Product SiteDocumentation Site

55.2. Пример создания групповой политики

Для создания групповой политики на машине, введённой в домен, необходимо выполнить следующие шаги:
  1. Добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инструмент ADMC);
  2. Создать политику и назначить её на OU (инструмент ADMC);
  3. Отредактировать параметры политики (инструмент GPUI).
В качестве примера создадим политику, разрешающую запускать команду ping только суперпользователю (root).
Запустить ADMC можно из меню (Меню запуска приложенийСистемаADMC) или командой admc: 
$ admc
В окне аутентификации Kerberos указать имя Kerberos-принципала пользователя и его пароль:
Запуск ADMC
Интерфейс ADMC:
Интерфейс ADMC
Подготовка объектов для применения GPO:
  1. Создать новое подразделение:
    • в контекстном меню домена выбрать пункт СоздатьПодразделение:
      ADMC. Создать новое подразделение
    • в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
      ADMC. Новое подразделение
  2. Переместить компьютеры и пользователей домена в созданное подразделение:
    • в контекстном меню пользователя/компьютера выбрать пункт Переместить…;
    • в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
ADMC. Компьютеры и пользователи в подразделении OU
Создание политики для подразделения:
  1. В контекстном меню подразделения (в разделе Объекты групповой политики) выбрать пункт Создать политику и связать с этим подразделением:
    ADMC. Контекстное меню подразделения в объектах групповых политик
  2. В открывшемся окне ввести название политики и нажать кнопку ОК:
    ADMC. Создание объекта групповой политики
Редактирование настроек групповой политики:
  1. В контекстном меню политики выбрать пункт Изменить…:
    ADMC. Контекстное меню объекта групповой политики
  2. Откроется окно редактирования групповых политик (GPUI):
    Модуль редактирования настроек клиентской конфигурации (GPUI)
  3. Перейти в раздел КомпьютерАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  4. Щёлкнуть левой кнопкой мыши по политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку ОК:
    GPUI. Диалоговое окно настройки политики
  5. После обновления политики на клиенте, выполнять команду ping сможет только суперпользователь (root): 
    $ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# control ping
restricted

Важно

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду: 
# gpoa --loglevel 0
В выводе команды будут отображаться полученные объекты групповой политики. В частности, соответствующий уникальный код (GUID) объекта.