Product SiteDocumentation Site

Глава 61. Групповые политики

61.1. Развертывание групповых политик
61.2. Пример создания групповой политики
Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик, на данный момент, предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba.
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
  • подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
  • сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
  • конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
  • управления интернет-браузерами Firefox/Chromium/Yandex. Возможно установить при использовании ADMX-файлов Mozilla Firefox (пакет admx-firefox), Google Chrome (пакет admx-chromium) и Yandex (пакет admx-yandex-browser) соответственно;
  • установки запрета на подключение внешних носителей;
  • управления политиками control (реализован широкий набор настроек). Возможно установить при использовании ADMX-файлов ALT;
  • включения или выключения различных служб (сервисов systemd) Возможно установить при использовании ADMX-файлов ALT;
  • настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды Mate. Возможно установить при использовании ADMX-файлов ALT;
  • настройки среды рабочего стола KDE (экспериментальная политика). Возможно установить при использовании ADMX-файлов ALT;
  • подключения сетевых дисков (экспериментальная политика);
  • управления общими каталогами (экспериментальная политика);
  • генерирования (удаления/замены) ярлыков для запуска программ;
  • создания каталогов;
  • управления файлами (экспериментальная политика);
  • управления сценариями запуска и завершения работы компьютера, входа и выхода пользователя из системы (экспериментальная политика);
  • установки и удаления пакетов (экспериментальная политика).

Важно

Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.

61.1. Развертывание групповых политик

Процесс развёртывание групповых политик:
  1. Развернуть сервер Samba AD DC (см. Samba 4 в роли контроллера домена Active Directory ).
  2. На сервере Samba AD DC установить административные шаблоны. Для этого:
    • установить пакеты политик admx-basealt, admx-chromium, admx-firefox, admx-yandex-browser и утилиту admx-msi-setup:
      # apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
      
    • скачать и установить ADMX-файлы от Microsoft:
      # admx-msi-setup
      

      Примечание

      По умолчанию, admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
      # admx-msi-setup -h
      admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
      Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
      Removing admx-msi-setup temporary files...
      
    • после установки политики будут находиться в каталоге /usr/share/PolicyDefinitions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
      # samba-tool gpo admxload -U Administrator
      
  3. Ввести клиентскую рабочую станцию в домен Active Directory по инструкции (см. Ввод рабочей станции в домен Active Directory ).

    Примечание

    На рабочей станции должен быть установлен пакет alterator-gpupdate:
    # apt-get install alterator-gpupdate
    
    Для автоматического включения групповых политик, при вводе в домен, в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, отметить пункт Включить групповые политики:
    Пункт Включить групповые политики
    Политики будут включены сразу после ввода в домен (после перезагрузки системы).

    Примечание

    Если клиентская рабочая станция уже находится в домене, можно вручную включить групповые политики с помощью модуля ЦУС Групповые политики. Для этого в Центре управления системой в разделе СистемаГрупповые политики следует выбрать шаблон локальной политики (Сервер, Рабочая станция или Контроллер домена) и установить отметку в пункте Управление групповыми политиками:
    Модуль ЦУС «Групповые политики»
  4. На рабочей станции, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
    # apt-get install admc gpui
    

    Примечание

    В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
    # apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
    # admx-msi-setup
    
  5. Настроить, если это необходимо, RSAT на машине с ОС Windows:
    • ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
    • включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория http://git.altlinux.org/gears/a/admx-basealt.git (https://github.com/altlinux/admx-basealt) и разместить их в каталоге \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
    • корректно установленные административные шаблоны будут отображены на машине Windows в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT:
      Политики настройки систем ALT в консоли gpme.msc