Глава 61. Групповые политики
Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик, на данный момент, предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba.
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
управления интернет-браузерами Firefox/Chromium/Yandex. Возможно установить при использовании ADMX-файлов Mozilla Firefox (пакет admx-firefox), Google Chrome (пакет admx-chromium) и Yandex (пакет admx-yandex-browser) соответственно;
установки запрета на подключение внешних носителей;
управления политиками control (реализован широкий набор настроек). Возможно установить при использовании ADMX-файлов ALT;
включения или выключения различных служб (сервисов systemd) Возможно установить при использовании ADMX-файлов ALT;
настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды Mate. Возможно установить при использовании ADMX-файлов ALT;
настройки среды рабочего стола KDE (экспериментальная политика). Возможно установить при использовании ADMX-файлов ALT;
подключения сетевых дисков (экспериментальная политика);
управления общими каталогами (экспериментальная политика);
генерирования (удаления/замены) ярлыков для запуска программ;
создания каталогов;
управления файлами (экспериментальная политика);
управления сценариями запуска и завершения работы компьютера, входа и выхода пользователя из системы (экспериментальная политика);
установки и удаления пакетов (экспериментальная политика).
Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.
61.1. Развертывание групповых политик
Процесс развёртывание групповых политик:
На сервере Samba AD DC установить административные шаблоны. Для этого:
установить пакеты политик
admx-basealt,
admx-chromium,
admx-firefox,
admx-yandex-browser и утилиту
admx-msi-setup:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
скачать и установить ADMX-файлы от Microsoft:
# admx-msi-setup
По умолчанию,
admx-msi-setup
устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
Removing admx-msi-setup temporary files...
после установки политики будут находиться в каталоге
/usr/share/PolicyDefinitions
. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (
/var/lib/samba/sysvol/<DOMAIN>/Policies/
):
# samba-tool gpo admxload -U Administrator
На рабочей станции должен быть установлен пакет
alterator-gpupdate:
# apt-get install alterator-gpupdate
Для автоматического включения групповых политик, при вводе в домен, в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, отметить пункт Включить групповые политики:
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
Если клиентская рабочая станция уже находится в домене, можно вручную включить групповые политики с помощью модуля ЦУС . Для этого в
Центре управления системой в разделе → следует выбрать шаблон локальной политики (
Сервер,
Рабочая станция или
Контроллер домена) и установить отметку в пункте
Управление групповыми политиками:
На рабочей станции, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
# apt-get install admc gpui
В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
Настроить, если это необходимо, RSAT на машине с ОС Windows:
ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория
http://git.altlinux.org/gears/a/admx-basealt.git (
https://github.com/altlinux/admx-basealt) и разместить их в каталоге
\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions
.
корректно установленные административные шаблоны будут отображены на машине Windows в оснастке в разделе → → → :