Product SiteDocumentation Site

61.2. Пример создания групповой политики

Для создания групповой политики на машине, введённой в домен, необходимо выполнить следующие шаги:
  1. Добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инструмент ADMC или оснастка AD «Пользователи и компьютеры»);
  2. Создать политику и назначить её на OU (инструмент ADMC или оснастка AD «Управление групповой политикой»);
  3. Отредактировать параметры политики (инструмент GPUI или оснастка AD «Редактор управления групповыми политиками»).
В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root).
Для использования ADMC следует сначала получить билет Kerberos для администратора домена:
$ kinit administrator
Password for administrator@TEST.ALT:
Запустить ADMC можно из меню (Меню запуска приложенийСистемаADMC) или командой admc:
$ admc
Интерфейс ADMC
Добавление доменных устройств в группу членства GPO:
  1. Создать новое подразделение:
    • в контекстном меню домена выбрать пункт СоздатьПодразделение:
      ADMC. Создать новое подразделение
    • в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
      ADMC. Новое подразделение
  2. Переместить компьютеры и пользователей домена в созданное подразделение:
    • в контекстном меню пользователя/компьютера выбрать пункт Переместить…;
    • в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
ADMC. Компьютеры и пользователи в подразделении OU
Создание политики для подразделения:
  1. В контекстном меню подразделения (в папке Объекты групповой политики) выбрать пункт Создать политику и связать с этим подразделением:
    ADMC. Контекстное меню подразделения в объектах групповых политик
  2. В открывшемся окне ввести название политики и нажать кнопку ОК:
    ADMC. Создание объекта групповой политики
Редактирование настроек групповой политики:
  1. В контекстном меню созданной политики выбрать пункт Изменить…:
    ADMC. Контекстное меню объекта групповой политики
  2. Откроется окно редактирования групповых политик (GPUI):
    Модуль редактирования настроек клиентской конфигурации (GPUI)
  3. Перейти в КомпьютерАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  4. Щёлкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку ОК:
    GPUI. Диалоговое окно настройки политики
  5. После обновления политики на клиенте, выполнять команду ping сможет только администратор:
    $ ping localhost
    bash: ping: команда не найдена
    $ /usr/bin/ping localhost
    bash: /usr/bin/ping: Отказано в доступе
    # control ping
    restricted
    
Пример создания групповой политики на машине с ОС Windows:
  1. На машине с установленным RSAT открыть оснастку Управление групповыми политиками (gpmc.msc).
  2. Создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в который входят машины или учетные записи пользователей.
  3. В контекстном меню GPO, выбрать пункт Изменить…. Откроется редактор GPO.
  4. Перейти в Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  5. Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включить, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку Применить:
    Раздел Сетевые приложения

Важно

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.