

Пример добавления сценария для ОС ALT:

Примечание

Применение локальных скриптов реализовано в механизме gpupdate версии 0.9.11. В версиях ниже скрипты для ОС ALT должны находиться в GPT настраиваемого объекта групповой политики.

Пример добавления сценария для ОС Windows (можно указать локальный скрипт на компьютере клиента):

На вкладке Скрипты PowerShell можно добавить сценарии с расширением *.ps1.

⁠10.6.3. Включение экспериментальных групповых политик

Политики управления logon-скриптами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).

Включить/отключить механизм групповых политик управления logon-скриптами также можно, включив/отключив политики Модуль выполнения сценариев для компьютеров или Модуль выполнения сценариев для пользователей (Компьютер → Административные шаблоны → Система ALT → Групповые политики → Механизмы GPUpdate):

⁠10.6.4. Файлы настроек политики

Файлы сценариев входа и выхода пользователя (за исключением локальных) хранятся в каталогах: {GUID GPT}\User\Scripts\Logon и {GUID GPT}\User\Scripts\Logoff. Настройки политики для сценариев входа и выхода пользователя хранятся в файле {GUID GPT}\User\Scripts\scripts.ini. В файле scripts.ini перечисляются все скрипты, выполняемые в сценариях входа и выхода пользователя из системы. Сценарии входа начинаются с преамбулы [Logon], сценарии выхода начинаются с преамбулы [Logoff].

Пример файла scripts.ini:

[Logon]
0CmdLine=date.sh
0Parameters=test
1CmdLine=test.sh
1Parameters=new
[Logoff]
0CmdLine=touch.sh
0Parameters=
1CmdLine=Logoff.bat
1Parameters=1.txt
2CmdLine=C:\share\Logon.bat
2Parameters=

Файлы сценариев запуска и завершения работы компьютера (за исключением локальных) хранятся в каталогах: {GUID GPT}\Machine\Scripts\Shutdown и {GUID GPT}\Machine\Scripts\Startup. Настройки политики для сценариев входа и выхода пользователя хранятся в файле {GUID GPT}\User\Scripts\scripts.ini. В файле scripts.ini перечисляются все скрипты, выполняемые в сценариях запуска и завершения работы компьютера. Сценарии запуска компьютера начинаются с преамбулы [Startup], сценарии завершения работы начинаются с преамбулы [Shutdown].

Пример файла scripts.ini:

[Startup]
0CmdLine=hello.bat
0Parameters=
1CmdLine=notescript.vbs
1Parameters=
2CmdLine=notescript2.vbs
2Parameters=
3CmdLine=touch.bat
3Parameters=
[Shutdown]
0CmdLine=touch.bat
0Parameters=

Файл scripts.ini закодирован в формате UTF-16LE (little-endian).

⁠10.6.5. Диагностика проблем

См. раздел Диагностика проблем при работе с политикой скриптов.

⁠Часть III. Решение проблем

Прежде чем разбираться, почему групповые политики не применяются как ожидается, необходимо убедиться, что инфраструктура AD работает штатно. Работа ГП в домене зависит от корректности работы контроллеров домена и репликации между ними.

Следует держать структуру групповых политик как можно более простой и не создавать лишние политик без необходимости. Рекомендуется использовать единую схему именование политик. Имя ГП должно давать однозначное понимание того, для чего она нужна.

Содержание

11. Область действия и статус групповой политики

12. Наследование групповых политик

13. Порядок применения групповых политик

14. Замыкание групповой политики

15. Диагностика применения GPO на стороне клиента

15.1. Коды ошибок

16. Диагностика проблем при работе с политикой скриптов

⁠Глава 11. Область действия и статус групповой политики

В каждой ГП есть два независимых раздела с настройками:

Компьютер — параметры, применяемые к компьютеру;
Пользователь — параметры пользователей.

Если параметр политики настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями.

Примечание

Чтобы применить пользовательские настройки к компьютерам, нужно включить политику замыкания (см. Замыкание групповой политики).

Если ГП настраивает только параметры пользователя или только параметры компьютера, неиспользуемый раздел можно отключить. Это снизит трафик ГП и позволит уменьшить время обработки ГП на клиентах.

Статус групповой политики можно проверить в ADMC в свойствах подразделения на вкладке Групповая политика:

Изменить статус групповой политики можно, перейдя свойствах политики на вкладку Атрибуты:

Состояние объекта групповой политики указывается в значении атрибута flags: объект GPO включён (значение 0, все настройки политики применяются к целевым объектам AD), отключён раздел Конфигурация пользователя (значение 1, не применяются настройки пользовательских политик), отключён раздел Конфигурация компьютера (значение 2, не применяются настройки из параметров GPO компьютера), объект GPO полностью отключён (значение 3, все настройки политики не применяются).

⁠Глава 12. Наследование групповых политик

По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена.

Увидеть какие политики применяются к подразделению и местонахождение политики можно в ADMC при выборе подразделения на вкладке Наследуемые политики:

ADMC. Политики подразделения без блокирования наследования

Наследуемые политики также можно увидеть на вкладке Групповая политика свойств подразделения:

ADMC. Наследуемые политики в свойствах подразделения

Каждый объект групповой политики можно настроить на блокирование наследования политик более высокого уровня (см. Блокирование наследования). Таким образом, политика подразделения может блокировать параметры политик домена и сайта. Блокирование наследования предохраняет объекты групповой политики, связанные с доменами или подразделениями родительского уровня, от автоматического наследования на дочернем уровне.

Так как администратор домена может не согласится с тем, что администратор подразделения блокирует параметры политики домена, существует возможность запретить переопределение параметров с помощью отметки Принудительно.

Политики подразделения с блокированием наследования:

⁠Глава 13. Порядок применения групповых политик

Групповые политики обрабатываются в следующем порядке:

объект локальной групповой политики;
объекты групповой политики, связанные с доменом (в рамках возможностей и ограничений поддержки леса доменов в Samba, как наборе клиентских компонент);
объекты групповой политики, связанные с OU: сначала обрабатываются объекты групповой политики связанные с OU, находящейся на самом высоком уровне в иерархии Active Directory, затем объекты групповой политики, связанные с дочерним подразделением и т. д. Последними обрабатываются объекты групповой политики, связанные с OU, в которой находится пользователь или компьютер.

Последние политики имеют наивысший приоритет. Т.е. если параметр включен на уровне политики домена, но на целевом OU данный параметр отключается другой политикой — это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).

Если на OU назначено несколько групповых политик, то они обрабатываются в том порядке, в котором были назначены. Политики обрабатываются в обратном порядке (политика с номером 1 будет обработана последней):

ADMC. Порядок обработки групповых политик

При необходимости этот порядок можно изменить, перетащив политику мышью или выбрав в контекстном меню политики пункт Переместить вверх или Переместить вниз:

ADMC. Изменение порядка групповых политик

При использовании параметра Принудительно у ГП выигрывает та политика, которая находится выше в иерархии домена (например, при включении Принудительно у политики Default Domain Policy, она выигрывает у всех других ГП).

У каждого объекта ГП, который привязан к организационному контейнеру AD можно включить или отключить связь (применение политики). Для этого нужно выбрать опцию Удалить связь/Добавить связь в меню политики. При отключении связи политика перестает применяться к клиентам, но ссылка на объект ГП не удаляется из иерархии. Активировать данную связь можно в любой момент.

⁠Глава 14. Замыкание групповой политики

По умолчанию групповая политика применяется к пользователю или компьютеру способом, который зависит от того, где и пользователь, и объекты компьютера находятся в Active Directory. В некоторых случаях может потребоваться применить к пользователям политику в зависимости от расположения объекта компьютера.

На компьютерах, расположенных в организационном подразделении (Organization Unit, OU), машинные объекты групповой политики применяются по порядку во время запуска компьютера. Пользовательские объекты групповой политики, пользователей из OU, применяются во время входа, независимо от того, на каком компьютере пользователь входит в систему.

Если пользовательская учётная запись находится в OU, на которое распространяется действие пользовательской политики, то применяться эти настройки будут при входе пользователя в систему независимо от того, в какое OU входит компьютер. Такое поведение может быть нежелательным, например, вполне разумно иметь одни пользовательские настройки для сервера, другие — для локального компьютера.

Политику замыкания можно использовать для применения пользовательских групповых политик в зависимости от того, на каком компьютере пользователь входит в систему.

Эта политика может принимать два значения:

режим «Слияние» (Merge) — при входе пользователя в систему к компьютеру будут применяться политики основанные на расположении пользователя, а затем политики, привязанные к компьютеру. При возникновении конфликтов между пользовательскими и машинными политиками, машинные политики будут иметь более высокий приоритет;
режим «Замена» (Replace) — к пользователю будут применяться только политики, назначенные на OU, в котором содержится компьютер, на который пользователь выполнил вход.

В качестве примера рассмотрим домен с двумя организационными подразделениями — OU1 и OU2/ В первом находятся объекты учётных записей пользователей и их локальные компьютеры, во втором — объекты серверов.

Если пользователь осуществляет вход в систему на локальном компьютере, то он оказывается под действием политики GP1 локального компьютера (которая была применена при его включении) и политики GP2 пользователя (примененной при входе в систему). Если пользователь осуществляет вход на сервер, то будут действовать политика сервера GP3 и политика пользователя GP2.

Если же включить политику замыкания (см. раздел Политика замыкания), то при входе на сервер будут действовать политика сервера GP3 и политика пользователя GP2+GP4 (в режиме «Слияние») или только GP4 (в режиме «Замена»). При возникновении любых конфликтов настроек между политиками OU пользователя и OU сервера в режиме «Слияние» политика в OU сервера будет иметь более высокий приоритет.

⁠Глава 15. Диагностика применения GPO на стороне клиента

15.1. Коды ошибок

Для диагностики применения групповых политик на стороне клиента используются утилиты gpoa (на машинах Альт), gpresult (на машинах Windows).

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команды:

получить и применить настройки для текущей машины:
```
# gpoa --loglevel 0
```
получить и применить настройки для пользователя:
```
# gpoa --loglevel 0 <имя_пользователя>
```

⁠15.1. Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

⁠

Таблица 15.1. Коды ошибок

Код	Описание	Решение
E00001	Недостаточно прав для запуска программы `gpupdate`	Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора
E00002	Программа `gpupdate` не будет запущена из-за предыдущих ошибок
E00003	Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне	Возможно, это ошибка в коде и необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00004	Ошибка во время работы фронтенда	Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться ошибкой в коде
E00005	Не получилось запустить appliers политик для обновления групповых политик компьютера	Проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
E00006	Показать список доступных бэкэндов	Проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
E00007	Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba	Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен
E00008	Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик	Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator.
E00009	Произошла ошибка при попытке запуска `adp`	Необходимо обратиться к руководству по устранению неполадок проекта ADP
E00010	Произошёл сбой при попытке получить имя домена Active Directory	Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию
E00011	Во время работы applier с пониженным уровнем привилегий произошла неполадка	Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно
E00012	Высокоуровневая ошибка инициализации бэкэнда	Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba — удостовериться, что машина введена в домен
E00013	У пользователя, запустившего программу, недостаточно прав для обновления настроек машины	Запустить программу с правами администратора
E00014	Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена	Проверить конфигурацию Kerberos в файле `/etc/krb5.conf`. Попытаться получить билет Kerberos вручную
E00015	Запрос на получение имени домена Active Directory через LDAP не прошёл	Проверить возможность получения Kerberos ticket для машины. Проверить работу DNS и возможность обратиться к доменному LDAP
E00016	Утилита `wbinfo` не отдаёт SID для пользователя, для которого выполняется обновление групповых политик	Проверить целостность программы `wbinfo`. Проверить, что машина введена в домен.
E00017	Невозможно получить список групповых политик для репликации на используемое имя пользователя	Следует удостовериться, что пользователь для которого происходит попытка получить список групповых политик, существует в домене. Необходимо также удостовериться, что проблема не вызвана misconfiguration домена
E00018	Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR	Необходимо удостовериться, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует
E00019	Произошла ошибка во время работы applier для пользователя	Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00020	Произошла ошибка во время работы applier для пользователя с пониженными привилегиями	Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00021	Не был получен ответ от D-Bus при попытке запустить `gpoa` для текущего пользователя	Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
E00022	Не был получен ответ от D-Bus при попытке запустить `gpoa` для машины	Необходимо удостовериться, что D-Bus работает корректно и демон oddjobd запущен
E00023	Не был получен ответ от D-Bus при попытке запустить `gpoa` для пользователя	Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
E00024	Ошибка во время работы машинного applier	Необходимо проверить настройки applier вручную, чтобы убедиться, что соответствующая часть ОС не поломана
E00025	Ошибка во время инициализации пользовательского applier	Необходимо проверить, что машина является частью домена и контроллер домена доступен. Следует удостовериться, что пользователь существует и что соответствующая часть ОС не поломана

⁠Глава 16. Диагностика проблем при работе с политикой скриптов

На контроллере домена:

проверить работоспособность загружаемого скрипта в дистрибутиве «Альт»;
убедиться, что кодировка файла со скриптом — UTF8, без BOM;
убедиться, что скрипт расположен в каталоге (GPT) применяемого объекта групповой политики (GPO);
убедиться, что включена групповая политика «Экспериментальные групповые политики» или политика «Управление logon-скриптами» (см. Включение экспериментальных групповых политик);
убедиться, что целевой компьютер, входит в подразделение (OU), к которому привязан объект групповой политики GPO.

На компьютере пользователя:

проверить версию gpupdate (политики скриптов выполняются с релиза 0.9.11-alt1);
убедиться, что механизм применения политик (gpupdate) запущен:
```
# gpupdate-setup status
```
убедиться, что служба скриптов запущена:
```
# systemctl status gpupdate-scripts-run.service
```
проверить содержимое каталога и права для загруженных скриптов:
```
# ls -Rl /var/cache/gpupdate_scripts_cache/
```
проверить состояние службы запуска скриптов пользователя (от пользователя):
```
$ systemctl --user status gpupdate-scripts-run-user.service
```
вывести журнал применения политик:
```
# gpoa --loglevel 0
```

Политика	Описание	Правило Polkitd
Ограничение возможности блокировки или разблокировки экрана активных сеансов	Политика ограничивает возможность блокировки или разблокировки экрана активных сеансов	org.freedesktop.login1.lock-sessions
Ограничение возможности выключения питания системы	Политика ограничивает возможность выключения питания системы	org.freedesktop.login1.power-off
Ограничение возможности выключения системы, когда приложение запрещает это действие	Политика ограничивает возможность выключения системы, когда приложение запрещает это действие	org.freedesktop.login1.power-off-ignore-inhibit
Ограничение возможности выключения системы, при наличии активных сеансов других пользователей	Политика ограничивает возможность выключения системы, при наличии активных сеансов других пользователей	org.freedesktop.login1.power-off-multiple-sessions
Ограничение возможности изменения сеанса виртуального терминала	Политика управляет ограничением возможности изменить сеанс виртуального терминала	org.freedesktop.login1.chvt
Ограничение возможности остановки системы	Политика ограничивает возможность остановки системы	org.freedesktop.login1.halt
Ограничение возможности остановки системы, когда приложение запрещает это действие	Политика ограничивает возможность остановки системы, пока приложение запрещает это действие	org.freedesktop.login1.halt-ignore-inhibit
Ограничение возможности остановки системы, при наличии активных сеансов других пользователей	Политика ограничивает возможность остановки системы, при наличии активных сеансов других пользователей	org.freedesktop.login1.halt-multiple-sessions
Ограничение возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)	Политика управляет ограничением возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)	org.freedesktop.login1.flush-devices
Ограничение возможности перевода системы в спящий режим	Политика ограничивает возможность перевода системы в спящий режим	org.freedesktop.login1.hibernate
Ограничение возможности перевода системы в спящий режим, пока приложение препятствует этому	Политика ограничивает возможность перевода системы в спящий режим, пока приложение препятствует этому	org.freedesktop.login1.hibernate-ignore-inhibit
Ограничение возможности перевода системы в спящий режим, при наличии активных сеансов других пользователей	Политика ограничивает возможность перевода системы в спящий режим, при наличии активных сеансов других пользователей	org.freedesktop.login1.hibernate-multiple-sessions
Ограничение возможности перезагрузки системы	Политика ограничивает возможность перезагрузки системы	org.freedesktop.login1.reboot
Ограничение возможности перезагрузки системы, когда приложение препятствует этому действию	Политика ограничивает возможность перезагрузки системы, когда приложение препятствует этому действию	org.freedesktop.login1.reboot-ignore-inhibit
Ограничение возможности перезагрузки системы, при наличии активных сеансов других пользователей	Политика ограничивает возможность перезагрузки системы, при наличии активных сеансов других пользователей	org.freedesktop.login1.reboot-multiple-sessions
Ограничение возможности приложениям блокировать выключение системы	Политика ограничивает возможность приложениям блокировать выключение системы	org.freedesktop.login1.inhibit-block-shutdown
Ограничение возможности приложениям запрещать автоматическое приостановление работы системы	Политика ограничивает возможность приложениям запрещать автоматическое приостановление работы системы	org.freedesktop.login1.inhibit-block-idle
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы	Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы	org.freedesktop.login1.inhibit-handle-hibernate-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)	Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)	org.freedesktop.login1.inhibit-handle-lid-switch
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы	Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы	org.freedesktop.login1.inhibit-handle-reboot-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы	Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы	org.freedesktop.login1.inhibit-handle-power-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы	Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы	org.freedesktop.login1.inhibit-handle-suspend-key
Ограничение возможности приложениям запрещать системный сон	Политика ограничивает возможность приложениям запрещать системный сон	org.freedesktop.login1.inhibit-block-sleep
Ограничение возможности приложениям откладывать выключение системы	Политика ограничивает возможность приложениям откладывать выключение системы	org.freedesktop.login1.inhibit-delay-shutdown
Ограничение возможности приложениям откладывать переход в спящий режим	Политика ограничивает возможность приложениям откладывать переход в спящий режим	org.freedesktop.login1.inhibit-delay-sleep
Ограничение возможности приостановки работы системы	Политика ограничивает возможность приостановки работы системы	org.freedesktop.login1.suspend
Ограничение возможности приостановки работы системы, пока приложение препятствует этому действию	Политика ограничивает возможность приостановки работы системы, пока приложение препятствует этому действию	org.freedesktop.login1.suspend-ignore-inhibit
Ограничение возможности приостановки работы системы, при наличии активных сеансов других пользователей	Политика ограничивает возможность приостановки работы системы, при наличии активных сеансов других пользователей	org.freedesktop.login1.suspend-multiple-sessions
Ограничение возможности присоединения устройств к рабочим местам	Политика управляет ограничением возможности присоединить устройства к рабочим местам	org.freedesktop.login1.attach-device
Ограничение возможности разрешения незалогиненному пользователю запускать программы	Политика ограничивает возможность разрешения незалогиненному пользователю запускать программы	org.freedesktop.login1.set-self-linger
Ограничение возможности разрешения незалогиненным пользователям запускать программы	Политика ограничивает возможность разрешения незалогиненным пользователям запускать программы	org.freedesktop.login1.set-user-linger
Ограничение возможности указания загрузчику системы на загрузку в определенную запись загрузчика	Политика ограничивает возможность указания загрузчику системы на загрузку в определенную запись загрузчика	org.freedesktop.login1.set-reboot-to-boot-loader-entry
Ограничение возможности указания загрузчику системы на необходимость загрузки в меню загрузчика	Политика ограничивает возможность указания загрузчику системы на необходимость загрузки в меню загрузчика	org.freedesktop.login1.set-reboot-to-boot-loader-menu
Ограничение возможности указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы	Политика ограничивает возможность указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы	org.freedesktop.login1.set-reboot-to-firmware-setup
Ограничение возможности управления активными сеансами, пользователями и местами	Политика ограничивает возможность управления активными сеансами, пользователями и местами	org.freedesktop.login1.manage
Ограничение возможности установки «причины» перезагрузки в ядре	Политика ограничивает возможность установить «причины» перезагрузки в ядре	org.freedesktop.login1.set-reboot-parameter
Ограничение возможности установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)	Политика ограничивает возможность установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)	org.freedesktop.login1.set-wall-message