Глава 54. Групповые политики

⁠Глава 54. Групповые политики

54.1. Развертывание групповых политик
54.2. Пример создания групповой политики

Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.

В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba.

Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:

подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
конкретные пользователи и компьютеры.

Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.

Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.

Групповые политики можно использовать для разных целей, например:

Установки домашней страницы браузера Firefox/Chromium (экспериментальная политика). Возможно установить при использовании ADMX файлов Mozilla Firefox (https://github.com/mozilla/policy-templates/releases) и Google Chrome (https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip) соответственно.
Установки запрета на подключение внешних носителей.
Управления политиками control (реализован широкий набор настроек). Возможно установить при использовании ADMX файлов ALT.
Включения или выключения различных служб (сервисов systemd) Возможно установить при использовании ADMX файлов ALT.
Подключения сетевых дисков (экспериментальная политика).
Генерирования (удаления/замены) ярлыков для запуска программ.
Создания каталогов.
Установки и удаления пакетов (в стадии разработки).

Полный набор возможностей можно оценить, установив пакет admx-basealt или скачав файлы ADMX из репозитория https://github.com/altlinux/admx-basealt и загрузив их в оснастку RSAT.

Важно

Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе Групповые политики.

⁠54.1. Развертывание групповых политик

Процесс развёртывание групповых политик:

Развернуть сервер Samba AD DC (например, на машине с установленной ОС Альт Сервер).
Установить административные шаблоны на сервере Samba AD DC:
- установить пакеты политик admx-basealt, admx-samba, admx-chromium, admx-firefox и утилиту admx-msi-setup:
  # apt-get install admx-basealt admx-samba admx-chromium admx-firefox admx-msi-setup
- скачать и установить ADMX-файлы от Microsoft:
  # admx-msi-setup
  Примечание
  По умолчанию, admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
  # admx-msi-setup -h admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/. Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>] Removing admx-msi-setup temporary files...
- после установки, политики будут находиться в каталоге /usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
  # samba-tool gpo admxload
Ввести машину в домен Active Directory по инструкции (см. Ввод рабочей станции в домен Active Directory).
Примечание
Должен быть установлен пакет alterator-gpupdate:
```
# apt-get install alterator-gpupdate
```
Для автоматического включения групповых политик, при вводе в домен, в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, отметить пункт Включить групповые политики:
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
Примечание
Если машина уже находится в домене, можно вручную включить групповые политики с помощью модуля alterator-gpupdate. Для этого в Центре управления системой в разделе Система → Групповые политики следует выбрать шаблон локальной политики (Сервер, Рабочая станция или Контроллер домена) и установить отметку в пункте Управление групповыми политиками:
Ввести машину с ОС Windows в домен.
Примечание
Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно
Включить компоненты удаленного администрирования.
Примечание
Этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена.
Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория http://git.altlinux.org/gears/a/admx-basealt.git (https://github.com/altlinux/admx-basealt) и разместить их в каталоге \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
Корректно установленные административные шаблоны будут отображены на машине Windows в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютера → Политики → Административные шаблоны → Система ALT:
Политики редактируются на ОС Windows, применяются на рабочих станциях.
В ADMC на рабочей станции, введённой в домен или в оснастке Active Directory — пользователи и компьютеры создать подразделение (OU) и переместить в него компьютеры и пользователей домена.