36.3. Пример создания групповой политики

⁠36.3. Пример создания групповой политики

В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root). Для создания новой политики, необходимо выполнить следующие действия:

На машине с установленным RSAT открыть оснастку Управление групповыми политиками (gpmc.msc).
Создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в который входят машины или учетные записи пользователей.
В контекстном меню GPO, выбрать пункт Изменить…. Откроется редактор GPO.
Перейти в Конфигурация компьютера → Политики → Административные шаблоны → Система ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включить, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку Применить:

После обновления политики на клиенте, выполнять команду ping сможет только администратор:

$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# control ping
restricted

Важно

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:

# gpoa --loglevel 0

В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.