Глава 63. Групповые политики
Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассматривается реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик используется инструмент gpupdate. Он рассчитан на работу на машине, введённой в домен Samba.
Интеграция с инфраструктурой LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций к объектам в дереве каталогов. Помимо глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
сайты — группы компьютеров в заданной подсети в рамках одного домена;
конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
управления интернет-браузерами Firefox, Chromium и Yandex Browser (при использовании ADMX-файлов: admx-firefox, admx-chromium, admx-yandex-browser соответственно);
управления почтовым клиентом Mozilla Thunderbird (пакет admx-thunderbird);
запрета подключения внешних носителей;
управления политиками control (широкий набор настроек; реализовано через ADMX-файлы ALT);
включения или выключения служб systemd (реализовано через ADMX-файлы ALT);
настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды MATE (реализовано через ADMX-файлы ALT);
настройки графической среды GNOME (реализовано через ADMX-файлы ALT);
настройки среды рабочего стола KDE (экспериментальная политика; реализовано через ADMX-файлы ALT);
управления настройками службы Polkit (широкий набор настроек; реализовано через ADMX-файлы ALT);
подключения сетевых дисков;
управления переменными среды;
управления общими каталогами (экспериментальная политика);
создания, удаления и замены ярлыков;
создания каталогов;
управления файлами (экспериментальная политика);
выполнения скриптов при старте/завершении работы компьютера или входе/выходе пользователя (экспериментальная политика);
установки и удаления пакетов (экспериментальная политика).
Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.
63.1. Развертывание групповых политик
Процесс развёртывания групповых политик:
На сервере Samba AD DC установить административные шаблоны:
установить пакеты политик и утилиту
admx-msi-setup:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-thunderbird admx-msi-setup
скачать и установить ADMX-файлы от Microsoft:
# admx-msi-setup
По умолчанию
admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров можно указать другой источник:
# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
Removing admx-msi-setup temporary files...
после установки политики будут находиться в каталоге
/usr/share/PolicyDefinitions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (
/var/lib/samba/sysvol/<DOMAIN>/Policies/):
# samba-tool gpo admxload -U Administrator
На рабочей станции должен быть установлен пакет
alterator-gpupdate:
# apt-get install alterator-gpupdate
Для автоматического включения групповых политик при вводе в домен в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, необходимо отметить пункт Включить групповые политики:
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
Если машина уже введена в домен, включить групповые политики можно вручную с помощью модуля ЦУС . Для этого в
Центре управления системой в разделе → следует выбрать шаблон локальной политики (
Сервер,
Рабочая станция или
Контроллер домена) и установить отметку в пункте
Управление групповыми политиками:
На машине, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
# apt-get install admc gpui
В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
Настроить, если это необходимо, RSAT на машине с ОС Windows:
ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория
http://git.altlinux.org/gears/a/admx-basealt.git (
https://github.com/altlinux/admx-basealt) и разместить их в каталоге
\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
корректно установленные административные шаблоны будут отображены на машине Windows в оснастке в разделе → → → :
