Product SiteDocumentation Site

Групповые политики

Руководство пользователя

Редакция октябрь, 2024

Аннотация

Решение представляет собой систему централизованного управления конфигурациями пользователей и компьютеров в домене Active Directory и реализует централизованное хранение на серверах (виртуальной инфраструктуре) данных о пользователях, рабочих станциях, а также предоставляет возможности управления доменом Active Directory и групповыми политиками с помощью графических средств. Решение является компонентом отечественных операционных систем ОС «Альт», построенных на ядре Linux.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения. Актуальная версия руководства в формате HTML со всеми текущими изменениями и дополнениями размещена на сайте с документацией компании ALT Linux http://docs.altlinux.org/.
I. Разворачивание стенда
1. Схема стенда
2. Контроллер домена (Samba AD DC)
2.1. Установка ОС «Альт Сервер»
2.2. Обновление системы до актуального состояния
2.3. Разворачивание сервера Samba AD DC
2.4. Установка административных шаблонов
2.5. Заведение вторичного DC и настройка репликации
3. Настройка рабочей станции
3.1. Установка ОС «Альт Рабочая станция»
3.2. Обновление системы до актуального состояния
3.3. Ввод рабочей станции в домен Active Directory
4. Установка административных инструментов
4.1. Модуль удаленного управления базой данных конфигурации (ADMC)
4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)
5. Установка административных инструментов (машина Windows)
5.1. Настройка сетевого подключения
5.2. Присоединение компьютера к домену
5.3. Включение компонентов удалённого администрирования
II. Описание функций
6. Описание структуры
6.1. Групповые политики в «Альт Домен»
7. Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах
8. Модуль клиентской машины для применения конфигурации
8.1. Утилиты модуля
8.2. Локальная политика
8.3. Модули клиентской стороны (Applier)
8.4. Периодичность запуска групповых политик
8.5. Ключи реестра
8.6. Утилита gpresult
9. Модуль удаленного управления базой данных конфигурации (ADMC)
9.1. Запуск ADMC
9.2. Интерфейс ADMC
9.3. Свойства объектов
9.4. Выбор контейнера
9.5. Управление пользователями
9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя
9.6. Управление контактами
9.6.1. Создание контакта
9.6.2. Изменение свойств контакта
9.7. Управление группами
9.7.1. Создание группы
9.7.2. Изменение группы
9.8. Управление компьютерами
9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера
9.9. Управление подразделениями
9.9.1. Создание подразделения
9.9.2. Изменение подразделения
9.10. Управление объектами парольных настроек
9.10.1. Создание объекта парольных настроек
9.10.2. Изменение объекта парольных настроек
9.11. Управление общими папками
9.12. Управление объектами групповых политик
9.12.1. Создание объекта групповой политики
9.12.2. Изменение объекта групповой политики
9.12.3. Блокирование наследования
9.12.4. Фильтрация безопасности ГП
9.13. Добавление/Удаление UPN суффиксов
9.14. Роли FSMO
9.15. Выбор объектов
9.16. Поиск объектов
9.16.1. Простой поиск
9.16.2. Обычный поиск
9.16.3. Продвинутый поиск
9.17. Использование сохранённых результатов поиска
10. Модуль редактирования настроек клиентской конфигурации (GPUI)
10.1. Запуск GPUI для редактирования доменных политик
10.2. Выбор набора шаблонов групповых политик
10.3. Интерфейс
10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка
10.4. Редактирование групповых политик
10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания
10.5. Редактирование предпочтений
10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций
10.6. Управление logon-скриптами
10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем
11. Расширение возможностей ГП
11.1. Схема административных шаблонов (ADMX)
11.1.1. Структура ADMX-файла
11.1.2. Структура ADML-файла
11.1.3. Связывание информации из ADMX и ADML-файлов
11.1.4. Рекомендации для создания ADMX-файлов
11.2. Разработка новой политики
11.2.1. Пример для механизма Systemd
11.2.2. Пример для механизма Control
11.2.3. Пример для механизма Gsetting
11.2.4. Пример для механизма Polkit
III. Решение проблем
12. Область действия и статус групповой политики
13. Наследование групповых политик
14. Порядок применения групповых политик
15. Замыкание групповой политики
16. Диагностика применения GPO на стороне клиента
16.1. Коды ошибок
17. Диагностика проблем при работе с политикой скриптов

Часть I. Разворачивание стенда

В этой части приводится общая информация по разворачиванию ПО.

Глава 1. Схема стенда

Схема стенда

Таблица 1.1. Состав технических и программных средств стенда

№ ПЭВМ
Программная среда
Описание
1
ОС «Альт Сервер»
Контроллер домена (DC)
2
ОС «Альт Сервер»
Вторичный DC
3
ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование»)
Должны быть установлены модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)
Целевая рабочая станция с инструментами администрирования
4
ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование»)
Целевая рабочая станция
5
ОС Microsoft Windows Server (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно).
Должны быть установлены компоненты удаленного администрирования
Рабочая станция с административными инструментами
Параметры домена:
  • домен AD — test.alt;
  • сервер AD (ОС ALT) — dc1.test.alt (192.168.0.122);
  • вторичный сервер AD (ОС ALT) — dc2.test.alt (192.168.0.141);
  • рабочая станция 1 (ОС ALT) — host-01.test.alt (192.168.0.124);
  • рабочая станция 2 (ОС ALT) — host-02.test.alt (192.168.0.125);
  • рабочая станция 3 (ОС Windows) — PK1.test.alt (192.168.0.109);
  • имя пользователя-администратора — Administrator;
  • пароль администратора — Pa$$word.

Глава 2. Контроллер домена (Samba AD DC)

2.1. Установка ОС «Альт Сервер»

Примечание

В данной инструкции рассмотрена установка системы в режиме режиме UEFI. Особенности установки в legacy mode отображены в примечаниях.
Для начала установки ОС «Альт Сервер» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
Установка сервера. Загрузка с установочного диска в режиме UEFI
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Install ALT Server, и нажать Enter.

Примечание

Начальный загрузчик в режиме Legacy:
Установка сервера. Загрузка с установочного диска
Во время установки системы выполняются следующие шаги:
  • язык;
  • лицензионное соглашение;
  • дата и время;
  • подготовка диска;
  • перемонтирование;
  • установка системы;
  • сохранение настроек;
  • установка загрузчика;
  • настройка сети;
  • администратор системы;
  • системный пользователь;
  • системный пользователь;
  • завершение установки.
Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы:
Установка сервера. Выбор языка
После окна выбора языковых параметров ОС «Альт Сервер» программа установки переходит к окну «Лицензионное соглашение»:
Установка сервера. Лицензионное соглашение
Для подтверждения согласия с условиями лицензии, необходимо отметить пункт Да, я согласен с условиями и нажать кнопку Далее.
На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени. Для ручной установки текущих даты и времени нужно нажать кнопку Изменить….
Установка сервера. Выбор часового пояса
На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Сервер», в первую очередь — выделяется свободное место на диске.
Установка сервера. Подготовка диска
В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
  • Установка рабочей станции — единственная файловая система ext4 под корень (swap и раздел под efi автоматически);
  • Вручную.

Примечание

При установке системы в режиме UEFI рекомендуется выбрать автоматическое разбиение диска для создания необходимых разделов для загрузки с EFI.

Предупреждение

При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков (включая внешние USB-носители) без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Перемонтирование
На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Сервер».
Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Сервер» и установлены вместе с ней на диск:
Установка сервера. Выбор групп пакетов
Для установки пакетов, необходимых для разворачивания контроллера домена, следует выбрать профиль Сервер Samba DC (контроллер AD) и нажать кнопку Далее:
Установка сервера. Установка системы
Начнётся установка пакетов:
Установка сервера. Установка системы
Установка происходит автоматически в два этапа:
  • получение пакетов;
  • установка пакетов.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Установка сервера. Сохранение настроек
После сохранения настроек осуществляется автоматический переход к следующему шагу.
На этапе «Установка загрузчика» программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС «Альт Сервер».
При установке системы в режиме UEFI следует выбрать в качестве устройства для установки специальный раздел «EFI»:
Установка сервера. Установка загрузчика в режиме UEFI

Примечание

Установка загрузчика при установке в режиме Legacy:
Установка сервера. Установка загрузчика в режиме UEFI
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.
На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, шлюз по умолчанию и DNS-серверы:
Установка сервера. Настройка сети

Примечание

Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделённых точкой.
На вторичном сервере обязательно нужно указать первичный сервер в поле DNS-серверы:
Установка сервера. Настройка сети
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.
На этапе «Администратор системы» загрузчик создает учётную запись администратора:
Установка сервера. Задание пароля администратора
В открывшемся окне необходимо ввести пароль учётной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учётной записи вводится дважды. Подтверждение введенного (или сгенерированного) пароля учётной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.
На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Сервер»:
Установка сервера. Создание пользователя
В этом окне необходимо заполнить следующие поля:
  • Имя — имя учётной записи пользователя ОС «Альт Сервер» (слово, состоящее только из строчных латинских букв, цифр и символа подчеркивания «_», причем цифра и символ «_» не могут стоять в начале слова);
  • Пароль — пароль учётной записи пользователя (чтобы исключить опечатки при вводе пароля, пароль пользователя вводится дважды).
Подтверждение введенного (или сгенерированного) пароля учётной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.
Если на этапе подготовки диска были созданы шифруемые разделы (LUKS-разделы), то на этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому разделу:
Установка сервера. Установка пароля на шифруемые разделы

Примечание

Если шифруемые разделы не создавались, этот шаг пропускается автоматически
На экране последнего шага установки отображается информация о завершении установки:
Установка сервера. Завершение установки
После нажатия кнопки Завершить автоматически начнется перезагрузка системы. Далее можно загружать установленную систему в обычном режиме.

2.2. Обновление системы до актуального состояния

После установки системы, её следует обновить до актуального состояния.
Для обновления системы необходимо выполнить команды (с правами администратора):
# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.

2.3. Разворачивание сервера Samba AD DC

Все действия выполняются на узле dc1.test.alt (192.168.0.122).
Для установки Samba AD DC выполняются следующие шаги:
  1. Установить пакет task-samba-dc (этот шаг можно пропустить, если при установке системы на этапе «Установка системы» был выбран профиль Сервер Samba DC (контроллер AD)):
    # apt-get install task-samba-dc
    
  2. Остановить конфликтующие службы krb5kdc и slapd, а также bind:
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
    
  3. Очистить базы и конфигурацию Samba:
    # rm -f /etc/samba/smb.conf
    # rm -rf /var/lib/samba
    # rm -rf /var/cache/samba
    # mkdir -p /var/lib/samba/sysvol
    
  4. Установить имя домена (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»). Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделенных точкой. При этом должно быть установлено правильное имя узла и домена для сервера. Для этого в файл /etc/sysconfig/network необходимо добавить строку:
    HOSTNAME=dc1.test.alt
    
    И выполнить команды:
    # hostnamectl set-hostname dc1.test.alt
    # domainname test.alt
    

    Примечание

    После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
  5. Для корректного функционирования домена в файле /etc/resolv.conf должна присутствовать строка:
    nameserver 127.0.0.1
    
    Если этой строки в файле /etc/resolv.conf нет, то в конец файла /etc/resolvconf.conf следует добавить строку:
    name_servers='127.0.0.1'
    
    и перезапустить сервис resolvconf:
    # resolvconf -u
    
  6. Создать домен test.alt с паролем администратора Pa$$word:
    # samba-tool domain provision --realm=test.alt --domain test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc --use-rfc2307
    
    где
    • --realm — область Kerberos (LDAP), и DNS имя домена;
    • --domain — имя домена (имя рабочей группы);
    • --adminpass — пароль основного администратора домена;
    • dns forwarder — внешний DNS-сервер;
    • --server-role — тип серверной роли;
    • --use-rfc2307 — позволяет поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.

    Примечание

    Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.

    Примечание

    Если уровень домена не указан, то домен разворачивается на уровне 2008_R2. Для разворачивания домена на другом уровне, уровень необходимо явно указать, например:
    # samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --option="ad dc functional level = 2016" --server-role=dc --function-level=2016
    
  7. Запустить службу:
    # systemctl enable --now samba
    
  8. Настроить Kerberos. В момент создания домена Samba конфигурирует шаблон файла krb5.conf для домена в каталоге /var/lib/samba/private/. Заменить этим файлом файл, находящийся в каталоге /etc/:
    # cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
    
  9. Проверить работоспособность домена:
    • просмотр общей информации о домене:
      # samba-tool domain info 127.0.0.1
      Forest           : test.alt
      Domain           : test.alt
      Netbios domain   : TEST
      DC name          : dc1.test.alt
      DC netbios name  : DC1
      Server site      : Default-First-Site-Name
      Client site      : Default-First-Site-Name
      
    • убедиться в наличии nameserver 127.0.0.1 в файле /etc/resolv.conf:
      # cat /etc/resolv.conf
      search test.alt
      nameserver 127.0.0.1
      
      # host test.alt
      test.alt has address 192.168.0.122
      

      Примечание

      Утилита host позволяет получить информацию о DNS-связях между доменными именами и IP-адресами. Для возможности использования этой утилиты должен быть установлен пакет bind-utils.
    • проверить имена хостов:
      # host -t SRV _kerberos._udp.test.alt.
      _kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.
      # host -t SRV _ldap._tcp.test.alt.
      _ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.
      # host -t A dc1.test.alt.
      dc1.test.alt has address 192.168.0.122
      
    • проверка Kerberos (имя домена должно быть в верхнем регистре):
      # kinit administrator@TEST.ALT
      Password for administrator@TEST.ALT:
      

      Примечание

      Если имена не находятся, необходимо проверить выключение службы named.
  10. Создать и разблокировать пользователя ivanov в домене:
    # samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
    # samba-tool user setexpiry ivanov --noexpiry
    

2.4. Установка административных шаблонов

Для задания конфигурации необходимо установить административные шаблоны (ADMX-файлы). Для этого:
  1. Установить пакеты политик admx-basealt, admx-chromium, admx-firefox, admx-yandex-browser и утилиту admx-msi-setup:
    # apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
    
  2. Запустить утилиту admx-msi-setup, которая загрузит и установит ADMX-файлы от Microsoft:
    # admx-msi-setup
    
  3. После установки, политики будут находиться в каталоге /usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
    # samba-tool gpo admxload -U Administrator
    

2.5. Заведение вторичного DC и настройка репликации

Все действия выполняются на узле dc2.test.alt (192.168.0.141), если не указано иное.
Для заведения вторичного DC выполняются следующие шаги:
  1. Установить пакет task-samba-dc (этот шаг можно пропустить, если при установке системы на этапе «Установка системы» был выбран профиль Сервер Samba DC (контроллер AD)):
    # apt-get install task-samba-dc
    
  2. Остановить конфликтующие службы krb5kdc и slapd, а также bind:
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
    
  3. Очистить базы и конфигурацию Samba:
    # rm -f /etc/samba/smb.conf
    # rm -rf /var/lib/samba
    # rm -rf /var/cache/samba
    # mkdir -p /var/lib/samba/sysvol
    
  4. Задать имя компьютера (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
    # hostnamectl set-hostname dc2.test.alt
    

    Примечание

    После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
  5. На вторичном DC в файле /etc/resolv.conf обязательно должен быть добавлен PDC как nameserver (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
    # echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
    # echo "search_domains=test.alt" >> /etc/resolvconf.conf
    # resolvconf -u
    # cat /etc/resolv.conf
    search test.alt
    nameserver 192.168.0.122
    nameserver 8.8.8.8
    
  6. На Primary Domain Controller (PDC) проверить состояние службы bind:
    # systemctl status bind
    
    И, если она была включена, выключить службу bind и перезапустить службу samba:
    # systemctl stop bind
    # systemctl restart samba
    
  7. На PDC завести IP-адрес для dc2:

    Предупреждение

    Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
    # samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.141 -Uadministrator
    Password for [TEST\administrator]:
    Record added successfully
    
  8. На вторичном DC установить следующие параметры в файле конфигурации клиента Kerberos (файл /etc/krb5.conf):
    [libdefaults]
    default_realm = TEST.ALT
    dns_lookup_realm = false
    dns_lookup_kdc = true
    
  9. Для проверки настройки запросить билет Kerberos для администратора домена:
    # kinit administrator@TEST.ALT
    Password for administrator@TEST.ALT:
    
    Убедиться, что билет получен:
    # klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: administrator@TEST.ALT
    
    Valid starting       Expires              Service principal
    27.03.2024 11:06:43  27.03.2024 21:06:43  krbtgt/TEST.ALT@TEST.ALT
    	renew until 03.04.2024 11:06:39
    
  10. Ввести вторичный DC в домен test.alt в качестве контроллера домена (DC):
    # samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
    
    Если всё нормально, в конце будет выведена информация о присоединении к домену:
    Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
    
  11. Запустить и сделать службу samba запускаемой по умолчанию:
    # systemctl enable --now samba
    
Настройка репликации:
  1. Произвести репликацию на вторичном DC (с первичного):
    # samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt -Uadministrator
    Password for [TEST\administrator]:
    Replicate from dc1.test.alt to dc2.test.alt was successful.
    
    Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
  2. Произвести репликацию на вторичном DC (на первичный):
    # samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt -Uadministrator
    Password for [TEST\administrator]:
    Replicate from dc2.test.alt to dc1.test.alt was successful.
    
    Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
  3. Просмотр статуса репликации на PDC:
    # samba-tool drs showrepl
    

Глава 3. Настройка рабочей станции

3.1. Установка ОС «Альт Рабочая станция»

Примечание

В данной инструкции рассмотрена установка ОС «Альт Рабочая станция». ОС «Альт Рабочая станция K» и «Альт Образование» устанавливаются аналогично.

Примечание

В данной инструкции рассмотрена установка системы в режиме режиме UEFI. Особенности установки в legacy mode отображены в примечаниях.
Для начала установки ОС «Альт Рабочая станция» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
Установка рабочей станции. Загрузка с установочного диска в режиме UEFI
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Установить ALT Workstation, и нажать Enter.

Примечание

Начальный загрузчик в режиме Legacy:
Установка рабочей станции. Загрузка с установочного диска
Во время установки системы выполняются следующие шаги:
  • язык;
  • лицензионное соглашение;
  • дата и время;
  • подготовка диска;
  • перемонтирование;
  • установка системы;
  • сохранение настроек;
  • установка загрузчика;
  • настройка сети;
  • администратор системы;
  • системный пользователь;
  • системный пользователь;
  • завершение установки.
Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы:
Установка рабочей станции. Выбор языка
После окна выбора языковых параметров ОС «Альт Рабочая станция» программа установки переходит к окну «Лицензионное соглашение»:
Установка рабочей станции. Лицензионное соглашение
Для подтверждения согласия с условиями лицензии, необходимо отметить пункт Да, я согласен с условиями и нажать кнопку Далее.
На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени. Для ручной установки текущих даты и времени нужно нажать кнопку Изменить….
Установка рабочей станции. Выбор часового пояса
На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Рабочая станция», в первую очередь — выделяется свободное место на диске.
Подготовка диска
В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
  • Установка рабочей станции — единственная файловая система ext4 под корень (swap и раздел под efi автоматически);
  • Установка рабочей станции (BtrFS) — будет создан раздел BtrFS с разбивкой на подразделы @ и @home;
  • Вручную.

Примечание

При установке системы в режиме UEFI рекомендуется выбрать автоматическое разбиение диска для создания необходимых разделов для загрузки с EFI.

Предупреждение

При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков (включая внешние USB-носители) без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Перемонтирование
На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Рабочая станция».
Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Рабочая станция» и установлены вместе с ней на диск:
Установка рабочей станции. Выбор групп пакетов
В группе пакетов Групповые политики можно выбрать к установке инструменты применения/администрирования групповых политик:
  • Инструменты администрирования — пакеты admc, gpui;
  • Шаблоны групповых политик — пакеты admx-basealt, admx-firefox, admx-chromium, admx-chromium, admx-msi-setup;
  • Клиент (средства применения) — пакеты gpupdate, alterator-gpupdate, task-auth-ad-sssd;
Список программных пакетов, входящих в группу пакетов
Выбрав необходимые группы, следует нажать Далее, после чего начнётся установка пакетов.
Установка системы
Установка происходит автоматически в два этапа:
  • получение пакетов;
  • установка пакетов.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Установка рабочей станции. Сохранение настроек
После сохранения настроек осуществляется автоматический переход к следующему шагу.
На этапе «Установка загрузчика» программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС «Альт Рабочая станция».
При установке системы в режиме UEFI следует выбрать в качестве устройства для установки специальный раздел «EFI»:
Установка рабочей станции. Установка загрузчика в режиме UEFI

Примечание

Установка загрузчика при установке в режиме Legacy:
Установка рабочей станции. Установка загрузчика в режиме UEFI
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.
На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, в качестве первичного DNS должен указать DNS-сервер домена (192.168.0.122) и в поле Домены поиска — домен для поиска:
Установка рабочей станции. Настройка сети на рабочей станции
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.
На этапе «Администратор системы» загрузчик создает учётную запись администратора:
Установка рабочей станции. Задание пароля администратора
В открывшемся окне необходимо ввести пароль учётной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учётной записи вводится дважды. Подтверждение введенного (или сгенерированного) пароля учётной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.
На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Рабочая станция»:
Установка рабочей станции. Создание пользователя
В этом окне необходимо заполнить следующие поля:
  • Имя — имя учётной записи пользователя ОС «Альт Рабочая станция» (слово, состоящее только из строчных латинских букв, цифр и символа подчеркивания «_», причем цифра и символ «_» не могут стоять в начале слова);
  • Пароль — пароль учётной записи пользователя (чтобы исключить опечатки при вводе пароля, пароль пользователя вводится дважды).
Подтверждение введенного (или сгенерированного) пароля учётной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.
Если на этапе подготовки диска были созданы шифруемые разделы (LUKS-разделы), то на этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому разделу:
Установка рабочей станции. Установка пароля на шифруемые разделы

Примечание

Если шифруемые разделы не создавались, этот шаг пропускается автоматически.
На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива.
Установка рабочей станции. Завершение установки
После нажатия кнопки Завершить автоматически начнется перезагрузка системы. Далее можно загружать установленную систему в обычном режиме.

3.2. Обновление системы до актуального состояния

После установки системы, её следует обновить до актуального состояния.
Для обновления системы необходимо выполнить команды (с правами администратора):
# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.

3.3. Ввод рабочей станции в домен Active Directory

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd (и все его зависимости) и пакет alterator-gpupdate для включения групповых политик:
# apt-get install task-auth-ad-sssd alterator-gpupdate

Примечание

Необходимо произвести настройку сети, если она не выполнялась при установке системы. Для этого в ЦУС в разделе СетьEthernet интерфейсы следует задать имя компьютера, указать в поле DNS-серверы DNS-сервер домена и в поле Домены поиска — домен для поиска:
Настройка сети
В результате в файле /etc/resolv.conf должны появиться строки:
search test.alt
nameserver 192.168.0.122

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
Для ввода рабочей станции в домен необходимо запустить ЦУС (Меню MATEПриложенияАдминистрированиеЦентр управления системой). В ЦУС следует перейти в раздел ПользователиАутентификация. В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:
Ввод в домен в Центре управления системой
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль, установить отметку в поле Включить групповые политики и нажать кнопку ОК:
Пароль для учётной записи с правами подключения к домену
При успешном подключении к домену, отобразится соответствующая информация:
Успешное подключение к домену
Далее необходимо перезагрузить рабочую станцию.
Проверить подключение к домену (ivanov — пользователь в домене)
# getent passwd ivanov
ivanov:*:1327601105:1327600513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash

# net ads info
LDAP server: 192.168.0.122
LDAP server name: dc1.test.alt
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Ср, 27 мар 2024 10:36:51 EET
KDC server: 192.168.0.122
Server time offset: 2
Last machine account password change: Ср, 20 мар 2024 11:13:27 EET

# net ads testjoin
Join is OK

Примечание

Список пользователей можно посмотреть на сервере командой:
# samba-tool user list

Глава 4. Установка административных инструментов

Административные инструменты устанавливаются на рабочей станции, введённой в домен.

4.1. Модуль удаленного управления базой данных конфигурации (ADMC)

Установить пакет admc:
# apt-get install admc
Запуск ADMC осуществляется из меню запуска приложений: пункт СистемныеADMC или из командной строки (команда admc).

Примечание

Для использования ADMC необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:
$ kinit administrator
Интерфейс модуля удаленного управления базой данных конфигурации

4.2. Модуль редактирования настроек клиентской конфигурации (GPUI)

Установить пакет gpui:
# apt-get install gpui

Примечание

В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
Для использования GPUI необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:
$ kinit administrator
Окно модуля редактирования настроек клиентской конфигурации (GPUI)
По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…:
Запуск GPUI из ADMC
либо с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"
Ключ -p позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.
Пример запуска GPUI для редактирования политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

Глава 5. Установка административных инструментов (машина Windows)

Для возможности использования административных инструментов Windows (RSAT) необходимо ввести компьютер с Windows в домен. Для выполнения этой процедуры требуется членство в группе «Администраторы» или в эквивалентной группе на локальном компьютере.

5.1. Настройка сетевого подключения

В центре управления сетями и общим доступом выбрать Подключение по локальной сети, в контекстном меню выбрать пункт Свойства. В появившемся окне выбрать Протокол Интернета версии 4 (TCP/IPv4) и нажать кнопку Свойства:
Подключение по локальной сети - свойства
В открывшемся окне задать IP-адрес, в качестве предпочитаемого DNS-сервера указать DNS-сервер домена (192.168.0.122). Сохранить изменения, нажав кнопку ОК:
Настройка сетевого подключения

5.2. Присоединение компьютера к домену

Для ввода машины с ОС Windows в домен необходимо выполнить следующие действия:
  1. В свойствах компьютера, в разделе Имя компьютера, имя домена и параметры рабочей группы нажать ссылку Изменить параметры:
    Просмотр основных сведений о компьютере
  2. В открывшемся окне на вкладке Имя компьютера нажать кнопку Изменить:
    Свойства компьютера
  3. В открывшемся окне задать имя компьютера, отметить пункт Является членом, указать название домена и нажать кнопку ОК:
    Изменение имени компьютера
  4. На запрос имени пользователя и пароля, следует ввести данные пользователя, имеющего право на присоединение компьютеров к домену. После этого потребуется перезагрузка компьютера.

5.3. Включение компонентов удалённого администрирования

Для включения компонентов удалённого администрирования:
  1. Перейти в Панель управленияПрограммыВключение или отключение компонентов Windows:
    Панель управления
  2. Включить следующие компоненты:
    • Средства удалённого администрирования сервераСредства администрирования возможностейСредства управления групповыми политиками
    • Средства удалённого администрирования сервераСредства администрирования ролейСредства доменных служб Active Directory и служб Active Directory облегчённого доступа к каталогамОснастки и программы командной строки доменных служб Active Directory
    • Средства удалённого администрирования сервераСредства администрирования ролейСредства доменных служб Active Directory и служб Active Directory облегчённого доступа к каталогамЦентр администрирования Active Directory
    • Средства удалённого администрирования сервераСредства администрирования ролейСредства серверов DNS
    Включение компонентов Windows
  3. Корректно установленные административные шаблоны будут отображены в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютера/Конфигурация пользователяПолитикиАдминистративные шаблоны:
    Административные шаблоны в консоли gpme.msc

Примечание

Для запуска консоли Управление групповыми политиками в Windows достаточно выполнить команду gpmc.msc в командной строке, cmd или окне Выполнить (Win+R). Для запуска Редактора управления групповыми политиками следует в консоли Управление групповыми политиками в контекстном меню объекта ГП выбрать пункт Изменить…:
Изменение имени компьютера

Часть II. Описание функций

Содержание

6. Описание структуры
6.1. Групповые политики в «Альт Домен»
7. Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах
8. Модуль клиентской машины для применения конфигурации
8.1. Утилиты модуля
8.2. Локальная политика
8.3. Модули клиентской стороны (Applier)
8.4. Периодичность запуска групповых политик
8.5. Ключи реестра
8.6. Утилита gpresult
9. Модуль удаленного управления базой данных конфигурации (ADMC)
9.1. Запуск ADMC
9.2. Интерфейс ADMC
9.3. Свойства объектов
9.4. Выбор контейнера
9.5. Управление пользователями
9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя
9.6. Управление контактами
9.6.1. Создание контакта
9.6.2. Изменение свойств контакта
9.7. Управление группами
9.7.1. Создание группы
9.7.2. Изменение группы
9.8. Управление компьютерами
9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера
9.9. Управление подразделениями
9.9.1. Создание подразделения
9.9.2. Изменение подразделения
9.10. Управление объектами парольных настроек
9.10.1. Создание объекта парольных настроек
9.10.2. Изменение объекта парольных настроек
9.11. Управление общими папками
9.12. Управление объектами групповых политик
9.12.1. Создание объекта групповой политики
9.12.2. Изменение объекта групповой политики
9.12.3. Блокирование наследования
9.12.4. Фильтрация безопасности ГП
9.13. Добавление/Удаление UPN суффиксов
9.14. Роли FSMO
9.15. Выбор объектов
9.16. Поиск объектов
9.16.1. Простой поиск
9.16.2. Обычный поиск
9.16.3. Продвинутый поиск
9.17. Использование сохранённых результатов поиска
10. Модуль редактирования настроек клиентской конфигурации (GPUI)
10.1. Запуск GPUI для редактирования доменных политик
10.2. Выбор набора шаблонов групповых политик
10.3. Интерфейс
10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка
10.4. Редактирование групповых политик
10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания
10.5. Редактирование предпочтений
10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций
10.6. Управление logon-скриптами
10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем
11. Расширение возможностей ГП
11.1. Схема административных шаблонов (ADMX)
11.1.1. Структура ADMX-файла
11.1.2. Структура ADML-файла
11.1.3. Связывание информации из ADMX и ADML-файлов
11.1.4. Рекомендации для создания ADMX-файлов
11.2. Разработка новой политики
11.2.1. Пример для механизма Systemd
11.2.2. Пример для механизма Control
11.2.3. Пример для механизма Gsetting
11.2.4. Пример для механизма Polkit

Глава 6. Описание структуры

Логическая структура Решения содержит следующие компоненты:
  • сервер базы данных с информацией о клиентах и их конфигурации;
  • клиентское ПО для репликации и применения конфигурации;
  • графическая панель управления включением механизма применения конфигурации;
  • графический редактор базы данных конфигурации (ADMC);
  • графический редактор настроек клиентской конфигурации (GPUI).
Логическая структура Решения

6.1. Групповые политики в «Альт Домен»

Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию.
Групповые политики, как механизм, отличаются от стандартных инструментов управления конфигурациями (таких как, например, Puppet и Ansible) тремя ключевыми особенностями:
  • интеграцией в инфраструктуру Active Directory;
  • соответствием декларативной части настроек конфигураций конкретным дистрибутивным решениям;
  • наличием не только управления конфигурациями компьютеров, но и конфигурациями пользователей.
В дистрибутивах «Альт» для применения групповых политик используется инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в «Альт Домен».
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
  • подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
  • сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
  • конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на узле в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему. Некоторые задачи управлениями конфигурациями можно решить как через пользовательские, так и через машинные параметры.
Система управления групповых политик в «Альт Домен» представлена широким набором конфигурационных настроек. В общем виде эти настройки делятся на две категории — политики и предпочтения. Основное отличие политик от предпочтений состоит в том, что политики можно отменить, поскольку они «накладываются» через реестр поверх настроек приложений так, что приложения не могут их изменить. Исключение составляют настройки перегружаемые через такие такой механизм, как GConf или dconf, а также определённые правила для PolicyKit. Основным отличием предпочтений от политик состоит в том, что эти настройки пользователь или приложение может изменить или отменить после их применения. Регулярная перезапись таких настроек, частично, сглаживает эту особенность, доставляя конечному пользователю неудобство, но не ограничивая его возможности повлиять на заданную для него или его компьютера политику, точнее предпочтение.
Одним из ключевых ограничений, не позволяющий задавать политики, вместо предпочтений состоит в том, что значение конфигурационных настроек при их задании перезаписывается, а исходное состояние теряется. В рамках дистрибутивных решений «Альт» разработан механизм локальной политики (аналогичный Local Policy под Windows), позволяющий частично преодолеть эту проблему. На текущий момент этот механизм представлен профилями, определяющими шаблон локальной политики, определяемый при включении механизма применения групповых политик (см. Локальная политика).
Далее, для терминологического упрощения, политики и предпочтения называются одним термином «Групповая политика» (ГП) с поправками на особенности их применения.
В таблице Список групповых политик представлен список ГП, которые можно настроить и применять в «Альт Домен».

Таблица 6.1. Список групповых политик

Политика
Статус
Комментарий
Стабильная
ADMX-файлы ALT (пакет admx-basealt)
Стабильная
ADMX-файлы ALT (пакет admx-basealt)
Стабильная
ADMX-файлы Mozilla Firefox (пакет admx-firefox)
Стабильная
ADMX-файлы Google Chrome (пакет admx-chromium)
Стабильная
ADMX-файлы Yandex (пакет admx-yandex-browser)
Стабильная
Стабильная
ADMX-файлы ALT (пакет admx-basealt)
Экспериментальная
ADMX-файлы ALT (пакет admx-basealt)
Стабильная
ADMX-файлы ALT (пакет admx-basealt)
Стабильная
Экспериментальная
Стабильная
Стабильная
Экспериментальная
Экспериментальная
Экспериментальная
Экспериментальная
Экспериментальная

Примечание

Экспериментальными называются политики, реализация которых может в процессе разработки поменяться так, что ранее установленные политики после обновления перестанут быть установленными, поскольку настройки таких политик не утвержденны технически.

Глава 7. Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах

Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах предназначен для управления включением работы групповых политик и выбором политики по умолчанию.
Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах представляет собой модули Центр управления системой (далее — ЦУС): «Аутентификация (пакет alterator-auth) и Групповые политики (пакет alterator-gpupdate).
ЦУС представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач по управлению сервером: добавление и удаление локальных пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т. п. ЦУС состоит из независимых диалогов-модулей. Каждый модуль отвечает за настройку определенной функции или свойства системы. Модули настройки сгруппированы по задачам:
Центр управления системой
Возможность включения групповых политик реализована как при вводе машины в домен AD, так и на уже включенной в домен рабочей станции.
Для включения групповых политик при вводе машины в домен следует в модуле ЦУС Аутентификация выбрать пункт Домен Active Directory, заполнить поля Домен, Рабочая группа и Имя компьютера, и нажать кнопку Применить:
Ввод в домен в Центре управления системой
В открывшемся окне ввести имя пользователя, имеющего право вводить машины в домен, и его пароль, отметить пункт Включить групповые политики и нажать кнопку ОК:
Включение групповых политик при вводе в домен
Включить поддержку управления групповыми политиками на машине уже введенной в домен можно в модуле ЦУС Групповые политики:
Включение групповых политик в модуле ЦУС «Групповые политики»
Модуль Групповые политики позволяет управлять включением/выключением поддержки групповых политик на машинах введенных в домен, а также выбирать профиль политики по умолчанию — Сервер, Контроллер домена Active Directory или Рабочая станция.
Для возможности включения групповых политик на машинах под управлением ОС «Альт», на которых не установлена графическая оболочка, модуль Групповые политики доступен также в веб-интерфейсе ЦУС:
Веб-интерфейс модуля ЦУС «Групповые политики»
Работа с веб-ориентированным интерфейсом ЦУС может происходить из любого веб-браузера с любого компьютера сети.

Глава 8. Модуль клиентской машины для применения конфигурации

Модуль клиентской машины для применения конфигурации (далее — gpupdate) отвечает за применение заданных администратором системы настроек конфигурации к клиентской машине и/или пользователю машины.
ПО состоит из компонента, который авторизуется в домене и выполняет скачивание файлов настроек на клиентскую машину. Далее происходит разбор файлов настроек и складывание полученных данных в хранилище именуемое также «реестр». Это позволяет развязать методы доставки и применения настроек.
При успешной репликации настроек запускается часть системы называемая «фронтенд». Она отвечает за запуск различных модулей (appliers), каждый из которых отвечает за свою логическую функцию. Например, модуль firefox отвечает за вычитывание настроек для браузера Mozilla Firefox и создание файла политик для него, а модуль ntp отвечает за чтение настроек, касающихся NTP-сервера и создании подходящей конфигурации. Количество и функционал модулей может меняться по мере развития и актуализации продукта и компонентов системы, с которыми они работают.
Групповые политики обрабатываются в следующем порядке:
  • объект локальной групповой политики;
  • объекты групповой политики, связанные с доменом (в рамках возможностей и ограничений поддержки леса доменов в Samba, как наборе клиентских компонент);
  • объекты групповой политики, связанные с OU: сначала обрабатываются объекты групповой политики связанные с OU, находящейся на самом высоком уровне в иерархии Active Directory, затем объекты групповой политики, связанные с дочерним подразделением и т. д. Последними обрабатываются объекты групповой политики, связанные с OU, в которой находится пользователь или компьютер.
Процесс применения настроек:
  • настройки для машины реплицируются при запуске компьютера и далее обновляются раз в час;
  • настройки для пользователя реплицируются при входе пользователя в систему и далее обновляются раз в час.
Для работы механизмов применения пользовательских настроек задействовано множество компонентов ОС таких, как systemd, D-Bus, PAM.
Механизм применения групповых политик
Часть проекта, отвечающая за получение и применение групповых политик, внутри использует базу данных («реестр»), для хранения настроек полученных из различных источников.

8.1. Утилиты модуля

Модуль состоит из трёх утилит:
  • gpoa — системная утилита, осуществляющая применение групповых политик для компьютера или пользователя (gpoa без параметра отрабатывает только для машины, для пользователя нужно указывать username);
  • gpupdate — утилита, осуществляющая запрос на применение групповых политик. При запуске с привилегиями администратора может непосредственно выполнить применение групповых политик минуя необходимость повышения привилегий;
  • gpupdate-setup — инструмент администрирования механизмов применения групповых политик. Позволяет включать и отключать применение групповых политик, а также задавать шаблон политики по умолчанию («Рабочая станция», «Сервер», «Контроллер домена»).
Синтаксис команды gpoa:
gpoa [-h] [--dc DC] [--nodomain] [--noupdate] [--noplugins] [--list-backends] [--loglevel LOGLEVEL] [пользователь]

Таблица 8.1. Опции команды gpoa

Ключ
Описание
-h, --help
Вывести справку о команде
--dc DC
Указать полное имя (FQDN) контроллера домена для реплицирования SYSVOL
--nodomain
Работать без домена (применить политику по умолчанию)
--noupdate
Не пытаться обновить хранилище, только запустить appliers
--noplugins
Не запускать плагины
--list-backends
Показать список доступных бэкэндов
--loglevel LOGLEVEL
Установить уровень журналирования
пользователь
Имя пользователя домена
Примеры работы с командой gpoa:
  • получить и применить настройки для текущей машины:
    # gpoa --loglevel 0
    
  • применить закешированные настройки для текущей машины:
    # gpoa --noupdate
    
  • получить и применить настройки с контроллера домена dc1.test.alt для пользователя ivanov:
    # gpoa --dc dc1.test.alt --loglevel 3 ivanov
    
  • применить политику по умолчанию:
    # gpoa --nodomain --loglevel 0
    
Синтаксис команды gpupdate:
gpupdate [-h] [-u USER] [-t {ALL,USER,COMPUTER}] [-l LOGLEVEL] [-f] [-s]

Таблица 8.2. Опции команды gpupdate

Ключ
Описание
-h, --help
Вывести справку о команде
-u USER, --user USER
Имя пользователя для обновления GPO
--target TARGET
Указать политики, которые нужно обновить (пользователя или компьютера). Возможные значения: All (по умолчанию), Computer, User
-l LOGLEVEL, --loglevel LOGLEVEL
Установить уровень журналирования
-f, --force
Запустить gpupdate в системном режиме
-s, --system
Запустить gpupdate в системном режиме
Только root может указать любое имя пользователя для обновления. Пользователь может выполнять gpupdate только для машины или самого себя.
Примеры работы с командой gpupdate:
  • получить и применить настройки для текущей машины:
    $ gpupdate --target Computer
    Apply group policies for computer.
    
  • получить и применить настройки для текущего пользователя:
    $ gpupdate --target User
    Apply group policies for kudrin.
    
  • получить и применить настройки для текущего пользователя и машины:
    $ gpupdate
    Apply group policies for kudrin.
    
  • попытаться получить настройки для пользователя ivanov (с правами пользователя kudrin):
    $ gpupdate -u ivanov --target User --loglevel 0
    2024-06-10 17:17:18.113|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'USER'}
    2024-06-10 17:17:18.113|[W00002]| Текущий уровень привилегий не позволяет выполнить gpupdate для указанного пользователя. Будут обновлены настройки текущего пользователя.|{'username': 'kudrin'}
    2024-06-10 17:17:18.118|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
    2024-06-10 17:17:18.119|[D00900]| Неизвестный отладочный код|{'bus_name': 'ru.basealt.oddjob_gpupdate'}
    2024-06-10 17:17:18.119|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'kudrin'}
    2024-06-10 17:17:37.972|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
    Apply group policies for kudrin.
    
    
  • попытаться получить настройки для пользователя ivanov (с правами суперпользователя):
    # gpupdate -u ivanov --target User --loglevel 0
    2024-06-10 17:19:53.960|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'USER'}
    2024-06-10 17:19:53.978|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
    2024-06-10 17:19:53.979|[D00900]| Неизвестный отладочный код|{'bus_name': 'ru.basealt.oddjob_gpupdate'}
    2024-06-10 17:19:53.979|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'ivanov'}
    2024-06-10 17:20:13.852|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
    Apply group policies for ivanov.
    

Примечание

Изменения политик меняют версию в объекте ГП (GPO), gpupdate сравнивает версию и загружает только измененные политики.
Синтаксис команды gpupdate-setup:
gpupdate-setup [-h] действие …

Таблица 8.3. Опции команды gpupdate-setup

Ключ
Описание
list
Показать список доступных типов локальной политики
list-backends
Показать список доступных бэкэндов
status
Показать текущий статус групповой политики (действие по умолчанию)
enable
Включить подсистему групповой политики
disable
Отключить подсистему групповой политики
update
Обновить состояние. Проверяет в каком состоянии находилась служба gpupdate. В случае если служба gpupdate запущена, gpupdate-setup также запустит весь перечень необходимых служб (например, gpupdate-run-scripts)
write
Операции с групповыми политиками (включить, отключить, указать тип политики по умолчанию)
set-backend
Установить или изменить активную в данный момент серверную часть (бэкэнд)
default-policy
Показать название политики по умолчанию
active-policy
Показать название текущего профиля политики
active-backend
Показать текущий настроенный бэкэнд
Примеры работы с командой gpupdate-setup:
  • просмотр текущего состояния подсистемы групповых политик:
    # gpupdate-setup
    disabled
    
  • включение групповых политик (для включения через ЦУС доступен соответствующий графический модуль управления, а также отметка во время введения машины в домен см. раздел Модуль панели управления операционной системы для включения механизма применения конфигурации на клиентских машинах):
    # gpupdate-setup enable
    workstation
    Created symlink /etc/systemd/user/default.target.wants/gpupdate-user.service → /usr/lib/systemd/user/gpupdate-user.service.
    Created symlink /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service → /lib/systemd/system/gpupdate-scripts-run.service.
    Created symlink /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service → /usr/lib/systemd/user/gpupdate-scripts-run-user.service.
    Created symlink /etc/systemd/system/timers.target.wants/gpupdate.timer → /lib/systemd/system/gpupdate.timer.
    Created symlink /etc/systemd/user/timers.target.wants/gpupdate-user.timer → /usr/lib/systemd/user/gpupdate-user.timer.
    # control system-policy
    gpupdate
    
  • выключение групповых политик:
    # gpupdate-setup disable
    Removed /etc/systemd/system/multi-user.target.wants/gpupdate.service.
    Removed /etc/systemd/user/default.target.wants/gpupdate-user.service.
    Removed /etc/systemd/system/timers.target.wants/gpupdate.timer.
    Removed /etc/systemd/user/timers.target.wants/gpupdate-user.timer.
    Removed /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service.
    Removed /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service.
    
  • вывести список доступных бэкендов:
    # gpupdate-setup list-backends
    local
    samba
    
  • включить групповые политики и установить профиль политики по умолчанию server:
    # gpupdate-setup write enable server
    
По умолчанию, нет необходимости конфигурировать gpupdate. Однако в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:
  • раздел [gpoa]:
    • backend — способ получения настроек;
    • local-policy — профиль политики по умолчанию, который будет применен сразу после загрузки ОС (ad-domain-controller, workstation, server, default);
  • раздел [samba]:
    • dc — контроллер домена, с которого нужно обновлять групповые политики.
Пример, файла /etc/gpupdate/gpupdate.ini на контроллере домена:
[gpoa]
backend = samba
local-policy = ad-domain-controller
Пример, файла /etc/gpupdate/gpupdate.ini на рабочей станции:
[gpoa]
backend = samba
local-policy = workstation
В следующем примере указан пустой профиль локальной политики. Указать пустой профиль бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:
[gpoa]
backend = samba
local-policy = /usr/share/local-policy/default

[samba]
dc = dc1.test.alt

8.2. Локальная политика

Настройки локальной политики находятся в каталоге /usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и разворачивать её единообразно на всех клиентах. Формат шаблонов политик по умолчанию представляет собой архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

Таблица 8.4. Состав локальной политики

Параметры
Описание
Комментарий
sshd-gssapi-auth, ssh-gssapi-auth
Включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH (механизм Control)
Отвечает за возможность аутентификации в домене при доступе через SSH
sshd-allow-groups, sshd-allow-groups-list
Ограничение аутентификации на сервере OpenSSH по группам wheel и remote (механизм Control)
Необходимо для ограничения доступа через SSH для всех пользователей домена (только при наличии соответствующей привилегии)
system-policy
Применяет групповые политики при логине (механизм Control)
oddjobd.service
Включение oddjobd.service (механизм Systemd)
Необходимо для обеспечения возможности запуска gpupdate для пользователя с правами администратора
gpupdate.service
Включение gpupdate.service (механизм Systemd)
Необходимо для регулярного обновления настроек машины
sshd.service
Включение sshd.service (механизм Systemd)
Необходимо для обеспечения возможности удалённого администрирования
OpenSSH
Открытие порта 22
Необходимо для обеспечения возможности подключения по SSH на машинах при старте Firewall applier
Пример локальной политики (файл /usr/share/local-policy/workstation/Machine/Registry.pol.xml):
<?xml version="1.0" encoding="utf-8"?>
<PolFile num_entries="9" signature="PReg" version="1">
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>ssh-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups-list</ValueName>
        <Value>remote</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>system-policy</ValueName>
        <Value>gpupdate</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>oddjobd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>sshd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>gpupdate.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules</Key>
        <ValueName>OpenSSH</ValueName>
        <Value>v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|</Value>
    </Entry>
</PolFile>

8.3. Модули клиентской стороны (Applier)

На клиентский компьютер должны распространяться параметры политики, указанные в соответствующем объекте ГП.
Каждая группа параметров групповой политики обслуживается определенным модулем (Applier) клиентской стороны.

Таблица 8.5. Список модулей

Расширение клиентской стороны
Модуль
Описание
Управление control framework
control
Управляет фреймворком control. Может быть вызван только машинной политикой. Принцип работы — вызвать утилиту control с нужным параметром
Управление настройками службы Polkit
polkit
Управляет генерацией настроек PolicyKit. Работа с правилами PolicyKit ведется методом генерации файлов .rules
Управление настройками службы Polkit
polkit_user
Управляет генерацией настроек PolicyKit в контексте пользователя
Включение или выключение различных служб
systemd
Управление включением или выключением сервисов systemd. Данный applier реализован только для машин. Его функция — включение или выключение systemd units (при их наличии). Applier способен обрабатывать параметры, полученные из PReg файлов (через ADMX) в виде ветвей реестра
Настройка браузера Chromium
chromium
Генерирует файл политики для Chromium (policies.json). Данные настройки устанавливаются из ADMX-файлов для Chromium. Может быть вызван только машинной политикой
Настройка браузера Firefox
firefox
Генерирует файл политики для Firefox (policies.json). Данные настройки устанавливаются из ADMX-файлов для Firefox. Может быть вызван только машинной политикой
Настройка Яндекс.Браузера
yandex
Генерирует файл политики для Яндекс.Браузера (policies.json). Данные настройки устанавливаются из ADMX-файлов для Яндекс.Браузера. Может быть вызван только машинной политикой
Управление ярлыками запуска программ
shortcut
Управляет .desktop файлами (создание/удаление/замена)
Управление ярлыками запуска программ
shortcut_user
Управляет .desktop файлами в контексте пользователя. Способен реагировать на опцию выполнения операций в контексте администратора или пользователя
Управление подключением сетевых дисков
cifs
Управляет подключением сетевых дисков
Управление подключением сетевых дисков
cifs_user
Управляет подключением сетевых дисков в контексте пользователя
Управление каталогами файловой системы
folder
Управляет каталогами файловой системы (создание/удаление/пересоздание)
Управление каталогами файловой системы
folder_user
Управляет каталогами файловой системы в контексте пользователя
Управление файлами
files
Управляет файлами (создание/удаление/пересоздание)
Управление файлами
files_user
Управляет файлами в контексте пользователя
Управление INI-файлами
ini
Управляет INI-файлами (создание/удаление/пересоздание)
Управление INI-файлами
ini_user
Управляет INI-файлами в контексте пользователя
Управление переменными среды
envvar
Управляет переменными среды
Управление переменными среды
envvar_user
Управляет переменными среды в контексте пользователя
Управление общими каталогами
networkshare
Управляет общими каталогами
Управление общими каталогами
networkshare_user
Управляет общими каталогами в контексте пользователя
Управление gsettings (настройки графической среды Mate)
gsettings
Разворачивает системные настройки gsettings. Редактирование системных настроек осуществляется методом развертывания файлов с расширением .gschema.override (в формате INI) в директории с XML схемами. После разворачивания необходимо осуществить вызов glib-compile-schemas, для того чтобы настройки вступили в силу
Управление gsettings (настройки графической среды Mate)
gsettings_user
Устанавливает настройки gsettings для пользователя
Управление настройками графической среды KDE
kde
Средство управления настройками среды рабочего стола KDE
Управление настройками графической среды KDE
kde_user
Устанавливает настройки KDE в контексте пользователя
Управление пакетами
package
Средство работы с пакетным менеджером для установки и удаления пакетов программ
Управление пакетами
package_user
Управление пакетами в контексте пользователя
Управление logon-скриптами
scripts
Управление скриптами запуска и завершения работы компьютера, входа и выхода из системы пользователя
Управление logon-скриптами
scripts_user
Управление скриптами в контексте пользователя
Модель групповых политик вызывает Applier отвечающие за внесение изменений, согласно параметрам политики. Для выполнения настроек, указанных в параметрах групповой политики, расширения клиентской стороны изменяют конкретные параметры операционной системы. Изменения, внесённые в операционную систему при помощи модуля групповых политик, записываются в журналы событий.

8.4. Периодичность запуска групповых политик

Каждый фронтенд срабатывает на определённые ветки настроек. Запуск фронтенда для машины по умолчанию производится раз в час средством Systemd — gpupdate.timer. Запуск фронтенда для пользователя в административном контексте производится с помощью модуля pam_oddjob при входе в систему и далее раз в час (по умолчанию) также средством Systemd — gpupdate-user.timer.
Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).
Изменить периодичность запуска системного таймера можно, изменив значение параметра OnUnitActiveSec в файле /lib/systemd/system/gpupdate.timer:
[Unit]
Description=Run gpupdate every hour

[Timer]
OnStartupSec=60min
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target
По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера можно, выполнив команду:
# systemctl status gpupdate.timer
● gpupdate.timer - Run gpupdate every hour
     Loaded: loaded (/lib/systemd/system/gpupdate.timer; enabled; vendor preset: disabled)
     Active: active (waiting) since Mon 2024-06-10 16:39:44 EET; 5min ago
    Trigger: Mon 2024-06-10 17:29:17 EET; 43min left
   Triggers: ● gpupdate.service

июн 10 16:39:44 w2.test.alt systemd[1]: Started Run gpupdate every hour..
Изменить периодичность запуска пользовательского таймера можно, изменив значение параметра OnUnitActiveSec в файле /usr/lib/systemd/user/gpupdate-user.timer:
[Unit]
Description=Run gpupdate-user every hour

[Timer]
OnStartupSec=60min
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target
По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера можно, выполнив команду от имени пользователя:
$ systemctl --user status gpupdate-user.timer
● gpupdate-user.timer - Run gpupdate-user every hour
     Loaded: loaded (/usr/lib/systemd/user/gpupdate-user.timer; enabled; vendor preset: enabled)
     Active: active (waiting) since Mon 2024-06-10 16:29:32 EET; 10min ago
    Trigger: Mon 2024-06-10 17:29:32 EET; 49min left
   Triggers: ● gpupdate-user.service

июн 10 16:29:32 w2.test.alt systemd[3469]: Started Run gpupdate-user every hour.
Чтобы изменения, внесённые в файл /usr/lib/systemd/user/gpupdate-user.timer, вступили в силу следует выполнить команду:
$ systemctl --user daemon-reload

Примечание

Управлять периодичностью запуска gpupdate можно также через групповые политики (см. раздел Настройка периодичности запроса конфигураций).
Просмотреть список запущенных системных таймеров можно, выполнив команду:
$ systemctl list-timers
Просмотреть список запущенных пользовательских таймеров можно, выполнив команду:
$ systemctl --user list-timers

8.5. Ключи реестра

Ключи реестра, полученные из объектов групповой политики (GPO), хранятся в Dconf.
Машинные политики хранятся в файле /etc/dconf/db/policy.d/policy.ini, политики пользователя — в файле /etc/dconf/db/policy<UID>.d/policy<UID>.ini (где UID — идентификатор пользователя в системе).
Отследить какие политики «прилетели» на машину клиента можно, выполнив команду:
dconf dump /
При выполнении этой команды с правами доменного пользователя будут выведены машинные политики и политики данного пользователя, при выполнении с правами пользователя root будут выведены только машинные политики.
Пример результата выполнения команды dconf dump / с правами доменного пользователя:
$ dconf dump /
[SOFTWARE/Policies/Microsoft/WindowsFirewall/FirewallRules]
OpenSSH='v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|'

[Software/BaseALT/Policies/Control]
ssh-gssapi-auth='enabled'
sshd-allow-groups='enabled'
sshd-allow-groups-list='remote'
sshd-gssapi-auth='enabled'
system-policy='gpupdate'

[Software/BaseALT/Policies/ReadQueue/Machine]
0="('Local Policy', '/var/cache/gpupdate/local-policy', None)"
1="('Firefox', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{0CCFA74C-57F5-42B5-98E2-007D4A59C4C4}', 262148)"

[Software/BaseALT/Policies/ReadQueue/User]
0="('nm', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}', 131074)"

[Software/BaseALT/Policies/SystemdUnits]
gpupdate.service=1
oddjobd.service=1
sshd.service=1

[Software/Policies/Mozilla/Firefox]
DisableMasterPasswordCreation=1
PasswordManagerEnabled=1
ShowHomeButton=1

[Software/Policies/Mozilla/Firefox/Authentication]
SPNEGO="['.test.alt']"

[Software/Policies/Mozilla/Firefox/Homepage]
Locked=1
URL='https://basealt.ru'

[org/gnome/evolution-data-server]
migrated=true
network-monitor-gio-name=''

[org/mate/caja/window-state]
geometry='800x550+310+75'
maximized=false
start-with-sidebar=true
start-with-status-bar=true
start-with-toolbar=true

[org/mate/desktop/accessibility/keyboard]
bouncekeys-beep-reject=true
bouncekeys-delay=300
bouncekeys-enable=false
enable=false
feature-state-change-beep=false
mousekeys-accel-time=1200
mousekeys-enable=false
mousekeys-init-delay=160
mousekeys-max-speed=750
slowkeys-beep-accept=true
slowkeys-beep-press=true
slowkeys-beep-reject=false
slowkeys-delay=300
slowkeys-enable=false
stickykeys-enable=false
stickykeys-latch-to-lock=true
stickykeys-modifier-beep=true
stickykeys-two-key-off=true
timeout=120
timeout-enable=false
togglekeys-enable=false

[org/mate/desktop/session]
session-start=1718111448

[org/mate/mate-menu/plugins/applications]
last-active-tab=0

[org/mate/panel/general]
object-id-list=['menu-bar', 'show-desktop', 'workspace-switcher', 'window-list', 'notification-area', 'clock']
toplevel-id-list=['bottom']

[org/mate/panel/objects/clock]
applet-iid='ClockAppletFactory::ClockApplet'
locked=true
object-type='applet'
panel-right-stick=true
position=0
toplevel-id='bottom'

[org/mate/panel/objects/clock/prefs]
custom-format=''
format='24-hour'

[org/mate/panel/objects/menu-bar]
applet-iid='MateMenuAppletFactory::MateMenuApplet'
has-arrow=false
locked=true
object-type='applet'
position=0
toplevel-id='bottom'

[org/mate/panel/objects/notification-area]
applet-iid='NotificationAreaAppletFactory::NotificationArea'
locked=true
object-type='applet'
panel-right-stick=true
position=10
toplevel-id='bottom'

[org/mate/panel/objects/show-desktop]
applet-iid='WnckletFactory::ShowDesktopApplet'
locked=true
object-type='applet'
position=1
toplevel-id='bottom'

[org/mate/panel/objects/window-list]
applet-iid='WnckletFactory::WindowListApplet'
locked=true
object-type='applet'
position=20
toplevel-id='bottom'

[org/mate/panel/objects/workspace-switcher]
applet-iid='WnckletFactory::WorkspaceSwitcherApplet'
locked=true
object-type='applet'
position=10
toplevel-id='bottom'

[org/mate/panel/toplevels/bottom]
expand=true
orientation='bottom'
screen=0
size=28
y=836
y-bottom=0

[org/mate/terminal/profiles/default]
background-color='#2C2C2C2C2C2C'
background-darkness=0.94999999999999996
background-type='transparent'
bold-color='#000000000000'
foreground-color='#F5F5F5F5E4E4'
palette='#2E2E34343636:#CCCC00000000:#4E4E9A9A0606:#C4C4A0A00000:#34346565A4A4:#757550507B7B:#060698209A9A:#D3D3D7D7CFCF:#555557575353:#EFEF29292929:#8A8AE2E23434:#FCFCE9E94F4F:#72729F9FCFCF:#ADAD7F7FA8A8:#3434E2E2E2E2:#EEEEEEEEECEC'
use-theme-colors=false
visible-name='По умолчанию'

8.6. Утилита gpresult

GPResult (gpresult) отображает сведения о результирующе наборе групповых политик для текущего пользователя (для которого запущена сессия) на текущей машине.
Сведения о примененных групповых политиках генерируются из данных, полученных после последнего выполнения gpupdate. GPResult не вызывает утилиту gpupdate.
Синтаксис команды gpresult:
gpresult [-h] [-r] [-c] [-v] [-l] [-i POLICY_GUID] [-n POLICY_NAME] [-u] [-m]

Таблица 8.6. Опции команды gpresult

Ключ
Описание
-h, --help
Вывести справку о команде
-r, --raw
Формат вывода: отображение ключей и значений
-c, --common
Формат вывода: отображение сведений о системе и имен групповых политик
-v, --verbose
Формат вывода: отображение подробных сведений о групповых политиках
-l, --list
Формат вывода: форматированное отображение имен групповых политик и их GUID
-i POLICY_GUID, --policy_guid POLICY_GUID
Получить информацию о примененных ключах и значениях политики по GUID
-n POLICY_NAME, --policy_name POLICY_NAME
Получить информацию о примененных ключах и значениях политики по имени
-u, --user
Отобразить информацию для текущего пользователя
-m, --machine
Отобразить информацию для текущей машины

Примечание

Опция -l не применяется с опциями -i и -n. Опция -l может использоваться вместе с опцией -r – вывод не будет форматированным. Имя GPO и GUID разделяются одним пробелом. Без выбора опции формата вывода по умолчанию используется -v.

Примечание

GUID групповой политики можно передавать как в фигурных скобках, так и без: {1BA9EB0C-7B29-49CC-813D-75D8701FC221} и 1BA9EB0C-7B29-49CC-813D-75D8701FC221
Примеры работы с командой gpresult:
  • получить полный отчет о примененных ГП для пользователя и машины:
    $ gpresult -v
    Отчет сформирован 23-09-2024 14:17
    
    Результирующий набор политик
    ----------------------------
        Операционная система:    ALT
        Версия ОС:               10.4 (SorbaroniaMitschurinii)
    
    ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
    --------------------------
        Примененные Объекты Групповой Политики
        --------------------------------------
            GPO                nm
            Path               /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
            Version            196611
            GUID               {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
            Keys and values   /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network    Yes
    
    МАШИННЫЕ НАСТРОЙКИ
    ------------------
        Примененные Объекты Групповой Политики
        --------------------------------------
            GPO                Local Policy
            Path               /var/cache/gpupdate/local-policy
            Version            -
            GUID               -
            Keys and values   /SOFTWARE/Policies/Microsoft/WindowsFirewall/FirewallRules/OpenSSH    v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|
                              /Software/BaseALT/Policies/Control/ssh-gssapi-auth                    enabled
                              /Software/BaseALT/Policies/Control/sshd-allow-groups                  enabled
                              /Software/BaseALT/Policies/Control/sshd-allow-groups-list             remote
                              /Software/BaseALT/Policies/Control/sshd-gssapi-auth                   enabled
                              /Software/BaseALT/Policies/Control/system-policy                      gpupdate
                              /Software/BaseALT/Policies/SystemdUnits/gpupdate.service              1
                              /Software/BaseALT/Policies/SystemdUnits/oddjobd.service               1
                              /Software/BaseALT/Policies/SystemdUnits/sshd.service                  1
    
            GPO                nm
            Path               /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
            Version            196611
            GUID               {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
            Keys and values   /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network         Auth_admin
                              /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.settings.modify.system         No
                              /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.enable-disable-network    0
                              /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.settings.modify.system    0
    
            GPO                KDE
            Path               /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{A12547D7-2FFA-4E37-9382-D6767489E3DF}
            Version            393226
            GUID               {A12547D7-2FFA-4E37-9382-D6767489E3DF}
            Keys and values   /Software/BaseALT/Policies/GPUpdate/GlobalExperimental                                 1
                              /Software/BaseALT/Policies/GPUpdate/KdeApplierUser                                     1
                              /Software/BaseALT/Policies/KDE/baloofilerc/Basic Settings/Indexing-Enabled             0
                              /Software/BaseALT/Policies/KDE/baloofilerc/General/index hidden folders                1
                              /Software/BaseALT/Policies/KDE/baloofilerc/General/only basic indexing                 1
                              /Software/BaseALT/Policies/KDE/kwinrc/Windows/FocusPolicy                              FocusFollowsMouse
                              /Software/BaseALT/Policies/KDE/kwinrc/Windows/NextFocusPrefersMouse                    1
                              /Software/BaseALT/Policies/KDE/plasma-localerc/Formats/LANG                            ru_RU.UTF-8
                              /Software/BaseALT/Policies/KDE/plasma-localerc/Translation/LANGUAGE                    ru
                              /Software/BaseALT/Policies/KDELocks/baloofilerc.Basic Settings.Indexing-Enabled        1
                              /Software/BaseALT/Policies/KDELocks/kwinrc.Windows.FocusPolicy                         1
                              /Software/BaseALT/Policies/KDELocks/plasma-localerc.Formats.LANG                       1
                              /Software/BaseALT/Policies/KDELocks/plasma-localerc.Translation.LANGUAGE               0
                              /Software/BaseALT/Policies/Polkit/org.freedesktop.packagekit.package-reinstall         No
                              /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.packagekit.package-reinstall    0
    
  • получить полный отчет о примененных ГП для текущего пользователя:
    $ gpresult -v -u
    Отчет сформирован 29-11-2024 15:45
    
    Результирующий набор политик
    ----------------------------
        Операционная система:    ALT Workstation
        Версия ОС:               10.4 (Autolycus)
        Локальный профиль:       /home/TEST.ALT/ivanov
    
    ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
    --------------------------
        Примененные Объекты Групповой Политики
        --------------------------------------
            GPO                 Ярлыки
            Путь                /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{84852039-C31A-4C14-97C7-AC98810083B0}
            Версия              65537
            GUID                {84852039-C31A-4C14-97C7-AC98810083B0}
            Ключи и значения    -
            Настройки           -
    
            GPO                 Default Domain Policy
            Путь                /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{31B2F340-016D-11D2-945F-00C04FB984F9}
            Версия              0
            GUID                {31B2F340-016D-11D2-945F-00C04FB984F9}
            Ключи и значения    -
            Настройки           -
    
            GPO                 Control
            Путь                /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{653398BD-1EC1-4059-892C-2577B4D03669}
            Версия              0
            GUID                {653398BD-1EC1-4059-892C-2577B4D03669}
            Ключи и значения    -
            Настройки           -
    
  • вывести список (примененных) имен групповых политик и их GUID:
    $ gpresult -l
    Local Policy    -
    nm              {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
    KDE             {A12547D7-2FFA-4E37-9382-D6767489E3DF}
    
  • получить информацию о примененных ключах групповой политики по GUID:
    $ gpresult -c -i 6F65CD4D-9209-4A81-9801-17A35CEE5CFD
    /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network         Auth_admin
    /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.settings.modify.system         No
    /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.enable-disable-network    0
    /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.settings.modify.system    0
    
  • получить информацию о примененных ключах групповой политики по имени политики:
    $ gpresult -c -n KDE
    /Software/BaseALT/Policies/GPUpdate/GlobalExperimental                                 1
    /Software/BaseALT/Policies/GPUpdate/KdeApplierUser                                     1
    /Software/BaseALT/Policies/KDE/baloofilerc/Basic Settings/Indexing-Enabled             0
    /Software/BaseALT/Policies/KDE/baloofilerc/General/index hidden folders                1
    /Software/BaseALT/Policies/KDE/baloofilerc/General/only basic indexing                 1
    /Software/BaseALT/Policies/KDE/kwinrc/Windows/FocusPolicy                              FocusFollowsMouse
    /Software/BaseALT/Policies/KDE/kwinrc/Windows/NextFocusPrefersMouse                    1
    /Software/BaseALT/Policies/KDE/plasma-localerc/Formats/LANG                            ru_RU.UTF-8
    /Software/BaseALT/Policies/KDE/plasma-localerc/Translation/LANGUAGE                    ru
    /Software/BaseALT/Policies/KDELocks/baloofilerc.Basic Settings.Indexing-Enabled        1
    /Software/BaseALT/Policies/KDELocks/kwinrc.Windows.FocusPolicy                         1
    /Software/BaseALT/Policies/KDELocks/plasma-localerc.Formats.LANG                       1
    /Software/BaseALT/Policies/KDELocks/plasma-localerc.Translation.LANGUAGE               0
    /Software/BaseALT/Policies/Polkit/org.freedesktop.packagekit.package-reinstall         No
    /Software/BaseALT/Policies/PolkitLocks/org.freedesktop.packagekit.package-reinstall    0
    
    где KDE — имя групповой политики.

Глава 9. Модуль удаленного управления базой данных конфигурации (ADMC)

9.1. Запуск ADMC
9.2. Интерфейс ADMC
9.3. Свойства объектов
9.4. Выбор контейнера
9.5. Управление пользователями
9.5.1. Создание учётной записи пользователя
9.5.2. Изменение учётной записи пользователя
9.6. Управление контактами
9.6.1. Создание контакта
9.6.2. Изменение свойств контакта
9.7. Управление группами
9.7.1. Создание группы
9.7.2. Изменение группы
9.8. Управление компьютерами
9.8.1. Создание учётной записи компьютера
9.8.2. Изменение учётной записи компьютера
9.9. Управление подразделениями
9.9.1. Создание подразделения
9.9.2. Изменение подразделения
9.10. Управление объектами парольных настроек
9.10.1. Создание объекта парольных настроек
9.10.2. Изменение объекта парольных настроек
9.11. Управление общими папками
9.12. Управление объектами групповых политик
9.12.1. Создание объекта групповой политики
9.12.2. Изменение объекта групповой политики
9.12.3. Блокирование наследования
9.12.4. Фильтрация безопасности ГП
9.13. Добавление/Удаление UPN суффиксов
9.14. Роли FSMO
9.15. Выбор объектов
9.16. Поиск объектов
9.16.1. Простой поиск
9.16.2. Обычный поиск
9.16.3. Продвинутый поиск
9.17. Использование сохранённых результатов поиска
Компонент удаленного управления базой данных конфигурации (далее — ADMC) предназначен для управления:
  • объектами в домене (пользователями, группами, компьютерами, подразделениями);
  • групповыми политиками.
ADMC позволяет:
  • создавать и администрировать учётные записи пользователей, компьютеров и групп;
  • менять пароли пользователя;
  • создавать организационные подразделения, для структурирования и выстраивания иерархической системы распределения учётных записей в AD;
  • просматривать и редактировать атрибуты объектов;
  • создавать и просматривать объекты групповых политик;
  • выполнять поиск объектов по разным критериям;
  • сохранять поисковые запросы;
  • переносить поисковые запросы между компьютерами (выполнять экспорт и импорт поисковых запросов).
В ADMC реализована функция поиска объектов групповых политик.

9.1. Запуск ADMC

Запуск ADMC осуществляется из меню запуска приложений: пункт СистемныеADMC или из командной строки (команда admc).

Примечание

Для использования ADMC необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:
$ kinit administrator

9.2. Интерфейс ADMC

Интерфейс ADMC
Включить/выключить отображение панелей можно, отметив соответствующий пункт в меню Вид:
ADMC. Меню «Вид»
  • Журнал сообщений — показать/скрыть панель журнала. В панели журнала отображаются сообщения о статусе приложения. Эти сообщения содержат отчеты обо всех выполненных действиях над объектами:
    Панель журнала ADMC
  • Панель инструментов — показать/скрыть панель инструментов;
    Панель инструментов ADMC
  • Дерево консоли — показать/скрыть панель дерева объектов Active Directory. Панель дерева объектов Active Directory отображается слева, в правой панели будут отображаться сведения о выбранном объекте. По умолчанию дерево показывает объекты типа «контейнер»:
    Панель дерева объектов Active Directory
  • Область описания — выводить описание контейнера. В области описания отображается название контейнера и количество объектов в контейнере:
    Область описания
В меню ВидТема можно выбрать тему значков:
ADMC. Выбор темы

Примечание

Системная тема берётся из каталога /usr/share/icons, пользовательские темы берутся по умолчанию из каталога /usr/share/ad-integration. Каталоги с темами определяются по наличию в них файла index.theme и могут быть символическими ссылками.
В меню Настройки можно изменить параметры ADMC:
ADMC. Меню «Настройки»
  • Дополнительные возможности — показывать расширенные объекты и элементы приложения;
  • Подтверждать действия — выводить окно Подтвердить действие при выполнении потенциально опасных действий, например, удалении объекта:
    Окно подтверждения действия
  • Ставить фамилию перед именем — изменить формат полного имени (поле «cn») по умолчанию на «Фамилия Имя»;
  • Вносить информацию о поиске в журнал сообщений — вносить в журнал поисковые запросы;
  • Метки времени в журнале сообщений — показывать в журнале время события;
  • Показывать неконтейнерные объекты в дереве консоли — показывать неконтейнерные объекты (например, учётные записи пользователей и компьютерные учётные записи) в панели дерева объектов Active Directory;
  • Загрузить необязательные атрибуты — позволяет загрузить значения необязательных атрибутов на вкладке Атрибуты в окне свойств пользователя;
  • Язык — выбрать язык интерфейса (русский или английский).
Выбранные параметры сохраняются и восстанавливаются при каждом запуске программы.
При выборе корневого элемента в дереве консоли будет отображена информация о домене: дерево с сайтами, контроллерами домена и ролями FSMO. Данный виджет также содержит версию контроллера домена, количество сайтов и контроллеров домена, режимы работы домена и леса, версию схемы домена:
ADMC. Информация о домене
Роли FSMO:
ADMC. Роли FSMO
Меню операций с объектом открывается из строки меню (пункт Действие) после выбора объекта:
ADMC. Меню «Действие»→«Создать»
или в контекстном меню объекта:
ADMC. Контекстное меню контейнера
Меню операций содержит действия, применимые к выделенному объекту.

9.3. Свойства объектов

Существует два режима работы ADMC: обычный и расширенный режим. При включении расширенного режима (НастройкиДополнительные возможности) в свойствах всех объектов появляются дополнительно две вкладки: Атрибуты и Объект. Для объекта пользователь также появляется вкладка Безопасность.
Окно Учетная запись пользователя – Свойства в расширенном режиме:
Окно «Учетная запись пользователя – свойства – ADMC»
По умолчанию отображается вкладка Общее.

Таблица 9.1. Назначение вкладок окна «Свойства учётной записи пользователя»

Вкладка
Описание
Расширенный режим
Общее
Основная вкладка, содержащая информацию, идентифицирующую личность пользователя, которой соответствует данная учётная запись
-
Учётная запись
Характеристики учётной записи пользователя, настройка правил регистрации в сети
-
Адрес
Почтовый адрес пользователя
-
Организация
Данные о сотруднике согласно штатному расписанию
-
Телефоны
Настройка телефонии
-
Группы
Управление членством в группах безопасности
-
Атрибуты
Список атрибутов объекта
+
Объект
Информация об объекте
+
Делегирование
-
Безопасность
Права доступа к объекту
+
Во вкладке Общее задаются личные данные сотрудника и его контактная информация: телефоны, размещение, адрес электронной почты и др. Вкладка Общее отображается по умолчанию при вызове свойств учётной записи любого объекта AD. В качестве значений параметров указаны названия соответствующих им полей в AD.

Таблица 9.2. Соответствие параметров на вкладке «Общее» полям в AD

Поле на вкладке Общее
Примечание
Поле в Active Directory
Тип
Полное имя
Во вкладке Общее значение этого поля изменить нельзя
cn, name
Юникод
Описание
description
Юникод
Имя
givenName
Юникод
Фамилия
sn
Юникод
Отображаемое имя
Значение этого параметра складывается из значений трёх параметров: First Name, Initials и Last Name
diplayName
Юникод
Инициалы
Длина не более 6 символов
initials
Юникод
Электронная почта
Автоматически заполняемое поле в соответствии с форматом UPN (RFC 822) при создании почтового ящика для учётной записи пользователя. По умолчанию поле пустое
mail
Юникод
Расположение офиса
Указывается физическое месторасположение пользователя: комната, офис и т.д.
physicalDeliveryOfficeName
Юникод
Номер телефона
telephoneNumber
Юникод
Другие телефоны
Можно задать, нажав кнопку Другие…
otherTelephone
Юникод
Адрес веб-страницы
wWWHomePage
Юникод
Другие адреса веб-страниц
Можно задать, нажав кнопку Другие…
url
Юникод
Во вкладке Учетная запись сосредоточены настройки, характеризующие правила доступа пользователя к сети, включая имя входа в сеть:
Вкладка «Учетная запись»

Таблица 9.3. Соответствие параметров на вкладке «Учетная запись» полям в AD

Поле на вкладке Учетная запись
Примечание
Поле в Active Directory
Тип
Имя для входа
Имя пользователя для входа (логин пользователя)
userPrincipalName
Юникод
Разблокировать учётную запись
Позволяет разблокировать учётную запись пользователя, если она была заблокирована, например, из-за слишком большого количества неудачных попыток входа
userAccountControl = 16
Целое число
Срок действия учётной записи
Дата отключения учётной записи (по умолчанию Никогда — неограниченный срок действия). Если нужно задать дату окончания срока действия учётной записи пользователя, следует выбрать Конец и затем выбрать дату
accountExpires
Большое целое число
Время входа…
Часы, в которые пользователю разрешено выполнять вход в домен
logonHours
Октет
Учетная запись отключена (ACCOUNTDISABLE)
Если эта опция включена, пользователь не сможет войти в систему
userAccountControl = 0x0002 (2)
Целое число
Пользователь не может изменить пароль (PASSWD_CANT_CHANGE)
userAccountControl = 0x0040 (64)
Целое число
Пользователь должен сменить пароль при следующем входе в систему
pwdLastSet
Большое целое число
Пароль не истекает (DONT_EXPIRE_PASSWORD)
Срок действия пароля для этой учётной записи никогда не истечет
userAccountControl = 0x10000 (65536)
Целое число
Хранить пароль с использованием обратимого шифрования (ENCRYPTED_TEXT_PWD_ALLOWED)
Для шифрования ключей использовать DES-шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности
userAccountControl = 0x0080 (128)
Целое число
Смарт-карта необходима для интерактивного входа в систему (SMARTCARD_REQUIRED)
Пользователь должен войти в систему с помощью смарт-карты
userAccountControl = 0x40000 (262144)
Целое число
Учетная запись является конфиденциальной и не может быть делегирована (NOT_DELEGATED)
Пользователю нельзя доверять делегирование полномочий
userAccountControl = 0x100000 (1048576)
Целое число
Использовать Kerberos DES тип шифрования для этой учётной записи (USE_DES_KEY_ONLY)
Ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей
userAccountControl = 0x200000 (2097152)
Целое число
Не требовать предварительной аутентификации Kerberos (DONT_REQ_PREAUTH)
Для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos
userAccountControl = 0x400000 (4194304)
Целое число
Доверять делегирование (TRUSTED_FOR_DELEGATION)
Учетная запись пользователя или компьютера, под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу
userAccountControl = 0x80000 (524288)
Целое число

Примечание

userAccountControl — атрибут управления учётной записью пользователя. Значение атрибута userAccountControl, образуется путем суммирования всех установленных значений. В таблице приведены только те значения, которые можно изменить явным образом на вкладках Учетная запись и Делегирование. Значения UserAccountControl по умолчанию для определенных объектов:
  • обычный пользователь (NORMAL_ACCOUNT): 0x200 (512);
  • контроллер домена (SERVER_TRUST_ACCOUNT): 0x2000 (8192);
  • рабочая станция или сервер (WORKSTATION_TRUST_ACCOUNT): 0x1000 (4096).
На вкладке Группы формируется список групп, членом которых является текущий пользователь. Здесь также можно назначить основную группу (Primary Group). Для управления членством пользователя в группах безопасности AD используются две кнопки, находящиеся под списком групп, членами которой является пользователь: Добавить и Удалить. По умолчанию пользователь входит в группу Domain Users.
Вкладка «Группы»
На вкладке Делегирование доступно два параметра:
  • Не доверять делегирование — запрещение делегирования услуг;
  • Доверять делегирование любых служб с использованием Kerberos — задает возможность делегирования услуг только с помощью протокола Kerberos.
Вкладка «Делегирование»

Примечание

Протокол проверки подлинности Kerberos — это основной протокол безопасности для проверки подлинности в домене. Он проверяет подлинность пользователя и системы.
Каждому объекту в сети назначается набор данных об управлении доступом. Этот набор данных определяет, какой тип доступа разрешается пользователям и группам. Управление разрешениями для выбранного объекта доступно на вкладке Безопасность:
Вкладка «Безопасность»
В поле Разрешения отображается список действующих разрешений и запретов для каждой выбранной группы. Чтобы установить разрешения для группы, которая отсутствует в списке можно воспользоваться кнопкой Добавить… или Добавить известное доверенное лицо….
Для тонкого редактирования свойств объектов AD (пользователей, компьютеров, групп) можно воспользоваться вкладкой Атрибуты:
Вкладка «Атрибуты»
Эту вкладку можно использовать для просмотра и редактирования атрибутов, недоступных через другие вкладки окна Свойства объекта (например, для просмотра значений неизменяемых атрибутов).
Содержимое окна редактирования атрибута зависит от типа атрибута. Окно редактирования атрибута целого типа:
Изменение значения целочисленного атрибута
Окно редактирования атрибута логического типа:
Изменение значение атрибута логического типа
Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например, значение атрибута lastLogon или lastLogonTimestamp (информация о времени последнего входа пользователя в домен) во вкладке Атрибуты и в окне редактирования атрибута отображается в формате «Дата Время», хотя время хранится в виде большого целого числа, представляющего число 100-наносекундных интервалов с 1 января 1601 (UTC):
Атрибут lastLogonTimestamp
Кнопка Загрузить необязательные атрибуты позволяет загрузить значения необязательных атрибутов:
Необязательные атрибуты
Кнопка Фильтр позволяет управлять отображением списка атрибутов:
  • Без значения — показывать пустые атрибуты;
  • Только для чтения — показывать все атрибуты, в том числе те, на правку которых нет полномочий. Если снять отметку с этого пункта, будут показаны только те атрибуты, на правку которых делегированы полномочия (например, если у пользователя нет полномочий на изменение атрибутов данного объекта, список атрибутов будет пуст);
  • Обязательные — показывать обязательные атрибуты;
  • Необязательные — показывать необязательные (дополнительные) атрибуты;
  • Системные — показывать системные атрибуты, которые может изменять только сервер AD (например, objectClass);
  • Сконструированные — показывать атрибуты, которые не хранятся в каталоге, но вычисляются контроллером домена (например, canonicalName);
  • Обратные ссылки — показывать связанные атрибуты (например, memberOf).
Управление отображением списка атрибутов

9.4. Выбор контейнера

При перемещении объекта в новый контейнер (пункт Переместить… в контекстном меню объекта) открывается окно, в котором можно выбрать контейнер, в который следует переместить объект.
Диалоговое окно выбора контейнера

9.5. Управление пользователями

Учетная запись пользователя AD:
  • удостоверяет личность пользователя;
  • разрешает или запрещает доступ к ресурсам домена.
В ADMC предусмотрена возможность создания новых учётных записей пользователей в доменных службах AD и управления существующими учётными записями пользователей.

Примечание

Для доступа к некоторым операциям необходимо быть членом одной из этих групп: Account Operators, Domain Admins, Enterprise Admins.

Примечание

Объект InetOrgPerson является производным от класса пользователь (user). Он может работать в качестве субъекта безопасности так же, как и объект класса пользователь. Для создания учётной записи InetOrgPerson в контекстном меню контейнера следует выбрать пункт СоздатьinetOrgPerson.

9.5.1. Создание учётной записи пользователя

Для создания учётной записи пользователя в контекстном меню контейнера следует выбрать пункт СоздатьПользователь. Окно мастера создания учётной записи пользователя:
Создание нового пользователя
При создании учётной записи пользователя можно указать следующие параметры (атрибуты):
  • Имя — имя пользователя;
  • Фамилия — фамилия пользователя;
  • Полное имя — полное имя пользователя (в это поле можно добавить отчество или поменять имя и фамилию местами);
  • Инициалы — инициалы пользователя;
  • Имя для входа — имя пользователя для входа (логин пользователя). В раскрывающемся списке перечисляются доступные суффиксы основного имени пользователя (UPN), которые можно использовать для создания имени пользователя для входа. Список содержит полное имя системы доменных имен (DNS) текущего домена и все альтернативные суффиксы UPN:
    Список доступных суффиксов основного имени пользователя (UPN)
  • Имя для входа (до Windows 2000) — имя пользователя для входа в старые системы (пред-Windows 2000);
  • Пароль/Подтвердите пароль — пароль пользователя;
  • Пользователь должен сменить пароль при следующем входе в систему — пользователь должен изменить пароль при следующем входе в систему. Если эта опция включена, только пользователь будет знать свой пароль;
  • Пользователь не может изменить пароль — предотвращает изменение пароля пользователем;
  • Пароль не истекает — установить бессрочный пароль. Если эта опция включена, срок действия учётной записи пользователя не ограничен (по умолчанию срок действия пароля задан атрибутом minPwdAge);
  • Учетная запись отключена — отключить учётную запись пользователя. Если эта опция включена, пользователь не сможет войти в систему.

Примечание

Для совместимости с доменами пред-Windows 2000 (Windows NT) в AD задается два имени пользователя, значения которых имеют разный формат. Первое имя, используемое в доменах Window 2k, — UPN-имя, которому в AD соответствует поле userPrincipalName, имеющее формат user@domain, где domain — DNS-имя домена, например, TEST.ALT; user — имя пользователя в сети. Для удобства назначения имен UPN-имя разделено на две части (префикс UPN и суффикс UPN). Второе задаваемое имя пользователя — SAM-имя, которое используется для совместимости в доменах Windows NT. Структура SAM-имени следующая: domain\user, где domain — сокращенное имя домена, например, TEST; user — имя пользователя. В AD хранится только имя пользователя в поле samAccountName. Первая часть SAM-имени однозначно вычисляется из DNS-имени домена.
По умолчанию суффиксом основного имени (UPN) для учётной записи пользователя является DNS имя домена AD, которое содержит учётную запись пользователя. Для упрощения процессов администрирования и входа пользователя в систему можно добавить альтернативные суффиксы UPN.

9.5.2. Изменение учётной записи пользователя

Для изменения учётной записи пользователя следует в контекстном меню пользователя выбрать соответствующее действие:
Контекстное меню пользователя
Для добавления пользователя в группу:
  1. В контекстном меню пользователя выбрать пункт Добавить в группу….
  2. В открывшемся окне выбрать группы, в которые следует добавить учётную запись пользователя в качестве участника:
    Диалоговое окно «Добавить в группу – ADMC»
  3. Нажать кнопку ОК.
Для переименования пользователя:
  1. В контекстном меню пользователя выбрать пункт Переименовать.
  2. В открывшемся окне, если необходимо, изменить соответствующие поля:
    ADMC. Переименование пользователя
  3. Нажать кнопку ОК для сохранения изменений.
Для изменения пароля пользователя:
  1. В контекстном меню пользователя выбрать пункт Сбросить пароль.
  2. В открывшемся окне ввести новый пароль и подтвердить его:
    ADMC. Изменение пароля пользователя
  3. Если необходимо, чтобы пользователь изменил этот пароль при следующем входе в систему, установить отметку Пользователь должен изменить пароль при следующем входе в систему.
  4. Установить отметку Разблокировать учётную запись, если необходимо разблокировать учётную запись пользователя.
  5. Нажать кнопку ОК для сохранения изменений.
Для перемещения пользователя в другой контейнер:
  1. В контекстном меню пользователя выбрать пункт Переместить….
  2. В открывшемся окне выбрать контейнер, в который следует переместить учётную запись пользователя:
    ADMC. Диалоговое окно выбора контейнера
  3. Нажать кнопку ОК.
Для включения/отключения учётной записи пользователя необходимо в контекстном меню пользователя выбрать пункт Отключить или Включить (в зависимости от состояния учётной записи будет доступно одно из этих действий).
Чтобы разблокировать учётную запись пользователя:
  1. В контекстном меню пользователя выбрать пункт Свойства.
  2. В открывшемся окне на вкладке Учетная запись отметить пункт Разблокировать учётную запись:
    ADMC. Разблокировать учётную запись пользователя
  3. Нажать кнопку ОК или Применить.
Для удаления учётной записи пользователя следует в контекстном меню пользователя выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, пользователь будет удален сразу после выбора пункта меню Удалить.
Для того чтобы найти группы, участником которых является пользователь:
  1. В контекстном меню пользователя выбрать пункт Свойства.
  2. В открывшемся окне на вкладке Группы будут отображаться группы, в которые входит данный пользователь:
    ADMC. Вкладка «Группы»

9.6. Управление контактами

Контакт предназначен для хранения информации о пользователях, которым не требуется регистрация в домене.

9.6.1. Создание контакта

Для создания контакта в контекстном меню контейнера следует выбрать пункт СоздатьКонтакт. Окно мастера создания контакта:
Создание нового контакта
При создании контакта можно указать следующие параметры (атрибуты):
  • Имя — имя пользователя;
  • Фамилия — фамилия пользователя;
  • Инициалы — инициалы пользователя;
  • Полное имя — полное имя пользователя (в это поле можно добавить отчество или поменять имя и фамилию местами);
  • Отображаемое имя — имя, отображаемое в адресной книге для определенной учётной записи.

9.6.2. Изменение свойств контакта

Для изменения учётной записи пользователя следует в контекстном меню контакта выбрать соответствующее действие:
Контекстное меню контакта
Вкладки Общие, Адрес, Телефоны и Организация в окне Свойства контакта идентичны соответствующим вкладкам окна Свойства учётной записи пользователя.
На вкладке Группы можно, по аналогии с учётными записями пользователей, указать, членом каких групп является контакт. Возможность членства в группах не даёт контакту никаких прав в рамках домена и предназначена для организации групп рассылки. Для контакта нельзя указать основную группу, так как это не требуется для функционирования групп рассылки.

9.7. Управление группами

Группа состоит из учётных записей пользователей и компьютеров, контактов и других групп и может управляться как единое целое. Пользователи и компьютеры, входящие в определённую группу, являются членами группы.
Группы характеризуются областью действия и типом. Область действия группы определяет пределы применения группы внутри домена или леса. Тип группы определяет возможность использования группы для назначения разрешений с ресурса общего доступа (для групп безопасности) или только для списков рассылки электронной почты (для групп рассылки).

9.7.1. Создание группы

Для создания группы следует в контекстном меню контейнера выбрать пункт СоздатьГруппа. Окно мастера создания группы:
Создание новой группы
При создании группы можно указать следующие параметры (атрибуты):
  • Имя — название группы;
  • Имя группы (до Windows 2000) — название группы для старых систем (пред-Windows 2000);
  • Область группы — область действия группы:
    • Глобальная — членами глобальной группы могут быть другие группы и учётные записи только из того домена, в котором определена группа. Членам этой группы разрешения могут назначаться в любом домене леса;
    • Домен локальная — членам такой группы разрешения могут назначаться только внутри домена (доступ к ресурсам одного домена);
    • Универсальная — членами универсальных групп могут быть другие группы и учётные записи из любого домена дерева доменов или леса. Членам такой группы разрешения могут назначаться в любом домене дерева доменов или леса;
  • Тип группы — тип группы:
    • Безопасность — используется для назначения разрешений доступа к общим ресурсам;
    • Рассылка — используется для создания списков рассылки электронной почты.

9.7.2. Изменение группы

Для изменения группы следует в контекстном меню группы выбрать соответствующее действие:
Контекстное меню группы
Для добавления группы в другую группу:
  1. В контекстном меню группы выбрать пункт Добавить в группу….
  2. В открывшемся окне выбрать группы, в которые следует добавить данную группу в качестве участника:
    Диалоговое окно «Добавить в группу – ADMC»
  3. Нажать кнопку ОК.
Для перемещения группы в другой контейнер:
  1. В контекстном меню группы выбрать пункт Переместить….
  2. В открывшемся окне выбрать контейнер, в который следует переместить группу:
    ADMC. Диалоговое окно выбора контейнера
  3. Нажать кнопку ОК.
Для переименования группы:
  1. В контекстном меню группы выбрать пункт Переименовать.
  2. В открывшемся окне, если необходимо, изменить соответствующие поля:
    ADMC. Переименование группы
  3. Нажать кнопку ОК для сохранения изменений.
Для удаления группы следует в контекстном меню группы выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, группа будет удалена сразу после выбора пункта меню Удалить.
Для того чтобы добавить участников в группу:
  1. В контекстном меню группы выбрать пункт Свойства.
  2. В открывшемся диалоговом окне на вкладке Участники нажать кнопку Добавить…:
    ADMC. Свойства группы. Вкладка «Участники»
  3. Выбрать объекты, которые необходимо добавить в группу:
    Диалоговое окно «Добавить участника – ADMC»
  4. Нажать кнопку ОК.
  5. Нажать кнопку ОК или Применить для сохранения изменений.
Для изменения области действия/типа группы:
  1. В контекстном меню группы выбрать пункт Свойства.
  2. В открывшемся диалоговом окне на вкладке Общее в выпадающем списке Тип группы выбрать тип группы, в выпадающем списке Область группы выбрать область действия группы:
    ADMC. Изменение типа/области действия группы
  3. Нажать кнопку ОК или Применить для сохранения изменений.

9.8. Управление компьютерами

Учетные записи компьютеров представляют собой устройства, подключенные к AD. Они хранятся в базе данных AD после того, как их подключат к домену.

9.8.1. Создание учётной записи компьютера

Учетная запись компьютера создается во время стандартной процедуры присоединения к домену.
Для создания вручную учётной записи компьютера следует в контекстном меню контейнера выбрать пункт СоздатьКомпьютер. Окно мастера создания учётной записи компьютера:
Создание учётной записи компьютера
При создании учётной записи компьютера необходимо указать название компьютера (поле Имя) и название компьютера для старых систем (поле Имя для входа (до Windows 2000)).

9.8.2. Изменение учётной записи компьютера

Для изменения учётной записи компьютера следует в контекстном меню компьютера выбрать соответствующее действие:
Контекстное меню компьютера
Для включения/отключения учётной записи компьютера необходимо в контекстном меню компьютера выбрать пункт Отключить или Включить (в зависимости от состояния учётной записи будет доступно одно из этих действий).
Для сброса учётной записи компьютера следует в контекстном меню компьютера выбрать пункт Сбросить учётную запись. При этом учётная запись выбранного компьютера будет переустановлена. Переустановка учётной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.
Для перемещения компьютера в другой контейнер:
  1. В контекстном меню компьютера выбрать пункт Переместить….
  2. В открывшемся окне выбрать контейнер, в который следует переместить учётную запись компьютера:
    ADMC. Диалоговое окно выбора контейнера
  3. Нажать кнопку ОК.
Для удаления учётной записи компьютера следует в контекстном меню компьютера выбрать пункт Удалить.

Предупреждение

Если в настройках ADMC не отмечен пункт Подтверждать действия, компьютер будет удалён сразу после выбора пункта меню Удалить.

9.9. Управление подразделениями

Организационная единица или, подразделение (Organizational Unit, OU) — это субконтейнер в AD, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделение — самая маленькая область или единица, для которой можно назначить параметры групповой политики. Подразделения могут быть вложенными.

9.9.1. Создание подразделения

Для создания подразделения следует в контекстном меню контейнера выбрать пункт СоздатьПодразделение. Окно мастера создания подразделения:
Создание подразделения
При создании подразделения необходимо указать название подразделения (поле Имя).

Примечание

Если при создании подразделения отметить пункт Защитить от удаления, то для удаления данного подразделения, необходимо сначала снять данную отметку в окне свойств подразделения.

9.9.2. Изменение подразделения

Для изменения подразделения следует в контекстном меню подразделения выбрать соответствующее действие:
Контекстное подразделения
Для переименования подразделения:
  1. В контекстном меню подразделения выбрать пункт Переименовать.
  2. В открывшемся окне изменить имя подразделения:
    ADMC. Переименование подразделения
  3. Нажать кнопку ОК для сохранения изменений.
Для удаления подразделения следует в контекстном меню подразделения выбрать пункт Удалить.

Предупреждение

Если при создании подразделения был отмечен пункт Защитить от удаления, то сразу удалить подразделение не получится, необходимо сначала снять данную отметку в окне свойств подразделения:
ADMC. Свойства подразделения
Для перемещения подразделения в другой контейнер:
  1. В контекстном меню подразделения выбрать пункт Переместить….
  2. В открывшемся окне выбрать контейнер, в который следует переместить подразделение:
    ADMC. Диалоговое окно выбора контейнера
  3. Нажать кнопку ОК.

9.10. Управление объектами парольных настроек

Объекты настроек паролей (Password Settings Object, PSO) позволяют администраторам домена переопределять параметры политики паролей домена и настраивать более точные параметры паролей для конкретных пользователей или групп пользователей. Например, для определённых пользователей можно установить требование минимальной длины пароля, ослабить ограничения сложности для других пользователей и т.д. PSO могут применяться к группам или к отдельным пользователям.

Примечание

Для возможности работы с объектами парольных настроек необходимо в меню Настройки отметить пункт Дополнительные возможности.

9.10.1. Создание объекта парольных настроек

Для создания объекта парольных настроек следует в контекстном меню контейнера Password Settings Container (вкладка System) выбрать пункт Создать объект парольных настроек:
ADMC. Контейнер «Password Settings Container»
Окно мастера создания объекта парольных настроек:
Создание объекта парольных настроек
При создании объекта парольных настроек необходимо в поле Имя указать имя объекта парольных настроек (имя должно быть уникальным на уровне домена).
В поле Приоритет можно указать приоритет политики (precedence), который будет учитываться в том случае, если к пользователю или группе пользователей применяются несколько политик. Чем меньше значение этого параметра, тем выше приоритет.
Далее можно указать следующие параметры объекта парольных настроек:
  • Минимальная длина пароля — минимальное количество символов в пароле (по умолчанию 7);
  • Длина истории паролей — число хранимых предыдущих паролей пользователей (требование неповторяемости паролей) (по умолчанию 24);
  • Разрешено неудачных попыток входа — допустимое количество неудачных попыток ввода пароля перед блокировкой учетной записи (по умолчанию 0 — никогда не блокировать);
  • Время до сброса блокировки — интервал времени (в минутах), по истечении которого записанное количество попыток начинается заново (по умолчанию 30);
  • Минимальный срок действия пароля — минимальный срок действия пароля (по умолчанию один день);
  • Максимальный срок действия пароля — максимальный срок действия пароля (по умолчанию 42 дня);
  • Длительность блокировки учетной записи — интервал времени (в минутах), в течение которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована (по умолчанию 30);
  • Включить требования сложности — должен ли пароль отвечать требованиям сложности (по умолчанию включено);
  • Хранить пароли, используя обратимое шифрование — хранить пароли, используя обратимое шифрование (по умолчанию выключено).

Примечание

Для создания политики требуется передать новое значение хотя бы для одной парольной настройки.
В окне Применить к пользователю/группе следует добавить пользователей и/или группы, к которым должен применяться этот объект парольных настроек.

Примечание

Если при создании объекта парольных настроек отметить пункт Защитить от удаления, то для удаления данного объекта, необходимо сначала снять данную отметку в окне свойств объекта.

9.10.2. Изменение объекта парольных настроек

Примечание

Для того чтобы контейнер Password Settings Container отображался в дереве консоли, необходимо в меню Настройки отметить пункт Показывать неконтейнерные объекты в дереве консоли.
Для удаления объекта парольных настроек следует в контекстном меню объекта выбрать пункт Удалить:
ADMC. Контекстное меню объекта парольных политик

Предупреждение

Если при создании объекта парольных настроек был отмечен пункт Защитить от удаления, то сразу удалить объект не получится, необходимо сначала снять данную отметку в окне свойств объекта парольных настроек:
ADMC. Свойства объекта парольных настроек

9.11. Управление общими папками

Общая папка является ссылкой на общий сетевой ресурс и не содержит никаких данных.
Для создания общей папки следует в контекстном меню контейнера выбрать пункт СоздатьОбщая папка. Окно мастера создания общей папки:
Создание общей папки
В поле Имя следует ввести название папки, под которым она будет отображаться в каталоге AD, а в поле Сетевой путь — полный сетевой путь к общей папке.

Примечание

Чтобы просмотреть содержимое общей папки, на машине Windows в дереве консоли управления «Active Directory — пользователи и компьютеры» в контекстном меню общей папки следует выбрать пункт Проводник. Откроется новое окно Проводника, в котором будет показано содержимое общей папки.
Для изменения общей папки следует в контекстном меню общей папки выбрать соответствующее действие:
Контекстное общей папки

9.12. Управление объектами групповых политик

Групповая политика состоит из набора политик, называемых объектами групповой политики. Для вступления настроек в силу, объект групповой политики необходимо связать с одним или несколькими контейнерами AD. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.
ADMC позволяет управлять объектами групповых политик: создавать, удалять, создавать ссылки на групповые политики.
В разделе Объекты групповой политики отображаются групповые политики, которые назначены на различные OU (отображается вся структура OU). Полный список политик (GPO) в текущем домене доступен в разделе Все политики.
ADMC. Объекты групповой политики

Примечание

В каждом домене Active Directory по умолчанию создаются два объекта групповой политики, которые действуют на все компьютеры и контроллеры домена соответственно:
  • Default Domain Policy;
  • Default Domain Controller Policy.
ADMC. Объекты групповой политики по умолчанию
Эти объекты групповой политики очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости.
Групповые политики Active Directory можно назначить на OU или весь домен. Чаще всего политики привязываются к OU с компьютерами или пользователями.

Примечание

Редактирование групповых политик реализуется в модуле редактирования настроек клиентской конфигурации (GPUI).

9.12.1. Создание объекта групповой политики

Для того чтобы создать новый объект групповой политики и сразу назначить его на OU, необходимо выполнить следующие действия:
  1. В контекстном меню нужного контейнера выбрать пункт Создать политику и связать с этим подразделением:
    ADMC. Контекстное меню контейнера
  2. В открывшемся окне задать имя политики:
    ADMC. Создание объекта групповой политики
  3. Нажать кнопку ОК.
Для того чтобы создать новый объект групповой политики, не назначая его на OU, необходимо выполнить следующие действия:
  1. В контекстном меню папки Все политики выбрать пункт Создать политику:
    ADMC. Контекстное меню папки «Все политики»
  2. В открывшемся окне задать имя политики:
    ADMC. Создание объекта групповой политики
  3. Нажать кнопку ОК.
Созданный объект групповой политики не будет задействован, пока не будет привязан к подразделению.

9.12.2. Изменение объекта групповой политики

Для изменения объекта групповой политики следует в контекстном меню политики выбрать соответствующее действие:
ADMC. Контекстное меню объекта групповой политики
ADMC. Контекстное меню объекта групповой политики

9.12.2.1. Переименование объекта групповой политики

Для переименования политики:
  1. В контекстном меню политики выбрать пункт Переименовать.
  2. В открывшемся окне ввести новое название:
    ADMC. Переименование политики
  3. Нажать кнопку ОК для сохранения изменений.

9.12.2.2. Удаление объекта групповой политики

Для удаления политики:
  1. В контекстном меню политики в разделе Все политики выбрать пункт Удалить:
    ADMC. Контекстное меню объекта групповой политики
  2. Подтвердить удаление, нажав кнопку Да:
    ADMC. Удаление политики

Примечание

Если выбрать пункт Удалить в контекстном меню политики в подразделении, на которое она назначена:
ADMC. Удаление связи между политикой и подразделением
будет удалена только связь между политикой и подразделением:
ADMC. Подтверждение удаления связи между политикой и подразделением

9.12.2.3. Создание и удаление связи между политикой и подразделением

Для создания связи между политикой и подразделением (создания ссылки на политику):
  1. В контекстном меню политики выбрать пункт Добавить связь….
  2. Выбрать объекты, которые необходимо связать с политикой:
    ADMC. Создание ссылки на политику
  3. Нажать кнопку ОК.
Для удаления ссылки на объект групповой политики:
  1. Выбрать политику, которую следует изменить (в папке Все политики или в папке соответствующего OU).
  2. В контекстном меню подразделения, связь с которым нужно отключить от политики, выбрать пункт Удалить связь:
    ADMC. Удаление ссылки на политику
Удалить связь между политикой и подразделением также можно, выбрав пункт Удалить в контекстном меню политики в подразделении, на которое она назначена:
ADMC. Удаление связи между политикой и подразделением

9.12.2.4. Параметры ссылки на объект групповой политики

В ADMC можно изменить параметры ссылки на объект групповой политики:
  • опция Принудительно — принудительное применение политик более высокого уровня к объекту;
  • опция Отключено — временно отключить связь политики с подразделением.
Чтобы отредактировать параметры ссылки, необходимо:
  1. Выбрать политику, которую следует отредактировать.
  2. На панели результатов найти подразделение, для которого нужно изменить параметры ссылки.
  3. Включить опцию Принудительно, чтобы запретить переопределение параметров политик (см. Блокирование наследования). Политика, с включённой опцией Принудительно, отображается в списке политик с красным кружком.
  4. Включить опцию Отключено, чтобы временно отключить действие политики. Отключённая политика, в списке политик отображается серым цветом.
ADMC. Изменение параметров ссылки

Примечание

Если необходимо, чтобы политика перестала действовать на клиентов в данном подразделении, можно либо удалить ссылку (при этом сам объект ГП не будет удален), либо временно отключить действие политики.
Включить/отключить опции Принудительно и Отключено также можно:
  • в контекстном меню политики в подразделении:
    ADMC. Контекстное меню объекта групповой политики
  • на вкладке Привязанные политики подразделения:
    ADMC. Вкладка Привязанные политики

9.12.2.5. Редактирование настроек групповой политики

Примечание

Для возможности редактирования настроек политики, на машине должен быть установлен модуль редактирования настроек клиентской конфигурации (GPUI).
Для изменения настроек политики необходимо в контекстном меню политики выбрать пункт Изменить…, будет запущен модуль редактирования настроек клиентской конфигурации, где можно изменить параметры групповой политики.
При создании каждого нового объекта групповой политики, в базе данных AD создается контейнер групповой политики (Group Policy Container, GPC). Для возможности просмотра контейнера групповой политики (это дочерний контейнер Policies контейнера System) в настройках ADMC должен быть отмечен пункт Дополнительные возможности.
В AD контейнер групповой политики создается как тип groupPolicyContainer, причем его GUID можно увидеть в ADMC в столбце Имя:
Контейнеры групповой политики в домене AD
Ниже перечислены некоторые атрибуты, позволяющие описать различные типы данных объекта групповой политики:
  • displayName — атрибут, определяющий имя объекта групповой политики;
  • gPCFileSysPath — атрибут, указывающий путь к расположению текущего шаблона групповой политики с соответствующим именем GUID;
  • gPCMachineExtensionNames — атрибут, определяющий список расширений клиентской стороны конфигурации компьютера, используемых для обработки объекта групповой политики. Значение атрибута выглядит следующим образом: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}], что представляет собой [{GUID CSE-расширения}{GUID расширения MMC}{GUID второго расширения MMC}][GUID-идентификаторы последующих CSE- и MMC-расширений];
  • gPCUserExtensionNames — атрибут, определяющий список расширений клиентской стороны конфигурации пользователя, используемых для обработки объекта групповой политики;
  • versionNumber — в этом атрибуте определен номер версии контейнера GPC объекта групповой политики, который, для осуществления синхронизации двух объектов, должен быть идентичным с номером версии шаблона групповой политики;
  • flags — состояние объекта групповой политики: объект GPO включен (значение 0), отключен раздел «Конфигурация пользователя» (значение 1), отключен раздел «Конфигурация компьютера» (значение 2), объект GPO полностью отключен (значение 3).

Примечание

Вручную изменять атрибуты объекта групповой политики не рекомендуется.

9.12.3. Блокирование наследования

Для того чтобы параметры групповой политики, определенные на уровне вышестоящих контейнеров, не распространялись на содержимое конфигурируемого контейнера, необходимо выполнить одно из следующих действий:
  • в контекстном меню контейнера, к которому привязан объект групповой политики установить отметку Блокировать наследование:
    Отметка «Блокировать наследование» в контекстном меню контейнера
  • в окне свойств контейнера, к которому привязан объект групповой политики, на вкладке Групповая политика установить отметку Заблокировать наследование политик:
    Окно свойств контейнер. Вкладка «Групповая политика»
Так как администратор домена может не согласиться с тем, что администратор подразделения блокирует параметры политики домена, существует возможность запретить переопределение параметров с помощью отметки Принудительно:
ADMC. Объекты групповой политики
Отметка в поле Принудительно означает, что связь установлена принудительно. Это приведёт к принудительному применению политик более высокого уровня к объектам более низкого уровня, например, применение политики домена ко всем дочерним подразделениям, или применения политики сайта ко всем доменам и подразделениям в пределах сайта.
При использовании параметра Принудительно выигрывает та политика, которая находится выше в иерархии домена (например, политика Default Domain Policy будет выигрывать у всех других ГП, если у неё активирован параметр Принудительно).

Примечание

Подразделение с блокированным наследованием отображается в дереве консоли со значком замка.
После установки параметра Принудительно, на значке групповой политики появится красный кружок, означающий, что для данной политики запрещено переопределение параметров.
ADMC. Отметки «Принудительно» и «Блокировать наследование»
На вкладке Наследуемые политики подразделения можно увидеть, какие политики применяются к подразделению, а также местонахождение политики:
ADMC. Вкладка Наследуемые политики

9.12.4. Фильтрация безопасности ГП

Фильтрация безопасности ГП (Security Filtering) предполагает выборочное применение параметров ГП к конкретным пользователям, компьютерам или группам на основе их разрешений безопасности.
По умолчанию, когда объект ГП связан с OU, он применяется ко всем пользователям и компьютерам в этой OU. Фильтрация безопасности позволяет администраторам сузить область применения объекта ГП, гарантируя, что только определенные объекты будут затронуты политиками, определенными в объекте групповой политики.
По умолчанию на всех новых объектах групповой политики в домене присутствуют разрешения для группы Authenticated Users, которая включает в себя всех пользователей и все компьютеры домена. Это означает, что данная политика будет применяться на всех компьютерах и для всех пользователей, которые попадают в область её действия.
Если необходимо сузить круг объектов, к которым будет применяться данная политика, то следует выполнить следующие действия:
  1. В контекстном меню групповой политики выбрать пункт Свойства:
    ADMC. Контекстное меню групповой политики
  2. На вкладке Безопасность у группы Authenticated Users убрать разрешение на применение групповых политик (снять отметку с пункта Применить групповые политики в столбце Разрешено):
    ADMC. Вкладка «Безопасность» свойства групповой политики
  3. Добавить объект, к которому будет применяться групповая политика. Для этого нажать Добавить… и выбрать необходимый объект (можно выбрать пользователя, компьютер или группу). В данном примере будет добавлена группа office:
    ADMC. Добавить группу как доверенное лицо
  4. Для добавленного объекта выставить разрешения Читать и Применить групповые политики и нажать кнопку Применить:
    ADMC. Разрешение на применение групповых политик

Примечание

Если выставить все разрешения, групповые политики применяться не будут.
Чтобы определенному объекту запретить применение групповой политики, следует выполнить следующие действия:
  1. В контекстном меню групповой политики выбрать пункт Свойства:
    ADMC. Контекстное меню групповой политики
  2. На вкладке Безопасность у группы Authenticated Users оставить разрешение на применение групповых политик (не снимать отметку с пункта Применить групповые политики в столбце Разрешено):
    ADMC. Вкладка «Безопасность» свойства групповой политики
  3. Добавить объект, к которому не будет применяться групповая политика. Для этого нажать Добавить… и выбрать необходимый объект (можно выбрать пользователя, компьютер или группу). В данном примере будет добавлен компьютер EDU:
    ADMC. Добавить компьютер как доверенное лицо
  4. Для добавленного объекта установить запрет применения групповых политик (установить отметку в пункте Применить групповые политики в столбце Запрещено) и нажать кнопку Применить:
    ADMC. Запрет на применение групповых политик

9.13. Добавление/Удаление UPN суффиксов

UserPrincipalName (UPN) — имя для входа пользователя в формате email-адреса, например, ivanov@test.alt. Здесь ivanov это UPN-префикс (имя пользователя в домене AD), test.alt — UPN-суффикс. По умолчанию в AD в качестве UPN-суффикса используется DNS имя домена AD. Добавление дополнительных имен доменов позволяет упростить процесс входа и повысить безопасность.
Для того чтобы добавить/удалить дополнительный UPN-суффикс, необходимо выполнить следующие шаги:
  1. В контекстном меню домена выбрать пункт Изменить суффиксы UPN:
    ADMC. Контекстное меню домена
  2. В открывшемся диалоговом окне нажать кнопку Добавить…:
    ADMC. Список UPN-суффиксов домена
  3. Ввести альтернативный суффикс:
    ADMC. Новый UPN-суффикс
    Не требуется, чтобы суффикс UPN был действительным DNS-именем домена. Суффиксы UPN должны соответствовать условиям DNS-имен в отношении допустимых символов и синтаксиса.
  4. Нажать кнопку ОК, чтобы добавить новый суффикс в список.
  5. Чтобы удалить существующий суффикс, необходимо выбрать его в списке и нажать кнопку Удалить:
    ADMC. Удаление UPN-суффикса

9.14. Роли FSMO

FSMO, или Flexible single-master operations (операции с одним исполнителем) — это операции, выполняемые контроллерами домена AD, которые требуют обязательной уникальности сервера для каждой операции. В зависимости от типа операции уникальность FSMO подразумевается в пределах одного домена или леса доменов. Различные типы FSMO могут выполняться как на одном, так и на нескольких контроллерах домена. Выполнение FSMO сервером называют ролью сервера, а сами сервера — хозяевами операций.
Для просмотра текущего владельца роли необходимо выбрать пункт меню ФайлМастера Операций. В открывшемся окне в списке слева выбрать роль и в поле Текущий мастер будет показан владелец роли:
ADMC. Просмотр текущего владельца роли
Список возможных ролей:
  1. DNS домена — Domain DNS Zone Master role;
  2. DNS леса — Forest DNS Zone Master role;
  3. PDC эмуляция — эмулятор PDC;
  4. Схема — хозяин схемы;
  5. Имена домена — хозяин именования доменов;
  6. Инфраструктура — хозяин инфраструктуры;
  7. RID распределение — хозяин RID.
Если отмечен пункт Редактирование политик только с подключением к PDC-Emulator, при отсутствии подключения к контроллеру домена с ролью PDC-эмуляции, действия, затрагивающие шаблоны групповых политик (редактирование/изменение/удаление политик) будут запрещены:
ADMC. Запрет редактирования групповой политики
Для штатной передачи роли необходимо выполнить следующие действия:
  1. В окне Параметры подключения — ADMC (ФайлПараметры подключения) выбрать контроллер домена, который должен стать новым владельцем роли и нажать кнопку ОК:
    ADMC. Выбор контроллера домена
  2. В окне Мастера Операций — ADMC (ФайлМастера Операций) выбрать роль (при этом в поле Текущий мастер будет показан текущий владелец роли, а в поле Изменить на — контроллер домена, который должен стать новым владельцем роли) и нажать кнопку Изменить:
    ADMC. Передача роли на новый контроллер домена
    Владелец роли будет изменён:
    ADMC. Новый владелец роли

9.15. Выбор объектов

Выбор объектов осуществляется в диалоговом окне Выбрать объекты — ADMC. Доступ к этому диалоговому окну можно получить из разных мест, например, при выборе действия Добавить в группу… в контекстном меню учётной записи пользователя.
Диалоговое окно «Выбрать объекты — ADMC»
Для выбора объекта достаточно указать класс объекта, выбрать расположение, с которого требуется начать поиск и в поле Имя ввести имена объектов:
  1. В поле Классы, нажав кнопку Выбрать…, выбрать типы объектов, которые будут использоваться для поиска (в большинстве случаев это поле будет заполнено автоматически, в зависимости от контекста задачи).
  2. В поле Искать в выбрать объект, который будет использоваться в качестве основы для поиска.
  3. В поле Имя ввести имя объекта (можно ввести часть имени или выполнить поиск по имени для входа).
  4. Нажать кнопку Добавить для поиска объекта по названию.
  5. Если объект найден, он будет добавлен в список найденных объектов.
  6. Если объект не найден, исправить имя и повторить попытку.
  7. Если есть несколько совпадений, откроется диалоговое окно, в котором можно выбрать одно или несколько совпадений:
    ADMC. Выбор объектов из списка найденных совпадений
  8. Повторить пункты 1-7, пока не будут добавлены все объекты.
  9. Чтобы удалить объект из списка, нужно выбрать объект и нажать кнопку Удалить.
Для выбора объектов можно также использовать продвинутый поиск, который можно открыть, нажав кнопку Продвинутый.

9.16. Поиск объектов

Поиск объектов осуществляется в диалоговом окне Поиск объектов — ADMC. Доступ к этому диалоговому окну можно получить, выбрав пункт Найти… в меню >Действие или в контекстном меню контейнера.
ADMC. Поиск объектов
Поиск объектов в домене возможен по разным критериям:
  • по типу и имени (простой поиск) — вкладка Упрощенный;
  • по атрибутам — вкладка Обычный;
  • в синтаксисе запросов LDAP — вкладка Продвинутый.

Примечание

В диалоговом окне, вызываемом меню ВидНастроить колонки можно выбрать поля, которые будут отображаться в списке результатов поиска.
ADMC. Поля, отображаемые в результатах поиска

9.16.1. Простой поиск

Процедура простого поиска:
  1. В диалоговом окне Поиск объектов — ADMC выбрать вкладку Упрощенный:
    ADMC. Простой поиск
  2. В поле Классы, нажав кнопку Выбрать…, выбрать классы объектов для поиска:
    ADMC. Выбор классов объектов
  3. В поле Имя ввести имя объекта.
  4. Нажать кнопку Поиск:
    ADMC. Простой поиск

9.16.2. Обычный поиск

При использовании обычного поиска создаются фильтры, определяющие критерии поиска:
  1. В диалоговом окне Поиск объектов — ADMC выбрать вкладку Обычный:
    ADMC. Простой поиск
  2. В поле Классы, нажав кнопку Выбрать…, выбрать классы объектов для поиска:
    ADMC. Выбор классов объектов
  3. Создать фильтр:
    • в списке Класс атрибута выбрать класс атрибута;
    • в списке Атрибут выбрать атрибут (список атрибутов зависит от выбранного класса атрибутов);
    • в списке Состояние выбрать условие, которое будет использоваться для фильтра;
    • в поле Значение ввести значение условия (не для всех условий необходимо вводить значения).
  4. Нажать кнопку Добавить.
  5. Повторить пункты 2-3, чтобы добавить больше фильтров (фильтры для создания критериев поиска объединяются логическим И).
  6. Нажать кнопку Удалить, если необходимо удалить фильтр из списка.
  7. Нажать кнопку Очистить, если необходимо очистить список фильтров.
  8. Нажать кнопку Поиск:
    ADMC. Обычный поиск

9.16.3. Продвинутый поиск

Продвинутый поиск предполагает использование LDAP-фильтров.
Использование LDAP-фильтров является наиболее эффективным способом поиска объектов в AD.
Синтаксис LDAP-фильтра имеет вид:
<Фильтр>=(<Атрибут><оператор сравнения><значение>)
При наличии нескольких условий поиска фильтры можно комбинировать с помощью логических операторов.
Процедура продвинутого поиска:
  1. В диалоговом окне Поиск объектов — ADMC выбрать вкладку Продвинутый:
    ADMC. Продвинутый поиск
  2. В поле Искать в выбрать область поиска (можно воспользоваться кнопкой Обзор).
  3. Ввести LDAP-фильтр в поле Введите фильтр LDAP.
  4. Нажать кнопку Поиск:
    ADMC. Продвинутый поиск

9.17. Использование сохранённых результатов поиска

Сохранение запросов (результатов поиска) — это удобный способ сохранять и воспроизводить поиск. Сохранённые запросы позволяют создавать различные LDAP-фильтры для выборки объектов AD. С помощью сохранённых запросов можно быстро и эффективно решать задачи поиска и выборки объектов в AD по различным критериям.
При использовании сохранённых запросов администратор может выполнять групповые операции с объектами из разных OU AD. Например, можно выполнить массовую блокировку/разблокировку, удаление учётных записей, переименование.
Сохранённые запросы можно организовать в древовидную структуру:
ADMC. Древовидная структура сохранённых запросов
Создание папки запросов:
  1. В контекстном меню папки Сохранённые запросы или её подпапки выбрать пункт СоздатьПапка запросов:
    ADMC. Контекстное меню папки «Сохраненные запросы»
  2. В диалоговом окне Создать папку запросов — ADMC в поле Имя вести название папки, в поле Описание можно добавить описание папки:
    ADMC. Создать папку запросов
  3. Нажать кнопку ОК.
Создание запроса:
  1. В контекстном меню папки запроса выбрать пункт СоздатьЭлемент запроса:
    ADMC. Контекстное меню папки запроса
  2. В диалоговом окне создания запроса необходимо указать:
    • Имя — название запроса;
    • Описание — описание запроса;
    • Искать в — объект, который будет использоваться в качестве основы для поиска. По умолчанию поиск выполняется по всему домену AD. Сузить область поиска можно, нажав кнопку Обзор и выбрав контейнер;
    • Рекурсивный поиск — поиск должен включать объекты более чем одного уровня;
    ADMC. Создание запроса
  3. Нажать кнопку Изменить фильтр, чтобы создать фильтр поиска (для получения информации о том, как создавать фильтры см. раздел Поиск объектов).
  4. После создания фильтра, он будет отображаться в поле Фильтр (в формате LDAP).
  5. Нажать кнопку ОК.
При выборе сохранённого запроса, в правом окне появится список объектов, который соответствует данному запросу:
ADMC. Результат выполнения запроса
Редактирование запроса:
  1. В контекстном меню запроса выбрать пункт Изменить…:
    ADMC. Контекстное меню запроса
  2. Внести необходимые изменения.
  3. Нажать кнопку ОК.
В ADMC существует возможность переноса поисковых запросов между компьютерами (экспорт и импорт поисковых запросов).
Экспорт запроса:
  1. В контекстном меню запроса выбрать пункт Экспортировать запрос….
    ADMC. Экспорт запроса
  2. В открывшемся диалоговом окне указать название файла (<имя_файла>.json) и место назначения.
  3. Нажать кнопку Сохранить.
Импорт запроса:
  1. В контекстном меню папки, в которую будет импортирован запрос, выбрать пункт Импортировать запрос…:
    ADMC. Контекстное меню папки запросов
  2. В открывшемся диалоговом окне выбрать экспортированный файл поиска.
  3. Нажать кнопку Открыть.
Для удаления запроса или папки запросов, необходимо в контекстном меню объекта выбрать пункт Удалить.

Глава 10. Модуль редактирования настроек клиентской конфигурации (GPUI)

10.1. Запуск GPUI для редактирования доменных политик
10.2. Выбор набора шаблонов групповых политик
10.3. Интерфейс
10.3.1. Редактирование параметров в разделе «Административные шаблоны»
10.3.2. Фильтрация административных шаблонов
10.3.3. Работа с предпочтениями групповых политик
10.3.4. Работа со скриптами
10.3.5. Смена языка
10.4. Редактирование групповых политик
10.4.1. Включение или выключение различных служб (сервисов systemd)
10.4.2. Управление control framework
10.4.3. Управление настройками службы Polkit
10.4.4. Политика доступа к съемным носителям
10.4.5. Управление gsettings
10.4.6. Управление настройками среды рабочего стола KDE
10.4.7. Управление пакетами
10.4.8. Экспериментальные групповые политики
10.4.9. Механизмы GPUpdate
10.4.10. Управление политиками браузера Chromium
10.4.11. Управление политиками браузера Firefox
10.4.12. Управление политиками «Яндекс.Браузера»
10.4.13. Политика замыкания
10.5. Редактирование предпочтений
10.5.1. Управление ярлыками
10.5.2. Управление каталогами
10.5.3. Управление INI-файлами
10.5.4. Управление переменными среды
10.5.5. Управление файлами
10.5.6. Управление общими каталогами
10.5.7. Подключение сетевых дисков
10.5.8. Настройка реестра
10.5.9. Указание прокси-сервера
10.5.10. Настройка периодичности запроса конфигураций
10.6. Управление logon-скриптами
10.6.1. Сценарии для входа/выхода пользователя
10.6.2. Сценарии для автозагрузки или завершения работы компьютера
10.6.3. Включение экспериментальных групповых политик
10.6.4. Файлы настроек политики
10.6.5. Диагностика проблем
Модуль редактирования настроек клиентской конфигурации (далее — GPUI) предназначен для настройки и изменения параметров групповой политики в объектах групповой политики, которые могут ссылаться на организационные подразделения в AD.
GPUI предоставляет администраторам иерархическую древовидную структуру для настройки параметров групповой политики в объектах групповой политики. Эти объекты групповой политики могут быть связаны с организационными единицами (OU), содержащими компьютерные или пользовательские объекты. Связать объекты групповой политики с OU можно в модуле ADMC.
GPUI состоит из двух основных разделов: конфигурация компьютера и конфигурация пользователя. Раздел конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления. Раздел конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Каждая политика в объекте GPO может находится в одном из трех состояний: Включено, Отключено, Не сконфигурировано. В состоянии Включено в настройках можно указать параметры политики. В состоянии Не сконфигурировано — политика на объект не воздействует.
GPUI является расширяемым инструментом. Самый простой способ для разработчиков расширить редактор объектов групповой политики для своих приложений — это написать файлы настраиваемых административных шаблонов, которые «подключаются» к редактору объектов групповой политики.

10.1. Запуск GPUI для редактирования доменных политик

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…:
Запуск GPUI из ADMC
либо с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"
Ключ -p позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.

Примечание

GUID шаблона групповой политики можно узнать в ADMC (это дочерний контейнер Policies контейнера System), в настройках должен быть отмечен пункт Дополнительные возможности:
Контейнеры групповой политики в домене AD
Пример запуска GPUI для редактирования политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

10.2. Выбор набора шаблонов групповых политик

По умолчанию GPUI загружает ADMX-файлы, содержащие описание шаблонов групповых политик, из каталога /usr/share/PolicyDefenitions.
Для того чтобы указать другой набор шаблонов групповых политик, GPUI можно запустить с ключом -b:
$ gpui-main -b "/usr/share/PolicyDefinitions"
Каталог шаблонов групповых политик также можно выбрать в графическом интерфейсе:
  1. Выбрать пункт меню ФайлОткрыть папку с ADMX файлами:
    Выбор набора шаблонов групповых политик
  2. Открыть папку с шаблонами.

10.3. Интерфейс

Все настройки в GPUI разделены на два раздела:
  • Компьютер (Machine) — раздел с настройками параметров компьютера;
  • Пользователь (User) — раздел с настройками параметров пользователей AD.
Если параметр политики настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями. Также следует убедиться, что объект, к которому должна применяться политика находится в нужном OU с компьютерами или пользователями.
Окно модуля редактирования настроек клиентской конфигурации (GPUI)
В каждом разделе есть три подраздела:
  • Административные шаблоны (Administrative Templates) — содержит параметры различных компонентов. Здесь доступны как административные шаблоны ОС «Альт» и Windows, так и дополнительные admx-шаблоны (например, admx-шаблоны для Mozilla Firefox или для Google Chrome);
  • Настройки (Preferences) — содержит дополнительный набор настроек (предпочтений). С помощью предпочтений можно настроить, в том числе такие параметры: создание ярлыков, подключение сетевых дисков, копирование файлов и папок на компьютеры;
  • Настройки системы (System settings) — позволяет указать сценарии запуска и завершения работы компьютера, входа и выхода из системы пользователя.
Для быстрого доступа к политике можно воспользоваться поиском, для этого следует ввести в поле Поиск… ключевое слово.

10.3.1. Редактирование параметров в разделе «Административные шаблоны»

Чтобы изменить любой параметр групповой политики, нужно найти раздел, в котором он находится и открыть его настройки в правой панели:
GPUI. Настройки групповой политики
Параметры политики административных шаблонов могут иметь одно из трех состояний: Не сконфигурировано/Включено/Отключено. Параметры политики в состоянии Не сконфигурировано не влияют на пользователей или компьютеры. Если параметр политики находится в состоянии Включено, к пользователю или компьютеру применяется действие, описанное в заголовке параметра политики. Если параметр политики находится в состоянии Отключено, к пользователю или компьютеру применяется действие, противоположное описанному в заголовке параметра политики. Как правило, состояния параметров политики Не сконфигурировано и Отключено приводят к одинаковым результатам.
В каждом параметре политики административных шаблонов предоставлены подробные сведения о состояниях Включено, Отключено и Не сконфигурировано. Можно просмотреть эти сведения в поле Помощь для каждого параметра политики административных шаблонов.
В поле Поддерживается на указаны версии ОС, для которых данная политика применима. Например, 9 платформа ALT как минимум означает, что политика применима только к дистрибутивным решениям ОС «Альт» Девятой (p9) и Десятой платформ (p10). Данный параметр не будет работать на Восьмой платформе (p8).
По умолчанию все параметры в разделе административных шаблонов не настроены (не сконфигурированы). Чтобы изменить настройку параметра групповой политики, достаточно выбрать новое состояние и нажать кнопку ОК.
У некоторых настроек групповых политик можно задать дополнительные параметры, которые можно настроить в секции Опции. Например, чтобы установить изображение в качестве фона рабочего стола через ГП, нужно включить политику и указать путь к файлу с изображением в поле Файл:
GPUI. Установка изображения в качестве фона рабочего стола
В поле Комментарий (Comment) можно указать примечание для ГП.

10.3.2. Фильтрация административных шаблонов

По умолчанию в GPUI отображаются все установленные административные шаблоны. Чтобы изменить отображение параметров политик административных шаблонов можно настроить фильтр административных шаблонов.
Фильтр административных шаблонов можно применять, если необходимо найти определенный параметр политики или ограничить количество параметров политики, отображаемых в GPUI.
Административные шаблоны можно отфильтровать на основе следующих факторов:
  • настраиваемых параметров политики;
  • ключевых слов в заголовке политики или тексте помощи к параметрам политики;
  • требований параметров политики к платформам или приложениям.
GPUI. Диалог фильтров административных шаблонов

Примечание

Фильтры являются включающими, поэтому необходимо выбирать элементы, которые следует отображать, а не исключаемые элементы.

10.3.2.1. Фильтр по настроенным параметрам

Фильтр по настроенным параметрам имеет три состояния:
  • Любой — отображать все параметры политики административных шаблонов (по умолчанию);
  • Да — отображать только сконфигурированные параметры политики административных шаблонов;
  • Нет — отображать только не сконфигурированные параметры политики административных шаблонов.
Для установки фильтра по настроенным параметрам необходимо:
  1. В меню выбрать ВидФильтрРедактировать фильтры:
    GPUI. Запуск диалога фильтров административных шаблонов
  2. В открывшемся окне в списке Сконфигурирован выбрать необходимый фильтр:
    GPUI. Фильтр по настроенным параметрам
  3. Нажать кнопку ОК, чтобы сохранить параметры фильтра.
  4. Чтобы применить фильтр в меню выбрать ВидФильтрВключить фильтр:
    GPUI. Включение фильтра административных шаблонов

10.3.2.2. Фильтр по ключевым словам

Для установки фильтра по ключевым словам необходимо:
  1. В меню выбрать ВидФильтрРедактировать фильтры:
    GPUI. Запуск диалога фильтра административных шаблонов
  2. В открывшемся окне установить отметку Включить фильтр ключевых слов:
    GPUI. Включить фильтр ключевых слов
  3. Ввести одно или несколько ключевых слов в поле Фильтр слов и выбрать необходимый фильтр:
    • Содержит любое слово — фильтр содержит любое слово из поля Фильтр слов;
    • Содержит все слова — фильтр содержит все слова из поля Фильтр слов;
    • Полностью совпадает — фильтр содержит точное соответствие словам Фильтр слов.
  4. Установить соответствующие отметки в поле Внутри:
    • Заголовка — фильтр включает поиск в заголовке параметра политики;
    • Текста помощи — фильтр включает поиск в тексте помощи параметра политики.
  5. Нажать кнопку ОК, чтобы сохранить параметры фильтра:
    GPUI. Настроенный фильтр ключевых слов
  6. Чтобы применить фильтр в меню выбрать ВидФильтрВключить фильтр:
    GPUI. Включить фильтр административных шаблонов
Результат применения фильтра по ключевым словам:
GPUI. Результат применения фильтра по ключевым словам

10.3.2.3. Фильтр по требованиям

При помощи этого способа фильтрации, можно отобразить параметры, соответствующие всем выбранным платформам или отобразить параметры, соответствующие любой из выбранных платформ.
Для установки фильтра по требованиям необходимо:
  1. В меню выбрать ВидФильтрРедактировать фильтры:
    GPUI. Запуск диалога фильтра административных шаблонов
  2. В открывшемся окне установить отметку Включить фильтр требований:
    GPUI. Включить фильтр требований
  3. В списке Выберите желаемые фильтры для платформы и приложений выбрать необходимый фильтр:
    • Включать настройки, которые совпадают с любой из выбранных платформ;
    • Включить настройки, которые совпадают со всеми выбранными платформами.
  4. Выбрать необходимые платформы:
    GPUI. Выбор платформы для фильтра
    Можно выбрать пункт Решения на базе Сизифа или нажать кнопку Выбрать всё, чтобы выбрать все элементы в списке, или нажать кнопку Очистить всё, чтобы снять выделение всех элементов списка.
  5. Нажать кнопку ОК, чтобы сохранить параметры фильтра.
  6. Чтобы применить фильтр в меню выбрать ВидФильтрВключить фильтр:
    GPUI. Включить фильтр административных шаблонов

10.3.3. Работа с предпочтениями групповых политик

GPUI позволяет настраивать следующие предпочтения:
  • Значки (управление ярлыками) — создание, редактирование или удаление ярлыков;
  • Окружение (управление переменными среды) — создание, редактирование или удаление переменных среды;
  • Папки (управление каталогами) — создание, редактирование или удаление каталогов;
  • Реестр — копирование параметров реестра и их применение к другим компьютерам, создание, замена или удаление параметров реестра (для машин Windows);
  • Сетевые папки (управление общими каталогами) — создание, удаление (скрытие из общего доступа) или редактирование общих ресурсов;
  • Сетевые диски (подключение сетевых дисков) — создание, редактирование или удаление сопоставленных дисков и настройка видимости всех дисков;
  • Файлы (управление файлами) — копирование, замена, удаление или изменение атрибутов файлов;
  • INI-файлы (управление INI-файлами) — добавление, замена или удаление разделов/свойств файлов параметров настройки (INI) или информации об установке (INF).
Предпочтения можно настроить для пользователей и компьютеров (пункт Настройки соответственно в элементах Компьютер и Пользователь):
GPUI. Управление предпочтениями
В каждом объекте групповой политики с каждым из расширений предпочтения можно создать несколько элементов предпочтения.
Для создания предпочтения необходимо перейти в Компьютер/ПользовательНастройкиНастройки системы, выбрать соответствующее предпочтение, затем в контекстном меню свободной области выбрать пункт НовыйНазвание_предпочтения.
Например, для создания нового предпочтения Папки необходимо перейти в Компьютер/ПользовательНастройкиНастройки системыПапки. В контекстном меню свободной области выбрать пункт НовыйПапки.
GPUI. Создание новой политики «Папки»
Откроется диалоговое окно Диалог настроек, где на вкладке Основные настройки можно задать параметры, характерные для соответствующего предпочтения (подробнее параметры настройки предпочтений рассмотрены в следующих разделах данного документа):
GPUI. Создание предпочтения — вкладка «Основные настройки»
Вкладка Общие содержит настройки одинаковые для всех предпочтений:
  • Остановить обработку элементов в этом расширении при возникновении ошибки — при сбое элемента предпочтений обработка других элементов предпочтений в этом расширении останавливается;
  • Выполнять в контексте безопасности текущего пользователя (опция пользовательских политик);
  • Удалить элемент, если больше не применим;
  • Описание.
GPUI. Создание предпочтения — вкладка «Общие»
Для редактирования элемента предпочтения следует дважды щелкнуть мышью по элементу (или в контекстном меню предпочтения выбрать пункт Изменить элемент):
GPUI. Редактирование элемента предпочтения
Откроется окно редактирования предпочтения:
GPUI. Редактирование предпочтения «Папки»
Для удаления элемента следует в контекстном меню предпочтения выбрать пункт Удалить элемент:
GPUI. Удаление элемента предпочтения

10.3.4. Работа со скриптами

Работа со скриптами подробно описана на странице: Управление logon-скриптами.

10.3.5. Смена языка

Для того чтобы изменить язык интерфейса, необходимо в меню выбрать ВидЯзык:
GPUI. Выбор языка интерфейса

10.4. Редактирование групповых политик

10.4.1. Включение или выключение различных служб (сервисов systemd)

Данные групповые политики позволяют управлять состоянием (включением или выключением) различных служб (сервисов systemd).
Для настройки политики следует перейти в КомпьютерАдминистративные шаблоныСистема ALTСлужбыSystemd:
Список политик SystemdUnits
При выборе политики откроется диалоговое окно настройки политики:
Диалоговое окно настройки политики
Можно не задавать настройку политики, включить или отключить:
  • Не сконфигурировано — не изменять системное состояние службы;
  • Включено — перевести службу во включенное состояние (выполнить команду systemctl enable <служба>);
  • Отключено — перевести службу в состояние выключено (выполнить команду systemctl disable <служба>).

Таблица 10.1. Список служб, состояние которых можно изменить, настроив соответствующую политику в GPUI

Служба
Описание
Сервис Systemd
Менеджер модема
Политика определяет, включен ли systemd юнит диспетчера модемов
ModemManager.service
Ожидание Network Manager'ом сети при загрузке
Политика определяет, включен ли systemd юнит «Network Manager Wait Online»
NetworkManager-wait-online.service
Управление службой Network Manager
Политика определяет, включен ли systemd юнит «Network Manager»
NetworkManager.service
Служба учётных записей (accounts-daemon)
Политика определяет, включен ли systemd юнит службы учётных записей (accounts-daemon)
accounts-daemon.service
Служба события ACPI
Политика определяет, включен ли systemd юнит системной службы событий ACPI
acpid.service
Сервер frontend веб-интерфейса Alterator
Политика определяет, включен ли systemd юнит веб-сервера frotend WWW интерфейса Alterator
ahttpd.service
Серверная часть Alterator
Политика определяет, включен ли systemd юнит внутреннего сервера Alterator
alteratord.service
Служба аудита безопасности
Политика определяет, включен ли системный модуль службы аудита безопасности
auditd.service
Avahi mDNS/DNS-SD
Политика определяет, включен ли systemd юнит стека mDNS/DNS-SD Avahi
avahi-daemon.service
DNS-сервер BIND
Политика определяет, включен ли systemd юнит DNS-сервера (сервиса) BIND (Berkeley Internet Name Domain)
bind.service
Chronyd (служба NTP)
Политика определяет, включен ли systemd юнит NTP клиента/сервера Chronyd
chronyd.service
Сервис colord
Политика определяет, включен ли systemd юнит colord (сервис для управления, установки и создания цветовых профилей)
colord.service
Сервис Сonsolesaver SYSV
Политика определяет, включен ли systemd юнит Сonsolesaver (SYSV: этот пакет загружает конфигурацию энергосбережения консоли)
consolesaver.service
Cpufreq-simple сервис
Политика определяет, включен ли systemd юнит службы Cpufreq-simple (загружает модули ядра, необходимые для масштабирования cpufreq)
cpufreq-simple.service
Служба Crond
Политика определяет, включен ли systemd юнит службы Cron
crond.service
Шина системных сообщений D-Bus
Политика определяет, включен ли systemd юнит шины системных сообщений D-Bus
dbus.service
Служба Dnsmasq
Политика определяет, включен ли systemd юнит службы Dnsmasq (облегченный DHCP и кеширующий DNS-сервер, а также TFTP-сервер для поддержки загрузки по сети)
dnsmasq.service
Менеджер мыши в консоли
Политика определяет, включен ли sytemd юнит диспетчера мыши консоли
gpm.service
Системный модуль kmod-static-nodes
Политика определяет, включен ли systemd юнит kmod-static-nodes (создаёт список необходимых статических узлов устройства для текущего ядра)
kmod-static-nodes.service
Kerberos 5 KDC
Политика определяет, включен ли systemd юнит Kerberos 5 KDC
krb5kdc.service
Графический менеджер входа в систему (lightdm)
Политика определяет, включен ли systemd юнит службы графического менеджера входа в систему
lightdm.service
Служба сетевых подключений
Политика определяет, включен ли systemd юнит службы сетевых подключений
network.service
Samba NMB сервис
Политика определяет, включен ли systemd юнит сервиса Samba NMB
nmb.service
Сервис кеширования службы имен (nscd)
Политика определяет, включён ли systemd юнит сервиса кеширования службы имен
nscd.service
Сервис службы именования LDAP-клиента (nslcd)
Политика определяет, включен ли systemd юнит сервиса служб именования клиента LDAP
nslcd.service
Системный модуль oddjobd
Политика определяет, включен ли systemd юнит oddjobd (используется для запуска привилегированных операций для непривилегированных процессов)
oddjobd.service
SYSV: интерфейс терминала смарт-карт
Политика определяет, включен ли systemd юнит Openct (SYSV: терминал смарт-карт)
openct.service
Планировщик CUPS
Политика определяет, включен ли systemd юнит Service CUPS (планировщик)
org.cups.cupsd.service
Служба PC/SC Smart Card
Политика определяет, включен ли systemd юнит службы поддержки PC/SC Smart Card
pcscd.service
Диспетчер авторизации (polkit)
Политика определяет, включен ли systemd юнит диспетчера авторизации (polkit)
polkit.service
Агент передачи почты Postfix
Политика определяет, включен ли systemd юнит агента передачи почты Postfix
postfix.service
Сервис отображения универсальных адресов и номеров программ RPC
Политика определяет, включен ли systemd юнит RPC bind
rpcbind.service
Samba SMB сервис
Политика определяет, включен ли systemd юнит сервис Samba SMB
smb.service
Служба защищенного управления (sshd)
Политика определяет, включен ли systemd юнит демона сервера OpenSSH
sshd.service
Демон Upower
Политика определяет, включен ли systemd юнит Daemon Upower (управление питанием)
upower.service
Samba Winbind сервис
Политика определяет, включен ли systemd юнит Samba Winbind
winbind.service

10.4.2. Управление control framework

Через групповые политики реализовано управление настройками control.
control — использующийся в ОС «Альт» механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор. Подсистема control используется для управления доступом к службам и позволяет переключать многие системные службы между заранее определенными состояниями.
Для настройки политики следует перейти в КомпьютерАдминистративные шаблоныСистема ALT. В этом разделе есть несколько подразделов, соответствующих категориям control:
GPUI. Политики настройки систем ALT
После выбора категории в правом окне редактора отобразится список политик:
GPUI. Список политик группы «Безопасность»
При выборе политики откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно настройки политики
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно выбрать режим доступа для данного control:
GPUI. Выбор режима доступа для control

Таблица 10.2. Категория «Безопасность»

Политика
Control
Описание
Режимы
Выполнение программы /usr/bin/chage
chage
Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chage
  • Любой пользователь — любой пользователь может просмотреть, когда ему следует сменить свой пароль, используя команду chage -l имя_пользователя
Выполнение программы /usr/bin/chfn
chfn
Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учётной записи пользователя. Обычный пользователь может изменять поля только для своей учётной записи, с учётом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя)
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chfn
  • Любой пользователь — любой пользователь может использовать команду /usr/bin/chfn
Выполнение программы /usr/bin/chsh
chsh
Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учётной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учётной записи (могут быть указаны любые значения)
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chsh
  • Все пользователи — любой пользователь может использовать команду /usr/bin/chsh
Разрешение на использование consolehelper
consolehelper
Определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM. Когда это возможно, аутентификация выполняется графически; в противном случае выполняется в текстовой консоли, с которой был запущен consolehelper
  • Любой пользователь — любой пользователь может использовать consolehelper
  • Только wheel — только члены группы «wheel» могут использовать команду consolehelper
  • Только root — только суперпользователь (root) может использовать consolehelper
Выполнение программы /usr/bin/gpasswd
gpasswd
Определяет права на запуск инструмента /usr/bin/gpasswd
  • Любой пользователь — любой пользователь может выполнить /usr/bin/gpasswd
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/gpasswd
  • Только root — только суперпользователь (root) может выполнить /usr/bin/gpasswd
Выполнение программы /usr/bin/groupmems
groupmems
Определяет права на выполнение программы /usr/bin/groupmems
  • Любой пользователь — любой пользователь может выполнить /usr/bin/groupmems
  • Только wheel — только члены группы «wheel» могут выполнять команду /usr/bin/groupmems
  • Только root — только суперпользователь (root) может выполнить /usr/bin/groupmems
Выполнение программы usr/sbin/hddtemp
groupmems
Разрешение на использование инструмента usr/sbin/hddtemp — отслеживание температуры жёсткого диска
  • Любой пользователь — любой пользователь может выполнить usr/sbin/hddtemp
  • Только wheel — только члены группы «wheel» могут выполнять usr/sbin/hddtemp
  • Только root — только суперпользователь (root) может выполнить usr/sbin/hddtemp
Разрешения для /usr/bin/newgrp
newgrp
Разрешение на использование инструмента /usr/bin/newgrp
  • Любой пользователь — любой пользователь может выполнить /usr/bin/newgrp
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/newgrp
  • Только root — только суперпользователь (root) может выполнить /usr/bin/newgrp
Создание временных каталогов
pam_mktemp
Определяет, следует ли создавать отдельные временные каталоги для пользователей
  • Отключено — отключить создание отдельных временных каталогов для пользователей
  • Включено — включить создание отдельных временных каталогов для пользователей
Управление паролями с помощью passwd
passwd
Определяет политику управления паролями с помощью команды /usr/bin/passwd
  • TCB — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда включена схема tcb
  • Традиционный (схема tcb отключена) — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда схема tcb отключена
  • Только root — только суперпользователь (root) имеет право изменять пароли пользователей
Управление проверками сложности пароля
passwdqc-enforce
Политика управляет паролями для достаточной надежности пароля
  • Все — включить проверку сложности пароля для всех пользователей
  • Только для пользователей — включить проверку сложности пароля для всех пользователей, кроме суперпользователей
Разрешения для /bin/su
su
Определяет разрешения для /bin/su
  • Любой пользователь — любой пользователь может запускать /bin/su
  • Все пользователи, кроме root — любой пользователь может запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии суперпользователя
  • Только wheel — только пользователи из группы «wheel» могут запускать /bin/su
  • Только root — только суперпользователь (root) может запускать /bin/su
Разрешения для /usr/bin/sudo
sudo
Определяет разрешения для /usr/bin/sudo
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudo
  • Только wheel — только пользователи из группы «wheel» могут запускать /usr/bin/sudo
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudo
Режим передачи родительской среды в sudo
sudoers
Определяет, передаются ли переменные среды в sudo
  • Строгий — не передавать переменные окружения дочернему процессу
  • Слабый — передать переменные окружения дочернему процессу
Разрешения для /usr/bin/sudoreplay
sudoreplay
Определяет разрешения для /usr/bin/sudoreplay
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudoreplay
  • Только wheel — только пользователи из группы «wheel» могут запускать /usr/bin/sudoreplay
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudoreplay
Разрешить команду sudo членам группы «wheel»
sudowheel
Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не сконфигурирована или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo
  • Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo
  • Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo
Метод аутентификации
system-auth
Определяет метод аутентификации пользователя
  • Winbind — использовать Winbind для аутентификации
  • SSSD — использовать метод проверки подлинности демона System Security Services
Разрешения для /usr/lib/chkpwd/tcb_chkpwd
tcb_chkpwd
Определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd
  • Любой пользователь с отключенным tcb — любой пользователь может быть аутентифицирован с использованием привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd когда отключена схема tcb
  • Любой пользователь с включенным tcb — любой пользователь может аутентифицироваться с помощью привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd если включена схема tcb
  • Только root — только суперпользователь (root) может быть аутентифицирован с помощью /usr/lib/chkpwd/tcb_chkpwd
Разрешения для /usr/bin/write
write
Определяет разрешения для /usr/bin/write
  • Любой пользователь — любой пользователь может запускать /usr/bin/write
  • Только root — только суперпользователь (root) может запускать /usr/bin/write

Примечание

Для поддержки общих сетевых ресурсов с помощью политик на клиенте должны быть выполнены следующие условия:
  • установлен пакет samba-usershares;
  • в файле /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf (include = /etc/samba/usershares.conf).

Таблица 10.3. Категория «Службы»

Политика
Control
Описание
Режимы
Права доступа и поведение очереди заданий /usr/bin/at
at
Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at)
  • Все пользователи — всем пользователям разрешено запускать /usr/bin/at
  • Только root — только суперпользователь (root) может запускать /usr/bin/at
  • Режим совместимости — режим «atdaemon» (не должен использоваться)
Режим демона NTP Chrony
chrony
Политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
  • Сервер — в файл конфигурации будет добавлена директива «allow all»
  • Клиент — директива «allow» в файле конфигурации демона будет закомментирована
Разрешение на использование crontab
crontab
Политика определяет права доступа к инструменту crontab (/usr/bin/crontab)
  • Любой пользователь — любой пользователь может использовать /usr/bin/crontab
  • Только root — только суперпользователь (root) может использовать /usr/bin/crontab
Режим CUPS
cups
Политика определяет поведение CUPS
  • Внешний интерфейс IPP — внешний интерфейс IPP доступен для пользователя
  • Только локальные утилиты — только локальные утилиты могут работать с CUPS
Обратный поиск DNS для запросов OpenLDAP
ldap-reverse-dns-lookup
Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
  • Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP
  • Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP
  • По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
Проверка сертификата при установлении соединений TLS OpenLDAP
ldap-tls-cert-check
Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP
  • По умолчанию — установить соединение только с правильным сертификатом
  • Никогда — не выполнять никаких проверок
  • Разрешить — установить соединение, даже если сертификат отсутствует или неверный
  • Пробовать — установить соединение, если нет сертификата или с действующим сертификатом
  • Требовать — установить соединение только с правильным сертификатом
Режим работы Postfix MTA
postfix
Политика определяет режим работы MTA Postfix (почтовый транспортный агент)
  • Локальный (отключен) — Postfix MTA отключен
  • Сервер (фильтры отключены) — Postfix MTA включен без почтовых фильтров
  • Фильтр — Postfix MTA включен с почтовыми фильтрами
Разрешения для /usr/sbin/postqueue
postqueue
Определяет разрешения для /usr/sbin/postqueue
  • Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue
  • Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue
Режим работы Rpcbind
rpcbind
Политика определяет режим работы rpcbind (/sbin/rpcbind)
  • Сервер — rpcbind будет прослушивать входящие соединения из сети
  • Локальный — rpcbind будет принимать только локальные запросы
Поддержка SFTP на сервере OpenSSH
sftp
Политика определяет поддержку SFTP на сервере OpenSSH
  • Включено — включить поддержку SFTP на сервере OpenSSH
  • Отключено — отключить поддержку SFTP на сервере OpenSSH
Поддержка аутентификации OpenSSH-клиентов через GSSAPI
ssh-gssapi-auth
Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI
  • Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена
  • Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена
Samba опции
Гостевой доступ к общим каталогам
smb-conf-usershare-allow-guests
Политика управляет возможностью предоставления гостевого доступа общему ресурсу.
Данная политика управляет параметром usershare allow guests в файле /etc/samba/usershares.conf.
  • Включено — разрешить предоставление гостевого доступа к общему ресурсу; разрешить создание общих каталогов с параметром доступа без авторизации (usershare allow guests = yes)
  • Отключено — запретить предоставление гостевого доступа к общему ресурсу; запретить создание общих каталогов с параметром доступа без авторизации (usershare allow guests = no)
Доступ к общим каталогам других пользователей
smb-conf-usershare-owner-only
Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога.
Данная политика управляет параметром usershare owner only в файле /etc/samba/usershares.conf.
  • Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = yes)
  • Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = no)
Доступ членам группы «sambashare» к управлению общими каталогами
role-sambashare
Политика управляет разрешением членам группы «sambashare» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».
  • Включено — разрешить членам группы «sambashare» управлять общими каталогами
  • Отключено — запретить членам группы «sambashare» управлять общими каталогами
Доступ членам группы «users» к управлению общими каталогами
role-usershares
Политика управляет разрешением членам группы «users» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».
  • Включено — разрешить членам группы «users» управлять общими каталогами
  • Отключено — запретить членам группы «users» управлять общими каталогами. Данный параметр также влияет на разрешение управления общими каталогами через настройку предпочтений
Запрет на создание общих каталогов в системных каталогах
smb-conf-usershare-deny-list
Данная политика управляет параметром usershare prefix deny list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр usershare prefix deny list определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix deny list заданы каталоги: /etc, /dev, /sys, /proc.
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
  • Включено — включить список запрещенных каталогов (параметр usershare prefix deny list будет раскомментирован)
  • Отключено — отключить список запрещенных каталогов (параметр usershare prefix deny list будет закомментирован)
Разрешение на создание общих каталогов в системных каталогах
smb-conf-usershare-allow-list
Данная политика управляет параметром usershare prefix allow list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр usershare prefix allow list определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix allow list заданы каталоги: /home, /srv, /mnt, /media, /var.
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
  • Включено — включить список разрешенных каталогов (параметр usershare prefix allow list будет раскомментирован)
  • Отключено — отключить список разрешенных каталогов (параметр usershare prefix allow list будет закомментирован)
Разрешение на создание пользовательских общих каталогов
smb-conf-usershare
Политика управляет возможностью создания пользовательских общих каталогов на компьютере.
Дананя политика управляет параметром usershare max shares в файле /etc/samba/usershares.conf, который устанавливает предельное число общих каталогов.
  • Включено — включить возможность создания и использования общих каталогов пользователей (usershare max shares = 100)
  • Отключено — отключить возможность создания и использования общих каталогов пользователей (usershare max shares = 0)
SSHD опции
Контроль доступа по группам к серверу OpenSSH
ssh-gssapi-auth
Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп
  • Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен
  • Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен
Группы для контроля доступа к серверу OpenSSH
sshd-allow-groups-list
Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH
  • Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users»
  • Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote»)
  • Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel»)
  • Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»
Поддержка GSSAPI-аутентификации на сервере OpenSSH
sshd-gssapi-auth
Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH
  • Включено — поддержка GSSAPI на сервере OpenSSH включена
  • Отключено — поддержка GSSAPI на сервере OpenSSH отключена
Аутентификация по паролю на сервере OpenSSH
sshd-password-auth
Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH
  • Включено — поддержка аутентификации по паролю на сервере OpenSSH включена
  • Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена
Аутентификация суперпользователя на сервере OpenSSH
sshd-permit-root-login
Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH
  • Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH
  • Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH
  • Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH
  • По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете
SSSD опции
Контроль доступа в SSSD через групповые политики
sssd-ad-gpo-access-control
Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
  • Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
  • Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила
  • Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
  • По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорирование политик при недоступности GPT
sssd-ad-gpo-ignore-unreadable
Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
  • Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кеширование учётных данных пользователей
sssd-cache-credentials
Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кеше SSSD
  • Включить — сохранение в локальном кеше SSSD учётных данных пользователей включено
  • Отключить — сохранение в локальном кеше SSSD учётных данных пользователей отключено
  • По умолчанию — настройка сохранения в локальном кеше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Режим привилегий службы SSSD
sssd-drop-privileges
Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
  • Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете
Обновление DNS-записей прямой зоны
sssd-dyndns-update
Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  • Включить — автоматическое обновление DNS-записи клиента через SSSD включено
  • Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
Обновление DNS-записей обратной зоны
sssd-dyndns-update-ptr
Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»
  • Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено
  • Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете

Таблица 10.4. Категория «Сетевые приложения»

Политика
Control
Описание
Режимы
Разрешение на использование /usr/bin/mtr
mtr
Разрешение на использование сетевого инструмента /usr/bin/mtr
  • Любой пользователь — любой пользователь может выполнить /usr/bin/mtr
  • Группа netadmin — только члены группы «netadmin» могут выполнять /usr/bin/mtr
  • Только root — только суперпользователь (root) может выполнить /usr/bin/mtr
Разрешения для /usr/bin/ping
ping
Эта политика определяет разрешения для /usr/bin/ping
  • Любой пользователь — любой пользователь может запускать /usr/bin/ping
  • Группа netadmin — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping
  • Только root — только суперпользователь (root) может запускать /usr/bin/ping
  • Любой пользователь (в контейнерах) — любой пользователь может запускать /usr/bin/ping (в контейнерах)
  • Группа netadmin (в контейнерах) — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping (в контейнерах)
Разрешения для /usr/sbin/pppd
ppp
Эта политика определяет разрешения для /usr/sbin/pppd
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/pppd
  • Традиционный — любой пользователь имеет право запустить /usr/sbin/pppd без повышения привилегий
  • Группа uucp — пользователям из группы «uucp» имеют право запускать /usr/sbin/pppd с правами суперпользователя
  • Любой пользователь — любой пользователь имеет право запускать /usr/sbin/pppd с правами суперпользователя
Разрешения для wireshark-capture (dumpcap)
wireshark-capture
Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)
  • Любой пользователь — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика включен
  • Любой пользователь, без захвата трафика — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика отключен
  • Группа netadmin — пользователям из группы «netadmin» имеют право запускать /usr/bin/dumpcap
  • Только root — только суперпользователь (root) может запускать /usr/bin/dumpcap

Таблица 10.5. Категория «Приложения для CD/DVD»

Политика
Control
Описание
Режимы
Разрешение на использование /usr/bin/dvd-ram-control
dvd-ram-control
Эта политика определяет права доступа к /usr/bin/dvd-ram-control
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-booktype
dvd+rw-booktype
Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-format
dvd+rw-format
Эта политика определяет права доступа к /usr/bin/dvd+rw-format
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-mediainfo
dvd+rw-mediainfo
Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/growisofs
growisofs
Эта политика определяет права на использование инструмента /usr/bin/growisofs
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs
  • Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs
  • Режим совместимости — режим совместимости, не должен использоваться

Таблица 10.6. Категория «Монтирование»

Политика
Control
Описание
Режимы
Доступ к инструментам FUSE
fusermount
Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)
  • Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
  • Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только root — только суперпользователь (root) может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
Разрешения для /bin/mount и /bin/umount
mount
Эта политика определяет разрешения для /bin/mount и /bin/umount
  • Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount
  • Группа wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount
  • Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root)
  • Только root — только суперпользователь (root) может запускать /bin/mount и /bin/umount
Разрешения для /sbin/mount.nfs
nfsmount
Эта политика определяет разрешения для /sbin/mount.nfs
  • Любой пользователь — любому пользователю разрешено запускать /sbin/mount.nfs
  • Только wheel — пользователям из группы «wheel» разрешено запускать /sbin/mount.nfs
  • Только root — только суперпользователю (root) может запускать /sbin/mount.nfs
Правила подключения USB-накопителей
udisks2
Эта политика определяет правила подключения USB-накопителей
  • По умолчанию — подключить накопитель индивидуально (/run/media/$user/) для каждого пользователя
  • Общий — подключить накопитель к общедоступной точке (/media/)

Таблица 10.7. Категория «Виртуализация»

Политика
Control
Описание
Режимы
Разрешения для VirtualBox
virtualbox
Эта политика определяет разрешения для VirtualBox
  • Любой пользователь — любому пользователю разрешено использовать VirtualBox
  • Группа vboxusers — пользователям из группы «vboxusers» разрешено использовать VirtualBox
  • Только root — только суперпользователю (root) разрешено использовать VirtualBox

Таблица 10.8. Категория «Графическая подсистема»

Политика
Control
Описание
Режимы
Cписок пользователей в greeter (LightDM)
lightdm-greeter-hide-users
Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
  • Показать — показать список доступных пользователей в greeter
  • Скрыть — не перечислять всех пользователей в greeter
Стандартные каталоги в home
xdg-user-dirs
Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя
  • Отключено — функция сохранения списка пользовательских каталогов отключена
  • Группа vboxusers — функция сохранения списка пользовательских каталогов включена
Разрешения для Xorg
xorg-server
Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)
  • Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg
  • Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg
  • Только root — только суперпользователь (root) может запускать /usr/bin/Xorg

10.4.3. Управление настройками службы Polkit

Через групповые политики реализовано управление настройками службы Polkit (PolicyKit).
В настоящий момент реализованы следующие настройки:
Для настройки политики следует перейти в Компьютер/ПользовательАдминистративные шаблоныСистема ALTПравила Polkit. Здесь есть несколько разделов:
GPUI. Список разделов Polkit
При выборе раздела в правом окне редактора отобразится список политик:
GPUI. Список политик PackageKit
При выборе политики откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно настройки ограничения Polkit
Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии Отключено/Не сконфигурировано ограничения определяются системными параметрами. Если выбрать параметр Включено, в разделе Опции в выпадающем списке можно будет выбрать вариант ограничения:
GPUI. Настройка ограничения Polkit
Если выбран параметр Включено, для каждой из политик Polkit доступны следующие ограничения:
  • No — установить ограничение с запретом действия (пользователю не разрешено выполнять действие);
  • Yes — снять ограничение (пользователь может выполнять действие без какой-либо аутентификации);
  • Auth_self — пользователь должен ввести свой пароль для аутентификации. Следует обратить внимание, что этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение Auth_admin;
  • Auth_admin — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора;
  • Auth_self_keep — подобно Auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Следует обратить внимание, что этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение Auth_admin_keep;
  • Auth_admin_keep — аналогично Auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут).

Примечание

Администратор — в ОС «Альт» определён в правиле /etc/polkit-1/rules.d/50-default.rules:
polkit.addAdminRule(function(action, subject) {
        return ["unix-group:wheel"];
});
По умолчанию запрашивается пароль пользователя, находящегося в группе wheel.
Для машинной политики создается файл правил 49-alt_group_policy_permissions.rules, для пользовательской политики — 48-alt_group_policy_permissions_user.<USERNAME>.rules. Правила для пользовательской политики обрабатываются до правил для машинной политики. У машинных политик имеются блокировки (параметр Блокировать), при установке которых машинные политики становятся приоритетнее пользовательских (создается файл правил 47-alt_group_policy_permissions.rules).

Таблица 10.9. Ограничения для работы с токенами и смарт-картами

Политика
Описание
Правило Polkitd
Ограничение возможности доступа к демону PC/SC
Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами
org.debian.pcsc-lite.access_pcsc
Ограничение возможности доступа к смарт-картам
Данная политика управляет ограничением возможности доступа к смарт-картам
org.debian.pcsc-lite.access_card

Таблица 10.10. Ограничения службы Login

Политика
Описание
Правило Polkitd
Ограничение возможности блокировки или разблокировки экрана активных сеансов
Политика ограничивает возможность блокировки или разблокировки экрана активных сеансов
org.freedesktop.login1.lock-sessions
Ограничение возможности выключения питания системы
Политика ограничивает возможность выключения питания системы
org.freedesktop.login1.power-off
Ограничение возможности выключения системы, когда приложение запрещает это действие
Политика ограничивает возможность выключения системы, когда приложение запрещает это действие
org.freedesktop.login1.power-off-ignore-inhibit
Ограничение возможности выключения системы, при наличии активных сеансов других пользователей
Политика ограничивает возможность выключения системы, при наличии активных сеансов других пользователей
org.freedesktop.login1.power-off-multiple-sessions
Ограничение возможности изменения сеанса виртуального терминала
Политика управляет ограничением возможности изменить сеанс виртуального терминала
org.freedesktop.login1.chvt
Ограничение возможности остановки системы
Политика ограничивает возможность остановки системы
org.freedesktop.login1.halt
Ограничение возможности остановки системы, когда приложение запрещает это действие
Политика ограничивает возможность остановки системы, пока приложение запрещает это действие
org.freedesktop.login1.halt-ignore-inhibit
Ограничение возможности остановки системы, при наличии активных сеансов других пользователей
Политика ограничивает возможность остановки системы, при наличии активных сеансов других пользователей
org.freedesktop.login1.halt-multiple-sessions
Ограничение возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
Политика управляет ограничением возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
org.freedesktop.login1.flush-devices
Ограничение возможности перевода системы в спящий режим
Политика ограничивает возможность перевода системы в спящий режим
org.freedesktop.login1.hibernate
Ограничение возможности перевода системы в спящий режим, пока приложение препятствует этому
Политика ограничивает возможность перевода системы в спящий режим, пока приложение препятствует этому
org.freedesktop.login1.hibernate-ignore-inhibit
Ограничение возможности перевода системы в спящий режим, при наличии активных сеансов других пользователей
Политика ограничивает возможность перевода системы в спящий режим, при наличии активных сеансов других пользователей
org.freedesktop.login1.hibernate-multiple-sessions
Ограничение возможности перезагрузки системы
Политика ограничивает возможность перезагрузки системы
org.freedesktop.login1.reboot
Ограничение возможности перезагрузки системы, когда приложение препятствует этому действию
Политика ограничивает возможность перезагрузки системы, когда приложение препятствует этому действию
org.freedesktop.login1.reboot-ignore-inhibit
Ограничение возможности перезагрузки системы, при наличии активных сеансов других пользователей
Политика ограничивает возможность перезагрузки системы, при наличии активных сеансов других пользователей
org.freedesktop.login1.reboot-multiple-sessions
Ограничение возможности приложениям блокировать выключение системы
Политика ограничивает возможность приложениям блокировать выключение системы
org.freedesktop.login1.inhibit-block-shutdown
Ограничение возможности приложениям запрещать автоматическое приостановление работы системы
Политика ограничивает возможность приложениям запрещать автоматическое приостановление работы системы
org.freedesktop.login1.inhibit-block-idle
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
org.freedesktop.login1.inhibit-handle-hibernate-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
org.freedesktop.login1.inhibit-handle-lid-switch
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
org.freedesktop.login1.inhibit-handle-reboot-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
org.freedesktop.login1.inhibit-handle-power-key
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
org.freedesktop.login1.inhibit-handle-suspend-key
Ограничение возможности приложениям запрещать системный сон
Политика ограничивает возможность приложениям запрещать системный сон
org.freedesktop.login1.inhibit-block-sleep
Ограничение возможности приложениям откладывать выключение системы
Политика ограничивает возможность приложениям откладывать выключение системы
org.freedesktop.login1.inhibit-delay-shutdown
Ограничение возможности приложениям откладывать переход в спящий режим
Политика ограничивает возможность приложениям откладывать переход в спящий режим
org.freedesktop.login1.inhibit-delay-sleep
Ограничение возможности приостановки работы системы
Политика ограничивает возможность приостановки работы системы
org.freedesktop.login1.suspend
Ограничение возможности приостановки работы системы, пока приложение препятствует этому действию
Политика ограничивает возможность приостановки работы системы, пока приложение препятствует этому действию
org.freedesktop.login1.suspend-ignore-inhibit
Ограничение возможности приостановки работы системы, при наличии активных сеансов других пользователей
Политика ограничивает возможность приостановки работы системы, при наличии активных сеансов других пользователей
org.freedesktop.login1.suspend-multiple-sessions
Ограничение возможности присоединения устройств к рабочим местам
Политика управляет ограничением возможности присоединить устройства к рабочим местам
org.freedesktop.login1.attach-device
Ограничение возможности разрешения незалогиненному пользователю запускать программы
Политика ограничивает возможность разрешения незалогиненному пользователю запускать программы
org.freedesktop.login1.set-self-linger
Ограничение возможности разрешения незалогиненным пользователям запускать программы
Политика ограничивает возможность разрешения незалогиненным пользователям запускать программы
org.freedesktop.login1.set-user-linger
Ограничение возможности указания загрузчику системы на загрузку в определенную запись загрузчика
Политика ограничивает возможность указания загрузчику системы на загрузку в определенную запись загрузчика
org.freedesktop.login1.set-reboot-to-boot-loader-entry
Ограничение возможности указания загрузчику системы на необходимость загрузки в меню загрузчика
Политика ограничивает возможность указания загрузчику системы на необходимость загрузки в меню загрузчика
org.freedesktop.login1.set-reboot-to-boot-loader-menu
Ограничение возможности указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
Политика ограничивает возможность указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
org.freedesktop.login1.set-reboot-to-firmware-setup
Ограничение возможности управления активными сеансами, пользователями и местами
Политика ограничивает возможность управления активными сеансами, пользователями и местами
org.freedesktop.login1.manage
Ограничение возможности установки «причины» перезагрузки в ядре
Политика ограничивает возможность установить «причины» перезагрузки в ядре
org.freedesktop.login1.set-reboot-parameter
Ограничение возможности установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
Политика ограничивает возможность установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
org.freedesktop.login1.set-wall-message

Таблица 10.11. Ограничения службы Machine

Политика
Описание
Правило Polkitd
Ограничение возможности авторизации в локальном контейнере
Политика управляет ограничением возможности авторизации в локальном контейнере
org.freedesktop.machine1.login
Ограничение возможности авторизации на локальном хосте
Политика управляет ограничением возможности авторизации на локальном хосте
org.freedesktop.machine1.host-login
Ограничение возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
org.freedesktop.machine1.shell
Ограничение возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
org.freedesktop.machine1.host-shell
Ограничение возможности получения псевдотелетайпа (TTY) в локальном контейнере
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) в локальном контейнере
org.freedesktop.machine1.open-pty
Ограничение возможности получения псевдотелетайпа (TTY) на локальном хосте
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) на локальном хосте
org.freedesktop.machine1.host-open-pty
Ограничение возможности управления локальными виртуальными машинами и контейнерами
Политика управляет ограничением возможности управления локальными виртуальными машинами и контейнерами
org.freedesktop.machine1.manage-machines
Ограничение возможности управления локальными виртуальными машинами и образами контейнеров
Политика управляет ограничением возможности управления локальными виртуальными машинами и образами контейнеров
org.freedesktop.machine1.manage-images

Таблица 10.12. Ограничения ModemManager

Политика
Описание
Правило Polkitd
Ограничение возможности блокировки и управления мобильным широкополосным устройством
Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства
org.freedesktop.ModemManager1.Device.Control
Ограничение возможности добавления, изменения или удаления контактов устройства
Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа
org.freedesktop.ModemManager1.Contacts
Ограничение возможности запросов и использования сетевой информации и услуг
Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы
org.freedesktop.ModemManager1.USSD
Ограничение возможности запросов информации о сетевом времени и часовом поясе
Политика ограничивает возможность запрашивать информацию о сетевом времени
org.freedesktop.ModemManager1.Time
Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений
Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства
org.freedesktop.ModemManager1.Messaging
Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова
Политика ограничивает возможность голосовых вызовов
org.freedesktop.ModemManager1.Voice
Ограничение возможности просмотра информации о географическом положении и позиционировании
Политика ограничивает возможность просмотра информации о географическом положении
org.freedesktop.ModemManager1.Location
Ограничение возможности управления демоном Modem Manager
Политика ограничивает возможность управления диспетчером модемов
org.freedesktop.ModemManager1.Control
Ограничение возможности управления прошивкой мобильного широкополосного устройства
Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства
org.freedesktop.ModemManager1.Firmware

Таблица 10.13. Ограничения NetworkManager

Политика
Описание
Правило Polkitd
Ограничение возможности включения или отключения сети
Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации
org.freedesktop.NetworkManager.enable-disable-network
Ограничение возможности включения или отключения статистики
Политика управляет ограничением возможности включения или отключения счётчика статистики устройства
org.freedesktop.NetworkManager.enable-disable-statistics
Ограничение возможности включения или отключения устройств Wi-Fi
Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi
org.freedesktop.NetworkManager.enable-disable-wifi
Ограничение возможности включения или отключения устройств WiMAX
Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX
org.freedesktop.NetworkManager.enable-disable-wimax
Ограничение возможности включения или отключения WWAN-устройств
Политика управляет ограничением возможности включения или отключения WWAN-устройств
org.freedesktop.NetworkManager.enable-disable-wwan
Ограничение возможности изменения общих настроек DNS
Политика управляет ограничением возможности изменений общей конфигурации DNS
org.freedesktop.NetworkManager.settings.modify.global-dns
Ограничение возможности изменения персональных сетевых настроек
Данная политика управляет ограничением возможности изменений личных сетевых соединений
org.freedesktop.NetworkManager.settings.modify.own
Ограничение возможности изменения постоянного имени хоста
Данная политика управляет ограничением возможности изменения постоянного имени (hostname) системы
org.freedesktop.NetworkManager.settings.modify.hostname
Ограничение возможности изменения сетевых подключений для всех пользователей
Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей
org.freedesktop.NetworkManager.settings.modify.system
Ограничение возможности изменения системных настроек для сети
Политика управляет ограничением возможности изменения системных сетевых настроек
org.freedesktop.NetworkManager.network-control
Ограничение возможности изменения состояния сна NetworkManager
Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы).
В спящем состоянии все интерфейсы, которыми управляет NetworkManager, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NetworkManager не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы.
org.freedesktop.NetworkManager.sleep-wake
Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке
Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней
org.freedesktop.NetworkManager.checkpoint-rollback
Ограничение возможности перезагрузки NetworkManager
Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager
org.freedesktop.NetworkManager.reload
Ограничение возможности проверки подключения сети
Политика управляет ограничением возможности включения или отключения проверки подключения к сети
org.freedesktop.NetworkManager.enable-disable-connectivity-check
Ограничение возможности сканирования Wi-Fi сетей
Данная политика управляет ограничением возможности сканирования Wi-Fi сетей
org.freedesktop.NetworkManager.wifi.scan
Ограничение возможности совместных подключений через защищённую сеть Wi-Fi
Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi
org.freedesktop.NetworkManager.wifi.share.protected
Ограничение возможности совместных подключений через открытую сеть Wi-Fi
Политика управляет ограничением возможности совместного подключения ерез открытую сеть Wi-Fi
org.freedesktop.NetworkManager.wifi.share.open
Ограничения NetworkManager для текущего пользователя можно просмотреть, выполнив команду:
$ nmcli general permissions
PERMISSION                                                        VALUE
org.freedesktop.NetworkManager.checkpoint-rollback                auth
org.freedesktop.NetworkManager.enable-disable-connectivity-check  нет
org.freedesktop.NetworkManager.enable-disable-network             auth
org.freedesktop.NetworkManager.enable-disable-statistics          auth
org.freedesktop.NetworkManager.enable-disable-wifi                да
org.freedesktop.NetworkManager.enable-disable-wimax               да
org.freedesktop.NetworkManager.enable-disable-wwan                да
org.freedesktop.NetworkManager.network-control                    да
org.freedesktop.NetworkManager.reload                             auth
org.freedesktop.NetworkManager.settings.modify.global-dns         нет
org.freedesktop.NetworkManager.settings.modify.hostname           auth
org.freedesktop.NetworkManager.settings.modify.own                auth
org.freedesktop.NetworkManager.settings.modify.system             да
org.freedesktop.NetworkManager.sleep-wake                         да
org.freedesktop.NetworkManager.wifi.scan                          да
org.freedesktop.NetworkManager.wifi.share.open                    да
org.freedesktop.NetworkManager.wifi.share.protected               да

Таблица 10.14. Ограничения PackageKit

Политика
Описание
Правило Polkitd
Ограничение возможности восстановления пакетов в системе
Данная политика ограничивает пользователям возможность восстановления системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.repair-system
Ограничение возможности добавления ключа электронной подписи
Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.system-trust-signing-key
Ограничение возможности обновления пакетов
Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.system-update
Ограничение возможности обновления системных источников пакетов
Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.system-sources-refresh
Ограничение возможности переустановки пакетов
Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.package-reinstall
Ограничение возможности принятия лицензионного соглашения
Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.package-eula-accept
Ограничение возможности редактирования источников пакетов
Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.system-sources-configure
Ограничение возможности удаления пакетов
Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.package-remove
Ограничение возможности установки пакетов
Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.package-install
Ограничение возможности установки непроверенных пакетов
Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit
org.freedesktop.packagekit.package-install-untrusted

Таблица 10.15. Ограничения Realmd

Политика
Описание
Правило Polkitd
Ограничение возможности возможности запустить обнаружение области Kerberos REALM
Данная политика управляет ограничением возможности запустить обнаружение области Kerberos REALM
org.freedesktop.realmd.discover-realm
Ограничение возможности изменения политики входа в систему
Данная политика управляет ограничением возможности изменения политики входа в систему
org.freedesktop.realmd.login-policy
Ограничение возможности присоединения машины к домену или Kerberos REALM
Данная политика управляет ограничением возможности присоединения машины к домену или Kerberos REALM
org.freedesktop.realmd.configure-realm
Ограничение возможности отключения машины из домена или Kerberos REALM
Данная политика управляет ограничением возможности удаления машины из домена или Kerberos REALM
org.freedesktop.realmd.deconfigure-realm

Таблица 10.16. Ограничения Udisks

Политика
Описание
Правило Polkitd
Общая политика ограничения возможности монтирования
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах
org.freedesktop.udisks2.filesystem-mount
org.freedesktop.udisks2.filesystem-mount-other-seat
org.freedesktop.udisks2.filesystem-mount-system
Ограничение возможности включения/отключения SMART
Данная политика управляет ограничением возможности включения/отключения SMART
org.freedesktop.udisks2.ata-smart-enable-disable
Ограничение возможности запуска самопроверки SMART
Данная политика управляет ограничением возможности запуска самопроверки SMART
org.freedesktop.udisks2.ata-smart-selftest
Ограничение возможности монтирования системных разделов
Данная политика ограничивает возможность монтирования системных разделов. Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение True. Жёсткий диск с установленной ОС относится к системным устройствам
org.freedesktop.udisks2.filesystem-mount-system
Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии)
org.freedesktop.udisks2.filesystem-mount-other-seat
Ограничение возможности монтирования файловой системы
Данная политика управляет ограничением возможности монтирования файловой системы устройства
org.freedesktop.udisks2.filesystem-mount
Ограничение возможности надежно стереть жесткий диск
Данная политика управляет ограничением возможности надежно стереть жесткий диск
org.freedesktop.udisks2.ata-secure-erase
Ограничение возможности обновить данные SMART
Данная политика управляет ограничением возможности обновить данные SMART
org.freedesktop.udisks2.ata-smart-update
Ограничение возможности отправить команду ожидания для диска с удаленного места
Данная политика управляет ограничением возможности отправить команду ожидания для диска с удаленного места
org.freedesktop.udisks2.ata-standby-other-seat
Ограничение возможности отправить команду режима ожидания на системный диск
Данная политика управляет ограничением возможности отправить команду режима ожидания на системный диск
org.freedesktop.udisks2.ata-standby-system
Ограничение возможности отправить резервную команду
Данная политика управляет ограничением возможности отправить резервную команду
org.freedesktop.udisks2.ata-standby
Ограничение возможности разрешения на проверку состояния питания жесткого диска
Данная политика управляет ограничением возможности разрешения на проверку состояния питания жесткого диска
org.freedesktop.udisks2.ata-check-power
Ограничение возможности установить данные SMART из большого двоичного объект
Данная политика управляет ограничением возможности установить данные SMART из большого двоичного объекта
org.freedesktop.udisks2.ata-smart-simulate

Таблица 10.17. Другие политики

Политика
Описание
Правило Polkitd
Ограничение возможности запуска программы от имени другого пользователя
Данная политика управляет ограничением возможности запуска программы от имени другого пользователя
org.freedesktop.policykit.exec
Все настройки политики управления политиками Polkit хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.
Пример файла Registry.pol:
PReg
[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;]
[Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No]
[Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self]
[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.NetworkManager.network-control;;;]
[Software\BaseALT\Policies\Polkit;org.freedesktop.NetworkManager.network-control;;Yes]

10.4.4. Политика доступа к съемным носителям

Эта групповая политика позволяет централизованно для компьютеров или пользователей настраивать доступ к съемным запоминающим устройствам (CD, DVD, USB и др.).

Примечание

Политика полного запрета на доступ к съемным носителям реализована через правила в Polkit (/etc/polkit-1/rules.d/).
Правила для пользовательской политики обрабатываются до правил для машинной политики. Для машинной политики создается файл правил 49-gpoa_disk_permissions.rules, для пользовательской политики — 48-gpoa_disk_permissions_user.<USERNAME>.rules.
Для настройки этой политики следует перейти в Компьютер/ПользовательАдминистративные шаблоныСистемаДоступ к съемным запоминающим устройствам:
GPUI. Политика «Доступ к съемным запоминающим устройствам»

Примечание

На данный момент реализована только политика Съемные запоминающие устройства всех классов: Запретить любой доступ (машинная и пользовательская).
Щелкнуть левой кнопкой мыши на политике Съемные запоминающие устройства всех классов: Запретить любой доступ, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить:
GPUI. Редактирование политики «Съемные запоминающие устройства всех классов»
Для включения запрета на доступ следует выбрать параметр Включено, для отключения — Отключено или Не сконфигурировано.
Настройки политики управления съемными носителями хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.
Пример файла Registry.pol:
PReg
[Software\Policies\Microsoft\Windows\RemovableStorageDevices;Deny_All;;;]

10.4.5. Управление gsettings

Данные групповые политики позволяют управлять ключами gsettings. В свою очередь gsettings управляет ключами dconf.
В настоящий момент реализованы настройки удаленного доступа к рабочему столу (VNC) через Vino и настройки графической среды Mate, а именно:
  • настройки фона рабочего стола;
  • настройки хранителя экрана;
  • настройки ограничений пользователя.
Машинные политики являются действующими по умолчанию, а пользовательские, при установке, замещают машинные. У машинных политик имеются блокировки, при установке которых пользовательские настройки игнорируются, а для применения используются значения, установленные машинными политиками.
Порядок применения политик:
  1. Машинные политики применяются при загрузке компьютера.
  2. Машинные политики без блокирования могут применяться, но только в том случае, если пользователь ни разу не изменял эти политики.
  3. Машинные политики с блокировкой применяются независимо от пользовательских настроек.
  4. Пользовательские политики применяются при логине пользователя и только в случае, если нет таких же машинных политик с блокировкой.
Для настройки политики следует перейти в Компьютер/ПользовательАдминистративные шаблоныСистема ALTНастройки Mate/Удаленный доступ через Vino. Выбрать раздел, в правом окне редактора отобразится список политик:
GPUI. Управление настройками gsettings
При выборе политики откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно настройки политики «Тип градиента»
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно указать настройки политики:
GPUI. Установка градиента в политике «Тип градиента»
Политика, управляющая настройкой фона рабочего стола, изменяет ключ KEY в схеме org.mate.background. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.background.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.mate.background.KEY.

Таблица 10.18. Настройки фона рабочего стола

Политика
Ключ
Описание
Значение
Картинка фона рабочего стола
picture-filename
Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение
Строка, содержащая путь (с точки зрения клиента) к файлу изображения (например, /usr/share/backgrounds/mate/nature/Wood.jpg)
Метод отображения картинки фона
picture-options
Устанавливает метод отображения изображения, заданного параметром Картинка фона рабочего стола
  • None (нет) — нет изображения
  • Wallpaper (мозаика) — дублирует изображение в оригинальном размере таким образом, что изображение полностью покрывает рабочий стол
  • Centered (по центру) — отображает изображение в центре рабочего стола в соответствии с оригинальным размером изображения
  • Scaled (масштаб) — увеличивает изображение, сохраняя пропорции, до тех пор, пока величина одной из границ изображения не совпадет с величиной одной из границ экрана
  • Stretched (растянуть) — увеличивает изображение для соответствия размеру рабочего стола, изменяя пропорции при необходимости
  • Zoom (приближение) — увеличивает наименьшую из сторон изображения до тех пор, пока ее величина не совпадет с величиной соответствующей границы экрана; изображение может быть обрезано по другой стороне
  • Spanned (заполнение) — увеличивает изображение, сохраняя пропорции, до тех пор, пока величина одной из границ изображения не совпадет с величиной одной из границ экрана
Тип градиента
color-shading-type
Устанавливает тип градиента фона рабочего стола. Этот параметр имеет смысл, только если не установлен параметр Картинка фона рабочего стола
  • Вертикальный градиент — градиентный эффект от верхнего края экрана к нижнему
  • Горизонтальный градиент — градиентный эффект от левого края экрана к правому
  • Сплошная заливка — заполнить фон рабочего стола одним цветом
Конечный цвет градиента
secondary-color
Устанавливает «конечный» цвет градиента фона рабочего стола. Данным цветом заканчивается градиент и, в зависимости от типа градиента, параметр определяет цвет правого или нижнего края рабочего стола. Данный параметр не используется, если в параметре Тип градиента выбрана Сплошная заливка
  • Ключевое слово цвета (red, aqua, navy и т.д.)
  • Строка типа #RRGGBB
  • Строка типа rgb(0,0,0)
Начальный цвет градиента
primary-color
Устанавливает начальный цвет градиента фона рабочего стола. Данным цветом начинается градиент и, в зависимости от типа градиента, параметр определяет цвет левого или верхнего края рабочего стола, или цвет сплошной заливки
  • Ключевое слово цвета (red, aqua, navy и т.д.)
  • Строка типа #RRGGBB
  • Строка типа rgb(0,0,0)
Политика, управляющая настройкой хранителя экрана, изменяет ключ KEY в схеме org.mate.screensaver. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.screensaver.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.mate.screensaver.KEY.

Таблица 10.19. Настройки хранителя экрана

Политика
Ключ
Описание
Значение
Время смены тем
cycle-delay
Устанавливает интервал (в минутах) между сменами тем хранителя экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и если для параметра Режим работы установлено значение Случайные темы.
Время в минутах
Время до блокировки паролем
lock-delay
Устанавливает количество минут, по истечении которых после активации хранителя экрана, компьютер будет заблокирован.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера
Время в минутах
Блокировка компьютера
lock-enabled
Включает блокировку компьютера при активации хранителя экрана. Блокировка будет включена через интервал времени, установленный настройкой Время до блокировки паролем.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана
-
Время до выхода из сеанса
logout-delay
Устанавливает количество минут, по истечении которых после активации хранителя экрана, при разблокировании пользователю будет предоставлена возможность выхода из сеанса.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Выход из сеанса после блокировки
Время в минутах
Выход из сеанса после блокировки
logout-enabled
После некоторой задержки добавляет кнопку выхода из сеанса (Завершить сеанс) к диалогу разблокирования экрана. Время задержки указывается в настройке Время выхода из сеанса.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)
-
Режим работы
mode
Устанавливает режим работы хранителя экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана
Доступны следующие режимы:
  • Отключён — режим отключён
  • Пустой экран — не показывать никаких изображений, только чёрный экран
  • Выбранная тема — показывать одну (указанную) тему хранителя экрана
  • Случайные темы — выбрать тему хранителя экрана случайным образом
Переключить пользователя после блокировки
user-switch-enabled
Добавляет кнопку Переключить пользователя к диалогу разблокирования экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)
-
Включение хранителя экрана
idle-activation-enabled
Обеспечивает включение хранителя экрана при бездействии системы
-
Политика, управляющая настройкой ограничений пользователя, изменяет ключ KEY в схеме org.mate.lockdown. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.lockdown.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.mate.lockdown.KEY.

Таблица 10.20. Настройки ограничений пользователя

Политика
Ключ
Описание
Значение
Запрет блокировки экрана
picture-filename
Запрещает пользователю блокировать экран паролем. При установке данной настройки, значение параметра Блокировка компьютера игнорируется
-
Запрет пользователю завершать сеанс
disable-log-out
Запрещает пользователю завершать свой сеанс
-
Запрет выбора тем рабочего стола
picture-filename
Запрещает пользователю изменять тему оформления графической среды Mate
-
Запрет переключения пользователей
disable-user-switching
Запрещает пользователю переключение на другую учётную запись, пока активен его сеанс. Отключает кнопку Переключить пользователя в диалоговом окне, вызываемом при выборе в главном меню пункта Завершить сеанс
-
Политика, управляющая настройкой удаленного доступа VNC, изменяет ключ KEY в схеме org.gnome.Vino. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.gnome.Vino.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.gnome.Vino.KEY.

Таблица 10.21. Настройки удаленного доступа VNC

Политика
Ключ
Описание
Значение
Альтернативный порт
alternative-port
Устанавливает альтернативный порт для удаленного подключения к рабочему столу. Используется только при установленном параметре Включить альтернативный порт
Значение номера порта в пределах от 5 000 до 50 000. По умолчанию используется порт 5900
Методы аутентификации
authentication-methods
Устанавливает методы аутентификации пользователей, подключающихся к рабочему столу. Используется только при установленном параметре Пароль для подключения
  • None — пароль для подключения не требуется
  • Vnc — для подключения необходим пароль
Удаленный доступ
enabled
Разрешает удаленный доступ к рабочему столу с использованием протокола RFB и VNC
  • Включено — удаленный доступ разрешен
  • Отключено — удаленный доступ запрещён
Иконка подключения
icon-visibility
Управляет отображением значка подключения в области уведомления
  • Никогда — значок не отображается
  • Всегда — значок отображается всегда
  • Только при подключении клиента — значок отображается при подключении удалённого пользователя
Подтверждение при подключении
prompt-enabled
Включает запрос подтверждения при любой попытке доступа к рабочему столу. Рекомендуется при отсутствии защиты подключения паролем
  • Включено — запрашивается подтверждение доступа
  • Отключено — подтверждение доступа не запрашивается
Включить альтернативный порт
prompt-enabled
Включить прослушивание альтернативного порта для удалённых подключений (вместо порта по умолчанию 5 900). Порт указывается в параметре Альтернативный порт
  • Включено — включить прослушивание альтернативного порта
  • Отключено — не включать прослушивание альтернативного порта
Удалённое управление
view-only
Запрещает удалённое управление рабочим столом. Удалённым пользователям, разрешается только просматривать рабочий стол, но не управлять мышью и клавиатурой
  • Включено — удаленное управление разрешено
  • Отключено — удаленное управление запрещёно
Политика, управляющая настройкой оконного менеджера Marco, изменяет ключ KEY в схеме org.mate.Marco.general. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.pMarco.general.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.mate.Marco.general.KEY.

Таблица 10.22. Настройки оконного менеджера Marco

Политика
Ключ
Описание
Значение
Иконки заголовка окна
button-layout
Настройки расположения кнопок в заголовке окна
Строка вида: menu:minimize,maximize,spacer,close
Разделителем правой и левой половин является двоеточие. Имена кнопок разделяются запятыми.
Например, строка 'menu:minimize,maximize,spacer,close' — расположить кнопку меню окна слева, а справа кнопки свернуть, распахнуть, закрыть окно.
Дублирование кнопок не допускается. Неизвестные имена кнопок игнорируются без уведомления.
Специальный элемент spacer может использоваться для вставки пробела между двумя кнопками.
Действие по нажатию средней кнопки
action-middle-click-titlebar
Установливает действие, выполняемое по нажатию средней кнопки мыши по заголовку окна
  • Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно
  • На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер
  • Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины
  • Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты
  • Свернуть (minimize) — свернуть окно
  • Показать меню (menu) — показать меню окна
  • Задвинуть (lower) — поместить окно под другими
  • Ничего не делать (none) — никакого действия не производить
  • Последнее действие (last) — повторить предыдущее действие
Действие по нажатию правой кнопки
action-right-click-titlebar
Устанавливает действие, выполняемое по нажатию правой кнопки мыши по заголовку окна
  • Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно
  • На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер
  • Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины
  • Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты
  • Свернуть (minimize) — свернуть окно
  • Показать меню (menu) — показать меню окна
  • Задвинуть (lower) — поместить окно под другими
  • Ничего не делать (none) — никакого действия не производить
  • Последнее действие (last) — повторить предыдущее действие
Действие по двойному щелчку
action-double-click-titlebar
Устанавливает действие, выполняемое по двойному щелчку левой кнопкой мыши по заголовку окна
  • Свернуть в заголовок (toggle_shade) — свернуть окно в заголовок. По двойному щелчку окно разворачивается обратно
  • На весь экран (toggle_maximize) — распахнуть окно на весь экран или восстановить исходный размер
  • Растянуть по вертикали (toggle_maximize_vertically) — развернуть окно вертикально без изменения его ширины
  • Растянуть по горизонтали (toggle_maximize_horizontally) — развернуть окно горизонтально без изменения его высоты
  • Свернуть (minimize) — свернуть окно
  • Показать меню (menu) — показать меню окна
  • Задвинуть (lower) — поместить окно под другими
  • Ничего не делать (none) — никакого действия не производить
  • Последнее действие (last) — повторить предыдущее действие
Изменение размеров окна при перетаскивании
primary-color
Включает изменение размеров окна при перетаскивании его в различные области экрана.
Если включено, перетаскивание окна на границу экрана распахивает окно вертикально и изменяет горизонтальный размер до половины доступного пространства.
Если активирован параметр Распахнуть окно при перетаскивании к верхнему краю экрана, перетаскивание окна наверх разворачивает окно.
-
Разворачивание при перетаскивании (Распахнуть окно при перетаскивании к верхнему краю экрана)
allow-top-tiling
Включает разворачивание окна во весь экран при перетаскивании его к верхнему краю экрана. Этот параметр имеет смысл только при активированном параметре Изменение размеров окна при перетаскивании
-
Размер окна переключения Alt+Tab
alt-tab-max-columns
Устанавливает количество колонок в окне переключения приложений Alt+Tab
Количество колонок
Задержка при восстановлении
alt-tab-max-columns
Временной интервал в миллисекундах, по истечении которого окно в фокусе будет поднято поверх остальных. Этот параметр имеет смысл только при активированном параметре Автоматически поднимать окно, получившее фокус
Время в миллисекундах
Автоматически поднимать окно, получившее фокус
auto-raise
При включении этой политики, окно, получившее фокус, автоматически отображается поверх остальных. Параметр Переключение фокуса окон должен быть установлен в Sloppy или Mouse. Интервал, по истечении которого, окно поднимается, устанавливается в параметре Задержка при восстановлении
-
Новые окна по центру
center-new-windows
Если включено, то новые окна будут открываться по центру экрана. В противном случае они будут открыты в левом верхнем углу экрана
-
Миниатюры при переключении окон
compositing-fast-alt-tab
Если включено, то вместо миниатюр предварительного просмотра в окне переключения Alt+Tab будут отображаться значки приложений
-
Режим активации окна
focus-mode
Режим переключения фокуса в окно определяет, как активируются окна
  • Click — для активации окна на нём надо щелкнуть
  • Sloppy — окно активируется, когда на него перемещается указатель мыши
  • Mouse — окно активируется, когда в него перемещается указатель мыши, и перестает быть активным, когда указатель мыши уходит из него
Переключение фокуса на новое окно
focus-new-windows
Определяет, как новое окно получает фокус
  • Smart — новое окно получает фокус при создании
  • Strict — окна, запущенные из терминала, не получают фокус
Размер иконок в окне Alt+Tab
icon-size
Устанавливает размер значков, отображаемых в окне переключения приложений Alt+Tab
Интервал допустимых значений: 8-256
Количество рабочих областей (мест)
num-workspaces
Установка количества рабочих мест
Интервал допустимых значений 1-36
Расположение новых окон
placement-mode
Указывает как будут позиционироваться новые окна
  • Автоматически (automatic) — система выбирает местоположение на основе доступного пространства на рабочем столе, или располагает каскадом, если нет места
  • Указатель (pointer) — новые окна размещаются в соответствии с положением указателя мыши
  • Ручной (manual) — пользователь должен вручную расположить новое окно с помощью мыши или клавиатуры
Граница окна при переключении с помощью Alt+Tab
show-tab-border
Выделять границу выбранного окна при переключении с помощью Alt+Tab
-
Тема оформления
theme
Устанавливает тему, отвечающую за отображение границ окон, заголовка и т.д.
Строка, содержащая название темы (например, Dopple)
Шрифт заголовка окна
titlebar-font
Устанавливает шрифт заголовков окон. Этот параметр игнорируется, если активирован параметр Системный шрифт в заголовке окон
Строка, содержащая название шрифта и через пробел, размер шрифта (например, Noto Sans Bold 10)
Системный шрифт в заголовке окна
titlebar-uses-system-font
Если включено, в заголовках окон используется стандартный системный шрифт. Параметр Шрифт заголовка окна при этом игнорируется
-
Переключение рабочих областей (столов)
wrap-style
Определяет, каким образом пролистывать от одного рабочего стола к другому на границе переключателя рабочих мест
  • No wrap — при попытке пролистать рабочее место за границу переключателя ничего не произойдет
  • Classic — конец одной строки ведет на начало следующей и конец одной колонки ведет к началу следующей
  • Toroidal — конец каждой строки ведет к её же началу и конец каждой колонки ведёт к её же началу
Политика, управляющая настройкой клавиатуры, изменяет ключ KEY в схеме org.mate.peripherals-keyboard. В реестре Windows данная политика изменяет в Software\BaseALT\Policies\gsettings ключ org.mate.peripherals-keyboard.KEY. Блокировка устанавливается в ветке реестра Software\BaseALT\Policies\GSettingsLocks ключ org.mate.peripherals-keyboard.KEY.

Таблица 10.23. Настройки клавиатуры

Политика
Ключ
Описание
Значение
Задержка перед повтором
delay
Задержка перед повтором нажатой и удерживаемой клавиши
Время в миллисекундах
Скорость повтора
rate
Устанавливает скорость повтора нажатой и удерживаемой клавиши
Количество повторов в секунду
Повторять удерживаемую нажатой клавишу
repeat
Включить повтор нажатой и удерживаемой клавиши. Если нажать и удерживать клавишу при включённом повторе ввода, действие, соответствующее клавише, будет повторяться. Например, если нажать и удерживать клавишу с буквой, то эта буква будет многократно повторена.
-

10.4.6. Управление настройками среды рабочего стола KDE

Данные групповые политики позволяют управлять настройками среды рабочего стола KDE.
Для реализации применения групповых политик управления настройками среды рабочего стола KDE используется механизм, основанный на редактировании конфигурационных файлов.
Файл конфигурации состоит из пар «ключ=значение», которые размещены в группах. Начало группы обозначается именем группы, заключенным в квадратные скобки. Все последующие записи «ключ=значение» принадлежат этой группе. Группа заканчивается, когда начинается другая группа или когда достигается конец файла. Записи в верхней части файла, которым не предшествует имя группы, относятся к группе по умолчанию. Пустые строки, как и строки, начинающиеся с решетки («#»), в файлах конфигурации игнорируются.
Пример файла конфигурации:
[General]
FilterBar=0
Version=202
ViewPropsTimestamp=2023,10,5,18,6,33.478

[MainWindow]
MenuBar=Disabled
ToolBarsMovable=Disabled
Если в дереве каталогов обнаружено несколько файлов конфигурации с одинаковым именем, их содержимое объединяется. Здесь играет роль порядок приоритета каталогов: когда два файла определяют один и тот же ключ конфигурации, файл с наивысшим приоритетом определяет, какое значение используется для ключа. Конфигурационные файлы из $KDEHOME всегда обладают наивысшим приоритетом. В случае, если в одном конфигурационном файле один ключ указан несколько раз, будет использовано последнее его значение.
Машинные политики являются действующими по умолчанию, а пользовательские, при установке, замещают машинные. У политик имеются блокировки. При установке машинных блокировок пользовательские настройки игнорируются, а для применения используются значения, установленные машинными политиками.

Примечание

Поведение разных приложений на блокировку может отличаться. Одни приложения могут распознавать блокировку, другие использовать пользовательские настройки, несмотря на наличие блокировки.
Порядок применения политик:
  1. Машинные политики применяются при загрузке компьютера.
  2. Машинные политики без блокирования могут применяться, но только в том случае, если пользователь ни разу не изменял эти политики.
  3. Машинные политики с блокировкой применяются независимо от пользовательских настроек.
  4. Пользовательские политики применяются при логине пользователя и только в случае, если нет таких же машинных политик с блокировкой.
Для настройки политики следует перейти в Компьютер/ПользовательАдминистративные шаблоныСистема ALTНастройки KDE. Выбрать раздел, в правом окне редактора отобразится список политик:
GPUI. Управление настройками среды рабочего стола KDE
При выборе политики откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно настройки политики «Виртуальные рабочие столы»
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно указать настройки политики:
GPUI. Настройка политики «Виртуальные рабочие столы»
Политики, управления настройками среды рабочего стола KDE, относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Значения параметров данных политик прописываются в файлы конфигурации:
  • /etc/xdg/<имя_файла> — машинная политика;
  • ~/.config/<имя_файла> — пользовательская политика.

Таблица 10.24. Настройки среды рабочего стола KDE

Политика
Описание
Примечание
Виртуальные рабочие столы
Позволяет настроить количество виртуальных рабочих столов.
Файлы конфигурации:
  • /etc/xdg/kwinrc — машинная политика
  • ~/.config/kwinrc — пользовательская политика
Пример файла конфигурации:
[Desktops]
Number=4
Rows=1
Где:
  • Rows=1 — количество строк отображения виртуальных окон на панели;
  • Number=4 — количество виртуальных окон на панели.
Графические эффекты
Позволяет настроить включение или отключение графических эффектов при входе в систему.
Файлы конфигурации:
  • /etc/xdg/kwinrc — машинная политика
  • ~/.config/kwinrc — пользовательская политика
Пример файла конфигурации:
[Compositing]
Enabled=1
Возможные значения:
  • Enabled=1 — включить эффекты при входе в систему;
  • Enabled=0 — не включать эффекты при входе в систему;
  • Enabled[$i]=1 — включить эффекты при входе в систему и заблокировать возможность изменения данной настройки пользователем.
Задержка отрисовки
Позволяет установить уровень задержки и плавности анимации.
Возможные значения:
  • Принудительно низкая задержка (может привести к артефактам) (LatencyPolicy=ExtremelyLow)
  • Предпочитать низкую задержку (LatencyPolicy=Low)
  • Баланс скорости и плавности (LatencyPolicy=Medium)
  • Предпочитать более плавную анимацию (LatencyPolicy=High)
  • Принудительно наиболее плавная анимация» (по умолчанию) (LatencyPolicy=NONE)
Файлы конфигурации:
  • /etc/xdg/kwinrc — машинная политика
  • ~/.config/kwinrc — пользовательская политика
Пример файла конфигурации:
[Compositing]
LatencyPolicy=Medium
Наличие кнопки «Удалить» в контекстном меню Dolphin
Позволяет управлять отображением кнопки «Удалить» в контекстном меню Dolphin.
Файлы конфигурации:
  • /etc/xdg/kdeglobals — машинная политика
  • ~/.config/kdeglobals — пользовательская политика
Пример файла конфигурации:
[KDE]
ShowDeleteCommand[$i]=1
Возможные значения:
  • ShowDeleteCommand=1 — показывать кнопку «Удалить» в контекстном меню Dolphin;
  • ShowDeleteCommand=0 — не показывать кнопку «Удалить» в контекстном меню Dolphin;
  • ShowDeleteCommand[$i]=1 — показывать кнопку «Удалить» в контекстном меню Dolphin и заблокировать возможность изменения данной настройки пользователем.
Настройка подключаемых устройств
Позволяет настроить автоматическое монтирование подключаемых устройств.
Возможные значения:
  • Автоматически монтировать устройства — если этот параметр отключён (AutomountEnabled=0), никакие носители информации не будут монтироваться автоматически;
  • При входе в систему — если этот параметр включён (AutomountOnLogin=1) и при входе пользователя в систему к ней были подключены внешние носители информации, Plasma автоматически сделает их содержимое доступным для других программ;
  • При подключении — если этот параметр включён (AutomountOnPlugin=1), устройства будут монтироваться при подключении их к системе;
  • Автоматически монтировать те носители, которые никогда ранее не были примонтированы вручную — если этот параметр отключён (AutomountUnknownDevices=0), автоматически будут монтироваться только те носители, информацию о которых помнит система (носитель «запоминается», если он был хотя бы один раз был смонтирован).
Файлы конфигурации:
  • /etc/xdg/kded_device_automounterrc — машинная политика
  • ~/.config/kded_device_automounterrc — пользовательская политика
Пример файла конфигурации:
[General]
AutomountEnabled=1
AutomountOnLogin=1
AutomountOnPlugin=0
AutomountUnknownDevices=0
Открытие файла или каталога одним щелчком
Позволяет настроить открытие файла или каталога одним щелчком.
Файлы конфигурации:
  • /etc/xdg/kdeglobals — машинная политика
  • ~/.config/kdeglobals — пользовательская политика
Пример файла конфигурации:
[KDE]
SingleClick[$i]=1
Возможные значения:
  • SingleClick=1 — щелчок по файлу или каталогу открывает объект;
  • SingleClick=0 — щелчок по файлу или каталогу выделяет объект;
  • SingleClick[$i]=1 — щелчок по файлу или каталогу открывает объект, возможность изменения данной настройки пользователем заблокирована.
Региональные и языковые параметры
Позволяет установить региональные и языковые параметры. Эти параметры меняют настройки не только самого языка системы, но и задают настройки валюты, стандарт времени, числовые значения, стиль написания имени, телефонный код и стандарт телефонного номера страны. Параметры вписываются в поля Стандарт и Язык.
Примеры:
  • «Русский язык»: Стандарт — ru_RU.UTF-8; Язык — ru;
  • Французский язык»: Стандарт — fr_FR.UTF-8; Язык — fr;
  • Немецкий язык»: Стандарт — de_DE.UTF-8; Язык — de;
  • «Английский язык (Американский)»: Стандарт — en_US.UTF-8; Язык — en_US;
  • «Английский язык (Британский)»: Стандарт — en_GB.UTF-8; Язык — en_GB;
Файлы конфигурации:
  • /etc/xdg/plasma-localerc — машинная политика
  • ~/.config/plasma-localerc — пользовательская политика
Пример файла конфигурации:
[Formats]
LANG[$i]=ru_RU.UTF-8

[Translation]
LANGUAGE=ru
Где:
  • LANG[$i]=ru_RU.UTF-8 — стандарт русского языка, возможность изменения данной настройки пользователем заблокирована;
  • LANGUAGE=ru — русский язык.
Режим активации окна
Позволяет определить как активируются окна при переключении фокуса.
Возможные значения:
  • Фокус по щелчку — при выборе этого значения (FocusPolicy=FocusFollowMouse), окно становится активным по щелчку по нему мышью;
  • Фокус по щелчку + Приоритет мыши (FocusPolicy=FocusFollowMouse + NextFocusPrefersMouse=1) — этот режим похож на Фокус по щелчку. Если система сама должна выбрать активное окно (например, при закрытии активного окна), предпочтение будет отдано окну, находящемуся под указателем мыши;
  • Фокус следует за мышью — при выборе этого значения (FocusPolicy=FocusFollowsMouse), окно активируется при перемещении в него указателя мыши. Окна, которые появляются под указателем мыши случайно, не будут получать фокус, так как предотвращение смены фокуса работает как обычно. Этот вариант похож на Фокус по щелчку, но щелчок не требуется;
  • Фокус следует за мышью + Приоритет мыши (FocusPolicy=FocusFollowsMouse + NextFocusPrefersMouse=1) — этот режим похож на Фокус следует за мышью. Если система сама должна выбрать активное окно (например, при закрытии активного окна), предпочтение будет отдано окну, находящемуся под указателем мыши. Данный режим следует выбрать для смены фокуса по наведению указателя мыши;
  • Фокус под мышью — при выборе этого значения (FocusPolicy=FocusUnderMouse), активным становится окно, находящееся под указателем мыши. Если последний указывает не на окно (а, например, на обои рабочего стола), фокус перемещается на окно, которое находилось под указателем мыши последним. Примечание: предотвращение смены фокуса и переключение через Alt+Tab противоречат этому поведению и не будут работать;
  • Фокус строго под мышью (FocusPolicy=FocusStrictlyUnderMouse) — этот режим схож с режимом Фокус под мышью, но имеет более узкое применение. Активным становится только то окно, которое находится под указателем мыши. При смещении указателя мыши с окна фокус теряется. Примечание: предотвращение смены фокуса и переключение через Alt+Tab противоречат этому поведению и не будут работать.
Файлы конфигурации:
  • /etc/xdg/kwinrc — машинная политика
  • ~/.config/kwinrc — пользовательская политика
Пример файла конфигурации:
[Windows]
FocusPolicy=FocusFollowMouse
NextFocusPrefersMouse=0
Служба поиска файлов
Позволяет включить службу поиска файлов и задать параметры индексирования файлов.
Возможные значения:
  • Включить службу поиска файлов — включить поиск файлов с помощью Baloo (Indexing-Enabled=1);
  • Включить индексацию содержимого файлов — индексировать не только имена файлов, но и их содержимое (only basic indexing=1);
  • Включить индексацию скрытых файлов и папок — индексировать также скрытые файлы и папки (index hidden folders=1).
Файлы конфигурации:
  • /etc/xdg/baloofilerc — машинная политика
  • ~/.config/baloofilerc — пользовательская политика
Пример файла конфигурации:
[Basic Settings]
Indexing-Enabled=1

[General]
index hidden folders=0
only basic indexing=1

Примечание

Параметры Включить индексацию содержимого файлов и Включить индексацию скрытых файлов и папок имеют смысл только при включённом параметре Включить службу поиска файлов.

10.4.6.1. Внешний вид

Таблица 10.25. Внешний вид

Политика
Описание
Значение
Оформление рабочего стола
Позволяет выбрать оформление рабочего стола (определяет то, как отображаются различные компоненты Plasma), указав название темы (например, breeze-light).
Используются темы оформления рабочего стола, доступные в /usr/share/kf5/plasma/desktoptheme. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
  • default — тема по умолчанию (Breeze)
  • breeze-dark — Breeze, тёмный вариант
  • breeze-light — Breeze, светлый вариант
  • oxygen — Oxygen
  • air — Air
Оформление рабочей среды
Позволяет установить тему оформления рабочей среды, указав название темы (например, org.kde.название.desktop или org.kde.название).
Используются темы оформления рабочего стола, доступные в /usr/share/kf5/plasma/look-and-feel/. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
  • org.kde.breeze.desktop
  • org.kde.breezedark.desktop
  • org.kde.oxygen
  • org.kde.breezetwilight.desktop
Тема заставки
Позволяет установить тему заставки, указав название темы (например, org.kde.название.desktop или org.kde.название).
Используются темы заставки, доступные в /usr/share/kf5/plasma/look-and-feel/. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
  • org.kde.breeze.desktop
  • org.kde.oxygen
Тема значков
Позволяет установить тему значков, указав название темы (например, gnome).
Применение темы значков зависит от её наличия в системе. Используются темы значков, доступные в /usr/share/icons/. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
  • Adwaita
  • oxygen
  • breeze
  • breeze-dark
  • gnome
Тема курсора
Позволяет установить тему курсора мыши, указав название темы (например, Adwaita).
Применение темы курсора зависит от её наличия в системе. Используются темы курсоров, доступные в /usr/share/icons/. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
  • Adwaita — Adwaita
  • Breeze_Snow — Breeze, светлый вариант
  • KDE_Classic — классический KDE
  • Oxygen_Black — Oxygen, чёрный вариант
  • Oxygen_Blue — Oxygen, синий вариант
  • Oxygen_White — Oxygen, белый вариант
  • Oxygen_Yellow — Oxygen, жёлтый вариант
  • Oxygen_Zion — Oxygen Zion
  • jimmac — jimmac
  • breeze_cursors — Breeze
Цвета
Позволяет установить цветовую схему, указав название схемы (например, BreezeClassic).
Применение цветовой схемы зависит от её наличия в системе. Используются цветовые схемы, доступные в /usr/share/kf5/color-schemes. Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
Варианты цветовых схем:
  • OxygenCold — холодный Oxygen
  • BreezeClassic — Breeze, классический вариант
  • BreezeLight — Breeze, светлый вариант
  • BreezeDark — Breeze, тёмный вариант
  • Oxygen — Oxygen
Пользовательские политики
Обои рабочего стола
Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение.
В качестве значения должна быть указана строка, содержащая путь (с точки зрения клиента) к файлу изображения. Например:
  • /usr/share/wallpapers/table.png — локальный путь к изображению;
  • smb://dc1.test.alt/reGr/test.png — путь в формате Linux к изображению в общем каталоге на сервере;
  • \\computername\share\image.png — путь в формате Windows к изображению в общем каталоге на сервере.
Включение панели фильтрации в файловом менеджере Dolphin
Позволяет включить или отключить панель фильтрации в файловом менеджере Dolphin.
-

10.4.6.2. Управление электропитанием

Данные политики позволяют настроить параметры энергосбережения в зависимости от режима электропитания: «Питание от сети», «Питание от батареи» и «Низкий уровень заряда».
Значения параметров прописываются в файл конфигурации:
  • /etc/xdg/powermanagementprofilesrc — машинная политика;
  • ~/.config/powermanagementprofilesrc — пользовательская политика.

Таблица 10.26. Управление электропитанием

Политика
Описание
Файл конфигурации
Потухание экрана
Позволяет настроить время до угасания экрана (уменьшения яркости до нуля) в зависимости от режима электропитания.
Для указания значения используется точное время в минутах, заданное в миллисекундах. Если время в миллисекундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например:
  • 60000 — угасание монитора через 60000 миллисекунд, 1 минуту;
  • 80000 — угасание монитора через 80000 миллисекунд, 1 минуту;
  • 120000 — угасание монитора через 120000 миллисекунд, 2 минуты;
  • 600000 — угасание монитора через 600000 миллисекунд, 10 минут.
Пример файла конфигурации:
[AC][DimDisplay]
idleTime=800000

[Battery][DimDisplay]
idleTime=600000

[LowBattery][DimDisplay]
idleTime=600000
Энергосбережение монитора
Позволяет настроить время до выключения монитора (при бездействии) в зависимости от режима электропитания.
Для указания значения используется точное время в минутах, заданное в секундах. Если время в секундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например:
  • 120 — выключение монитора через 120 секунд, 2 минуты;
  • 300 — выключение монитора через 300 секунд, 5 минут;
  • 600 — выключение монитора через 600 секунд, 10 минут;
  • 700 — выключение монитора через 600000 секунд, 11 минут.
Пример файла конфигурации:
[AC][DPMSControl]
idleTime=800

[Battery][DPMSControl]
idleTime=600

[LowBattery][DPMSControl]
idleTime[$i]=60
Яркость клавиатуры
Позволяет настроить яркость клавиатуры в зависимости от режима электропитания.
Для указания значения используется число от 0 до 100, например:
  • 0 — яркость клавиатуры 0 процентов;
  • 60 — яркость клавиатуры 60 процентов;
  • 100 — яркость клавиатуры 100 процентов.
Пример файла конфигурации:
[AC][KeyboardBrightnessControl]
value=60

[Battery][KeyboardBrightnessControl]
value=20

[LowBattery][KeyboardBrightnessControl]
value[$i]=0
Яркость экрана
Позволяет настроить яркость экрана в зависимости от режима электропитания.
Для указания значения используется число от 0 до 100, например:
  • 0 — яркость экрана 0 процентов;
  • 60 — яркость экрана 60 процентов;
  • 100 — яркость экрана 100 процентов.
Пример файла конфигурации:
[AC][BrightnessControl]
value=80

[Battery][BrightnessControl]
value=50

[LowBattery][BrightnessControl]
value=30

10.4.6.3. Настройки приложений

Таблица 10.27. Настройки приложений

Политика
Описание
Значение
Браузер по умолчанию
Позволяет выбрать браузер по умолчанию.
Возможные значения:
  • Yandex-Browser
  • Firefox
  • Chromium-gost

Примечание

Применение настроек доступно только в случае, если в системе установлен выбранный браузер.

10.4.7. Управление пакетами

Эта групповая политика позволяет централизованно для компьютеров устанавливать и удалять пакеты.

Примечание

Для возможности установки и удаления пакетов, на компьютерах, на которых будет применяться политика, должен быть установлен пакет packagekit.
Для настройки политики следует перейти в Компьютер/ПользовательАдминистративные шаблоныСистема ALTУправление пакетами. Выбрать раздел, в правом окне редактора отобразится список политик:
GPUI. Раздел «Управление пакетами»
Для задания списка пакетов, которые необходимо установить, щелкнуть левой кнопкой мыши на политике Установка пакетов, откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно «Установка пакетов»
Для включения политики следует установить отметку в поле Включено. Для задания списка пакетов, которые должны быть установлены/удалены нажать кнопку Редактировать и в открывшемся окне ввести список пакетов, по одному на каждой строке:
GPUI. Список пакетов для установки
Для добавления/удаления строк можно воспользоваться соответствующими кнопками.

Примечание

Для задания списка пакетов, которые необходимо удалить, необходимо выбрать политику Удаление пакетов.
Можно также включить политику Синхронная работа с пакетами. Включение данной настройки запретит работу (установка, удаление) с пакетами в фоновом режиме, что может замедлить работу компьютера при применении политики (при загрузке машины, если политика машинная, или входе пользователя в систему, если политика пользовательская).
Для включения политики Синхронная работа с пакетами следует в разделе Компьютер/ПользовательАдминистративные шаблоныСистема ALTУправление пакетами выбрать пункт Синхронная работа с пакетами, в открывшемся окне установить отметку в поле Включено и нажать кнопку ОК, для сохранения изменений:
GPUI. Включение политики «Синхронная работа с пакетами»
Политики управления пакетами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Все настройки политики управления пакетами хранятся в файлах {GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.
Пример файла Registry.pol:
PReg
[Software\BaseALT\Policies\GPUpdate;GlobalExperimental;;;]
[Software\BaseALT\Policies\Packages;Sync;;;]
[Software\BaseALT\Policies\Packages\Install;gimp;;;gimp]
[Software\BaseALT\Policies\Packages\Install;simple-scan;;;simple-scan]
[Software\BaseALT\Policies\Packages\Remove;python3-tools;;;python3-tools]

10.4.8. Экспериментальные групповые политики

На тех машинах с ОС «Альт», где применяются экспериментальных политики, должны быть включены «Экспериментальные групповые политики».
Для включения экспериментальных групповых политик следует в разделе КомпьютерАдминистративные шаблоныСистема ALTГрупповые политики выбрать пункт Экспериментальные групповые политики и установить в открывшемся окне отметку в поле Включено:
GPUI. Включение политики «Экспериментальные групповые политики»

10.4.9. Механизмы GPUpdate

Каждый механизм применения групповых политик можно отдельно включить или отключить. Для этого следует включить/отключить соответствующую политику в разделе КомпьютерАдминистративные шаблоныСистема ALTГрупповые политикиМеханизмы GPUpdate. Например, включить/отключить механизм групповых политик управления пакетами (Packages) можно, включив/отключив политики Установка и удаление программ или Установка и удаление программ для пользователей:
GPUI. Механизмы GPUpdate

10.4.10. Управление политиками браузера Chromium

Эти групповые политики позволяют централизованно для компьютеров управлять настройками интернет-браузера Google Chromium.
Механизм Chromium в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска веб-браузер Google Chromium считывает файл /etc/chromium/policies/managed/policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.

Примечание

Для случаев, если требуется вести параллельно другой файл с конфигурациями, можно создать файл /etc/chromium/policies/managed/policies_local.json и вносить изменения в него. При коллизиях будет применена последняя прочитанная настройка.

Примечание

Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для браузера Chromium требует дополнительной установки ADMX-файлов Google Chrome (пакет admx-chromium).
Результат применения параметров групповой политики для Chromium можно проверить, указав в адресной строке URL: chrome://policy:
Активные политики Chromium
В качестве примера рассмотрим политику установки URL домашней страницы.
Для редактирования политик браузера Chromium следует перейти в КомпьютерАдминистративные шаблоныGoogleGoogle Chrome. Отобразится список политик:
GPUI. Политики настройки веб-браузера Chromium
Для установки URL домашней страницы следует выбрать пункт Главная страница и страница быстрого доступа при запуске, щелкнуть левой кнопкой мыши на политике Настройка URL домашней страницы, откроется диалоговое окно настройки политики. Выбрать параметр Включено, в разделе Параметры ввести URL и нажать кнопку ОК:
GPUI. Настройка URL домашней страницы веб-браузера Chromium
Результат применения политики:
Настройки веб-браузера Chromium
Все настройки политики браузера Chromium хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:
PReg[Software\Policies\Google\Chrome;HomepageLocation;;;https://docs.altlinux.org]
В таблице Примеры политик управляющих настройками браузера Chromium описаны только некоторые политики. Полный список политик и их описание можно найти в браузере Chromium, указав в адресной строке URL: chrome://policy и установив отметку на пункте Показывать правила, значения которых не заданы.

Таблица 10.28. Примеры политик управляющих настройками браузера Chromium

Политика
Ключ
Описание
Действие при запуске
RestoreOnStartup
Настройка процесса запуска Chromium.
При выборе значения Восстановить последний сеанс или «Открыть список URL и восстановить последний сеанс» будут отключены некоторые функции, такие как удаление данных о работе в браузере или сессионных файлов cookie при завершении работы.
Если для политики указано значение Открыть список URL и восстановить последний сеанс, браузер будет восстанавливать предыдущий сеанс и открывать URL, заданные в политике URL, открывающиеся при запуске, в отдельном окне. Если пользователь не закроет страницы с этими URL, они также будут восстановлены в новом сеансе.
Если политика находится в состоянии Включено, пользователи не смогут изменить эту настройку в Chromium.
Настройка URL домашней страницы
HomepageLocation
Позволяет установить URL домашней страницы и запрещает пользователям его изменять.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию (открыть эту страницу в Chromium можно, нажав кнопку Главная страница на панели инструментов). Пользователи при этом не смогут изменить домашнюю страницу.
Если политика находится в состоянии Отключено, пользователи не смогут установить домашнюю страницу.
Если политика находится в состоянии Не сконфигурировано, пользователь может сам установить и изменить домашнюю страницу.
Данная политика не будет работать, если пользователем или политикой «Сделать страницу быстрого доступа главной» в качестве главной страницы была задана страница быстрого доступа.
Настройка URL страницы быстрого доступа
NewTabPageLocation
Позволяет установить URL страницы быстрого доступа по умолчанию и запрещает пользователям его изменять.
Страница быстрого доступа появляется, когда пользователь открывает новую вкладку или окно.
Политика не определяет, какие страницы открываются при запуске. Для этого применяется политика Действие при запуске. Но если страница быстрого доступа используется в качестве главной или стартовой страницы, эта политика также распространяется и на них.
Если политика находится в состоянии Не сконфигурировано или URL не указан, используется страница быстрого доступа, установленная по умолчанию.
Отображать кнопку Главная страница на панели инструментов
ShowHomeButton
Позволяет управлять отображением кнопки Главная страница на панели инструментов.
Если политика находится в состоянии Включено, кнопка Главная страница отображается на панели инструментов.
Если политика находится в состоянии Отключено, кнопка Главная страница не будет отображаться.
Если эта политика настроена, пользователи не смогут изменить эту настройку в Chromium. В противном случае пользователи смогут добавить или скрыть кнопку главного экрана.
Сделать страницу быстрого доступа главной
HomepageIsNewTabPage
Если политика находится в состоянии Включено, в качестве главной страницы используется страница быстрого доступа. Заданный URL главной страницы игнорируется.
Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа открывается, только когда в качестве URL главной страницы указан путь chrome://newtab.
Если эта политика настроена, пользователи не смогут изменить главную страницу в Chromium. Если политика не сконфигурирована, пользователи смогут выбрать, устанавливать ли страницу быстрого доступа в качестве главной.
URL, открывающиеся при запуске
RestoreOnStartupURLs
Если для политики Действие при запуске задано значение Открыть одну или несколько страниц, в данной политике можно настроить список URL-адресов.
В противном случае при запуске будет открываться страница быстрого доступа.
Включить сохранение паролей
PasswordManagerEnabled
Если политика находится в состоянии Включено или Не сконфигурировано, Chromium будет предлагать запоминать введенные пароли (а также предлагать их при следующем входе).
Если политика находится в состоянии Отключено, пользователям будут доступны только ранее сохраненные пароли, а сохранить новые будет нельзя.
Если политика настроена, пользователи не могут изменить её в Chromium. В противном случае пользователи при желании смогут отключить функцию сохранения паролей.
Включить поисковую систему по умолчанию
DefaultSearchProviderEnabled
Если политика находится в состоянии Включено, то при вводе в адресную строку текста (не URL) будет выполняться поиск в используемой по умолчанию поисковой системе.
Задать поисковую систему по умолчанию можно с помощью других политик. Если значения для этих политик не установлены, пользователь может сам выбрать поисковую систему по умолчанию.
Если политика находится в состоянии Отключено, то поиск текста, введенного в адресную строку, не выполняется.
Название поисковой системы по умолчанию
DefaultSearchProviderName
Если политика Включить поисковую систему по умолчанию включена, то данная политика задает название поисковой системы по умолчанию.
Если параметр Включить поисковую систему по умолчанию не задан, то используется имя хоста, указанное в URL поискового запроса.
Показ URL страницы быстрого доступа в поисковой системе по умолчанию
DefaultSearchProviderNewTabURL
Если политика Включить поисковую систему по умолчанию включена, то данная политика указывает URL поисковой системы, используемой для страницы быстрого доступа.
Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа не будет использоваться.
URL поиска для поисковой системы по умолчанию
DefaultSearchProviderSearchURL
Если политика Включить поисковую систему по умолчанию включена, то данная политика содержит URL поисковой системы, используемой по умолчанию. В URL должна быть строка '{searchTerms}', которая во время отправки запроса заменяется на текст пользователя.
URL поисковой системы Google можно указать так: '{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion} {google:assistedQueryStats}{google:searchFieldtrialParameter} {google:searchClient}{google:sourceId}ie={inputEncoding}'.
URL поисковой системы Яндекс можно указать так: https://yandex.ru/search/?text={searchTerms}
Включить панель закладок
BookmarkBarEnabled
Если политика находится в состоянии Включено, в Chromium будет видна панель закладок.
Если политика находится в состоянии Отключено, панель закладок будет всегда скрыта.
Если эта политика настроена, пользователи не смогут её изменить. Если политика находится в состоянии Не сконфигурировано, пользователи смогут самостоятельно решать, использовать эту функцию или нет.
Разрешить пользователям менять фон на странице быстрого доступа
NTPCustomBackgroundEnabled
Если политика находится в состоянии Отключено, пользователи не смогут изменять фон страницы быстрого доступа. Уже используемые изображения удаляются без возможности восстановления.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут изменять фон страницы быстрого доступа.
Блокировать изображения на этих сайтах
ImagesBlockedForUrls
Позволяет задать список шаблонов URL для указания сайтов (значение * не поддерживается для этой политики), на которых запрещен показ изображений.
Если политика находится в состоянии Включено, Chromium будет блокировать изображения на указанных сайтах.
Если политика находится в состоянии Не сконфигурировано, то действует политика Настройка изображений по умолчанию) при условии, что оно задано. В противном случае применяются персональные настройки пользователя.
Блокировка доступа к списку URL
URLBlocklist
Если политика находится в состоянии Включено, страницы с запрещенными URL не загружаются (задаются шаблоны запрещенных URL).
Если политика находится в состоянии Не сконфигурировано, браузер не блокирует URL.
Формат шаблона URL должен соответствовать требованиям, указанным на странице https://www.chromium.org/administrators/url-blocklist-filter-format. В политике URLAllowlist можно задавать не более 1000 исключений.
Всегда открывать PDF-файлы во внешнем приложении
AlwaysOpenPdfExternally
Если политика находится в состоянии Включено, встроенное средство просмотра PDF-файлов в Chromium отключается, они начинают обрабатываться как скачанный контент, а пользователю разрешается открывать их в приложении, установленном по умолчанию.
Если политика находится в состоянии Отключено, для просмотра PDF-файлов будет использоваться плагин PDF (если он не отключен пользователем).
Если политика находится в состоянии Не сконфигурировано, пользователи смогут настраивать этот параметр самостоятельно.
Всегда указывать место для скачивания
PromptForDownloadLocation
Если политика находится в состоянии Включено, то при скачивании каждого файла пользователь должен указать, в какой каталог его сохранить.
Если политика находится в состоянии Отключено, скачивание выполняется без запроса каталога для сохранения.
Если политика находится в состоянии Не сконфигурировано, пользователи могут выбрать каталог, в который всегда будут сохраняться файлы.
Выбор каталога для скачиваний
DownloadDirectory
В этой политике указывается каталог, в котором браузер Chromium сохраняет скачиваемые файлы. Данный каталог используется, даже если пользователь выбрал каталог для сохранения или установил флажок, позволяющий выбирать каталог при каждом скачивании файла.
Эта политика отменяет действие политики DefaultDownloadDirectory.
Если политика находится в состоянии Не сконфигурировано, браузер Chromium скачивает файлы в каталог по умолчанию, а пользователь может его изменить.
Список переменных можно посмотреть на странице https://www.chromium.org/administrators/policy-list-3/user-data-directory-variables.
Доступ к поисковой системе по умолчанию в контекстном меню
DefaultSearchProviderContextMenuAccessAllowed
Позволяет использовать поисковую систему по умолчанию в контекстном меню.
Если политика находится в состоянии Включено или Не сконфигурировано, поиск в системе по умолчанию будет доступен в контекстном меню.
Если политика находится в состоянии Отключено, поиск будет недоступен в контекстном меню.
Значение этой политики применяется только в том случае, если включена политика Включить поисковую систему по умолчанию.
Доступность режима инкогнито
IncognitoModeAvailability
Определяет, может ли пользователь просматривать страницы в Chromium в режиме инкогнито.
Если политика находится в состоянии Включено или значение не задано, страницы можно открывать в режиме инкогнито.
Если политика находится в состоянии Отключено, пользователи не смогут открывать страницы в режиме инкогнито.
Если для политики выбрано значение Включить принудительно, страницы можно просматривать ТОЛЬКО в режиме инкогнито.
Удаление истории просмотров и загрузок браузера
AllowDeletingBrowserHistory
Определяет, может ли пользователь удалять историю просмотров и скачиваний.
Если политика находится в состоянии Включено или Не сконфигурировано, то историю просмотров и скачиваний можно удалить.
Если политика находится в состоянии Отключено, то историю просмотров и скачиваний удалить нельзя.
Разрешить вызов окна выбора файлов
AllowFileSelectionDialogs
Если политика находится в состоянии Включено или Не сконфигурировано, то пользователи смогут открывать в Chromium окна выбора файлов.
Если политика находится в состоянии Отключено, и пользователь выполняет действия, для которых нужно открыть окно выбора файлов (например, импортирует закладки, загружает файлы, сохраняет ссылки и т.д.), вместо окна отображается сообщение и предполагается, что пользователь нажал кнопку Отмена в окне выбора файлов.
Включить поисковые подсказки
SearchSuggestEnabled
Если политика находится в состоянии Включено, в адресной строке Chromium при поиске будут появляться подсказки.
Если политика находится в состоянии Отключено, поисковые подсказки не отображаются.
Эта политика не влияет на показ в строке поиска закладок и страниц из истории просмотров.
Если политика настроена, пользователи не могут изменить её. Если политика не сконфигурирована, подсказки при поиске будут включены, но пользователи смогут отключить их в любое время.
Настройка изображений по умолчанию
DefaultImagesSetting
Если политика находится в состоянии Включено и выбрано значение 1 — Разрешить показ изображений на всех сайтах, на всех сайтах могут показываться изображения. При значении 2 — Запретить показ изображений на всех сайтах, показ изображений на сайтах запрещен.
Если политика находится в состоянии Не сконфигурировано, показ изображений разрешен, но пользователи могут изменять этот параметр.
Разрешить полноэкранный режим
FullscreenAllowed
Если политика находится в состоянии Включено или Не сконфигурировано, то при наличии необходимых разрешений пользователи, приложения и расширения смогут включать полноэкранный режим, в котором виден только контент веб-страниц.
Если политика находится в состоянии Отключено, то полноэкранный режим будет заблокирован для всех пользователей, приложений и расширений.
Управляемые закладки
ManagedBookmarks
Политика позволяет установить список закладок в Chromium.
Если политика настроена, будет создан список закладок Каждая закладка представляет собой словарь, где ключам name и url соответствуют значения — название закладки и URL-адрес сайта ([{"name": "Документация","url": "docs.altlinux.org"},{"name": "Wiki","url": "altlinux.org"}]).
По умолчанию папка называется «Управляемые закладки». Чтобы изменить это название, необходимо добавить в правило дополнительный словарь с единственным ключом toplevel_name и названием папки в качестве значения. Можно также задать подпапку для закладок. Для этого вместо ключа url следует использовать ключ children, а в качестве его значения указать список вложенных закладок или папок ([{"toplevel_name":"ALT"},{"name":"BaseALT","url":"basealt.ru"}, {"name":"ALT docs","children":[{"name": "Документация","url": "docs.altlinux.org"}, {"name": "Wiki","url": "altlinux.org"}]}]).
Chromium дополняет неполные URL так же, как при их вводе в адресной строке. Например, адрес altlinux.org будет преобразован в https://altlinux.org/.
Пользователи не смогут изменять папки с закладками, а только скрывать их на панели. Управляемые закладки не синхронизируются с аккаунтом пользователя, а расширения не могут их изменять.
Включить анонимный сбор данных о URL
UrlKeyedAnonymizedDataCollectionEnabled
Если политика находится в состоянии Включено, то всегда выполняется анонимный сбор данных о URL (эти сведения отправляются в Google с целью улучшить поиск и просмотр веб-страниц).
Если политика находится в состоянии Отключено, сбор данных о URL не выполняется.
Если политика находится в состоянии Не сконфигурировано, пользователь может разрешить или запретить анонимный сбор данных о URL.
Удаление данных о работе в браузере при выходе
ClearBrowsingDataOnExitList
Политика позволяет настроить список данных о работе в браузере, которые должны удаляться, когда пользователь закрывает все окна браузера.
Можно указать следующие типы данных:
  • browsing_history (история браузера)
  • download_history (история скачиваний)
  • cookies_and_other_site_data (файлы cookie и другие данные сайтов)
  • cached_images_and_files (изображения и другие файлы, сохраненные в кеше)
  • password_signin (пароли)
  • autofill (автозаполнение)
  • site_settings (настройки сайтов)
  • hosted_app_data (данные размещенных приложений)
У этой политики нет приоритета над политикой Удаление истории просмотров и загрузок браузера.
Эта политика работает, если политика Отключить синхронизацию данных с Google находится в состоянии Включено. В противном случае политика игнорируется.
Если Chromium закрывается непредвиденно (например, из-за сбоя в работе браузера или ОС), данные о работе в браузере удаляются при следующей загрузке профиля.
Если политика находится в состоянии Отключено, то данные о работе, при закрытии браузера, не удаляются.
Отключить синхронизацию данных с Google
SyncDisabled
Если политика находится в состоянии Включено, синхронизация данных в Chromium с помощью сервисов, размещенных в Google, отключается.
Полностью отключить сервис «Chrome Sync» можно через Google Admin console.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно решать, использовать ли им сервис «Chrome Sync».
Включает гостевой режим в браузере
BrowserGuestModeEnabled
Если политика находится в состоянии Включено или Не сконфигурировано, разрешается использовать гостевой доступ. При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито.
При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито.
Если политика находится в состоянии Отключено, в браузере не разрешается использовать гостевые профили.
Задать объем кеша в байтах
DiskCacheSize
Если для политики задано значение None, Chromium использует объем кеша по умолчанию для хранения кешированных файлов на диске. В этом случае пользователи не могут изменить правило.
Если политика находится в состоянии Включено Chromium будет использовать указанный размер кеша независимо от того, указали ли пользователи значение экспериментального параметра --disk-cache-size. Объем кеша задается в байтах, например, чтобы задать размер кеша 300МБ, необходимо указать 314572800. Значения меньше нескольких мегабайтов округляются.
Если политика находится в состоянии Не сконфигурировано, Chromium использует объем по умолчанию. В этом случае пользователи могут менять размер кеша с помощью экспериментального параметра --disk-cache-size.
Указанное в правиле значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.
Список разрешенных серверов для аутентификации
AuthServerAllowlist
Это правило указывает, какие серверы можно использовать для встроенной проверки подлинности Windows (IWA). Встроенная проверка подлинности включается, только когда Chromium получает запрос на аутентификацию от прокси-сервера или от сервера из списка разрешенных.
Если политика находится в состоянии Не сконфигурировано, Chromium отвечает на запросы IWA только после того, как определяет, находится ли сервер в интранете. Если сервер находится в Интернете, Chromium игнорирует поступающие от него IWA запросы (веб-сайту не разрешается использовать аутентификацию SPNEGO с помощью браузера).
Названия серверов нужно разделять запятыми. Допустимы подстановочные знаки (*).
Управление расширениями (Позволяет управлять расширениями)
ExtensionSettings
Это правило контролирует настройки управления расширениями в Chromium, включая те, которые заданы другими правилами. Оно заменяет любые ранее действовавшие правила.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения.
Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
  • идентификатор расширения или URL обновления привязывается только к одной конкретной настройке;
  • идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация;
  • если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL.
Пример значения:
{
  "hdokiejnpimakedhajhdlcegeplioahd": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  },
  "pioclpoplcdbaefihamjohnefbikjilc": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  }
}
Параметры политики:
  • allowed_types — типы приложений и расширений, которые пользователям разрешено устанавливать в браузере (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *;
  • blocked_install_message — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения;
  • blocked_permissions — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения);
  • installation_mode — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы:
    • allowed — пользователи могут установить это расширение (поведение по умолчанию);
    • blocked — пользователи не могут установить это расширение;
    • removed — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено;
    • force_installed — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
    • normal_Installed — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
  • install_sources — список URL страниц, с которых разрешено загружать и устанавливать расширения Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода);
  • minimum_version_required — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения;
  • update_url — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл:
    • если расширение размещено в интернет-магазине Chrome, следует указать https://clients2.google.com/service/update2/crx
    • если расширение размещено в интернет-магазине Opera, следует указать https://extension-updates.opera.com/api/omaha/update/
  • override_update_url — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля update_url или update в политике ExtensionInstallForcelist. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения;
  • verified_contents_url — указывает путь до файла extension.verified_contents. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет);
  • runtime_allowed_hosts — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле runtime_blocked_hosts. Можно указать до 100 сайтов;
  • runtime_blocked_hosts — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов;
  • toolbar_pin — определяет, закреплен ли значок расширения на панели инструментов. Возможные значения:
    • force_pinned — значок расширения закреплен на панели инструментов и постоянно виден Пользователь не может скрыть его в меню расширения;
    • default_unpinned — расширение скрыто в меню расширений (по умолчанию), пользователь может закрепить его на панели инструментов.

10.4.11. Управление политиками браузера Firefox

Эти групповые политики позволяют централизованно для компьютеров управлять настройками интернет-браузера Mozilla Firefox.
Механизм Firefox в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска веб-браузер Mozilla Firefox считывает собственный файл policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.
Путь к файлу policies.json, в зависимости от версии веб-браузера Firefox:
  • /etc/firefox/policies — новые версии;
  • /usr/lib64/firefox/distribution — старые версии.

Примечание

Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для браузера Mozilla Firefox требует дополнительной установки ADMX-файлов Firefox (пакет admx-firefox).
Результат применения параметров групповой политики для Mozilla Firefox можно проверить, указав в адресной строке URL: about:policies#active:
Активные политики Mozilla Firefox
В качестве примера рассмотрим политику установки URL домашней страницы.
Для редактирования политик браузера Mozilla Firefox следует перейти в КомпьютерАдминистративные шаблоныMozillaFirefox:
GPUI. Политики настройки веб-браузера Firefox
Раскрыть группу Домашняя страница, щелкнуть левой кнопкой мыши на политике URL для домашней страницы, откроется диалоговое окно настройки политики. Выбрать параметр Включено, в разделе Параметры ввести URL и нажать кнопку ОК:
GPUI. Настройка URL домашней страницы веб-браузера
В результате применения данной политики будет установлена домашняя страница по умолчанию, а также будет заблокирована возможность изменения домашней страницы пользователем:
Настройки веб-браузера Firefox
Все настройки политики веб-браузера Firefox хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:
PReg[Software\Policies\Mozilla\Firefox\Homepage;URL;;;https://basealt.ru]
[Software\Policies\Mozilla\Firefox\Homepage;Locked;;;]
В таблице Примеры политик управляющих настройками веб-браузера Mozilla Firefox описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания шаблонов политик Mozilla Firefox или в браузере Mozilla Firefox, указав в адресной строке URL: about:policies#documentation.

Таблица 10.29. Примеры политик управляющих настройками веб-браузера Mozilla Firefox

Политика
Ключ
Описание
Менеджер паролей
PasswordManagerEnabled
Позволяет запретить доступ к менеджеру паролей через настройки и блокирует about:logins.
Если эта политика находится в состоянии Включено или Не сконфигурировано, менеджер паролей доступен в настройках и на странице about:logins.
Если эта политика находится в состоянии Отключено, Firefox запрещает доступ к менеджеру паролей через настройки и блокирует about:logins.
Отключить создание мастер-пароля
DisableMasterPasswordCreation
Позволяет отключить возможность установить мастер-пароль (основной пароль).
Если эта политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут создать мастер-пароль.
Если эта политика находится в состоянии Включено, то она работает так же, как установка политики Основной (главный) пароль состояние Отключено, и пользователи не могут создать мастер-пароль.
Если используются и политика «Отключить создание мастер-пароля», и «Основной (главный) пароль», то политика Отключить создание мастер-пароля имеет приоритет.
Предлагать сохранить логины
OfferToSaveLogins
Позволяет настроить будет ли Firefox предлагать запоминать сохранённые логины и пароли.
Если политика находится в состоянии Отключено, Firefox не будет предлагать сохранять логины и пароли веб-сайтов.
Если политика находится в состоянии Включено или Не сконфигурировано, Firefox будет предлагать сохранять логины и пароли веб-сайтов.
Отключить инструменты разработчика
DisableDeveloperTools
Позволяет управлять доступом к инструментам разработчика.
Если политика находится в состоянии Включено, инструменты веб-разработчика недоступны в Firefox.
Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты веб-разработчика доступны в Firefox.
Отключить приватный просмотр
DisablePrivateBrowsing
Запрещает доступ к приватному просмотру.
Если политика находится в состоянии Включено, приватный просмотр запрещен.
Если политика находится в состоянии Отключено или Не сконфигурировано, приватный просмотр разрешен.
Нет закладок по умолчанию
NoDefaultBookmarks
Отключает создание закладок по умолчанию (идущих вместе с Firefox), и смарт-закладки (часто посещаемые, недавние).
Если политика находится в состоянии Включено, закладки по умолчанию и смарт-закладки (наиболее посещаемые, недавние теги) не создаются.
Если политика находится в состоянии Отключено или Не сконфигурировано, создаются закладки по умолчанию и смарт-закладки (наиболее посещаемые, последние теги).
Примечание: эта политика эффективна только в том случае, если она используется до первого запуска профиля.
Запрос места загрузки
PromptForDownloadLocation
Спрашивает, куда сохранять файлы при загрузке.
Если политика находится в состоянии Отключено, файлы будут сохраняться в каталог указанный в настройках (пользователю не предлагается указать место для загрузки файла).
Если политика находится в состоянии Включено, пользователю будет всегда выдаваться запрос на сохранение файла.
Если политика находится в состоянии Не сконфигурировано, пользователю будет выдаваться запрос на сохранение файла, но он может изменить значение по умолчанию.
Отключить историю форм
DisableFormHistory
Отключает запоминание истории поиска и данных форм.
Если политика находится в состоянии Включено, Firefox не запоминает историю форм или поиска.
Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox будет помнить историю форм и поиска.
Блокировка редактора настроек (about:config)
BlockAboutConfig
Блокирует доступ к странице about:config.
Если эта политика находится в состоянии Включено, пользователь не может получить доступ к about:config.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к about:config.
Блокировка страницы управления профилями (about:profiles)
BlockAboutProfiles
Блокирует доступ к странице управления профилями (about:profiles).
Если политика находится в состоянии Включено, пользователь не может получить доступ к профилям about:profiles.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к профилям about:profiles.
Блокировка информации об устранении неполадок
BlockAboutSupport
Блокирует доступ к странице about:support.
Если политика находится в состоянии Включено, пользователь не может получить доступ к информации для устранения неполадок или about:support.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к информации для устранения неполадок или about:support.
Captive Portal (портал захвата)
CaptivePortal
Включает или отключает тест соединения (поддержку перехватывающего портала).
Если политика находится в состоянии Отключено, то поддержка captive portal отключена.
Если политика находится в состоянии Включено или Не сконфигурировано, то поддержка captive portal включена.
Примечание: Браузер Mozilla Firefox при запуске проверяет, требует ли используемое сетевое соединение вход в систему. Во время теста Firefox пытается подключиться к http://detectportal.firefox.com/success.txt, чтобы проверить возможность соединения с этим адресом. Этот адрес также используется для проверки поддержки активного сетевого соединения IPv6. Отключение этой функциональности уменьшает количество автоматических подключений и может немного ускорить запуск браузера.
Отключить встроенную программу просмотра PDF (PDF.js)
DisableBuiltinPDFViewer
Отключает PDF.js, встроенный просмотрщик PDF в Firefox.
Если политика находится в состоянии Включено, файлы PDF не просматриваются в Firefox.
Если политика находится в состоянии Отключено или Не сконфигурировано, файлы PDF просматриваются в Firefox.
Отключить команды обратной связи
DisableFeedbackCommands
Отключает команды отправки отзывов в меню Справка (Отправить отзыв… и Сообщить о поддельном сайте…).
Если политика находится в состоянии Включено, пункты меню Отправить отзыв… и Сообщить о поддельном сайте… недоступны из меню Справка.
Если политика находится в состоянии Отключено или Не сконфигурировано, пункты меню Отправить отзыв… и Сообщить о поддельном сайте… доступны из меню Справка.
Отключить снимки экрана Firefox
DisableFirefoxScreenshots
Отключает функцию Firefox Screenshots.
Если политика находится в состоянии Включено, снимки экрана Firefox недоступны.
Если политика находится в состоянии Отключено или Не сконфигурировано, доступны снимки экрана Firefox.
Отключить учетные записи Firefox
DisableFirefoxAccounts
Отключает службы, основанные на Аккаунте Firefox, включая синхронизацию.
Если политика находится в состоянии Включено, учетные записи Firefox отключены, в том числе отключена синхронизация.
Если политика находится в состоянии Отключено или Не сконфигурировано, доступны Аккаунты Firefox и синхронизация.
Отключить исследования Firefox
DisableFirefoxStudies
Запрещает Firefox выполнять исследования.
Если политика находится в состоянии Включено, Firefox никогда не будет проводить исследования SHIELD или опросы Heartbeat.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может включить исследования SHIELD или опросы Heartbeat.
Для получения дополнительной информации см. https://support.mozilla.org/en-US/kb/shield и https://wiki.mozilla.org/Firefox/Shield/Heartbeat
Отключить кнопку «Забыть»
DisableForgetButton
Закрывает доступ к кнопке Забыть.
Если политика находится в состоянии Включено, кнопка Забыть о части истории веб-сёрфинга недоступна.
Если политика находится в состоянии Отключено или Не сконфигурировано, кнопка Забыть о части истории веб-сёрфинга доступна.
Запретить показывать пароли в сохраненных логинах
DisablePasswordReveal
Не позволяет просматривать пароли у сохранённых логинов.
Если политика находится в состоянии Включено, пользователи не могут отображать пароли в сохраненных логинах.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут отображать пароли в сохраненных логинах.
Отключить Pocket
DisablePocket
Отключает сохранение страниц в Pocket.
Если политика находится в состоянии Включено, Pocket недоступен.
Если политика находится в состоянии Отключено или Не сконфигурировано, Pocket доступен.
Примечание: Pocket — это специальный сервис для хранения различной информации, найденной в ходе веб-сёрфинга.
Отключить импорт профиля
DisableProfileImport
Отключает команду меню для импорта данных из другого браузера.
Если политика находится в состоянии Включено, опция Импортировать данные из другого браузера… в окне закладок недоступна.
Если политика находится в состоянии Отключено или Не сконфигурировано, опция Импортировать данные из другого браузера… доступна.
Отключить обновление профиля
DisableProfileRefresh
Отключает кнопку Обновить Firefox на странице about:support.
Если политика находится в состоянии Включено, кнопка Обновить Firefox будет недоступна на странице about:support.
Если эта политика отключена или не сконфигурирована, кнопка Обновить Firefox будет доступна.
Отключить безопасный режим
DisableSafeMode
Отключает функцию для перезапуска в безопасном режиме.
Если политика находится в состоянии Включено, пользователь не может перезапустить браузер в безопасном режиме.
Если политика находится в состоянии Отключено или Не сконфигурировано, безопасный режим разрешен.
Не проверять браузер по умолчанию
DontCheckDefaultBrowser
Отключает проверку браузера по умолчанию при запуске.
Если политика находится в состоянии Включено, Firefox не проверяет, является ли он браузером по умолчанию при запуске.
Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox при запуске проверяет, является ли он браузером по умолчанию.
Аппаратное ускорение
HardwareAcceleration
Отключает аппаратное ускорение.
Если политика находится в состоянии Отключено, аппаратное ускорение не может быть включено.
Если политика находится в состоянии Включено или Не сконфигурировано, включено аппаратное ускорение.
Основной (главный) пароль
PrimaryPassword
Требовать или не давать использовать мастер-пароль.
Если политика находится в состоянии Отключено, пользователи не могут создать основной пароль.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут создать основной пароль.
Прогнозирование сети
NetworkPrediction
Включает или отключает прогнозирование сети (предварительная выборка DNS).
Предварительная выборка DNS — это технология, используемая Firefox для ускорения загрузки новых веб-сайтов.
Если политика находится в состоянии Отключено, прогнозирование сети (предварительная выборка DNS) будет отключено.
Если политика находится в состоянии Включено или Не сконфигурировано, будет включено прогнозирование сети (предварительная выборка DNS).
Новая вкладка
NewTabPage
Включает или отключает страницу новой вкладки.
Если эта политика находится в состоянии Отключено, в новой вкладке будет загружена пустая страница.
Если эта политика в состоянии Включено или Не сконфигурировано, в новой вкладке будет загружена страница по умолчанию.
Подсказки по поиску
SearchSuggestEnabled
Включает или отключает поисковые предложения.
Если эта политика находится в состоянии Отключено, поисковые подсказки будут отключены.
Если эта политика в состоянии Включено, поисковые подсказки будут включены.
Если эта политика в состоянии Не сконфигурировано, поисковые подсказки будут включены, но пользователь может отключить их.
Показывать кнопку «Домашняя страница» на панели инструментов
ShowHomeButton
Включает кнопку Домашняя страница на панели инструментов.
Если политика находится в состоянии Отключено, кнопка Домашняя страница не будет отображаться на панели инструментов.
Если политика находится в состоянии Включено, кнопка Домашняя страница отображается на панели инструментов.
Блокировка менеджера дополнений (about:addons)
BlockAboutAddons
Блокирует доступ к менеджеру дополнений (about:addons).
Если политика находится в состоянии Отключено или Не сконфигурировано пользователь может получить доступ к менеджеру дополнений (about:addons).
Если политика находится в состоянии Включено, пользователь не может получить доступ к менеджеру дополнений (about:addons).
URL для домашней страницы
Homepage
Устанавливает URL домашней страницы при старте браузера и, если необходимо, блокирует её смену.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может установить и изменить домашнюю страницу.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию, а также заблокировать возможность изменения домашней страницы.
SPNEGO
SPNEGO
Включает аутентификацию через SPNEGO/Kerberos.
Если политика находится в состоянии Отключено или Не сконфигурировано, никаким веб-сайтам не разрешается использовать аутентификацию SPNEGO с помощью браузера.
Если политика находится в состоянии Включено, указанным веб-сайтам разрешается использовать аутентификацию SPNEGO в браузере. Записи в списке имеют формат altlinux.org или https://altlinux.org
Не разрешать изменять настройки аутентификации
Authentication Locked
Блокирует настройки аутентификации от изменений пользователем.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователь не может изменить параметры проверки подлинности.
Если политика находится в состоянии Отключено, пользователь может изменить параметры проверки подлинности.
Разрешить неполное доменное имя (Non FQDN)
Authentication AllowNonFQDN
Разрешить SPNEGO или NTLM для неполных доменных имен (Non FQDN).
Если политика находится в состоянии Отключено или Не сконфигурировано, NTLM и SPNEGO не будут включены для неполных доменных имен.
Если политика находится в состоянии Включено (и флажки отмечены), SPNEGO или NTLM будут включены для неполных доменных имен (Non FQDN).
Расширения для установки
Extensions\Install
Задаёт список URL-адресов или собственных путей для устанавливаемых расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, расширения не устанавливаются.
Если политика находится в состоянии Включено, можно указать список URL-адресов или путей расширений, которые будут устанавливаться при запуске Firefox. При каждом изменении этого списка политики будут переустанавливаться.
URL политики необходимо задавать в формате *.xpi (например, https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi). Можно также указать путь на локальный каталог, в который политикой копирования файлов скопировать расширение в формате *.xpi.
Управление расширениями
ExtensionSettings
Это правило позволяет управлять всеми аспектами расширений.
Политика сопоставляет идентификатор расширения с его конфигурацией. Если указан идентификатор расширения, конфигурация будет применяться только к указанному расширению. Конфигурация по умолчанию может быть установлена для специального идентификатора *, который будет применяться ко всем расширениям, для которых не задана пользовательская конфигурация в этой политике.
Чтобы получить идентификатор расширения, можно установите расширение и посмотреть идентификатор на странице about:support в разделе Расширения.
Если политика находится в состоянии Отключено или Не сконфигурировано, расширения не будут управляться.
Если политика находится в состоянии Включено, можно использовать JSON для описания политики управления расширениями.
Пример JSON:
{
    "*": {
        "blocked_install_message": "Custom error message"
    },
    "adblockultimate@adblockultimate.net": {
        "installation_mode": "force_installed",
        "install_url": "file:///home/user/file.xpi"
    },
    "rutokenplugin@rutoken.ru": {
        "installation_mode": "force_installed",
        "install_url": "https://addons.mozilla.org/…/plugin.xpi"
    }
}
Конфигурация для каждого расширения — это еще один словарь, который может содержать следующие поля:
  • installation_mode — режим установки расширения. Допустимые значения:
    • allowed — разрешает установку расширения пользователем (поведение по умолчанию). Поле install_url не используется и будет автоматически определено на основе идентификатора;
    • blocked — блокирует установку расширения и удаляет его, если оно уже установлено;
    • force_installed — расширение устанавливается автоматически и не может быть удалено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url;
    • normal_installed — расширение устанавливается автоматически, но может быть отключено пользователем. Этот параметр недействителен для конфигурации по умолчанию и требует install_url;
  • install_url — сопоставляется с URL-адресом, указывающим, откуда Firefox может загрузить расширение (при force_installed или normal_installed). При установке из локальной файловой системы следует использовать URL-адрес file:///. При установке с сайта addons.mozilla.org можно использовать URL-адрес в виде https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi;
  • install_sources — список источников, из которых разрешена установка расширений с использованием шаблонов соответствия URL. Этот параметр не нужен, если разрешена установка только определенных расширений по идентификатору. Данный параметр можно использовать только для конфигурации по умолчанию;
  • minimum_version_required — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения;
  • allowed_types — белый список разрешённых типов расширений/приложений, которые можно установить в Firefox. Значение представляет собой список строк (допустимые строки: «extension», «theme», «dictionary», «locale»). Этот параметр можно использовать только для конфигурации по умолчанию;
  • override_update_url — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля update_url или update в политике ExtensionInstallForcelist. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения;
  • blocked_install_message — сообщение об ошибке, которое будет отображаться для пользователей, если им заблокирована установка расширения. Этот параметр можно использовать только для конфигурации по умолчанию;
  • restricted_domains — массив доменов, на которых нельзя запускать сценарии контента. Этот параметр можно использовать только для конфигурации по умолчанию;
  • updates_disabled — логическое значение, указывающее, следует ли отключать автоматические обновления для отдельного расширения;
  • default_area — указывает, где должен быть размещен значок расширения. Возможные значения: navbar и menupanel.

10.4.12. Управление политиками «Яндекс.Браузера»

Эти групповые политики позволяют централизованно для компьютеров управлять настройками «Яндекс.Браузера».
Механизм Yandex в составе пакета gpupdate формирует JSON-файл для браузера из шаблонов групповых политик. Во время запуска «Яндекс.Браузер» считывает файл /etc/opt/yandex/browser/policies/managed/policies.json и применяет параметры групповых политик. Групповые политики на основе policies.json предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.

Примечание

Для случаев, если требуется вести параллельно другой файл с конфигурациями, можно создать файл /etc/opt/yandex/browser/policies/managed/policies_local.json и вносить изменения в него. При коллизиях будет применена последняя прочитанная настройка.
Данный механизм реализован только для машинных политик.

Примечание

Настройка политик для «Яндекс.Браузера» требует дополнительной установки ADMX-файлов Yandex (пакет admx-yandex-browser).
Результат применения параметров групповой политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: browser://policy:
Активные политики «Яндекс.Браузера»
В качестве примера рассмотрим политику установки URL домашней страницы.
Для редактирования политик браузера «Яндекс.Браузера» следует перейти в КомпьютерАдминистративные шаблоныЯндексЯндекс.Браузер:
GPUI. Политики настройки «Яндекс.Браузера»
Для установки URL домашней страницы следует выбрать пункт Главная страница и страница быстрого доступа при запуске, щелкнуть левой кнопкой мыши на политике Задать URL домашней страницы, откроется диалоговое окно настройки политики. Выбрать параметр Включено, в разделе Параметры ввести URL и нажать кнопку ОК:
GPUI. Настройка URL домашней страницы «Яндекс.Браузера»
В результате применения данной политики будет установлена домашняя страница по умолчанию:
Настройки «Яндекс.Браузера»
Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt+Home.
Все настройки политики «Яндекс.Браузера» хранятся в файле {GUID GPT}/Machine/Registry.pol. Пример файла Registry.pol:
Preg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;]
[Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru]
[Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf]
[Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]
В таблице Примеры политик управляющих настройками «Яндекс.Браузера» описаны только некоторые политики. Полный список политик и их описание можно найти на странице описания политик «Яндекс.Браузера» или в «Яндекс.Браузере», указав в адресной строке URL: browser://policy/ и установив отметку на пункте Показывать правила, значения которых не заданы.

Таблица 10.30. Примеры политик управляющих настройками «Яндекс.Браузера»

Политика
Ключ
Описание
Включить или отключить панель закладок
BookmarkBarEnabled
Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере».
Если политика находится в состоянии Включено, панель закладок отображается.
Если политика находится в состоянии Отключено, панель закладок не отображается.
Если политика находится в состоянии Не сконфигурировано, пользователь может самостоятельно решать, включить или отключить панель закладок.
Настроить закладки
EditBookmarksEnabled
Политика включает или отключает возможность изменения закладок.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут добавлять, изменять и удалять закладки.
Если политика находится в состоянии Отключено, пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными.
Задать форматы файлов, которые будут автоматически открываться после скачивания
AutoOpenFileTypes
Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания.
Если политика находится в состоянии Включено, в ней можно перечислить форматы файлов (без точки), которые будут автоматически открываться после скачивания (например, txt, jpg).
Если политика находится в состоянии Отключено или Не сконфигурировано, после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»).
Настроить показ всплывающих окон
DefaultPopupsSetting
Политика разрешает или запрещает всплывающие окна на всех сайтах.
Если политика находится в состоянии Отключено или Не сконфигурировано, всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера.
Если политика находится в состоянии Включено, администратор может определить режим применения политики:
  • Блокировать на всех сайтах
  • Разрешить на всех сайтах
Пользователи не могут разрешать или блокировать всплывающие окна в настройках браузера.
Разрешить полноэкранный режим
FullscreenAllowed
Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения.
Если политика находится в состоянии Отключено, полноэкранный режим отключен для всех пользователей, приложений и расширений.
Задать URL домашней страницы
HomepageLocation
Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут сами установить URL домашней страницы в настройках браузера.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например, https://altlinux.org).
Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt+Home. Пользователи не могут менять домашнюю страницу в браузере.
Отключить контекстное меню для выделенного текста
InstaserpDisabled
Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице.
Если политика находится в состоянии Включено, контекстное меню не показывается, пользователи не могут включить его в настройках (опция При выделении текста показывать кнопки «Найти» и «Копировать» неактивна).
Если политика находится в состоянии Отключено, контекстное меню показывается, пользователи не могут отключить его в настройках.
Если политика находится в состоянии Не сконфигурировано, контекстное меню показывается, пользователи могут отключить его в настройках.
Отображать боковую панель
SidePanelMode
Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настроить режим отображения боковой панели.
Если политика находится в состоянии Включено, администратор может выбрать режим отображения боковой панели:
  • Закрепить только на экране новой вкладки
  • Закрепить на сайтах
  • Скрыть
Включить автозаполнение адресов
AutofillAddressEnabled
Политика разрешает пользователям автозаполнение адресов.
Если политика находится в состоянии Включено или Не сконфигурировано, автозаполнение адресов включено.
Если политика находится в состоянии Отключено, автозаполнение адресов отключено, введенные адреса не сохраняются.
Настроить режим Инкогнито
IncognitoModeAvailability
Политика определяет, могут ли пользователи включать режим «Инкогнито».
Если политика находится в состоянии Не сконфигурировано, пользователи могут открывать страницы в режиме Инкогнито.
Если политика находится в состоянии Включено, администратор может определить режим применения политики:
  • Принудительное использование режима Инкогнито — режим «Инкогнито» всегда включен;
  • Режим Инкогнито доступен — пользователи могут просматривать страницы как в обычном режиме, так и в режиме «Инкогнито»;
  • Режим Инкогнито отключён — пользователи могут просматривать страницы только в обычном режиме.
Если политика находится в состоянии Отключено, пользователи могут просматривать страницы только в обычном режиме.
Запретить использовать мастер-пароль
MasterPasswordDisabled
Политика запрещает пользователям использовать мастер-пароль.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может использовать мастер-пароль.
Если политика находится в состоянии Включено, мастер-пароль в браузере отключен.
Разрешить сохранять пароли
PasswordManagerEnabled
Политика разрешает сохранять пароли в браузере и автоматически подставлять их при авторизации на сайтах.
Если политика находится в состоянии Не сконфигурировано, сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей.
Если политика находится в состоянии Включено, сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей.
Если политика находится в состоянии Отключено, сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей.
Запретить сохранять историю просмотров
SavingBrowserHistoryDisabled
Политика запрещает сохранять историю просмотров и синхронизировать открытые вкладки. При синхронизации информация передается на сервер Яндекса по защищенному каналу.
Если политика находится в состоянии Отключено или Не сконфигурировано, история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Пользователи могут импортировать историю из других браузеров.
Если политика находится в состоянии Включено, история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена.
Выбрать папку кеша на диске
DiskCacheDir
Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях.
Если политика находится в состоянии Отключено или Не сконфигурировано, браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра disk-cache-dir.
Если политика находится в состоянии Включено, браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра disk-cache-dir.
Задать объём кеша в байтах
DiskCacheSize
Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.
Если политика находится в состоянии Не сконфигурировано, браузер использует объем кеша по умолчанию.
Если политика находится в состоянии Включено, браузер использует заданный размер кеша независимо от параметра --disk-cache-size. Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ.
Если политика находится в состоянии Отключено, браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра --disk-cache-size.
Блокировать внешние расширения
BlockExternalExtensions
Политика позволяет запретить установку внешних расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, установка внешних расширений разрешена.
Если политика находится в состоянии Включено, установка внешних расширений запрещена.
Блокировать URL'ы из заданного списка
URLBlocklist
Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список.
Если политика находится в состоянии Отключено или Не сконфигурировано, браузер не блокирует URL.
Если политика находится в состоянии Включено, страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные.
Общий формат шаблона URL: scheme://host:port/path, где:
  • scheme — схема обращения к ресурсу (например, http, https). Если префикс scheme:// не задан, блокируются все пути и все протоколы (http, https, ftp и т.д.). Блокировать внутренние URL с префиксом browser:// и chrome:// не рекомендуется;
  • host — полное доменное имя или IP-адрес хоста. Имя или IP-адрес хоста должны быть указаны обязательно. По умолчанию блокируются все субдомены хоста. Чтобы этого избежать, можно добавить точку (.) перед именем хоста. Звездочка (*) блокирует все домены;
  • port — номер порта. Можно указать номер от 1 до 65535. Если номер не указан, блокируются все порты;
  • path — URL-адрес.
Общий формат шаблона локального файла file://path, где:
  • file — путь до конкретного файла .html;
  • path — абсолютный путь к каталогу с файлами (все пути, для которых path является префиксом, будут внесены в список).
Задать исключения для политики URLBlocklist (Разрешить доступ к списку URL)
URLAllowlist
Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики Блокировать URL'ы из заданного списка).
Если политика находится в состоянии Отключено или Не сконфигурировано, исключений из правила URLBlocklist нет.
Если политика находится в состоянии Включено, указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL.
Форматы шаблонов см. в описании политики Блокировать URL'ы из заданного списка.
Разрешить вызывать окно выбора файлов
AllowFileSelectionDialogs
Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т.д.). Пользователи также могут сохранить файл с помощью контекстного меню и изменять настройки в разделе Загруженные файлы (НастройкиИнструментыЗагруженные файлы).
Если политика находится в состоянии Отключено и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т.д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки Отмена в окне выбора файлов. Пользователи также не смогут сохранить файл из контекстного меню и изменять настройки в разделе Загруженные файлы.
Ограничить инструменты разработчика
DeveloperToolsAvailability
Политика ограничивает использование инструментов разработчика.
Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой.
Если политика находится в состоянии Включено можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры:
  • Запретить
  • Запретить для расширений, установленных в соответствии с корпоративной политикой, и разрешить во всех остальных случаях
  • Разрешить
Управлять настройками расширений
ExtensionSettings
Политика управляет настройками расширений в «Яндекс.Браузере». Заменяет любые другие политики по настройке расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения.
Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
  • идентификатор расширения или URL обновления привязывается только к одной конкретной настройке;
  • идентификатор * действует на все расширения, для которых в политике не задана отдельная конфигурация;
  • если указан URL обновления, заданная конфигурация применяется ко всем расширениям, в манифесте которых приведен этот URL.
Пример значения:
{
  "hdokiejnpimakedhajhdlcegeplioahd": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  },
  "pioclpoplcdbaefihamjohnefbikjilc": {
    "installation_mode": "force_installed",
    "update_url": "https://clients2.google.com/service/update2/crx"
  }
}
Параметры политики:
  • allowed_types — типы приложений и расширений, которые пользователям разрешено устанавливать в браузере (допустимые строки: «extension», «hosted_app», «legacy_packaged_app», «tplatform_appeme», «theme», «user_script»). Используется только для настройки конфигурации по умолчанию со значением *;
  • blocked_install_message — уведомление (не более 1000 символов), которое будет появляться на устройствах пользователей при попытке установить запрещенные расширения;
  • blocked_permissions — запрещает пользователям устанавливать и запускать расширения, требующие разрешений API (список доступных разрешений указан в манифесте расширения);
  • installation_mode — указывает, разрешено ли добавлять заданные расширения. Допустимые режимы:
    • allowed — пользователи могут установить это расширение (поведение по умолчанию);
    • blocked — пользователи не могут установить это расширение;
    • removed — пользователи не могут установить это расширение. Если расширение было установлено, оно будет удалено;
    • force_installed — расширение устанавливается автоматически. Пользователи не могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
    • normal_installed — расширение устанавливается автоматически. Пользователи могут его удалить. В этом режиме необходимо указать ссылку для скачивания расширения (параметр update_url);
  • install_sources — список URL страниц, с которых разрешено загружать и устанавливать расширения Необходимо разрешить URL расположения CRX-файла и страницы, с которой начинается скачивание (то есть URL перехода);
  • minimum_version_required — отключает расширения (в том числе установленные принудительно) более ранних версий, чем определено этим параметром. Формат строки версии аналогичен формату, который используется в манифесте расширения;
  • update_url — определяет, откуда загружается расширение. Можно указать URL интернет-магазина Chrome, Opera или использовать XML-файл:
    • если расширение размещено в интернет-магазине Chrome, следует указать https://clients2.google.com/service/update2/crx
    • если расширение размещено в интернет-магазине Opera, следует указать https://extension-updates.opera.com/api/omaha/update/
  • override_update_url — указывает, что для всех последующих обновлений расширения будет использоваться URL из поля update_url или update в политике ExtensionInstallForcelist. Если эта политика не сконфигурирована или отключена, будет использоваться URL из манифеста расширения;
  • verified_contents_url — указывает путь до файла extension.verified_contents. С его помощью расширение проверяется на доверие (используется, если нет доступа в интернет);
  • runtime_allowed_hosts — разрешает взаимодействие расширений с указанными сайтами, даже если они указаны в поле runtime_blocked_hosts. Можно указать до 100 сайтов;
  • runtime_blocked_hosts — запрещает расширениям взаимодействовать с указанными сайтами или изменять их, в том числе вставлять скрипты, получать доступ к файлам cookie и изменять веб-запросы. Можно указать до 100 сайтов.

10.4.13. Политика замыкания

Описание политики замыкания см. в разделе Замыкание групповой политики.
Для настройки этой политики следует перейти в КомпьютерАдминистративные шаблоныСистемаГрупповая политика:
GPUI. Политики ОС

Примечание

Для быстрого доступа к политике можно ввести в поле Поиск… ключевое слово.
Щелкнуть левой кнопкой мыши на политике Настройка режима обработки замыкания пользовательской групповой политики, откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить:
GPUI. Редактирование политики «Настройка режима обработки замыкания пользовательской групповой политики»
Если выбрать параметр Включено, в разделе Опции в выпадающем списке можно выбрать режим:
  • Слияние — указывает, что параметры политики пользователя определенные в объектах групповой политики компьютера, и обычно применяемые параметры пользователя для этого пользователя должны быть объединены. Если возникает конфликт этих параметров политики, то параметры пользователя в объектах групповой политики компьютера имеют приоритет над обычными параметрами пользователя;
  • Замена — указывает, что параметры политики пользователя, определенные в объектах групповой политики компьютера, заменяют параметры политики пользователя, обычно применяемые для этого пользователя.
Если выбрать параметр Отключено или не настраивать этот параметр политики, порядок применения параметров определяется объектами групповой политики для пользователей.

10.5. Редактирование предпочтений

Примечание

Если параметр предпочтения настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями. Также следует убедиться, что объект, к которому должна применяться политика находится в нужном OU с компьютерами или пользователями.

10.5.1. Управление ярлыками

Групповая политика Управление ярлыками позволяет централизованно для компьютеров или пользователей:
  • создавать ярлыки;
  • удалять ярлыки;
  • изменять свойства ярлыков.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыЗначки. В контекстном меню свободной области выбрать пункт НовыйЗначок
GPUI. Создание новой политики «Значки»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Значки»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для ярлыка:
    • Создать — создание нового ярлыка;
    • Удалить — удаление ярлыка;
    • Заменить — удаление и повторное создание ярлыка. Если ярлык не существует, то это действие создает новый ярлык;
    • Обновить — изменение параметров существующего ярлыка. Если ярлык не существует, то это действие создает ярлык. Это действие отличается от Заменить тем, что не удаляет ярлык, а только обновляет параметры ярлыка, определенные в элементе настройки;
  • Название — отображаемое имя для ярлыка. При изменении или удалении ярлыка имя должно совпадать с именем существующего ярлыка;
  • Тип цели — тип конечного объекта, на который указывает ярлык (при изменении или удалении ярлыка выбранный тип объекта должен соответствовать существующему ярлыку):
    • Объект файловой системы — путь в ФС, например, файл, папка, диск, общий ресурс или компьютер;
    • URL-адрес — URL-адрес, например, веб-сайт;
    • Объект оболочки — объект, например, принтер, элемент рабочего стола или панели управления, файл, папка, общий ресурс, компьютер или сетевой ресурс;
  • Место нахождения — место, где ярлык должен отображаться на компьютерах, для которых применяется политика. Размещения, отличные от Общее…, относятся к текущему пользователю. При изменении существующего ярлыка выбранное размещение должно совпадать с размещением существующего ярлыка. Если выбран пункт Укажите полный путь, то место задается полным путем в поле Название (при этом можно использовать переменные, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в Program Files, необходимо ввести %ProgramFilesDir%\Ярлыки\Почта). Чтобы разместить ярлык в подпапке для выбранного размещения из списка, следует указать <название подпапки>\<имя ярлыка> в поле Название, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки в размещении Рабочий стол, необходимо ввести Ярлыки/Почта в поле Название и выбрать Рабочий стол в поле Место нахождения:
    GPUI. Выбор места для размещения ярлыка
  • Целевой путь — локальный путь (с точки зрения клиента) для типа Объект файловой системы, URL для типа URL-адрес или объект для типа Объект оболочки. Если выбран тип цели Объект файловой системы или URL-адрес, то это поле может принимать переменные. Это поле недоступно, если выбрано действие Удалить;
  • Аргументы — аргументы, которые будут использоваться при открытии целевого файла или папки. Это поле доступно только в том случае, если выбран тип цели Объект файловой системы, и выбрано действие Создать, Заменить или Обновить;
  • Путь к файлу значка и Индекс значка — значок для ярлыка. Для указания значка, отличного от значка по умолчанию необходимо выбрать значок или ввести полный путь к значку (с точки зрения клиента) и указать индекс значка. Поле Путь к файлу значка принимает переменные. Эти поля недоступны, если выбрано действие Удалить;
  • Начинать — рабочий каталог, содержащий файлы, необходимые для конечного объекта. Это поле принимает переменные. Поле доступно в случае, если выбрано действие Создать, Заменить или Обновить;
  • Быстрая клавиша — сочетание клавиш для запуска ярлыка. Чтобы назначить сочетание клавиш следует установить курсор в поле Быстрая клавиша и нажать комбинацию клавиш. Это поле недоступно, если выбрано действие Удалить. Чтобы удалить сочетание клавиш, можно нажать клавишу CTRL или ALT, или нажать на значок, расположенный справа от сочетания клавиш:
    GPUI. Выбор сочетания клавиш для запуска ярлыка
  • Запуск — размер окна, в котором нужно открыть цель ярлыка. Поле доступно только в том случае, если выбран тип объекта Объект файловой системы или Объект оболочки, и выбрано действие Создать, Заменить или Обновить;
  • Комментарий — всплывающая подсказка, когда указатель мыши приостановлен на ярлыке. Поле принимает переменные. Поле доступно только в том случае, если выбран тип объекта Объект файловой системы или Объект оболочки, и выбрано действие Создать, Заменить или Обновить.

Предупреждение

Чтобы ярлыку назначались корректные права (для пользовательской политики), необходимо установить отметку в пункте Выполнять в контексте безопасности текущего пользователя на вкладке Общие.
Все настройки политики управления ярлыками хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Shortcuts/Shortcuts.xml
  • {GUID GPT}/User/Preferences/Shortcuts/Shortcuts.xml
Пример файла Shortcuts.xml:
<?xml version="1.0" encoding="utf-8"?>
<Shortcuts clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}">
<Shortcut bypassErrors="0"
    changed="2022-11-17 11:07:40"
    clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}"
    desc=""
    image="0"
    name="Почта"
    removePolicy="0"
    status=""
    uid="{dfd45a36-4634-47d9-8a22-5f702fba21bc}"
    userContext="0">
<Properties
    action="U"
    arguments=""
    comment=""
    iconPath="/usr/lib64/thunderbird/chrome/icons/default/default32.png"
    pidl=""
    shortcutPath="%DesktopDir%\Почта"
    startIn=""
    targetPath="/usr/bin/thunderbird"
    targetType="FILESYSTEM"
    window=""/>
</Shortcut>
</Shortcuts>

10.5.2. Управление каталогами

Групповая политика Управление каталогами позволяет для всех пользователей заданной группы создавать унифицированную структуру каталогов.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыПапки. В контекстном меню свободной области выбрать пункт НовыйПапки
GPUI. Создание новой политики «Папки»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Папки»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для папки:
    • Создать — создание новой папки;
    • Удалить — удаление папки;
    • Заменить — удаление и повторное создание папки. В результате выполнения действия Заменить содержимое существующей папки удаляется, и все существующие параметры папки перезаписываются. Если папка не существует, действие Заменить создает новую папку;
    • Обновить — изменение параметров существующей папки. Если папки не существует, то это действие создает новую папку. Это действие отличается от Заменить тем, что не удаляет папку, а только обновляет параметры;
  • Путь — путь к папке (с точки зрения клиента). Это поле может содержать переменные (не следует вводить кавычки и завершающую косую черту);
  • Атрибуты — атрибуты файловой системы для папки (недоступны для действия Удалить):
    • Только для чтения;
    • Скрытый;
    • Архивный;
Следующие опции доступны только для действий Заменить и Удалить:
  • Удалить папку (если пустая) — если включена эта опция, папка, указанная в поле Путь, удаляется, если она пуста. Пустая ли эта папка, оценивается после того, как были обработаны опции Удалить все файлы в папке(ах) и Рекурсивное удаление папок (если пустые). При выборе действия Удалить эта опция включена по умолчанию и её невозможно отключить;
  • Рекурсивное удаление папок (если пустые) — если включена эта опция, удаляется самый низкий уровень вложенных папок (если они пусты). Данное действие повторяется для каждой родительской папки до достижения папки, указанной в поле Путь. Пустые подпапки оцениваются после обработки опции Удалить все файлы в папке(ах);
  • Удалить все файлы в папке(ах) — если включена эта опция, удаляются все файлы в папке, которые разрешено удалять. Если также включена опция Рекурсивное удаление папок (если пустые), то удаляются также все файлы, которые разрешено удалять во всех подпапках;
  • Разрешить удаление файлов/папок только для чтения — если включена эта опция, атрибут Только для чтения игнорируются для удаляемых файлов и папок;
  • Игнорировать ошибки для файлов/папок, которые не могут быть удалены — если включена эта опция, подавляются все сообщения об ошибках, возникающие из-за невозможности удаления файлов или папок. В противном случае, если совершается попытка удалить непустую папку, открытый файл, файл или папку, для которых пользователь не имеет разрешений или любой другой файл или папку, которые не могут быть удалены, возвращается ошибка.

Примечание

Атрибуты Архивный, Скрытый и Только для чтения применимы только для Windows систем.
Все настройки политики управления каталогами хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Folders/Folders.xml
  • {GUID GPT}/User/Preferences/Folders/Folders.xml
Пример файла Folders.xml:
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<Folders clsid="{77CC39E7-3D16-4f8f-AF86-EC0BBEE2C861}">
  <Folder clsid="{07DA02F5-F9CD-4397-A550-4AE21B6B4BD3}"
        name="MyDir"
        status="MyDir"
        image="2"
        bypassErrors="1"
        changed="2020-10-27 11:49:19"
        uid="{57F41C87-4A65-4561-BFFF-4219149DCBF7}">
    <Properties
        action="U"
        path="%DesktopDir%\MyDir"
        readOnly="0"
        archive="1"
        hidden="0"/>
  </Folder>
</Folders>

10.5.3. Управление INI-файлами

Групповая политика Управление INI-файлами позволяет:
  • добавить свойство в файл параметров конфигурации (.ini);
  • заменить свойство в INI-файле;
  • удалить свойство из INI-файла;
  • удалить раздел из INI-файла;
  • удалить INI-файл.
В разделах INI-файлов используется следующий формат:
[sectionA]
var01=value01

[sectionB]
var01=value01
var02=value02
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыIni файлы. В контекстном меню свободной области выбрать пункт НовыйIni файл
GPUI. Создание новой политики «Ini файл»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Ini файл»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для INI-файла:
    • Создать — добавление свойства в INI-файл. Если файл не существует, он будет создан;
    • Удалить — удаление свойства или раздела из INI-файла (либо удаление INI-файла);
    • Заменить — удаление и повторное создание свойства в INI-файле. Суммарный итог действия Заменить — переопределение свойства. Если свойство не существует, действие Заменить создаст его;
    • Обновить — удаление и повторное создание свойства в INI-файле (аналогично действию Заменить);
  • Путь к файлу — путь к INI-файлу с точки зрения клиента (путь не должен включать кавычки). Если файл и родительские папки не существуют, они будут созданы;
  • Имя секции — имя раздела в файле, свойство которого нужно настроить или удалить. Чтобы удалить INI-файл целиком, следует оставить это поле пустым;
  • Имя свойства — имя свойства, которое нужно настроить или удалить. Чтобы удалить целиком раздел файла или весь файл, следует оставить это поле пустым;
  • Значение свойства — значение свойства. Значения могут содержать символы кавычек, которые, однако, при чтении значений приложением или операционной системой обычно удаляются. Все значения воспринимаются как текст. Если данное поле оставлено пустым, свойству присваивается пустое значение, что воспринимается как отсутствие свойства. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить.
Политики управления INI-файлами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Все настройки политики управления INI-файлами хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Inifiles/Inifiles.xml
  • {GUID GPT}/User/Preferences/Inifiles/Inifiles.xml
Пример файла Inifiles.xml:
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<IniFiles clsid="{694C651A-08F2-47fa-A427-34C4F62BA207}">
  <Ini changed="2022-11-21 09:13:44"
        clsid="{EEFACE84-D3D8-4680-8D4B-BF103E759448}"
        image="3"
        name="version.ini"
        status="version.ini"
        uid="{ADAA9BCF-C2EA-4004-980F-CEDA823E3B91}"
        bypassErrors="1">
    <Properties
        path="C:\tmp\version.ini"
        section=""
        value=""
        property="BP"
        action="D"/>
  </Ini>
</IniFiles>

10.5.4. Управление переменными среды

Групповая политика Управление переменными среды позволяет централизованно для компьютеров или пользователей:
  • создать постоянные пользовательские или системные переменные среды;
  • удалить переменные среды;
  • изменить переменные среды, например:
    • изменить приглашение командной строки (системная переменная PROMPT для Windows или PS1 для Linux (BASH));
    • изменить расположение папки временных файлов (системная переменная TEMP для Windows или TMPDIR для Linux);
    • заменить значение всей переменной PATH;
    • добавить сегменты в переменную PATH (разделенные точкой с запятой для Windows или двоеточием для Linux);
    • удалить сегменты из переменной PATH.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыОкружение. В контекстном меню свободной области выбрать пункт НовыйПеременные окружения
GPUI. Создание новой политики «Переменные окружения»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Переменные окружения»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для переменной среды:
    • Создать — создание новой переменной среды (если переменная среды с таким именем уже есть, например, создана локально, то её значение изменено не будет);
    • Удалить — удаление переменной среды;
    • Заменить — удаление и повторное создание переменной среды (если переменная среды с таким именем не существует, то это действие создаёт новую переменную среды);
    • Обновить — изменение параметров существующей переменной среды. Если переменная среды с таким именем не существует, то это действие создает новую переменную среды (фактически это действие полностью аналогично действию Заменить). Применение этого действия к сегменту переменной PATH не имеет практического эффекта; в этом сегменте возможно только изменение регистра текста;
  • Пользовательская переменная:
    • параметр для переменной среды в разделе Конфигурация пользователя — влияние переменной среды будет для каждого пользователя независимым. Переменная среды хранится в разделе реестра HKEY_CURRENT_USER;
    • параметр для переменной среды в разделе Конфигурация компьютера — переменная среды будет влиять только на пользователя компьютера по умолчанию;
  • Системная переменная — переменная среды будет влиять на всех пользователей компьютера. Переменная среды будет храниться в реестре в разделе HKEY_LOCAL_MACHINE;
  • Имя — имя переменной среды, к которой применяется действие. Чтобы выбрать переменную PATH, следует оставить это поле пустым;
  • Значение — значение переменной среды. В это поле можно вводить переменные;
  • PATH — действие будет применяться к переменной PATH: можно создать/заменить значение переменной PATH или добавить/удалить сегмент значения переменной PATH. В поле Имя будет отмечено значение «PATH» и оно не будет доступно для редактирования. Эта опция доступна только в том случае, если выбран параметр Системная переменная;
  • Частичный — добавить или удалить один сегмент переменной PATH. Эта опция доступна только в том случае, если выбраны Системная переменная и PATH.
Все настройки политики управления переменными среды хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/EnvironmentVariables/EnvironmentVariables.xml
  • {GUID GPT}/User/Preferences/EnvironmentVariables/EnvironmentVariables.xml
Пример файла EnvironmentVariables.xml:
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<EnvironmentVariables clsid="{BF141A63-327B-438a-B9BF-2C188F13B7AD}">
  <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}"
        name="VAR"
        status="VAR = value_1"
        image="0"
        changed="2020-06-05 12:16:20"
        uid="{6738058D-5455-4D9A-9B84-78E87DDD18D7}"
        desc="environment variable example"
        bypassErrors="1">
    <Properties
        action="C"
        name="VAR"
        value="value_1"
        user="1"
        partial="0"/>
  </EnvironmentVariable>
  <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}"
        name="PATH"
        status="PATH = value_2"
        image="2"
        changed="2020-06-05 12:16:48"
        uid="{15E854D6-C338-4AD2-BF8D-72292B364BA3}">
    <Properties
        action="U"
        name="PATH"
        value="value_2"
        user="0"
        partial="1"/>
  </EnvironmentVariable>
</EnvironmentVariables>

Примечание

Для того чтобы политики применились (под доменным пользователем), необходимо перелогиниться.
Проверить наличие переменных окружения можно, выполнив команду:
$ env |grep имя_переменной
Просмотреть все переменные, назначенные с помощью групповой политики, можно в файле /etc/gpupdate/environment:
TEMP DEFAULT="C:\tmp"
Var DEFAULT="Value1"
HTTPS_PROXY DEFAULT="https://10.0.66.52:3128"

10.5.5. Управление файлами

Групповая политика Файлы позволяет проводить операции с файлами: копировать файлы в нужное расположение, удалять, заменять, обновлять атрибуты файлов.
Для компьютеров или пользователей эта политика предоставляет возможность:
  • копировать файл (или несколько файлов из одного каталога) в новое место, а затем настроить атрибуты этих файлов;
  • удалить файл (или несколько файлов в одном каталоге;
  • удалить файл (или несколько файлов в одном каталоге) и заменить его копией файла из исходного каталога;
  • изменить атрибуты файла (или нескольких файлов в одном каталоге);
  • изменить атрибуты, заменить или удалить все файлы с определённым расширением в одном каталоге;
  • изменить атрибуты, заменить или удалить все файлы в определённом каталоге.

Примечание

В групповой политике Файлы нет встроенной возможности скопировать целиком каталог со всем содержимым. Вместо этого можно использовать политику Папки, которая позволяет создавать каталоги на компьютере, а для копирования файлов использовать групповую политику Файлы.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыФайлы. В контекстном меню свободной области выбрать пункт НовыйФайл
GPUI. Создание новой политики «Файлы»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Файлы»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для файла(ов):
    • Создать — копирование файла (или нескольких файлов из одного каталога) из исходного местоположения в конечное, если файл еще не существует в местоположении назначения, и настройка атрибутов этих файлов;
    • Удалить — удаление файла (или нескольких файлов в одной папке);
    • Заменить — удаление файла (или нескольких файлов в одной папке), замена его другим файлом и настройка атрибутов этих файлов. Конечным результатом действия Заменить будет перезапись файлов в местоположении назначения. Если файл не существует в месте назначения, действие Заменить копирует его из исходного местоположения в место назначения;
    • Обновить — изменение параметров существующего файла (или нескольких файлов в одной папке). Это действие отличается от действия Заменить тем, что только обновляет атрибуты файла, определенные в элементе предпочтений. Все остальные атрибуты файла не изменяются. Если файл не существует, действие Обновить копирует его из исходного местоположения в место назначения;
  • Источник файла(ов) — местоположение (с точки зрения клиента), из которого требуется скопировать исходные файлы. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Это поле может содержать переменные. Поле может содержать подстановочные знаки одного (?) или нескольких (*) символов, позволяя копировать или изменять несколько файлов (только для работы с файлами в ОС Windows). Поле недоступно для действия Удалить;

    Примечание

    В настоящее время в ОС «Альт» можно использовать подстановочный знак (*) только для копирования всех файлов из папки:
    GPUI. Настройка политики — «Копирование всех файлов из каталога»
  • Место назначения файлов — местоположение папки (с точки зрения клиента), в которую требуется скопировать файлы, или местоположение файлов, которые требуется изменить. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Родительские папки создаются по мере необходимости. Необходимо включить имя файла, которое затем можно будет изменить, указав другое имя в поле Исходные файлы. Это поле может содержать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить, а поле Источник файла(ов) не содержит подстановочные знаки;
  • Папка назначения — место назначения копирования файла или местоположение файла (с точки зрения клиента), который требуется изменить. Это местоположение может представлять полный путь UNC, или локальный путь, или сопоставленный диск со стороны клиента. Родительские папки создаются по мере необходимости. Это поле может содержать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить, а поле Источник файла(ов) включает подстановочные знаки;
  • Удалить файл(ы) — путь к файлу (с точки зрения клиента), который требуется удалить. Чтобы удалить несколько файлов из одной папки необходимо включить в имя файла подстановочные знаки одного (?) или нескольких (*) символов (только для удаления файлов в ОС Windows). Этот параметр доступен, только если выбрано действие Удалить:
    GPUI. Настройка политики — «Удаление файлов»

    Примечание

    В настоящее время в ОС «Альт» нельзя удалить несколько файлов из одной папки, включив в имя файла подстановочные знаки (? и *). Необходимо указывать файлы по одному.
  • Подавление ошибок при действиях с отдельными файлами — разрешить передачу одного или нескольких файлов даже в случае сбоя передачи отдельных файлов. Не отображаются только ошибки, связанные с попыткой замены, удаления или настройки атрибутов файла. Такие ошибки могут быть вызваны тем, что файл используется, был отказ в доступе или исходный файл не найден. Если этот параметр включен, такие ошибки могут быть обнаружены только в файле трассировки. Этот параметр отличается от параметра пропуска ошибок предпочтений по умолчанию, который можно изменить на вкладке Общее;
  • Атрибуты — атрибуты файловой системы для папки (недоступны для действия Удалить):
    • Только для чтения;
    • Скрытый;
    • Архивный;
    • Исполняемый.

Примечание

Атрибуты Архивный, Скрытый и Только для чтения применимы только для Windows систем.
Политики управления файлами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Опционально можно включить политику Настройка механизма копирования файлов. Данная политика конфигурирует механизм «копирования файлов», формируя список суффиксов (расширений), идентифицирующих файл как исполняемый (например, .sh), и список целевых путей копирования.
Для включения политики Настройка механизма копирования файлов следует в разделе КомпьютерАдминистративные шаблоныСистема ALTГрупповые политики и выбрать пункт Настройка механизма копирования файлов. В открывшемся окне установить отметку в поле Включено:
GPUI. Диалоговое окно «Настройка механизма копирования файлов»
Для задания списка суффиксов (расширений), идентифицирующих файл как исполняемый, в поле Список суффиксов файлов нажать кнопку Редактировать и в открывшемся окне ввести список суффиксов, по одному на каждой строке:
GPUI. Список суффиксов файлов
Для задания списка целевых путей копирования в поле Список путей копирования нажать кнопку Редактировать и в открывшемся окне ввести список путей, по одному на каждой строке:
GPUI. Список путей копирования
В результате применения данной политики при копировании файлов с указанными суффиксами в назначенные пути, этим файлам будет задано право на выполнение (chmod +x).
Все настройки политики управления файлами хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Files/Files.xml
  • {GUID GPT}/User/Preferences/Files/Files.xml
Пример файла Files.xml:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Files clsid="{215B2E53-57CE-475c-80FE-9EEC14635851}">
  <File bypassErrors="0"
        changed="2023-08-20 13:18:25"
        clsid="{50BE44C8-567A-4ed1-B1D0-9234FE1F38AF}"
        desc="Файл с сервера"
        image="0"
        name="Задание.txt"
        removePolicy="0"
        status=""
        uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}"
        userContext="0">
    <Properties
        action="C"
        archive="0"
        executable="0"
        fromPath="\\TEST.ALT\sysvol\test.alt\newfile"
        hidden="0"
        readOnly="0"
        suppress="0"
        targetPath="%DesktopDir%\New\Задание.txt"/>
  </File>
</Files>

10.5.6. Управление общими каталогами

Групповая политика Управление общими каталогами позволяет:
  • создать общие ресурсы и настроить их свойства;
  • изменить путь к папке общего ресурса путём замены ресурса;
  • удалить (вывести из общего доступа) или изменить лимит пользователей, функцию перечисления на основе доступа и комментарий для следующих объектов:
    • общий ресурс;
    • все общие ресурсы, кроме скрытых;
    • все скрытые ресурсы, кроме административных общих ресурсов с присвоением буквы диска;
    • все административные общие ресурсы с присвоением буквы диска;
    • все общие ресурсы.

Примечание

Для создания общего сетевого ресурса, папка, используемая при их создании, должна существовать на всех компьютерах, к которым применяется объект групповой политики. Вместе с удалением сетевого ресурса удаляется ссылка на папку, но не сама папка и её содержимое.

Примечание

Для поддержки общих сетевых ресурсов с помощью политик на клиенте должны быть выполнены следующие условия:
  • установлен пакет samba-usershares;
  • control smb-conf-usershares установлен в enabled;
  • в файле /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf (include = /etc/samba/usershares.conf).

Примечание

Для создания или удаления папок с помощью групповой политики можно использовать предпочтение Папки.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыСетевые папки. В контекстном меню свободной области выбрать пункт НовыйСетевая папка
GPUI. Создание новой политики «Сетевая папка»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Сетевая папка»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для общего сетевого ресурса:
    • Создать — создание нового сетевого ресурса;
    • Удалить — удаление общего ресурса;
    • Заменить — удаление и повторное создание сетевого ресурса. Суммарный итог действия Заменить — переопределение всех существующих параметров, связанных с общим ресурсом. Если сетевого ресурса не существует, то это действие создаёт новый сетевой ресурс;
    • Обновить — изменение параметров существующего сетевого ресурса. Если сетевого ресурса не существует, то это действие создаёт сетевой ресурс Это действие отличается от Заменить тем, что не удаляет сетевой ресурс, а только обновляет параметры сетевого ресурса, определённые в элементе настройки;
  • Имя общего сетевого ресурса — имя общего ресурса. В этом поле можно указывать переменные;
  • Путь к каталогу — путь к существующей папке, на которую будет указывать общий ресурс. В этом поле можно указывать переменные;
  • Комментарий — текст для отображения в поле Примечание общего ресурса. Если выбрано действие Обновить, общий ресурс уже существует и данное поле оставлено пустым, существующий комментарий будет оставлен без изменений. В этом поле можно указывать переменные. Этот параметр доступен, если выбрано действие Создать, Заменить или Обновить;
  • Модификаторы действий — изменять и удалять общие ресурсы конкретного типа можно не только индивидуально, но и все вместе. Эти параметры доступны, если выбранное действие — Обновить или Удалить:
    • Обновление всех регулярных общих сетевых ресурсов — изменение или удаление всех общих ресурсов, которые не являются скрытыми (с именами, оканчивающимися на $) или специальными (SYSVOL или NETLOGON);
    • Обновление всех скрытых не административных общих сетевых ресурсов — изменение или удаление всех скрытых общих ресурсов, за исключением административных общих ресурсов с буквенным обозначением дисков, ADMIN$, FAX$, IPC$ и PRINT$;
    • Обновление всех административных дисков общих сетевых ресурсов — изменение или удаление всех административных общих ресурсов с буквенным обозначением дисков (в их именах после буквы диска следует $);
  • Лимит пользователей — настройка числа пользователей, которым можно одновременно подключаться к общему ресурсу:
    • Без изменений — не изменять допустимое число пользователей при обновлении общего ресурса (если этот параметр выбран при создании или замене общего ресурса, число пользователей будет настроено на максимально допустимое);
    • Максимально допустимое — неограниченное число пользователей;
    • Разрешение на количество пользователей — ограничить число пользователей (следует ввести допустимый максимум пользователей);
  • Перечисление на основе доступа — настройка видимости папок общего ресурса:
    • Без изменений — не изменять видимость папок общего ресурса при обновлении общего ресурса;
    • Включить — сделать папки общего ресурса видимыми только при наличии доступа на чтение;
    • Отключить — сделать папки общего ресурса видимыми для всех пользователей.
Политики управления общими каталогами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Все настройки политики управления общими каталогами хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/NetworkShares/NetworkShares.xml
  • {GUID GPT}/User/Preferences/NetworkShares/NetworkShares.xml
Пример файла NetworkShares.xml:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<NetworkShareSettings clsid="{520870D8-A6E7-47e8-A8D8-E6A4E76EAEC2}">
  <NetShare changed="2022-11-21 13:03:10"
        clsid="{2888C5E7-94FC-4739-90AA-2C1536D68BC0}"
        image="0"
        name="share2"
        status=""
        uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}"
        userContext="0"
        removePolicy="0">
    <Properties
        action="C"
        name="share2"
        path="/var/share2"
        comment=""
        limitUsers="NO_CHANGE"
        abe="NO_CHANGE"/>
  </NetShare>
</NetworkShareSettings>

10.5.7. Подключение сетевых дисков

Групповая политика Подключение сетевых дисков позволяет осуществлять доступ к сетевым общим каталогам как к каталогам в локальной файловой системе. Политика служит для создания, замены, обновления и удаления сопоставленных дисков и их свойств.
Точки монтирования для отображения общих ресурсов на машинах с ОС «Альт»:
  • /media/gpupdate/drives.system — для системных ресурсов;
  • /media/gpupdate/.drives.system — для скрытых системных ресурсов;
  • /run/media/USERNAME/drives — для общих ресурсов пользователя;
  • /run/media/USERNAME/.drives — для скрытых общих ресурсов пользователя.

Примечание

Групповая политика Подключение сетевых дисков использует службу autofs, которая управляет автоматическим монтированием файловых систем.
Значения параметров прописываются в файлы конфигурации:
  • /etc/auto.master.gpupdate.d/<имя>.autofs и /etc/auto.master.gpupdate.d/<имя>.conf — для отображаемых ресурсов;
  • /etc/auto.master.gpupdate.d/<имя>_hide.autofs и /etc/auto.master.gpupdate.d/<имя>_hide.conf — для скрытых ресурсов.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыСетевые диски. В контекстном меню свободной области выбрать пункт НовыйСетевой диск
GPUI. Создание новой политики «Сетевой диск»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Сетевой диск»
Опции доступные на вкладке Основные настройки:
  • Действие — поведение элемента настройки зависит от выбранного действия и от того, существует ли уже выбранная буква диска:
    • Создать — создание нового сетевого диска;
    • Удалить — удаление сетевого диска. Нельзя удалить локальный диск рабочей станции (жёсткий диск, CD-Drive);
    • Заменить — удаление и повторное создание сетевого диска. Если диск до этого не был до создан, то будет создан новый диск. Нельзя заменить локальный диск рабочей станции (жёсткий диск, CD-Drive);
    • Обновить — изменение параметров существующего сетевого диска или создание нового, если диска с заданной буквой не существует. Это действие отличается от Заменить тем, что оно не удаляет диск, а только обновляет настройки (кроме пути к общей папке и буквы);
  • Путь — путь к общей папке или диску, который нужно отобразить (полный UNC-путь к сетевому общему ресурсу, например, \\server\sharename, \\server\hiddenshare$ или \\server\sharename\foldername). Это поле может содержать переменные. Чтобы изменить существующий сетевой диск (определяемый по букве диска), следует оставить это поле пустым;
  • Переподключиться — сохранять подключенный диск в настройках пользователя и повторно подключать его при каждом входе в систему;
  • Название — пользовательское имя для диска (можно оставить это поле пустым);

    Примечание

    Если в названии есть кириллица или пробелы, то название необходимо заключить в двойные кавычки.
  • Имя диска — буква, на которую будет назначен диск:
    • чтобы назначить сетевому диску первую доступную букву диска, следует выбрать Первый доступный, начиная с, а затем выбрать букву диска, с которой начинать проверку доступности букв;
    • чтобы назначить сетевому диску определённую букву, следует выбрать Использовать, а затем выбрать букву диска (если рабочая станция уже использует выбранную здесь букву, сопоставление дисков групповой политики завершится неудачно);
    • чтобы изменить существующее сопоставление диска (определяемое буквой диска), следует выбрать Использовать, а затем выбрать букву диска;
    • чтобы удалить все сопоставления дисков начиная с определённой буквы, следует выбрать Удалить, начиная с, а затем выбрать букву диска, с которой следует начать удаление сопоставлений дисков. Физические диски пропускаются без ошибок. Данный параметр доступен только при выбранном действии Удалить;
    • чтобы удалить определенный сопоставленный диск, следует выбрать Удалить, а затем выбрать букву диска. Данный параметр доступен только при выбранном действии Удалить;

    Примечание

    Пункт Имя диска совместно с Первый доступный, начиная с рекомендуется использовать для дисков, которые должны подключаться в ОС Windows. Так как если будет создано несколько дисков с данными параметрами, то в ОС «Альт» будет отображаться только один диск (последний).
  • Параметры Скрыть/Показать — настройка отображения сопоставленного диска (параметры Скрыть/Показать диск имеют приоритет над параметрами Скрыть/Показать все диски):
    • Без изменений — оставить отображение сопоставленного диска неизменным;
    • Скрыть диск — скрыть диск в окне файлового менеджера;
    • Показать диск — отобразить диск в окне файлового менеджера.

Примечание

При выборе параметра Показать диск к точке монтирования (файл /etc/auto.master.gpupdate.d/<имя>.autofs) добавляется опция --browse. В этом случае для данной точки монтирования будет создан пустой каталог, независимо от того, смонтирована ли какая-либо файловая система в него или нет.
Это удобно так как доступные автоматически монтируемые файловые системы будут показаны как существующие каталоги, даже если их файловые системы в данный момент не смонтированы.
При выборе параметра Скрыть диск необходимо запомнить название каталога, так как доступ к этому каталогу можно получить только при непосредственном обращении к нему. Каталог будет создан и файловая система будет смонтирована только при попытке доступа к нему. Незадействованный ресурс по истечении таймаута (по умолчанию 120 секунд) будет отмонтирован, а каталог удалён.
Политики подключения сетевых дисков относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Если необходимо, можно включить отображение ссылок (symlink) на соответствующий сетевой ресурс в домашнем каталоге пользователя (чтобы можно было очевидно наблюдать смонтированные ресурсы). Для этого следует включить политики монтирования Отображение сетевых дисков пользователя в домашнем каталоге и/или Отображение сетевых дисков машины в домашнем каталоге. Политики монтирования находятся в разделе ПользовательАдминистративные шаблоныСистема ALTМонтирование:
GPUI. Политики монтирования
Для включения политики монтирования необходимо щёлкнуть на нужной политике, в открывшемся окне установить отметку в поле Включено и нажать кнопку ОК:
GPUI. Политика «Отображение сетевых дисков пользователя в домашнем каталоге»
После обновления политик в сессии пользователя будет подключен сетевой диск, доступный из файлового менеджера и других программ:
Сетевые диски в файловом менеджере Thunar
Сетевые диски в проводнике Windows
Если включены политики монтирования, в домашнем каталоге пользователя появятся ссылки:
  • ~/net.drives.system — ссылка на /media/gpupdate/drives.system;
  • ~/.net.drives.system — ссылка на /media/gpupdate/.drives.system;
  • ~/net.drives — ссылка на /run/media/USERNAME/drives;
  • ~/.net.drives — ссылка на /run/media/USERNAME/.drives;
Ссылки на сетевые диски в файловом менеджере Thunar
Все настройки политики подключения сетевого диска хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Drives/Drives.xml
  • {GUID GPT}/User/Preferences/Drives/Drives.xml
В одном GPO возможно задать подключение более одного сетевого диска. Пример файла Drives.xml с двумя сетевыми дисками:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}">
  <Drive bypassErrors="0"
        changed="2022-11-29 16:28:32"
        clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
        desc=""
        image="2"
        name="\\dc\Free"
        removePolicy="0"
        status="O:"
        uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}"
        userContext="0">
    <Properties
        action="U"
        allDrives="SHOW"
        cpassword=""
        label=""
        letter="O"
        path="\\dc\Free"
        persistent="1"
        thisDrive="SHOW"
        useLetter="1"
        userName=""/>
  </Drive>
  <Drive bypassErrors="0"
        changed="2022-11-29 14:34:53"
        clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}"
        desc=""
        image="2"
        name="I:"
        status="I:"
        uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}"
        userContext="0">
    <Properties
        action="U"
        allDrives="SHOW"
        cpassword=""
        label=""
        letter="I"
        path="\\dc1.test.alt\sysvol"
        persistent="1"
        thisDrive="SHOW"
        useLetter="0"
        userName=""/>
  </Drive>
</Drives>

10.5.8. Настройка реестра

Групповая политика Настройка реестра позволяет управлять настройками реестра Windows.
Для настройки этой политики следует перейти в Компьютер/ПользовательНастройкиНастройки системыРеестр. В контекстном меню свободной области выбрать пункт НовыйЗначение реестра
GPUI. Создание новой политики «Настройка реестра»
В диалоговом окне Диалог настроек задать настройки политики:
GPUI. Диалоговое окно настройки политики «Настройка реестра»
Опции доступные на вкладке Основные настройки:
  • Действие — действие, которое будет выполняться для элемента реестра:
    • Создать — создание нового значения или раздела реестра;
    • Удалить — удаление значения или раздела реестра и всех его значений и подразделов;
    • Заменить — удаление и повторное создание значения или раздела реестра. Если целевым объектом является значение реестра, то конечным результатом действия будет перезапись всех существующих параметров, сопоставленных данному значению реестра. Если целевым объектом является раздел реестра, то конечным результатом будет удаление всех значений и подразделов реестра, и останется только имя значения по умолчанию без данных. Если значение или раздел реестра не существует, то действие Заменить приведет к созданию нового значения или раздела;
    • Обновить — изменение параметров существующего значения или раздела реестра. Это действие отличается от Заменить тем, что оно обновляет только параметры, определенные в элементе настройки. Все остальные параметры значения или раздела реестра остаются прежними. Если значение или раздел реестра не существует, то действие Обновить приведет к созданию нового значения или раздела;
  • Улей — улей (куст) для раздела реестра:
    • HKEY_CLASSES_ROOT — информация о зарегистрированных в Windows типах файлов (это псевдоним для HKEY_LOCAL_MACHINE\Software\Classes);
    • HKEY_CURRENT_USER — настройки пользователя, вошедшего в Windows (это псевдоним для HKEY_USERS\куст текущего пользователя). HKEY_USERS\.Default используется в том случае, когда HKEY_CURRENT_USER настроен в разделе конфигурации компьютера;
    • HKEY_LOCAL_MACHINE — настройки, относящиеся к компьютеру (параметр по умолчанию для политики компьютера). Эти параметры применяются ко всем пользователям компьютера;
    • HKEY_USERS — настройки для всех пользователей (параметр по умолчанию для политики пользователя). Эти параметры применяются к отдельным пользователям;
    • HKEY_CURRENT_CONFIG — сведения о настройках оборудования (это псевдоним для HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current);
  • Путь к ключу — путь к ключу. Не нужно указывать улей и вводить косую черту до или после пути. Это поле воспринимает переменные процесса настройки;
  • Имя значения — для настройки значения следует установить, либо отметку в пункте По умолчанию, чтобы принять значение раздела по умолчанию, либо ввести имя настраиваемого значения. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные;
  • Тип значения — тип значения. Данный параметр доступен только при выбранном действии Создать, Заменить или Обновить и введённом значении Имя значения;
  • Данные значения — значения реестра. Чтобы настроить только раздел, следует оставить это поле пустым. В этом поле можно указать переменные. Данный параметр доступен только при выбранном действии Создать, Заменить или Обновить и введенном значении Имя значения.
Все настройки политики управления настройками реестра Windows хранятся в файлах:
  • {GUID GPT}/Machine/Preferences/Registry/Registry.xml
  • {GUID GPT}/User/Preferences/Registry/Registry.xml
Пример файла Registry.xml:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<RegistrySettings clsid="{A3CCFC41-DFDB-43a5-8D26-0FE8B954DA51}">
  <Registry changed="2022-11-21 18:36:20"
        clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}"
        image="12"
        name="failed_count"
        status="failed_count"
        uid="{D5855321-D2BA-4595-BD28-4DF452BFF65F}"
        bypassErrors="1">
    <Properties
        action="U"
        displayDecimal="0"
        hive="HKEY_CURRENT_USER"
        key="Software\Google\Chrome\BLBeacon"
        name="failed_count"
        type="REG_DWORD"
        value="00000001">
        <SubProp id="" mask="0" value="0"/">
    </Properties>
  </Registry>
</RegistrySettings>

10.5.9. Указание прокси-сервера

С помощью групповых политик можно указать прокси-сервер.

Примечание

Если прокси-сервер был настроен в модуле Прокси-сервер ЦУС, предварительно необходимо удалить эти настройки и в файле /etc/sysconfig/network удалить строки:
HTTP_PROXY=
HTTPS_PROXY=
FTP_PROXY=
NO_PROXY=
Для настройки этой политики используется политика управления переменными среды (см. раздел Управление переменными среды).
Настройка политики для указания прокси-сервера:
  1. Настроить групповую политику управления переменными окружения:
    GPUI. Настройка политики для указания прокси-сервера
    • в поле Действие выбрать пункт Заменить;
    • в поле Имя указать имя переменной: HTTPS_PROXY;
    • в поле Значение указать адрес и порт прокси-сервера, и, при необходимости, аутентификационные данные в формате http://username:password@address:port
  2. Аналогичным способом создать настройки окружения для переменных HTTP_PROXY и FTP_PROXY (в поле Имя указывать соответственно HTTP_PROXY, FTP_PROXY).
Проверка применения политики:
  1. Применить групповые политики на целевом компьютере, выполнив команду:
    $ gpupdate
    
  2. Повторно авторизоваться на целевом компьютере.
  3. Проверить наличие переменных окружения, выполнив команду:
    $ env |grep PROXY
    HTTP_PROXY=http://10.0.66.52:3128
    HTTPS_PROXY=http://10.0.66.52:3128
    FTP_PROXY=http://10.0.66.52:3128
    
  4. Запустить веб-браузер, убедиться, что сайты открываются через прокси-сервер.

10.5.10. Настройка периодичности запроса конфигураций

Для изменения периодичности запроса конфигураций можно создать файлы:
  • /etc/systemd/user/gpupdate-user.timer.d/override.conf — изменение пользовательского таймера;
  • /etc/systemd/system/gpupdate.timer.d/override.conf — изменение системного таймера.
С указанием периодичности запроса конфигураций, например:
[Timer]
OnUnitActiveSec = 10min
где 10min — периодичность запроса конфигураций.
Периодичность запроса конфигураций (запроса gpupdate) можно установить с помощью групповых политик.
Для настройки этой политики используются политика управления каталогами (см. раздел Управление каталогами) и политика управления INI-файлами (см. раздел Управление INI-файлами).
Пример настройки политики задания периодичности запроса конфигураций:
  1. Настроить групповую политику создания каталога:
    GPUI. Создание каталога для настроек таймера
    • в поле Действие выбрать пункт Создать;
    • в поле Путь указать /etc/systemd/system/gpupdate.timer.d (или /etc/systemd/system/gpupdate-user.timer.d для пользовательского таймера).
  2. Настроить групповую политику создания INI-файла:
    GPUI. Настройка периодичности запроса конфигураций
    • в поле Действие выбрать пункт Обновить;
    • в поле Путь к файлу указать /etc/systemd/system/gpupdate.timer.d/override.conf (или /etc/systemd/system/gpupdate-user.timer.d/override.conf для пользовательского таймера);
    • в поле Имя секции указать Timer;
    • в поле Имя свойства указать OnUnitActiveSec;
    • в поле Значение свойства указать периодичность запроса, в данном примере 10 минут: 10min.
Проверка применения политики:
  1. Применить групповые политики на целевом компьютере, выполнив команду:
    $ gpupdate
    
  2. Выполнить команду (или перезагрузить компьютер):
    # systemctl daemon-reload
    
  3. Убедиться, что политика применилась, выполнив команды
    $ cat /etc/systemd/system/gpupdate.timer.d/override.conf
    [Timer]
    OnUnitActiveSec = 10min
    
    $ systemctl status gpupdate.timer
    …
     Active: active (waiting) since Mon 2024-06-10 16:29:23 EET; 44s ago
    Trigger: Mon 2024-06-10 16:39:25 EET; 9min left
    

Примечание

Применить пользовательские настройки можно, выполнив команду:
$ systemctl --user daemon-reload

Примечание

Файл override.conf подменяет настройки системной библиотеки в файле /lib/systemd/system/gpupdate.timer только если значение секции Timer в файле override.conf меньше, чем значение аналогичной секции в gpupdate.timer.

10.6. Управление logon-скриптами

Групповые политики позволяют запускать сценарии запуска и завершения работы компьютера, входа и выхода из системы пользователя. Возможно связать один или несколько файлов сценариев (scripts) с четырьмя инициируемыми событиями:
  • Для машины:
    • Запуск компьютера (Startup)
    • Выключение компьютера/Завершение работы (Shutdown)
  • Для пользователя:
    • Вход пользователя (Logon)
    • Выход пользователя (Logoff)
Система выполняет сценарии на языках, которые поддерживает клиентский компьютер. В среде Windows эту задачу выполняет Windows Script Host (WSH), который поддерживает языки сценариев, включая bat, cmd, VBScript и Jscript. В случае, если указано более одного сценария, они будут выполняться согласно перечню в списке.

Примечание

В сценариях, запускаемых на машинах на базе ОС «Альт», необходимо в первой строке указывать шебанг, например, #!/usr/bin/env bash

Примечание

Если сценарии (scripts) хранятся в SYSVOL, они реплицируются между контроллерами домена. SYSVOL доступен всем членам домена, что гарантирует запуск сценария.

10.6.1. Сценарии для входа/выхода пользователя

Для удобства можно скопировать нужные сценарии в каталог User\Scripts\Logon (например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\User\Scripts\Logon) или User\Scripts\Logoff соответствующей политики.
Для настройки политики следует перейти в ПользовательНастройки системыСкрипты. Щёлкнуть левой кнопкой мыши на политике Вход в систему или Выход из системы:
GPUI. Сценарий (вход/выход из системы)
В диалоговом окне свойств политики нажать кнопку Добавить:
GPUI. Диалоговое окно свойств политики «Вход в систему»
В диалоговом окне Добавить скрипт в поле Имя скрипта ввести путь к сценарию, в поле Аргументы скрипта ввести необходимые параметры аналогично вводу этих параметров в командной строке. Нажать кнопку ОК.
Пример добавления сценария для ОС «Альт»:
GPUI. Диалоговое окно добавления сценария для ОС «Альт»

Примечание

Применение локальных скриптов реализовано в механизме gpupdate версии 0.9.11. В версиях ниже скрипты для ОС «Альт» должны находиться в GPT настраиваемого объекта групповой политики.
Пример добавления сценария для ОС Windows (можно указать локальный скрипт на компьютере клиента):
GPUI. Диалоговое окно добавления сценария для ОС Windows
При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх/вниз, следует выбрать его в списке и нажать кнопку Вверх/Вниз. Для того чтобы изменить параметры сценария, необходимо выбрать его в списке и нажать кнопку Изменить. Кнопка Удалить предназначена для удаления сценария из списка:
GPUI. Список сценариев
На вкладке Скрипты PowerShell можно добавить сценарии с расширением *.ps1.

10.6.2. Сценарии для автозагрузки или завершения работы компьютера

Для удобства можно скопировать нужные сценарии в каталог Machine\Scripts\Startup (например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\Machine\Scripts\Startup) или Machine\Scripts\Shutdown соответствующей политики.
Для настройки политики следует перейти в КомпьютерНастройки системыСкрипты. Щёлкнуть левой кнопкой мыши на политике Запуск или Завершение работы:
GPUI. Сценарий (запуск/завершение работы)
В диалоговом окне свойств политики нажать кнопку Добавить:
GPUI. Диалоговое окно свойств политики «Вход в систему»
В диалоговом окне Добавить скрипт в поле Имя скрипта ввести путь к сценарию, в поле Аргументы скрипта ввести необходимые параметры аналогично вводу этих параметров в командной строке. Нажать кнопку ОК.
Пример добавления сценария для ОС «Альт»:
GPUI. Диалоговое окно добавления сценария для ОС «Альт»

Примечание

Применение локальных скриптов реализовано в механизме gpupdate версии 0.9.11. В версиях ниже скрипты для ОС «Альт» должны находиться в GPT настраиваемого объекта групповой политики.
Пример добавления сценария для ОС Windows (можно указать локальный скрипт на компьютере клиента):
GPUI. Диалоговое окно добавления сценария для ОС Windows
При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх/вниз, следует выбрать его в списке и нажать кнопку Вверх/Вниз. Для того чтобы изменить параметры сценария, необходимо выбрать его в списке и нажать кнопку Изменить. Кнопка Удалить предназначена для удаления сценария из списка.
На вкладке Скрипты PowerShell можно добавить сценарии с расширением *.ps1.

10.6.3. Включение экспериментальных групповых политик

Политики управления logon-скриптами относятся к экспериментальным, поэтому на машинах с ОС «Альт» где они применяются должны быть включены экспериментальные групповые политики (подробнее см. раздел Экспериментальные групповые политики).
Включить/отключить механизм групповых политик управления logon-скриптами также можно, включив/отключив политики Модуль выполнения сценариев для компьютеров или Модуль выполнения сценариев для пользователей (КомпьютерАдминистративные шаблоныСистема ALTГрупповые политикиМеханизмы GPUpdate):
GPUI. Механизмы GPUpdate управления logon-скриптами

10.6.4. Файлы настроек политики

Файлы сценариев входа и выхода пользователя (за исключением локальных) хранятся в каталогах: {GUID GPT}/User/Scripts/Logon и {GUID GPT}/User/Scripts/Logoff. Настройки политики для сценариев входа и выхода пользователя хранятся в файле {GUID GPT}/User/Scripts/scripts.ini. В файле scripts.ini перечисляются все скрипты, выполняемые в сценариях входа и выхода пользователя из системы. Сценарии входа начинаются с преамбулы [Logon], сценарии выхода начинаются с преамбулы [Logoff].
Пример файла scripts.ini:
[Logon]
0CmdLine=date.sh
0Parameters=test
1CmdLine=test.sh
1Parameters=new
[Logoff]
0CmdLine=touch.sh
0Parameters=
1CmdLine=Logoff.bat
1Parameters=1.txt
2CmdLine=C:\share\Logon.bat
2Parameters=
Файлы сценариев запуска и завершения работы компьютера (за исключением локальных) хранятся в каталогах: {GUID GPT}/Machine/Scripts/Shutdown и {GUID GPT}/Machine/Scripts/Startup. Настройки политики для сценариев запуска и завершения работы компьютера хранятся в файле {GUID GPT}/Machine/Scripts/scripts.ini. В файле scripts.ini перечисляются все скрипты, выполняемые в сценариях запуска и завершения работы компьютера. Сценарии запуска компьютера начинаются с преамбулы [Startup], сценарии завершения работы начинаются с преамбулы [Shutdown].
Пример файла scripts.ini:
[Startup]
0CmdLine=hello.bat
0Parameters=
1CmdLine=notescript.vbs
1Parameters=
2CmdLine=notescript2.vbs
2Parameters=
3CmdLine=touch.bat
3Parameters=
[Shutdown]
0CmdLine=touch.bat
0Parameters=
Файл scripts.ini закодирован в формате UTF-16LE (little-endian).

Примечание

Настройки политики для скриптов PowerShell хранятся в файлах {GUID GPT}/User/Scripts/pgscripts.ini (для сценариев входа и выхода пользователя) и {GUID GPT}/Machine/Scripts/pgscripts.ini (для запуска и завершения работы компьютера).

10.6.5. Диагностика проблем

Глава 11. Расширение возможностей ГП

11.1. Схема административных шаблонов (ADMX)

Административные шаблоны представляют собой два типа XML-файлов:
  • независимый от языка файл (ADMX), описывающий структуру категорий и параметры политики административных шаблонов, отображаемых в редакторе управления групповыми политиками;
  • набор зависящих от языка файлов (ADML), которые предоставляют локализованные части, отображаемые в редакторе управления групповыми политиками. Каждый ADML-файл представляет один язык, для которого требуется поддержка.
Каждому ADMX-файлу должен соответствовать свой ADML-файл с таким же именем.

11.1.1. Структура ADMX-файла

Структура ADMX-файла
ADMX-файл состоит из семи разделов:
  • XML-объявление. XML-объявлением является заголовок файла, который не рассматривается в качестве фрагмента ADMX-документа, но является его необходимой частью и помещается в начале файла для того, чтобы указать на то, что это XML-документ;
  • policyDefinitions. Элемент, который содержит все остальные элементы ADMX-файла;
  • policyNamespaces. Этот элемент определяет уникальное пространство имён для данного ADMX-файла. Данный элемент также обеспечивает сопоставление с пространствами имен во внешних файлах, если ADMX-файл ссылается на элементы category, определенные в другом ADMX-файле;
  • resources. Определяет требования к ресурсам определенного языка и минимальную необходимую версию связанного ADML-файла;
  • supportedOn. Определяет ссылки на локализованные текстовые строки, определяющие ОС или приложения, на которые влияет определенный параметр политики;
  • categories. Содержит список категорий, в которых параметр политики текущего ADMX-файла будет отображаться в редакторе объектов групповой политики;
  • policies. Содержит определения отдельных параметров политики.
XML-объявление не считается частью документа ADMX. Однако рекомендуется начинать файл ADMX с объявления XML, чтобы указать, что это документ XML.
Синтаксис XML-объявления:
<?xml version="<версия>" encoding="<кодировка"?>
где:
  • version — версия XML, используемая в документе (обязательный атрибут). В настоящее время поддерживается только версия 1.0;
  • encoding — информация о кодировке символов, используемая анализаторами XML-документов. ADMX-файлы всегда имеют кодировку UTF-8.

Примечание

XML-объявление не должно предваряться комментариями, пробелами или другими инструкциями по обработке XML.
Элемент policyDefinitions — это элемент документа для ADMX-файла, который определяет набор параметров политики реестра. Элемент policyDefinitions также объявляет пространство имен по умолчанию для всех элементов в ADMX-файле.
Синтаксис элемента policyDefinitions:
<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
revision="<MajorVerison.MinorVersion>" schemaVersion="<MajorVerison.MinorVersion>"
xmlns=" http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" >
  <policyNamespaces> … </policyNamespaces>
  <supersededAdm> … </supersededAdm>
  <resources> … </resources>
  <supportedOn> … </supportedOn>
  <categories> … </categories>
  <policies> … </policies>
</policyDefinitions>
Атрибуты элемента policyDefinitions описаны в таблице Атрибуты элемента policyDefinitions.

Таблица 11.1. Атрибуты элемента policyDefinitions

Атрибут
Обязательный
Описание
xmlns:xsd
Нет
Обозначение элементов и типов данных, используемых в схеме пространства имен
xmlns:xsi
Нет
Обозначение пространства имён экземпляра XML-схемы, предоставленной в самом пространстве
revision
Да
Версия ADMX-файла, которая в большинстве случаев предназначена для отслеживания внесенных изменений.
Синтаксис:
revision="<MajorVerison.MinorVersion>"
где MajorVersion и MinorVersion являются номерами версии, например, revision="1.0"
schemaVersion
Да
Указывает версию схемы, используемую средствами работы с ГП для определения того, поддерживается ли ими формат конкретных ADMX-файлов. Синтаксис этой команды идентичен синтаксису revision
xmlns
Нет
Пространство имен схемы ГП

Примечание

Инструменты ГП успешно используют файлы ADMX-файлы, которые не содержат атрибутов xmlns. Но эти атрибуты должны входить в состав ADMX-файла, так как, в противном случае, он может не пройти проверку на правильность формата XML-файла.
Дочерние элементы policyDefinitions описаны в таблице Дочерние элементы policyDefinitions.

Таблица 11.2. Дочерние элементы policyDefinitions

Элемент
Обязательный
Описание
policyNamespaces
Да
Определяет уникальное имя пространства имен политики в файле ADMX, а также любых пространств имен, на которые оно ссылается в других файлах ADMX.
Синтаксис:
<policyNamespaces>
  <target> … </target>
  <using> … </using>
</policyNamespaces>
где:
  • target — определяет уникальное имя пространства имен политики в ADMX-файле (обязательный элемент);
  • using — ссылается на существующую категорию или имя supportOn из другого пространства имен политики.
supersededAdm
Нет
Данный элемент ссылается на имя ADM-файла, заменяемого ADMX-файлом
resources
Да
Определяет требования для ресурсов определенного языка и минимальную необходимую версию связанного ADML-файла.
Синтаксис:
<resources minRequiredRevision="<MajorVerison.MinorVersion>"
fallbackCulture="<language name>"/>
где:
  • minRequiredRevision — минимальный уровень версии соответствующего ADML-файла;
  • fallbackCulture — язык, который будет использоваться, если ни в одном расположении не будет найден соответствующий ADML-файл. Если этот атрибут не указан будет использоваться английский язык.
supportedOn
Нет
Определяет сопоставление ссылки на локализированные строки текста с ОС или приложениями, на которые влияют конкретные параметры политики.
Синтаксис:
<supportedOn>
  <definitions> … </definitions>
</supportedOn>
Элементы definitions содержат информацию о поддерживаемой версии.
categories
Нет
Содержит список категорий, в которых параметр политики текущего ADMX-файла будет отображаться в редакторе управления групповыми политиками.
Синтаксис:
<categories>
  <category> … </category>
</categories>
Элемент category указывает имя уникальной категории, которая будет отображаться в редакторе объектов групповой политики.
policies
Нет
Содержит список определений параметров политики.
Синтаксис:
<policies>
  <policy> … </policy>
</policies>
Дочерний элемент policy соответствует одному параметру ГП, отображаемому в редакторе объектов групповой политики. Элемент policy описывает всю информацию о параметре политики, но включает ссылку на определение параметра.
Синтаксис элемента category:
<category name="<logical or friendly name>"
displayName="$(string.<category text>)"
explainText="$(string.<help text>)">
  <parentCategory> … </parentCategory>
  <seeAlso> … </seeAlso>
  <keywords> … </keywords>
</category>
Атрибуты элемента category описаны в таблице Атрибуты элемента category.

Таблица 11.3. Атрибуты элемента category

Атрибут
Обязательный
Описание
name
Да
Имя, которое будет использоваться для конкретного поддерживаемого приложения и версии
displayName
Да
Ссылка на текстовую строку категории, расположенную в таблице строк ADML-файла
explainText
Нет
Текст объяснения или справки, связанный с конкретной категорией
Дочерние элементы category описаны в таблице Дочерние элементы category.

Таблица 11.4. Дочерние элементы category

Элемент
Обязательный
Описание
parentCategory
Да
Ссылка на родительскую категорию
seeAlso
Нет
Ссылка на другой элемент, который может быть связан с этим. Этот элемент не поддерживается и будет игнорироваться текущей ГП
keywords
Нет
Содержит индексные слова, которые можно использовать для поиска элементов. Этот элемент не поддерживается и будет игнорироваться текущей ГП
Синтаксис элемента policy:
<policy name="<logical or friendly name>"
class="Machine|User|Both"
displayName="$(string.<category text>)"
explainText="$(string.<help text>)"
presentation="$(presentation.<parameter>)"
key="<registry key>"
valueName="<registry valuename>">
  <parentCategory> … </parentCategory>
  <supportedOn> … </supportedOn>
  <enabledValue> … </enabledValue>
  <disabledValue> … </disabledValue>
  <enabledList> … </enabledList>
  <disabledList> … </disabledList>
  <elements> … </elements>
</policy>
Атрибуты элемента policy описаны в таблице Атрибуты элемента policy.

Таблица 11.5. Атрибуты элемента policy

Атрибут
Обязательный
Описание
name
Да
Уникальное имя элемента политики (строка, желательно без пробелов и специальных символов)
class
Да
Определяет, где в каком разделе редактора ГП будет размещён элемент политики: компьютере, пользователе или в обоих узлах. Может принимать значения: «User», «Machine» или «Both»
displayName
Да
Имя, отображаемое в GPUI или оснастке консоли управления ГП. Ссылка на строку, расположенную в ADML-файле
explainText
Нет
Текст объяснения или справки, связанный с элементом политики. Ссылка на строку, расположенную в ADML-файле
presentation
Нет
Подписи параметров политики. Ссылка на строки, расположенные в ADML-файле
key
Да
Местоположение ключа реестра, в котором будет создан параметр реестра
valueName
Нет
Значение реестра, которое будет настроено для этого конкретного элемента политики
Дочерние элементы policy описаны в таблице Дочерние элементы policy.

Таблица 11.6. Дочерние элементы policy

Элемент
Обязательный
Описание
parentCategory
Да
Ссылка на родительскую категорию (раздел, в котором будет отображаться политика)
supportedOn
Нет
Логическое имя supportOn, определенное в элементе supportOn для этого файла (ссылка на поддерживаемые продукты)
enabledValue
Нет
Значение, которое раздел реестра примет, если политика включена.
Синтаксис:
<enabledValue>
  <delete /> | <decimal> … </decimal> | <string> … </string>
</enabledValue>
где:
  • delete — удалить значение или ключ реестра;
  • decimal — десятичное беззнаковое число;
  • string — строка, ограниченая 255 символами.
disabledValue
Нет
Значение, которое раздел реестра примет, если политика отключена. См. описание enabledValue.
enabledList
Нет
Набор значений и ключей реестра, представляющих включенное состояние элемента политики
Синтаксис:
<enabledList defaultKey="<registry subkey>">
  <item> … </item>
</enabledList>
где:
  • атрибут defaultKey — подраздел реестра по умолчанию для всех элементов;
  • item — подраздел реестра со связанным значением.
disabledList
Нет
Набор значений и ключей реестра, представляющих отключенное состояние элемента политики. См. описание enabledList
elements
Нет
Один из пяти типов параметров (см.ниже), которые можно задать в настройке политики
Синтаксис элемента elements:
<elements>
  <boolean> … </boolean>
  <decimal> … </decimal>
  <text> … </text>
  <enum> … </enum>
  <list> … </list>
</elements>
Дочерние элементы elements описаны в таблице Дочерние элементы elements.

Таблица 11.7. Дочерние элементы elements

Элемент
Обязательный
Описание
boolean
Нет
Представляет логический элемент в политике.
Синтаксис:
<boolean id="<ID>"
  clientExtension="<GUID>"
  key="<RegKey>"
  valueName="<Name>">
  <trueValue> … </trueValue>
  <falseValue> … </falseValue>
  <trueList> … </trueList>
  <falseList> … </falseList>
</boolean>
где:
  • атрибут id — сопоставление с элементом (обязательный);
  • атрибут clientExtension — клиентское расширение, которое будет обрабатывать на клиентском компьютере конкретные настройки, представленные элементом;
  • атрибут key — местоположение ключа реестра, под которым будет создан параметр реестра;
  • атрибут valueName — значение реестра, которое будет настроено для этого конкретного элемента политики (обязательный);
  • trueValue — устанавливает значение на основе истинного условия;
  • falseValue — устанавливает значение на основе ложного условия;
  • trueList — устанавливает значения на основе истинного состояния;
  • falseList — устанавливает значения на основе ложного состояния.
Пример:
<boolean id="OrgXfceThunar_blocker" key="Software\BaseALT\Policies\PolkitLocks" valueName="org.xfce.thunar">
  <trueValue>
    <decimal value="1" />
  </trueValue>
  <falseValue>
    <decimal value="0" />
  </falseValue>
</boolean>
Для элемента boolean в ADMX-файле требуется элемент checkBox с соответствующим идентификатором в ADML-файле.
decimal
Нет
Представляет числовой/десятичный элемент в политике. Число может быть определено для хранения в виде числового или строкового репрезентативного значения
Синтаксис:
<decimal id="<ID>"
  clientExtension="<GUID>"
  key="<RegKey>"
  valueName="<Name>"
  required="true|false"
  minValue="<MinValue>"
  maxValue="<MaxValue>"
  storeAsText="true|false"
  soft="true|false" />
где:
  • атрибут id — сопоставление с элементом (обязательный);
  • атрибут clientExtension — клиентское расширение, которое будет обрабатывать на клиентском компьютере конкретные настройки, представленные элементом;
  • атрибут key — местоположение ключа реестра, под которым будет создан параметр реестра;
  • атрибут valueName — значение реестра, которое будет настроено для этого конкретного элемента политики (обязательный);
  • атрибут required — требует ввести значение в поле параметра;
  • атрибут minValue — минимально допустимое значение;
  • атрибут maxValue — максисмально допустимое значение;
  • атрибут soft — следует ли перезаписывать существующий подраздел;
  • атрибут storeAsText — если true, сохранить десятичное значение как значение реестра REG_SZ.
Пример:
<decimal id="OrgMateSessionIdleDelay_setter"
  valueName="org.mate.session.idle-delay"
  minValue="1"
  maxValue="2147483647" />
Для элемента decimal требуется элемент decimalTextBox с соответствующим идентификатором в ADML-файле.
text
Нет
Представляет текстовый элемент в политике.
Синтаксис:
<text id="<ID>"
  clientExtension="<GUID>"
  key="<RegKey>"
  valueName="<Name>"
  required="true|false"
  maxLength="<maxLength>"
  expandable="true|false"
  soft="true|false" />
где:
  • атрибут id — сопоставление с элементом (обязательный);
  • атрибут clientExtension — клиентское расширение, которое будет обрабатывать на клиентском компьютере конкретные настройки, представленные элементом;
  • атрибут key — местоположение ключа реестра, под которым будет создан параметр реестра;
  • атрибут valueName — значение реестра, которое будет настроено для этого конкретного элемента политики (обязательный);
  • атрибут required — требует ввести значение в поле параметра;
  • атрибут maxLength — максисмально допустимое количество символов;
  • атрибут expandable — если true, значение подраздела реестра будет создано как расширяемый строковый тип (REG_EXPAND_SZ) вместо строкового типа (REG_SZ);
  • атрибут soft — следует ли перезаписывать существующий подраздел.
Пример:
<text id="OrgMateBackgroundSecondaryColor_setter"
  valueName="org.mate.background.secondary-color" />
Элемент text допускает строковые значения длиной до 1023 символов.
Для элемента text требуется соответствующий элемент textBox или comboBox с соответствующим идентификатором в ADML-файле.
enum
Нет
Представляет элемент перечисления.
Синтаксис:
<enum id="<ID>"
  clientExtension="<GUID>"
  key="<RegKey>"
  valueName="<Name>"
  required="true|false">
  <item> … </item>
</enum>
где:
  • атрибут id — сопоставление с элементом (обязательный);
  • атрибут clientExtension — клиентское расширение, которое будет обрабатывать на клиентском компьютере конкретные настройки, представленные элементом;
  • атрибут key — местоположение ключа реестра, под которым будет создан параметр реестра;
  • атрибут valueName — значение реестра, которое будет настроено для этого конкретного элемента политики (обязательный);
  • атрибут required — требует ввести значение в поле параметра;
  • item — представляет набор отображаемых имен с одним значением или набор значений подразделов реестра. Синтаксис:
    <item displayName="$(string.<placeholder for text>)">
      <item> … </item>
    </item>
    
    где displayName — ссылка на отображаемую строку, расположенную в таблице строк ADML-файла.
Пример:
<enum id="OrgMateColorShadingType_setter" required="true" valueName="org.mate.background.color-shading-type">
  <item displayName="$(string.org-mate-background-color-shading-type-horizontal-gradient)">
    <value>
      <string>horizontal-gradient</string>
    </value>
  </item>
  <item displayName="$(string.org-mate-background-color-shading-type-vertical-gradient)">
    <value>
      <string>vertical-gradient</string>
    </value>
  </item>
  <item displayName="$(string.org-mate-background-color-shading-type-solid)">
    <value>
      <string>solid</string>
    </value>
  </item>
</enum>
Элемент enum обычно связан с элементом раскрывающегося списка в редакторе объектов групповой политики.
Для элемента enum требуется элемент dropdownList с соответствующим идентификатором в ADML-файле.
list
Нет
Представляет элемент списка в политике.
Синтаксис:
<list id="<ID>"
  clientExtension="<GUID>"
  key="<RegKey>"
  valuePrefix="<Name>">
  additive="true|false"
  expandable="true|false"
  explicitValue="true|false" >
</ list>

где:
  • атрибут id — сопоставление с элементом (обязательный);
  • атрибут clientExtension — клиентское расширение, которое будет обрабатывать на клиентском компьютере конкретные настройки, представленные элементом;
  • атрибут key — местоположение ключа реестра, под которым будет создан параметр реестра;
  • атрибут valuePrefix — префикс, добавляемый к увеличенному целому числу, создает подраздел реестра, используемый при настройке значений политики (обязательный);
  • атрибут additive — если для этого параметра указано значение true, существующие подразделы не удаляются, а значения, установленные в списке, добавляются к существующим подразделам;
  • атрибут explicitValue — если для этого параметра указано значение true, пользователь должен указать значение подраздела реестра и имя подраздела реестра. В списке отображаются два столбца: один для имени и один для данных;
  • атрибут expandable — если true, значение подраздела реестра будет создано как расширяемый строковый тип (REG_EXPAND_SZ) вместо строкового типа (REG_SZ).
Пример:
<list id="InstallPackagesList"
key="Software\BaseALT\Policies\Packages\Install"
additive="true"/>
Для элемента list требуется элемент listBox с соответствующим идентификатором в ADML-файле.

Примечание

Если элемент elements определен, он должен содержать хотя бы один дочерний элемент. Количество и тип элементов, определенных в ADMX-файле, должны соответствовать элементам presentation, определенным в соответствующем ADML-файле.

11.1.2. Структура ADML-файла

Структура ADML-файла
ADML-файл состоит из пяти разделов:
  • XML-объявление. XML-объявлением является заголовок файла, который не рассматривается в качестве фрагмента ADML-документа, но является его необходимой частью и помещается в начале файла для того, чтобы указать на то, что это XML-документ;
  • policyDefinitionResources. Cодержит объявление пространства имен по умолчанию для всех элементов ADML-файла. Данный элемент содержит все остальные элементы ADML-файла;
  • resources. Содержит элементы stringTable и presentationTable для указанного языка. Эти два элемента должны быть определены в ADML-файле в определенном порядке: элемент stringTable, за которым следует элемент presentationTable, как того требует схема ADMX;
  • stringTable. Используя этот элемент ADML-файла, можно указать заголовок параметра ГП, текст с описанием, текст со ссылкой на поддержку, названия категорий, а также подписи для параметров. Элемент stringTable нельзя объявлять более одного раза. Данный элемент включает в себя вложенные элементы string, позволяющие определить все указанные выше данные;
  • presentationTable. Представляет собой структуру дочерних элементов управления параметрами отдельных параметров ГП, включая всевозможные флажки, переключатели, подписи, подсказки и прочее. Дочерними элементами являются элементы presentation, которые представляют собой отображаемые сведения параметров для параметров политики.
Элемент policyDefinitionResources — это элемент документа для ADMX-файла, который определяет набор параметров политики реестра. Элемент policyDefinitions также объявляет пространство имен по умолчанию для всех элементов в ADMX-файле.
Синтаксис элемента policyDefinitionResources:
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
revision="<MajorVerison.MinorVersion>" schemaVersion="<MajorVerison.MinorVersion>"
xmlns=" http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" >
  <displayName> … </displayName>
  <description> … </description>
  <annotation> … </annotation>
  <resources> … </resources>
</policyDefinitionResources>
Атрибуты элемента policyDefinitionResources описаны в таблице Атрибуты элемента policyDefinitionResources.

Таблица 11.8. Атрибуты элемента policyDefinitionResources

Атрибут
Обязательный
Описание
xmlns:xsd
Нет
Обозначение элементов и типов данных, используемых в схеме пространства имен
xmlns:xsi
Нет
Обозначение пространства имён экземпляра XML-схемы, предоставленной в самом пространстве
revision
Да
Версия ADMX-файла.
Синтаксис:
revision="<MajorVerison.MinorVersion>"
где MajorVersion и MinorVersion являются номерами версии, например, revision="1.0"
schemaVersion
Да
Указывает версию схемы, используемую средствами работы с ГП. Синтаксис этой команды идентичен синтаксису revision
xmlns
Нет
Пространство имен схемы ГП
Дочерние элементы policyDefinitionResources описаны в таблице Дочерние элементы policyDefinitionResources.

Таблица 11.9. Дочерние элементы policyDefinitionResources

Элемент
Обязательный
Описание
displayName
Да
Локализованное название политики, содержащееся в ADML-файле
description
Нет
Описание параметров политики, содержащееся в ADML-файле
annotation
Да
Локализованный комментарий
resources
Нет
Содержит элементы stringTable и presentationTable для указанного языка.
Синтаксис:
<resources>
  <stringTable> … </stringTable>
  <presentationTable> … </presentationTable>
</resources>
Дочерние элементы resources описаны в таблице Дочерние элементы resources.

Таблица 11.10. Дочерние элементы resources

Элемент
Обязательный
Описание
stringTable
Нет
Содержит отображаемые строки для следующих видов информации:
  • заголовок параметра групповой политики;
  • описание групповой политики;
  • определения поддерживаемых продуктов (SupportedOn);
  • названия категорий и описание категории;
  • подписи для параметров.
Синтаксис:
<stringTable>
  <string> … </string>
</stringTable>
Элемент stringTable нельзя объявлять более одного раза.
presentationTable
Нет
Таблица элементов представления, представляющая структуру элементов управления параметрами для отдельных параметров групповой политики. Расположение элементов управления параметрами включает в себя: тип элемента ввода параметров (поле редактирования, ползунок, выпадающий список, флажки, переключатели); подписи и текст подсказки для ввода параметров; а также значения по умолчанию и диапазон возможных значений для каждого параметра.
Синтаксис:
<presentationTable>
  <presentation> … </presentation>
</presentationTable>
Если в ADML-файле нет элементов представления, элемент PresentationTable можно опустить. Если элемент PresentationTable включен в ADML-файл, необходимо определить хотя бы один элемент представления. Элемент PresentationTable определяется в ADML-файле не более одного раза.
Синтаксис элемента presentation:
<presentation id="<logical or friendly name>">
  <text> … </text>
  <decimalTextBox> … </decimalTextBox>
  <textBox> … </textBox>
  <checkBox> … </checkBox>
  <comboBox> … </comboBox>
  <dropdownList> … </dropdownList>
  <listBox> … </listBox>
</presentation>
Атрибуты элемента presentation описаны в таблице Атрибуты элемента presentation.

Таблица 11.11. Атрибуты элемента presentation

Атрибут
Обязательный
Описание
id
Да
Указывает логическое имя при ссылке на информацию о представлении для определенного параметра политики
Дочерние элементы presentation описаны в таблице Дочерние элементы presentation.

Таблица 11.12. Дочерние элементы presentation

Элемент
Обязательный
Описание
text
Да
Локализованная строка. Используется для определения текста, расположенного выше и ниже поля ввода параметра.
Синтаксис:
<text>Локализованная строка</text>
decimalTextBox
Нет
Текстовое поле с элементом управления прокруткой или без него для ввода десятичных чисел в качестве параметра настройки политики. Должен быть связан с элементом decimal, определенным в элементе elements.
Синтаксис:
<decimalTextBox refId="Sample_NumericTextLabel">Метка:</decimalTextBox>
где:
  • атрибут refId — сопоставление с элементом.
Пример:
<decimalTextBox
  refId="OrgMateScreensaverLockDelay_setter"
  defaultValue="3">
  Скорость повтора
</decimalTextBox>
Пример элемента decimalTextBox
textBox
Нет
Текстовое поле. Этот элемент должен быть связан с элементом text, определенным в elements.
Синтаксис:
<textBox refId="<ID>">
  <label> … </label>
  <defaultValue> … </defaultValue>
</textBox>
где:
  • атрибут refId — сопоставление с элементом;
  • label — подпись для параметра текстового поля (обязательный);
  • defaultValue — строка, по умолчанию отображаемая в текстовом поле.
Пример:
<textBox refId="OrgMateFilename_setter">
  <label>Файл:</label>
</textBox>
Пример элемента textBox
checkBox
Нет
Элемент флажка. Должен быть связан с элементом boolean, определенным в элементе elements.
Синтаксис:
<checkBox refId="<ID>
  defaultChecked="true|false">
  Placeholder label:
</checkBox>
где:
  • атрибут refId — сопоставление с элементом (обязательный);
  • атрибут defaultChecked — значение по умолчанию. Если не указано, атрибуту defaultChecked будет присвоено значение false.
Пример:
<checkBox refId="OrgXfceThunar_blocker">
  Блокировать
</checkBox>
Пример элемента checkBox
comboBox
Нет
Поле со списком со значениями по умолчанию или предлагаемыми записями. Должно быть связано с элементом text, определенным в элементе elements.
Синтаксис:
<comboBox refId="<ID>
  noSort="true|false">
  <label> … </label>
  <default> … </default>
  <suggestion> … </suggestion>
</comboBox>
где:
  • атрибут refId — сопоставление с элементом (обязательный);
  • атрибут noSort — если true, отображать предлагаемые значения в определенном порядке элементов предложения; в противном случае отсортировать предлагаемые значения в алфавитном порядке. Если не указано, атрибуту noSort будет присвоено значение false;
  • label — подпись для параметра (обязательный);
  • defaul — строка, по умолчанию отображаемая в параметре;
  • suggestion — строка раскрывающегося списка.
Пример:
<comboBox refId="OrgMateFilename_setter">
  <label>Файл</label>
  <default>None</default>
  <suggestion>testA</suggestion>
  <suggestion>testB</suggestion>
  <suggestion>testC</suggestion>
</comboBox>
Пример элемента comboBox
dropdownList
Нет
Раскрывающийся список, с помощью которого пользователь может выбрать одну из отображаемых записей. Должен быть связан с элементом enum, определенным в элементе elements.
Синтаксис:
<dropdownList refId="<ID>"
  noSort="true|false">
  defaultItem="<NumericValue>">
  Placeholder label:
</dropdownList>
где:
  • атрибут refId — сопоставление с элементом (обязательный);
  • атрибут noSort — если true, создать элемент spin; в противном случае создать текстовое поле для ввода чисел. Если не указано, атрибуту noSort будет присвоено значение true;
  • атрибут defaultItem — числовое значение, определяющее выбор из списка элементов по умолчанию. Список элементов нумеруется, начиная с 0.
Пример:
<dropdownList noSort="true" defaultItem="0" refId="OrgMateColorShadingType_setter">
  Тип градиента:
</dropdownList>
Пример элемента dropdownList
listBox
Нет
Представляет параметр списка с кнопками «Добавить» и «Удалить». Это единственный параметр, который можно использовать для управления несколькими значениями под одним ключом. Должен быть связан с элементом list, определенным в элементе elements.
Синтаксис:
<listBox refId="ID">Описание:</listBox>
где:
  • атрибут refId — сопоставление с элементом.
Пример:
<listBox refId="InstallPackagesList">
  Список пакетов для установки
</listBox>
Пример элемента listBox

Примечание

Дочерние элементы, указанные в элементе presentation, должны соответствовать элементам, определенным в элементе elements ADMX-файла.

11.1.3. Связывание информации из ADMX и ADML-файлов

В синтаксисе ADMX, элементы, управляющие представлением или локализованным отображением параметра, определяются в ADML-файле. Информация же, определяющая тип данных и значение параметра, задается в ADMX-файле. Различные элементы из этих двух файлов используются для создания определений параметров для настроек политики.
Ниже рассмотрен пример использования двух параметров checkbox для настройки одной политики.
Фрагмент XML из файла example.admx с элементом policy, который содержит два элемента флажка (checkbox):
<policy name="Sample_Checkbox" class="User"
displayName="$(string.Sample_Checkbox)"
explainText="$(string.Sample_Checkbox_Help)"
presentation="$(presentation.Sample_Checkbox)"
key="Software\BaseALT\Policies\gsettings">
  <parentCategory ref="system:ALT_Background_Mate" />
  <supportedOn ref="system:SUPPORTED_AltP9" />
  <elements>
    <boolean id="Checkbox_1" valueName="ExampleCheckbox1">
      <trueValue>
        <decimal value="1" />
      </trueValue>
      <falseValue>
        <decimal value="0" />
      </falseValue>
    </boolean>

    <boolean id="Checkbox_2" valueName="ExampleCheckbox2">
      <trueValue>
        <decimal value="0" />
      </trueValue>
      <falseValue>
        <decimal value="1" />
      </falseValue>
    </boolean>
  </elements>
</policy>
Фрагмент XML из файла example.admx с элементом policy, который содержит два элемента флажка (checkbox):
<presentation id="Sample_Checkbox">
  <checkBox refId="Checkbox_1">Первый параметр</checkBox>
  <checkBox refId="Checkbox_2" defaultChecked="true">Второй параметр — отмечен по умолчанию</checkBox>
</presentation>

Примечание

Каждому ADMX-файлу должен соответсвовать ADML-файл с тем же именем. Редактор объектов групповой политики отобразит сообщение об ошибке, если не сможет найти соответствующий ADML-файл для каждого прочитанного ADMX-файла.
Есть две области координации между файлами ADMX и ADML:
  1. Ссылка верхнего уровня между установкой политики и отображением её параметров. Политика, определяемая с помощью элемента policy в ADMX-файле, ссылается на определенный элемент presentation в ADML-файле через атрибут presentation элемента policy. В данном примере атрибут presentation определен как presentation="$(presentation.Sample_Checkbox)". Текст presentation.Sample_Checkbox сообщает редактору объектов групповой политики ссылаться на элемент presentationTable ADML-файла, используя атрибут id, для которого установлено значение Sample_Checkbox.
    Количество типов данных, а также тип данных (boolean, decimal, text, enum, item и list), определенные в элементе elements в ADMX-файле, должны соответствовать количеству и типу параметров, определенных в ADML-файле в элементе presentation (checkBox , textBox, decimalTextBox, ComboBox, dropdownList и listBox).
  2. Ссылка между представлением типа данных в элементе elements и определением параметра в элементе presentation.
    В примере элемент elements содержит два элемента boolean:
    <elements>
      <boolean id="Checkbox_1" valueName="ExampleCheckbox1">
        …
      </boolean>
    
      <boolean id="Checkbox_2" valueName="ExampleCheckbox2">
        …
      </boolean>
    </elements>
    
    Элемент presentation содержит два элемента checkBox:
    <presentation id="Sample_Checkbox">
      <checkBox refId="Checkbox_1">…</checkBox>
      <checkBox refId="Checkbox_2" defaultChecked="true">…</checkBox>
    </presentation>
    
    Атрибут id элемента boolean используется для соответствия связанному элементу checkBox, на который ссылается атрибут refId.
В следующей таблице показано, как сопоставляется тип данных в ADMX-файле, с определением параметра в ADML-файле.

Таблица 11.13. Сопоставление

Тип данных в ADMX-файле
Определение параметра в ADML-файле
boolean
checkBox
text
textBox
decimal
decimalTextBox
text
comboBox
enum или item
dropdownList
list
listBox

11.1.4. Рекомендации для создания ADMX-файлов

При создании ADMX-файлов следует придерживаться следующих рекомендаций:
  1. Чтобы избежать отображения повторяющихся узлов в редакторе объектов групповой политики, не следует использовать название категории, которое было ранее определено в родительской категории. Например, создание двух ADMX-файлов с одинаковой категорией приведет к тому, что редактор объектов групповой политики создаст два узла с одинаковым именем. Вместо этого следует создать собственный базовый файл (см.ниже), на который будут ссылаться все разрабатываемые ADMX-файлы.
  2. Чтобы избежать циклических ссылок, один ADMX-файл не должен ссылаться на элементы категории другого ADMX-файла. Вместо этого базовую категорию компонента следует поместить в отдельный базовый файл.
  3. Каждое пространство имен политики для ADMX-файла должно быть уникальным. Пространство имен политики определяется в целевом элементе ADMX-файла.
Создание пользовательского базового файла:
  1. Создать ADMX-файл MyCompany.admx с определением категории MyCompany:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    revision="1.0" schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="mycompany" namespace="MyCompany.Policies.MyCompany" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <categories>
        <category name="MyCompany"
          displayName="$(string.MyCompany)"
          explainText="$(string.MyCompany_Help)" />
      </categories>
    </policyDefinitions>
    
  2. Создать ADML-файл ru-RU/MyCompany.adml, который будет содержать локализованное название категории:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    revision="1.0" schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <displayName>Определение базовой категории</displayName>
      <description>Этот файл содержит определение базовой категории организации.
      </description>
      <resources>
        <stringTable>
          <string id="MyCompany">Моя организация</string>
          <string id="MyCompany_Help">Содержит параметры конфигурации,
          специфичные для организации.</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>
    
Чтобы обратиться к базовому файлу MyCompany, следует включить атрибут using в элемент policyNamespaces. Атрибут пространства имен должен соответствовать пространству имен, определенному в пользовательском базовом файле (в примере MyCompany.Policies.MyCompany). Атрибутом префикса может быть любое имя, уникальное для ADMX-файла. Рекомендуется по возможности использовать строку атрибута префикса из пользовательского базового файла, чтобы избежать путаницы. Например, следующий фрагмент файла example.admx определяет пространство имен и ссылается на базовый файл MyCompany в элементе policyNamespaces:
<policyNamespaces>
  <target prefix="example" namespace="MyCompany.Policies.Example" />
  <using prefix="mycompany" namespace="MyCompany.Policies.MyCompany" />
</policyNamespaces>

11.2. Разработка новой политики

Программа gpupdate состоит из ряда механизмов, позволяющих обращаться к настройкам ОС «Альт». Механизмы обращаются к интерфейсам системы или отдельных приложений через API. Через систему механизмов gpupdate пользователю доступно создание собственных ГП так, чтобы не менять содержимое пакетов admx и gpupdate. В этом случае при очередном обновлении пакетов в системе не нарушится работа ГП — базовых и собственных. Появляется возможность создать свой набор политик, необходимый для внутреннего использования.
Механизмы применения параметров, которые позволяют создавать собственные политики:
  • Systemd. Управление запуском служб Systemd;
  • Polkit. Механизм Polkit отвечает за безопасность и правляет разрешениями при обращении к системным процессам;
  • Gsettings. Управление настройками системной базы реестра dconf;
  • Control. Механизм Control управляет состоянием конфигурационных файлов;
  • Скрипты загрузки системы и авторизации пользователя (logon/logoff/startup/shutdown).

Примечание

Скрипты загрузки системы и авторизации пользователя (Logon/logoff/startup/shutdown) не связаны с подготовкой ADMX-файлов и формируются через раздел настроек системы (работа со скриптами подробно описана на странице: Управление logon-скриптами).
Шаги создания новой политики:
  1. Подобрать механизм реализации политики — systemd, control, gsettings, polkit;
  2. Загрузить шаблоны ADMX-файлов для выбранного механизма;
  3. Описать в ADMX-файлах (admx + adml) структуру новой политики и её описание на русском или английском языке;
  4. Проверить корректность кода в ADMX-файлах, открыв редактор групповых политик — GPUI в «Альт» или RSAT в Windows;
  5. Загрузить собственный набор административных шаблонов групповых политик (admx) на контроллер домена в каталог Sysvol.

11.2.1. Пример для механизма Systemd

Подсистема инициализации и управления службами Systemd в ГП «Альт» может запускать или останавливать службы. Systemd позволяет задавать расписание запуска служб, выполнять монтирование и многое другое. Через ГП «Альт» возможно управление самостоятельно созданной пользовательской службой.

Примечание

Просмотреть список загруженных служб можно, выполнив команду:
$ systemctl list-units --type service --all
Получить список всех установленных файлов модулей можно, выполнив команду:
$ systemctl list-unit-files
Пример создания новой политики для веб-сервера Apache (служба httpd2):
  1. Создать файл MySystemd.admx:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0"
    schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="systemdunits" namespace="BaseALT.Policies.MySystemdUnits" />
        <using prefix="system" namespace="BaseALT.Policies.System" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
    <policy class="Machine" displayName="$(string.httpd2_service)"
    explainText="$(string.httpd2_service_help)" key="Software\BaseALT\Policies\SystemdUnits"
    valueName="httpd2.service" name="httpd2.service">
          <parentCategory ref="system:ALT_Systemd"/>
          <supportedOn ref="system:SUPPORTED_AltP9"/>
          <enabledValue>
            <decimal value="1"/>
          </enabledValue>
          <disabledValue>
            <decimal value="0"/>
          </disabledValue>
        </policy>
      </policies>
    </policyDefinitions>
    
  2. Создать файл ru-RU/MySystemd.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Определения служб</displayName>
      <description>Этот файл содержит дополнительные определения systemd-служб</description>
      <resources>
        <stringTable>
          <string id="httpd2_service">Веб-сервер Apache</string>
          <string id="httpd2_service_help">Эта политика определяет, включен ли systemd юнит веб-сервера Apache.
          </string>
        </stringTable>
      </resources>
    </policyDefinitionResources>
    
  3. Создать файл en-US/MySystemd.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Services definitions</displayName>
      <description>This file contains the systemd services definitionsб</description>
      <resources>
        <stringTable>
          <string id="httpd2_service">Apache Web Server</string>
          <string id="httpd2_service_help">This policy determines whether the systemd unit of Apache Web Server is enabled.
          </string>
        </stringTable>
      </resources>
    </policyDefinitionResources>
    
  4. Скопировать обновленные файлы admx/adml на машину с Windows RSAT или GPUI.
    В Windows RSAT:
    • файл MySystemd.admx в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
    • файл ru-RU/MySystemd.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
    • файл en-US/MySystemd.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
    Windows RSAT автоматически проверит корректность этих файлов.
    В GPUI:
    • файл MySystemd.admx в каталог /usr/share/PolicyDefinitions
    • файл ru-RU/MySystemd.adml в каталог /usr/share/PolicyDefinitions/ru-RU
    • файл en-US/MySystemd.adml в каталог /usr/share/PolicyDefinitions/en-US
  5. Проверить корректность кода, открыв редактор групповых политик — GPUI в «Альт» или RSAT в Windows.
    Проверка новой политики Systemd в GPUI
  6. Если все корректно, скопировать обновленные файлы admx/adml на контроллер домена в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/).

11.2.2. Пример для механизма Control

Подсистема Control в Linux-дистрибутивах является интерфейсом управления конфигурацией системы. Возможно написание собственных Control-интерфейсов для изменения системных или прикладных настроек, управляемых в дальнейшем через групповые политики.

Примечание

Просмотреть список опций Control можно, выполнив команду:
# control

Примечание

Ниже рассмотрен пример создания admx для Control osec-send:
# control osec-send help
mail: Mail root
journal: Write to systemd journal
Пример создания новой политики для Control osec-send:
  1. Создать файл MyControl.admx:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="control" namespace="BaseALT.Policies.MyControl" />
        <using prefix="system" namespace="BaseALT.Policies.System" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
        <policy class="Machine" displayName="$(string.osec-send)"
        explainText="$(string.osec-send_help)" key="Software\BaseALT\Policies\Control"
        name="osec-send" presentation="$(presentation.osec-send)">
          <parentCategory ref="system:ALT_Services"/>
          <supportedOn ref="system:SUPPORTED_AltP9"/>
          <elements>
            <enum id="osec-send_setter" required="true" valueName="osec-send">
              <item displayName="$(string.osec-send_mail)">
                <value>
                  <string>mail</string>
                </value>
              </item>
              <item displayName="$(string.osec-send_journal)">
                <value>
                  <string>journal</string>
                </value>
              </item>
            </enum>
          </elements>
        </policy>
      </policies>
    </policyDefinitions>
    
  2. Создать файл ru-RU/MyControl.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Определения политик управления системными компонентами</displayName>
      <description>Этот файл содержит определения политик управления системными компонентами.</description>
      <resources>
        <stringTable>
          <string id="osec-send">Отчет подсистемы osec</string>
          <string id="osec-send_help">Политика позволяет определить куда отправлять ежедневный отчёт:
    
    Почта — отправлять отчёт на почтовый ящик пользователя root
    
    Журнал — записывать отчёт в системный журнал
          </string>
          <string id="osec-send_mail">Почта</string>
          <string id="osec-send_journal">Журнал</string>
        </stringTable>
        <presentationTable>
          <presentation id="osec-send">
            <dropdownList noSort="true" defaultItem="0" refId="osec-send_setter">Куда отправлять отчёт:
            </dropdownList>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  3. Создать файл en-US/MyControl.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Control installed facilities definitions</displayName>
      <description>This file contains the control installed facilities definitions.</description>
      <resources>
        <stringTable>
          <string id="osec-send">Osec Subsystem Report</string>
          <string id="osec-send_help">The policy allows you to determine where to send the daily report:
    
    Mail — Mail root
    
    Journal — Write to systemd journal
          </string>
          <string id="osec-send_mail">Mail</string>
          <string id="osec-send_journal">Journal</string>
        </stringTable>
        <presentationTable>
          <presentation id="osec-send">
            <dropdownList noSort="true" defaultItem="0" refId="osec-send_setter">Where to send the report:
            </dropdownList>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  4. Скопировать обновленные файлы admx/adml на машину с Windows RSAT или GPUI.
    В Windows RSAT:
    • файл MyControl.admx в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
    • файл ru-RU/MyControl.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
    • файл en-US/MyControl.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
    Windows RSAT автоматически проверит корректность этих файлов.
    В GPUI:
    • файл MyControl.admx в каталог /usr/share/PolicyDefinitions
    • файл ru-RU/MyControl.adml в каталог /usr/share/PolicyDefinitions/ru-RU
    • файл en-US/MyControl.adml в каталог /usr/share/PolicyDefinitions/en-US
  5. Проверить корректность кода, открыв редактор групповых политик — GPUI в «Альт» или RSAT в Windows.
    Проверка новой политики Control в GPUI
  6. Если все корректно, скопировать обновленные файлы admx/adml на контроллер домена в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/).

11.2.3. Пример для механизма Gsetting

Конфигурация DE Mate хранится в базе dconf, ключами которой управляет консольное приложение GSettings. Механизм gpupdate управляет ключами Gsettings и через них редактирует ключи dconf. На текущий день через ГП можно настраивать целый ряд параметров графической среды Mate — от фона рабочего стола до хранителя экрана. Можно также добавить новые политики для незадействованных ключей Gsettings.

Примечание

Посмотреть все доступные схемы Gsettings можно, выполнив команду:
$ gsettings list-schemas
Посмотреть все ключи Gsettings можно, выполнив команду:
$ gsettings list-recursively

Примечание

Ниже рассмотрен пример создания admx для ключа idle-delay схемы org.mate.session:
$ gsettings list-keys org.mate.session
gnome-compat-startup
show-hidden-apps
idle-delay
required-components-list
default-session
auto-save-session
logout-prompt
logout-timeout
session-start
$ gsettings get org.mate.session idle-delay
5
Ключ idle-delay позволяет управлять настройкой «Считать компьютер простаивающим через».
Пример создания новой политики для ключа idle-delay схемы org.mate.session:
  1. Создать файл MyGsettings.admx:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="gsettings" namespace="BaseALT.Policies.MyGsettings" />
        <using prefix="system" namespace="BaseALT.Policies.System" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
        <policy name="OrgMateSessionIdleDelayUser" class="User"
         displayName="$(string.org-mate-session-idle-delay)"
         explainText="$(string.org-mate-session-idle-delay_help)"
         key="Software\BaseALT\Policies\gsettings"
         presentation="$(presentation.OrgMateSessionIdleDelayUser-pr)">
         <parentCategory ref="system:ALT_Screensaver_Mate" />
           <supportedOn ref="system:SUPPORTED_AltP9" />
             <elements>
               <decimal id="OrgMateSessionIdleDelay_setter" valueName="org.mate.session.idle-delay"
               minValue="1" maxValue="2147483647" />
             </elements>
        </policy>
        <policy name="OrgMateSessionIdleDelayMachine" class="Machine"
         displayName="$(string.org-mate-session-idle-delay)"
         explainText="$(string.org-mate-session-idle-delay_help)"
         key="Software\BaseALT\Policies\gsettings"
         presentation="$(presentation.OrgMateSessionIdleDelayMachine-pr)">
         <parentCategory ref="system:ALT_Screensaver_Mate" />
         <supportedOn ref="system:SUPPORTED_AltP9" />
           <elements>
             <decimal id="OrgMateSessionIdleDelay_setter" valueName="org.mate.session.idle-delay"
             minValue="1" maxValue="2147483647" />
             <boolean id="OrgMateSessionIdleDelay_setter_blocker" key="Software\BaseALT\Policies\GSettingsLocks"
             valueName="org.mate.session.idle-delay">
               <trueValue>
                 <decimal value="1" />
               </trueValue>
               <falseValue>
                 <decimal value="0" />
               </falseValue>
             </boolean>
           </elements>
         </policy>
      </policies>
    </policyDefinitions>
    
  2. Создать файл ru-RU/MyGsettings.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Определения списка настроек рабочего окружения MATE</displayName>
        <description>Этот файл содержит определения настроек рабочего окружения MATE.</description>
        <resources>
          <stringTable>
            <string id="org-mate-session-idle-delay">Считать компьютер простаивающим через</string>
            <string id="org-mate-session-idle-delay_help">Устанавливает количество минут,
            по истечении которых компьютер будет считаться простаивающим.
    
    Опция «Блокировать» — (доступна только для машинной политики) запрещает изменение
    данной настройки пользователем. Блокировка политики делает её приоритетнее аналогичной политики для пользователя.
            </string>
        </stringTable>
        <presentationTable>
          <presentation id="OrgMateSessionIdleDelayUser-pr">
            <text>Количество минут, по истечении которого компьютер будет считаться простаивающим</text>
            <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Время в минутах</decimalTextBox>
          </presentation>
          <presentation id="OrgMateSessionIdleDelayMachine-pr">
            <text>Количество минут, по истечении которого компьютер будет считаться простаивающим</text>
            <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Время в минутах:</decimalTextBox>
            <checkBox refId="OrgMateSessionIdleDelay_setter_blocker">Блокировать</checkBox>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  3. Создать файл en-US/MyGsettings.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>MATE desktop configurations definitions</displayName>
        <description>This file contains the desktop MATE configurations definitions.</description>
        <resources>
          <stringTable>
            <string id="org-mate-session-idle-delay">Consider the computer idle after</string>
            <string id="org-mate-session-idle-delay_help">Sets the number of minutes after which the computer will be considered idle.
    
    The "Block" option — (available only for machine policy) prevents the user
    from changing this setting. Blocking a policy makes it a priority over a similar policy for the user.
            </string>
        </stringTable>
        <presentationTable>
          <presentation id="OrgMateSessionIdleDelayUser-pr">
            <text>Number of minutes after which the computer will be considered idle</text>
            <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Time in minutes</decimalTextBox>
          </presentation>
          <presentation id="OrgMateSessionIdleDelayMachine-pr">
            <text>Number of minutes after which the computer will be considered idle</text>
            <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Time in minutes:</decimalTextBox>
            <checkBox refId="OrgMateSessionIdleDelay_setter_blocker">Блокировать</checkBox>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  4. Скопировать обновленные файлы admx/adml на машину с Windows RSAT или GPUI.
    В Windows RSAT:
    • файл MyGsettings.admx в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
    • файл ru-RU/MyGsettings.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
    • файл en-US/MyGsettings.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
    Windows RSAT автоматически проверит корректность этих файлов.
    В GPUI:
    • файл MyGsettings.admx в каталог /usr/share/PolicyDefinitions
    • файл ru-RU/MyGsettings.adml в каталог /usr/share/PolicyDefinitions/ru-RU
    • файл en-US/MyGsettings.adml в каталог /usr/share/PolicyDefinitions/en-US
  5. Проверить корректность кода, открыв редактор групповых политик — GPUI в «Альт» или RSAT в Windows.
    Проверка новой политики Gsettings в GPUI
  6. Если все корректно, скопировать обновленные файлы admx/adml на контроллер домена в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/).

11.2.4. Пример для механизма Polkit

Библиотека Polkit выполняет в ОС роль ограничителя действий приложений, преимущественно работающих на шине D-Bus. Polkit позволяет установить степень ограничений для непривилегированного процесса при обращении к привилегированному. Например, ограничить доступ пользователя к настройкам сети или монтированию блочного устройства (USB-накопителя) только для тех пользователей, которые знают пароль суперпользователя. Действия приложений, для которых заложены Polkit-ограничения, называются «actions». На основе указанных действий «actions» возможно формирование правил «polkit-rules», согласно которым в ОС и определится степень ограничений для программ и пользователей. Механизм gpupdate умеет автоматически формировать polkit-правила. Благодаря этому возможно добавление новых групповых политик для polkit-правил.

Примечание

Все политики находятся в каталоге /usr/share/polkit-1/actions/ в формате *.policy Каждая политика представляет собой xml-файл, в котором описываются запросы к polkit.
Вывести список всех действий, определённых в /usr/share/polkit-1/actions/ можно, выполнив команду
$ pkaction
Пример создания admx для действия org.xfce.thunar (запуск thunar от суперпользователя):
  1. Создать файл MyPolkit.admx:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"revision="1.0" schemaVersion="1.0"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="xfce" namespace="BaseALT.Policies.MyPolkit" />
        <using prefix="system" namespace="BaseALT.Policies.System" />
      </policyNamespaces>
      <resources minRequiredRevision="1.0" />
      <policies>
        <policy class="Machine" displayName="$(string.org-xfce-thunar)"
            explainText="$(string.org-xfce-thunar_help)"
            key="Software\BaseALT\Policies\Polkit"
            name="org.xfce.thunar"
            valuename="org.xfce.thunar"
            presentation="$(presentation.OrgXfceThunar-pr)">
          <parentCategory ref="system:ALT_Polkit" />
          <supportedOn ref="system:SUPPORTED_AltP10" />
          <elements>
            <enum id="OrgXfceThunar_setter" valueName="org.xfce.thunar" required="true">
              <item displayName="$(string.org-xfce-thunar-No)">
                <value>
                  <string>No</string>
                </value>
              </item>
              <item displayName="$(string.org-xfce-thunar-Yes)">
                <value>
                  <string>Yes</string>
                </value>
              </item>
              <item displayName="$(string.org-xfce-thunar-Auth-self)">
                <value>
                  <string>Auth_self</string>
                </value>
              </item>
              <item displayName="$(string.org-xfce-thunar-Auth-admin)">
                <value>
                  <string>Auth_admin</string>
                </value>
              </item>
              <item displayName="$(string.org-xfce-thunar-Auth-self-keep)">
                <value>
                  <string>Auth_self_keep</string>
                </value>
              </item>
              <item displayName="$(string.org-xfce-thunar-Auth-admin-keep)">
                <value>
                  <string>Auth_admin_keep</string>
                </value>
              </item>
            </enum>
            <boolean id="OrgXfceThunar_blocker" key="Software\BaseALT\Policies\PolkitLocks" valueName="org.xfce.thunar">
              <trueValue>
                <decimal value="1" />
              </trueValue>
              <falseValue>
                <decimal value="0" />
              </falseValue>
            </boolean>
          </elements>
        </policy>
      </policies>
    </policyDefinitions>
    
  2. Создать файл ru-RU/MyPolkit.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>Определения политик Xfce</displayName>
      <description>Этот файл содержит определения политик для управления Xfce.</description>
      <resources>
        <stringTable>
          <string id="org-xfce-thunar">Ограничение возможности запуска Thunar от суперпользователя</string>
          <string id="org-xfce-thunar_help">Политика управляет ограничением возможности запуска Thunar от суперпользователя
    
    Отключено/Не сконфигурировано — ограничения определяются системными параметрами.
    
    Включено — ограничение с установленными правами;
    
    Возможные значения:
    
    «No» — установить ограничение с запретом действия (пользователю не разрешено выполнять действие);
    
    «Yes» — снять ограничение (пользователь может выполнять действие без какой-либо аутентификации);
    
    «Auth_self» — пользователь должен ввести свой пароль для аутентификации.
    Обратите внимание, этого уровня ограничения недостаточно для большинства
    применений в многопользовательских системах, обычно рекомендуется «Auth_admin»;
    
    «Auth_admin» — пользователь должен ввести пароль администратора при каждом запросе.
    Требуется аутентификация пользователя с правами администратора;
    
    «Auth_self_keep» — подобно «Auth_self», но авторизация сохраняется в течение
    короткого периода времени (например, пять минут). Обратите внимание, этого уровня
    ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется «Auth_admin_keep»;
    
    «Auth_admin_keep» — аналогично «Auth_admin», но авторизация сохраняется в течение
    короткого периода времени (например, пять минут);
    
    Примечание: обладание административными правами в контексте PolicyKit определяются его правилами.
    По умолчанию в Альт запрашивается пароль пользователя, находящегося в группе «wheel».
    
    Опция «Блокировать» — запрещает изменение данной настройки пользователем.
    Блокировка политики делает её приоритетнее аналогичной политики для пользователя.
          </string>
          <string id="org-xfce-thunar-No">No</string>
          <string id="org-xfce-thunar-Yes">Yes</string>
          <string id="org-xfce-thunar-Auth-self">Auth_self</string>
          <string id="org-xfce-thunar-Auth-admin">Auth_admin</string>
          <string id="org-xfce-thunar-Auth-self-keep">Auth_self_keep</string>
          <string id="org-xfce-thunar-Auth-admin-keep">Auth_admin_keep</string>
        </stringTable>
        <presentationTable>
          <presentation id="OrgXfceThunar-pr">
            <dropdownList noSort="true" defaultItem="1" refId="OrgXfceThunar_setter">Варианты ограничений
            на запуск Thunar от суперпользователя:</dropdownList>
            <checkBox refId="OrgXfceThunar_blocker">Блокировать настройку ограничений</checkBox>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  3. Создать файл en-US/MyPolkit.adml:
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"
    revision="1.0" schemaVersion="1.0">
      <displayName>ALT Xfce policies definitions</displayName>
      <description>This file contains the Xfce service policies definitions used by ALT operating system.</description>
      <resources>
        <stringTable>
          <string id="org-xfce-thunar">Run Thunar as root</string>
          <string id="org-xfce-thunar_help">This policy grants or restricts permissions to run Thunar as root
    
    Disabledd/Not configured — Permissions are determined by system settings. Default is «Auth_admin»
    
    Enabled — permission to mount with set rights;
    
    Possible values:
    
    "No" — block permissions (the user is not allowed to perform the action);
    
    "Yes" — grant permissions (the user can perform the action without any authentication);
    
    "Auth_self" — The user must enter their password to authenticate.
    Note that this permission is not sufficient for most uses on multi-user systems,
    the "Auth_admin" permission is generally recommended;
    
    "Auth_admin" — The user must enter an administrator password on each request.
    Requires user authentication with administrator rights;
    
    "Auth_self_keep" — Similar to "Auth_self", but the authorization is kept for
    a short period of time (for example, five minutes). Note that this permission
    is not sufficient for most uses on multi-user systems, the "Auth_admin_keep" permission is generally recommended;
    
    "Auth_admin_keep" — similar to "Auth_admin", but the authorization
    is kept for a short period of time (for example, five minutes);
    
    Note: the possession of administrative rights in the context of PolicyKit
    is determined by its rules. By default, Alt asks for the password of the user in the "wheel" group.
    
    The "Block" option prevents the user from changing this setting.
    Blocking a policy makes it a priority over a similar policy for the user.
          </string>
          <string id="org-xfce-thunar-No">No</string>
          <string id="org-xfce-thunar-Yes">Yes</string>
          <string id="org-xfce-thunar-Auth-self">Auth_self</string>
          <string id="org-xfce-thunar-Auth-admin">Auth_admin</string>
          <string id="org-xfce-thunar-Auth-self-keep">Auth_self_keep</string>
          <string id="org-xfce-thunar-Auth-admin-keep">Auth_admin_keep</string>
        </stringTable>
        <presentationTable>
          <presentation id="OrgXfceThunar-pr">
            <dropdownList noSort="true" defaultItem="1" refId="OrgXfceThunar_setter">Restriction options:</dropdownList>
            <checkBox refId="OrgXfceThunar_blocker">Block</checkBox>
          </presentation>
        </presentationTable>
      </resources>
    </policyDefinitionResources>
    
  4. Скопировать обновленные файлы admx/adml на машину с Windows RSAT или GPUI.
    В Windows RSAT:
    • файл MyPolkit.admx в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
    • файл ru-RU/MyPolkit.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
    • файл en-US/MyPolkit.adml в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
    Windows RSAT автоматически проверит корректность этих файлов.
    В GPUI:
    • файл MyPolkit.admx в каталог /usr/share/PolicyDefinitions
    • файл ru-RU/MyPolkit.adml в каталог /usr/share/PolicyDefinitions/ru-RU
    • файл en-US/MyPolkit.adml в каталог /usr/share/PolicyDefinitions/en-US
  5. Проверить корректность кода, открыв редактор групповых политик — GPUI в «Альт» или RSAT в Windows.
    Проверка новой политики Polkit в GPUI
  6. Если все корректно, скопировать обновленные файлы admx/adml на контроллер домена в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/).

Часть III. Решение проблем

Прежде чем разбираться, почему групповые политики не применяются как ожидается, необходимо убедиться, что инфраструктура AD работает штатно. Работа ГП в домене зависит от корректности работы контроллеров домена и репликации между ними.
Следует держать структуру групповых политик как можно более простой и не создавать лишние политик без необходимости. Рекомендуется использовать единую схему именования политик. Имя ГП должно давать однозначное понимание того, для чего она нужна.

Глава 12. Область действия и статус групповой политики

В каждой ГП есть два независимых раздела с настройками:
  • Компьютер — параметры, применяемые к компьютеру;
  • Пользователь — параметры пользователей.
Если параметр политики настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями.

Примечание

Чтобы применить пользовательские настройки к компьютерам, нужно включить политику замыкания (см. Замыкание групповой политики).
Если ГП настраивает только параметры пользователя или только параметры компьютера, неиспользуемый раздел можно отключить. Это снизит трафик ГП и позволит уменьшить время обработки ГП на клиентах.
Статус групповой политики, назначенной на подразделение, можно проверить в ADMC в свойствах этого подразделения на вкладке Групповая политика:
ADMC. Статус групповых политик
Изменить статус групповой политики можно, перейдя свойствах политики на вкладку Атрибуты:
ADMC. Атрибут flags в свойствах ГП
Состояние объекта групповой политики указывается в значении атрибута flags: объект GPO включён (значение 0, все настройки политики применяются к целевым объектам AD), отключён раздел Конфигурация пользователя (значение 1, не применяются настройки пользовательских политик), отключён раздел Конфигурация компьютера (значение 2, не применяются настройки из параметров GPO компьютера), объект GPO полностью отключён (значение 3, все настройки политики не применяются).

Глава 13. Наследование групповых политик

По умолчанию политики высокого уровня применяются ко всем вложенным объектам в иерархии домена.
Увидеть какие политики применяются к подразделению и местонахождение политики можно в ADMC при выборе подразделения на вкладке Наследуемые политики:
ADMC. Политики подразделения без блокирования наследования
Наследуемые политики также можно увидеть на вкладке Групповая политика свойств подразделения:
ADMC. Наследуемые политики в свойствах подразделения
Каждый объект групповой политики можно настроить на блокирование наследования политик более высокого уровня (см. Блокирование наследования). Таким образом, политика подразделения может блокировать параметры политик домена и сайта. Блокирование наследования предохраняет объекты групповой политики, связанные с доменами или подразделениями родительского уровня, от автоматического наследования на дочернем уровне.
Так как администратор домена может не согласится с тем, что администратор подразделения блокирует параметры политики домена, существует возможность запретить переопределение параметров с помощью отметки Принудительно.
Политики подразделения с блокированием наследования:
ADMC. Политики подразделения с блокированием наследования

Глава 14. Порядок применения групповых политик

Групповые политики обрабатываются в следующем порядке:
  • объект локальной групповой политики;
  • объекты групповой политики, связанные с доменом (в рамках возможностей и ограничений поддержки леса доменов в Samba, как наборе клиентских компонент);
  • объекты групповой политики, связанные с OU: сначала обрабатываются объекты групповой политики связанные с OU, находящейся на самом высоком уровне в иерархии Active Directory, затем объекты групповой политики, связанные с дочерним подразделением и т. д. Последними обрабатываются объекты групповой политики, связанные с OU, в которой находится пользователь или компьютер.
Последние политики имеют наивысший приоритет. Т.е. если параметр включен на уровне политики домена, но на целевом OU данный параметр отключается другой политикой — это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).
Если на OU назначено несколько групповых политик, то они обрабатываются в том порядке, в котором были назначены. Политики обрабатываются в обратном порядке (политика с номером 1 будет обработана последней):
ADMC. Порядок обработки групповых политик
При необходимости этот порядок можно изменить, перетащив политику мышью или выбрав в контекстном меню политики пункт Переместить вверх или Переместить вниз:
ADMC. Изменение порядка обработки групповых политик
При использовании параметра Принудительно у ГП выигрывает та политика, которая находится выше в иерархии домена (например, при включении Принудительно у политики Default Domain Policy, она выигрывает у всех других ГП).
У каждого объекта ГП, который привязан к организационному контейнеру AD можно включить или отключить связь (применение политики). Для этого нужно выбрать опцию Удалить связь/Добавить связь в меню политики. При отключении связи политика перестает применяться к клиентам, но ссылка на объект ГП не удаляется из иерархии. Активировать данную связь можно в любой момент.

Глава 15. Замыкание групповой политики

По умолчанию групповая политика применяется к пользователю или компьютеру способом, который зависит от того, где и пользователь, и объекты компьютера находятся в Active Directory. В некоторых случаях может потребоваться применить к пользователям политику в зависимости от расположения объекта компьютера.
На компьютерах, расположенных в организационном подразделении (Organization Unit, OU), машинные объекты групповой политики применяются по порядку во время запуска компьютера. Пользовательские объекты групповой политики, пользователей из OU, применяются во время входа, независимо от того, на каком компьютере пользователь входит в систему.
Если пользовательская учётная запись находится в OU, на которое распространяется действие пользовательской политики, то применяться эти настройки будут при входе пользователя в систему независимо от того, в какое OU входит компьютер. Такое поведение может быть нежелательным, например, вполне разумно иметь одни пользовательские настройки для сервера, другие — для локального компьютера.
Политику замыкания можно использовать для применения пользовательских групповых политик в зависимости от того, на каком компьютере пользователь входит в систему.
Эта политика может принимать два значения:
  • режим «Слияние» (Merge) — при входе пользователя в систему к компьютеру будут применяться политики основанные на расположении пользователя, а затем политики, привязанные к компьютеру. При возникновении конфликтов между пользовательскими и машинными политиками, машинные политики будут иметь более высокий приоритет;
  • режим «Замена» (Replace) — к пользователю будут применяться только политики, назначенные на OU, в котором содержится компьютер, на который пользователь выполнил вход.
В качестве примера рассмотрим домен с двумя организационными подразделениями — OU1 и OU2. В первом находятся объекты учётных записей пользователей и их локальные компьютеры, во втором — объекты серверов.
Домен с двумя организационными подразделениями
Если пользователь осуществляет вход в систему на локальном компьютере, то он оказывается под действием политики GP1 локального компьютера (которая была применена при его включении) и политики GP2 пользователя (примененной при входе в систему). Если пользователь осуществляет вход на сервер, то будут действовать политика сервера GP3 и политика пользователя GP2.
Если же включить политику замыкания (см. раздел Политика замыкания), то при входе на сервер будут действовать политика сервера GP3 и политика пользователя GP2+GP4 (в режиме «Слияние») или только GP4 (в режиме «Замена»). При возникновении любых конфликтов настроек между политиками OU пользователя и OU сервера в режиме «Слияние» политика в OU сервера будет иметь более высокий приоритет.

Глава 16. Диагностика применения GPO на стороне клиента

Для диагностики применения групповых политик на стороне клиента используются утилиты gpoa, gpresult (на машинах с ОС «Альт»), gpresult (на машинах Windows).
Для диагностики механизмов применения групповых политик на клиенте можно выполнить команды:
  • получить полный отчет о примененных ГП для пользователя и машины:
    $ gpresult -v
    
  • получить и применить настройки для текущей машины:
    # gpoa --loglevel 0
    
  • получить и применить настройки для пользователя:
    # gpoa --loglevel 0 <имя_пользователя>
    

16.1. Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

Таблица 16.1. Коды ошибок

Код
Описание
Решение
E00001
Недостаточно прав для запуска программы gpupdate
Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора
E00002
Программа gpupdate не будет запущена из-за предыдущих ошибок
E00003
Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне
Возможно, это ошибка в коде и необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00004
Ошибка во время работы фронтенда
Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться ошибкой в коде
E00005
Не получилось запустить appliers политик для обновления групповых политик компьютера
Необходимо проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
E00006
Показать список доступных бэкэндов
Необходимо проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
E00007
Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba
Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен
E00008
Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик
Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator
E00009
Произошла ошибка при попытке запуска adp
Необходимо обратиться к руководству по устранению неполадок проекта ADP
E00010
Произошёл сбой при попытке получить имя домена Active Directory
Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию
E00011
Во время работы applier с пониженным уровнем привилегий произошла неполадка
Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно
E00012
Высокоуровневая ошибка инициализации бэкэнда
Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba — удостовериться, что машина введена в домен
E00013
У пользователя, запустившего программу, недостаточно прав для обновления настроек машины
Необходимо запустить программу с правами администратора
E00014
Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена
Необходимо проверить конфигурацию Kerberos в файле /etc/krb5.conf. Попытаться получить билет Kerberos вручную
E00015
Запрос на получение имени домена Active Directory через LDAP не прошёл
Необходимо проверить возможность получения Kerberos ticket для машины. Проверить работу DNS и возможность обратиться к доменному LDAP
E00016
Утилита wbinfo не отдаёт SID для пользователя, для которого выполняется обновление групповых политик
Необходимо проверить целостность программы wbinfo. Проверить, что машина введена в домен
E00017
Невозможно получить список групповых политик для репликации на используемое имя пользователя
Следует удостовериться, что пользователь для которого происходит попытка получить список групповых политик, существует в домене. Необходимо также удостовериться, что проблема не вызвана misconfiguration домена
E00018
Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR
Необходимо удостовериться, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует
E00019
Произошла ошибка во время работы applier для пользователя
Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00020
Произошла ошибка во время работы applier для пользователя с пониженными привилегиями
Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
E00021
Не был получен ответ от D-Bus при попытке запустить gpoa для текущего пользователя
Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
E00022
Не был получен ответ от D-Bus при попытке запустить gpoa для машины
Необходимо удостовериться, что D-Bus работает корректно и демон oddjobd запущен
E00023
Не был получен ответ от D-Bus при попытке запустить gpoa для пользователя
Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
E00024
Ошибка во время работы машинного applier
Необходимо проверить настройки applier вручную, чтобы убедиться, что соответствующая часть ОС не поломана
E00025
Ошибка во время инициализации пользовательского applier
Необходимо проверить, что машина является частью домена и контроллер домена доступен. Следует удостовериться, что пользователь существует и что соответствующая часть ОС не поломана
E00026
Ошибка слияния машинной групповой политики
Необходимо очистить кеш gpupdate
E00027
Ошибка слияния пользовательской групповой политики
Необходимо очистить кеш gpupdate
E00028
Ошибка слияния машинной части групповой политики
Необходимо очистить кеш gpupdate
E00029
Ошибка слияния пользовательской части групповой политики
Необходимо очистить кеш gpupdate
E00030
Ошибка при запуске процесса с пониженным уровнем привилегий в контексте пользователя
Необходимо проверить наличие домашнего каталога пользователя, для которого выполняется gpupdate
E00042
Не входит в возможные значения для control
Ошибка возникает в случае некорректного целочисленного типа данных, прописанного в шаблонах групповых политик (ADMX-файлах)
E00055
Ошибка при запуске pkcon_runner синхронно для компьютера
Необходимо проверить наличие в системе и корректность файла pkcon_runner
E00056
Ошибка запуска apt-get update
Необходимо проверить подключение к сети и корректность репозиториев, отсутствие подключённых дополнительных репозиториев
E00057
Ошибка установки пакета
Необходимо проверить наличие пакета в репозиториях, правильность имени пакета, наличие подключения к сети и наличие в системе пакета packagekit
E00058
Ошибка удаления пакета
Вероятно, пакет не установлен в систему или в системе отсутствует пакет packagekit
E00059
Не входит в возможные значения для control
Ошибка возникает в случае некорректного строкового типа данных, прописанного в шаблонах групповых политик (ADMX-файлах)
E00060
Ошибка при запуске pkcon_runner синхронно для пользователя
Необходимо проверить наличие в системе и корректность файла pkcon_runner
E00061
Ошибка при запуске pkcon_runner асинхронно для компьютера
Необходимо проверить наличие в системе и корректность файла pkcon_runner
E00062
Ошибка при запуске pkcon_runner асинхронно для пользователя
Необходимо проверить наличие в системе и корректность файла pkcon_runner
E00067
Ошибка создания переменных среды
Необходимо убедиться в наличии переменных окружения: XDG_DATA_DIRS, XDG_RUNTIME_DIR, DBUS_SESSION_BUS_ADDRESS, PATH
E00068
Ошибка выполнения команды kwriteconfig5
Необходимо убедиться, что установлен пакет kf5-kconfig

Глава 17. Диагностика проблем при работе с политикой скриптов

На контроллере домена:
  • проверить работоспособность загружаемого скрипта в дистрибутиве «Альт»;
  • убедиться, что кодировка файла со скриптом — UTF8, без BOM;
  • убедиться, что скрипт расположен в каталоге (GPT) применяемого объекта групповой политики (GPO);
  • убедиться, что включена групповая политика «Экспериментальные групповые политики» или политика «Управление logon-скриптами» (см. Включение экспериментальных групповых политик);
  • убедиться, что целевой компьютер, входит в подразделение (OU), к которому привязан объект групповой политики GPO.
На компьютере пользователя:
  • проверить версию gpupdate (политики скриптов выполняются с релиза 0.9.11-alt1);
  • убедиться, что механизм применения политик (gpupdate) запущен:
    # gpupdate-setup status
    
  • убедиться, что служба скриптов запущена:
    # systemctl status gpupdate-scripts-run.service
    
  • проверить содержимое каталога и права для загруженных скриптов:
    # ls -Rl /var/cache/gpupdate_scripts_cache/
    
  • проверить состояние службы запуска скриптов пользователя (от пользователя):
    $ systemctl --user status gpupdate-scripts-run-user.service
    
  • вывести журнал применения политик:
    # gpoa --loglevel 0