Редакция октябрь, 2024
Аннотация
Таблица 1.1. Состав технических и программных средств стенда
№ ПЭВМ
|
Программная среда
|
Описание
|
---|---|---|
1
|
ОС «Альт Сервер»
|
Контроллер домена (DC)
|
2
|
ОС «Альт Сервер»
|
Вторичный DC
|
3
|
ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование»)
Должны быть установлены модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)
|
Целевая рабочая станция с инструментами администрирования
|
4
|
ОС «Альт» («Альт Рабочая станция», «Альт Рабочая станция K», «Альт Образование»)
|
Целевая рабочая станция
|
5
|
ОС Microsoft Windows Server (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно).
Должны быть установлены компоненты удаленного администрирования
|
Рабочая станция с административными инструментами
|
Примечание
Примечание
Примечание
Предупреждение
Примечание
Примечание
Примечание
#apt-get update
#apt-get dist-upgrade
#update-kernel
#apt-get clean
#reboot
Примечание
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.
# apt-get install task-samba-dc
# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
#rm -f /etc/samba/smb.conf
#rm -rf /var/lib/samba
#rm -rf /var/cache/samba
#mkdir -p /var/lib/samba/sysvol
/etc/sysconfig/network
необходимо добавить строку:
HOSTNAME=dc1.test.altИ выполнить команды:
#hostnamectl set-hostname dc1.test.alt
#domainname test.alt
Примечание
/etc/resolv.conf
должна присутствовать строка:
nameserver 127.0.0.1Если этой строки в файле
/etc/resolv.conf
нет, то в конец файла /etc/resolvconf.conf
следует добавить строку:
name_servers='127.0.0.1'и перезапустить сервис resolvconf:
# resolvconf -u
# samba-tool domain provision --realm=test.alt --domain test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc --use-rfc2307
где
Примечание
Примечание
# samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --option="ad dc functional level = 2016" --server-role=dc --function-level=2016
# systemctl enable --now samba
krb5.conf
для домена в каталоге /var/lib/samba/private/
. Заменить этим файлом файл, находящийся в каталоге /etc/
:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
# samba-tool domain info 127.0.0.1
Forest : test.alt
Domain : test.alt
Netbios domain : TEST
DC name : dc1.test.alt
DC netbios name : DC1
Server site : Default-First-Site-Name
Client site : Default-First-Site-Name
/etc/resolv.conf
:
#cat /etc/resolv.conf
search test.alt nameserver 127.0.0.1 #host test.alt
test.alt has address 192.168.0.122
Примечание
host
позволяет получить информацию о DNS-связях между доменными именами и IP-адресами. Для возможности использования этой утилиты должен быть установлен пакет bind-utils.
#host -t SRV _kerberos._udp.test.alt.
_kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt. #host -t SRV _ldap._tcp.test.alt.
_ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt. #host -t A dc1.test.alt.
dc1.test.alt has address 192.168.0.122
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
Примечание
#samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
#samba-tool user setexpiry ivanov --noexpiry
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
/usr/share/PolicyDefinitions
. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/
):
# samba-tool gpo admxload -U Administrator
# apt-get install task-samba-dc
# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
#rm -f /etc/samba/smb.conf
#rm -rf /var/lib/samba
#rm -rf /var/cache/samba
#mkdir -p /var/lib/samba/sysvol
# hostnamectl set-hostname dc2.test.alt
Примечание
/etc/resolv.conf
обязательно должен быть добавлен PDC как nameserver (этот шаг можно пропустить, если имя компьютера было задано при установке системы на этапе «Настройка сети»):
#echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
#echo "search_domains=test.alt" >> /etc/resolvconf.conf
#resolvconf -u
#cat /etc/resolv.conf
search test.alt nameserver 192.168.0.122 nameserver 8.8.8.8
# systemctl status bind
И, если она была включена, выключить службу bind и перезапустить службу samba:
#systemctl stop bind
#systemctl restart samba
Предупреждение
# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.141 -Uadministrator
Password for [TEST\administrator]:
Record added successfully
/etc/krb5.conf
):
[libdefaults] default_realm = TEST.ALT dns_lookup_realm = false dns_lookup_kdc = true
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@TEST.ALT
Valid starting Expires Service principal
27.03.2024 11:06:43 27.03.2024 21:06:43 krbtgt/TEST.ALT@TEST.ALT
renew until 03.04.2024 11:06:39
# samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
Если всё нормально, в конце будет выведена информация о присоединении к домену:
Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
# systemctl enable --now samba
# samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc1.test.alt to dc2.test.alt was successful.
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
# samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt -Uadministrator
Password for [TEST\administrator]:
Replicate from dc2.test.alt to dc1.test.alt was successful.
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
# samba-tool drs showrepl
Примечание
Примечание
Примечание
Примечание
Предупреждение
Примечание
Примечание
#apt-get update
#apt-get dist-upgrade
#update-kernel
#apt-get clean
#reboot
Примечание
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root.
# apt-get install task-auth-ad-sssd alterator-gpupdate
Примечание
/etc/resolv.conf
должны появиться строки:
search test.alt nameserver 192.168.0.122
Примечание
#getent passwd ivanov
ivanov:*:1327601105:1327600513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash #net ads info
LDAP server: 192.168.0.122 LDAP server name: dc1.test.alt Realm: TEST.ALT Bind Path: dc=TEST,dc=ALT LDAP port: 389 Server time: Ср, 27 мар 2024 10:36:51 EET KDC server: 192.168.0.122 Server time offset: 2 Last machine account password change: Ср, 20 мар 2024 11:13:27 EET #net ads testjoin
Join is OK
Примечание
# samba-tool user list
# apt-get install admc
admc
).
Примечание
$ kinit administrator
# apt-get install gpui
Примечание
#apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
#admx-msi-setup
$ kinit administrator
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"
-p
позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt
— имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}
— GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"
Примечание
gpmc.msc
в командной строке, cmd или окне Выполнить (Win+R). Для запуска Редактора управления групповыми политиками следует в консоли Управление групповыми политиками в контекстном меню объекта ГП выбрать пункт :
Содержание
Таблица 6.1. Список групповых политик
Политика
|
Статус
|
Комментарий
|
---|---|---|
Стабильная
|
ADMX-файлы ALT (пакет admx-basealt)
|
|
Стабильная
|
ADMX-файлы ALT (пакет admx-basealt)
|
|
Стабильная
|
ADMX-файлы Mozilla Firefox (пакет admx-firefox)
|
|
Стабильная
|
ADMX-файлы Google Chrome (пакет admx-chromium)
|
|
Стабильная
|
ADMX-файлы Yandex (пакет admx-yandex-browser)
|
|
Стабильная
|
|
|
Стабильная
|
ADMX-файлы ALT (пакет admx-basealt)
|
|
Экспериментальная
|
ADMX-файлы ALT (пакет admx-basealt)
|
|
Стабильная
|
ADMX-файлы ALT (пакет admx-basealt)
|
|
Стабильная
|
|
|
Экспериментальная
|
|
|
Стабильная
|
|
|
Стабильная
|
|
|
Экспериментальная
|
|
|
Экспериментальная
|
|
|
Экспериментальная
|
|
|
Экспериментальная
|
|
|
Экспериментальная
|
|
|
|
|
Примечание
gpoa
— системная утилита, осуществляющая применение групповых политик для компьютера или пользователя (gpoa
без параметра отрабатывает только для машины, для пользователя нужно указывать username
);
gpupdate
— утилита, осуществляющая запрос на применение групповых политик. При запуске с привилегиями администратора может непосредственно выполнить применение групповых политик минуя необходимость повышения привилегий;
gpupdate-setup
— инструмент администрирования механизмов применения групповых политик. Позволяет включать и отключать применение групповых политик, а также задавать шаблон политики по умолчанию («Рабочая станция», «Сервер», «Контроллер домена»).
gpoa
:
gpoa [-h] [--dc DC] [--nodomain] [--noupdate] [--noplugins] [--list-backends] [--loglevel LOGLEVEL] [пользователь]
Таблица 8.1. Опции команды gpoa
Ключ
|
Описание
|
---|---|
-h, --help
|
Вывести справку о команде
|
--dc DC
|
Указать полное имя (FQDN) контроллера домена для реплицирования SYSVOL
|
--nodomain
|
Работать без домена (применить политику по умолчанию)
|
--noupdate
|
Не пытаться обновить хранилище, только запустить appliers
|
--noplugins
|
Не запускать плагины
|
--list-backends
|
Показать список доступных бэкэндов
|
--loglevel LOGLEVEL
|
Установить уровень журналирования
|
пользователь
|
Имя пользователя домена
|
gpoa
:
# gpoa --loglevel 0
# gpoa --noupdate
# gpoa --dc dc1.test.alt --loglevel 3 ivanov
# gpoa --nodomain --loglevel 0
gpupdate
:
gpupdate [-h] [-u USER] [-t {ALL,USER,COMPUTER}] [-l LOGLEVEL] [-f] [-s]
Таблица 8.2. Опции команды gpupdate
Ключ
|
Описание
|
---|---|
-h, --help
|
Вывести справку о команде
|
-u USER, --user USER
|
Имя пользователя для обновления GPO
|
--target TARGET
|
Указать политики, которые нужно обновить (пользователя или компьютера). Возможные значения: All (по умолчанию), Computer, User
|
-l LOGLEVEL, --loglevel LOGLEVEL
|
Установить уровень журналирования
|
-f, --force
|
Запустить gpupdate в системном режиме
|
-s, --system
|
Запустить gpupdate в системном режиме
|
gpupdate
только для машины или самого себя.
gpupdate
:
$ gpupdate --target Computer
Apply group policies for computer.
$ gpupdate --target User
Apply group policies for kudrin.
$ gpupdate
Apply group policies for kudrin.
$ gpupdate -u ivanov --target User --loglevel 0
2024-06-10 17:17:18.113|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'USER'}
2024-06-10 17:17:18.113|[W00002]| Текущий уровень привилегий не позволяет выполнить gpupdate для указанного пользователя. Будут обновлены настройки текущего пользователя.|{'username': 'kudrin'}
2024-06-10 17:17:18.118|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
2024-06-10 17:17:18.119|[D00900]| Неизвестный отладочный код|{'bus_name': 'ru.basealt.oddjob_gpupdate'}
2024-06-10 17:17:18.119|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'kudrin'}
2024-06-10 17:17:37.972|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
Apply group policies for kudrin.
# gpupdate -u ivanov --target User --loglevel 0
2024-06-10 17:19:53.960|[D00010]| Групповые политики будут обновлены для указанной цели|{'target': 'USER'}
2024-06-10 17:19:53.978|[D00013]| Запускается GPOA обращением к oddjobd через D-Bus|{}
2024-06-10 17:19:53.979|[D00900]| Неизвестный отладочный код|{'bus_name': 'ru.basealt.oddjob_gpupdate'}
2024-06-10 17:19:53.979|[D00006]| Запускается GPOA для пользователя обращением к oddjobd через D-Bus|{'username': 'ivanov'}
2024-06-10 17:20:13.852|[D00012]| Получен код возврата из утилиты|{'retcode': dbus.Int32(0)}
Apply group policies for ivanov.
Примечание
gpupdate
сравнивает версию и загружает только измененные политики.
gpupdate-setup
:
gpupdate-setup [-h] действие …
Таблица 8.3. Опции команды gpupdate-setup
Ключ
|
Описание
|
---|---|
list
|
Показать список доступных типов локальной политики
|
list-backends
|
Показать список доступных бэкэндов
|
status
|
Показать текущий статус групповой политики (действие по умолчанию)
|
enable
|
Включить подсистему групповой политики
|
disable
|
Отключить подсистему групповой политики
|
update
|
Обновить состояние. Проверяет в каком состоянии находилась служба gpupdate. В случае, если служба gpupdate запущена, gpupdate-setup также запустит весь перечень необходимых служб (например, gpupdate-run-scripts)
|
write
|
Операции с групповыми политиками (включить, отключить, указать тип политики по умолчанию)
|
set-backend
|
Установить или изменить активную в данный момент серверную часть (бэкэнд)
|
default-policy
|
Показать название политики по умолчанию
|
active-policy
|
Показать название текущего профиля политики
|
active-backend
|
Показать текущий настроенный бэкэнд
|
gpupdate-setup
:
# gpupdate-setup
disabled
#gpupdate-setup enable
workstation Created symlink /etc/systemd/user/default.target.wants/gpupdate-user.service → /usr/lib/systemd/user/gpupdate-user.service. Created symlink /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service → /lib/systemd/system/gpupdate-scripts-run.service. Created symlink /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service → /usr/lib/systemd/user/gpupdate-scripts-run-user.service. Created symlink /etc/systemd/system/timers.target.wants/gpupdate.timer → /lib/systemd/system/gpupdate.timer. Created symlink /etc/systemd/user/timers.target.wants/gpupdate-user.timer → /usr/lib/systemd/user/gpupdate-user.timer. #control system-policy
gpupdate
# gpupdate-setup disable
Removed /etc/systemd/system/multi-user.target.wants/gpupdate.service.
Removed /etc/systemd/user/default.target.wants/gpupdate-user.service.
Removed /etc/systemd/system/timers.target.wants/gpupdate.timer.
Removed /etc/systemd/user/timers.target.wants/gpupdate-user.timer.
Removed /etc/systemd/system/multi-user.target.wants/gpupdate-scripts-run.service.
Removed /etc/systemd/user/default.target.wants/gpupdate-scripts-run-user.service.
# gpupdate-setup list-backends
local
samba
# gpupdate-setup write enable server
/etc/gpupdate/gpupdate.ini
можно указать в явном виде следующие опции:
/etc/gpupdate/gpupdate.ini
на контроллере домена:
[gpoa] backend = samba local-policy = ad-domain-controller
/etc/gpupdate/gpupdate.ini
на рабочей станции:
[gpoa] backend = samba local-policy = workstation
[gpoa] backend = samba local-policy = /usr/share/local-policy/default [samba] dc = dc1.test.alt
/usr/share/local-policy/
. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и разворачивать её единообразно на всех клиентах. Формат шаблонов политик по умолчанию представляет собой архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Таблица 8.4. Состав локальной политики
Параметры
|
Описание
|
Комментарий
|
---|---|---|
sshd-gssapi-auth, ssh-gssapi-auth
|
Включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH (механизм Control)
|
Отвечает за возможность аутентификации в домене при доступе через SSH
|
sshd-allow-groups, sshd-allow-groups-list
|
Ограничение аутентификации на сервере OpenSSH по группам wheel и remote (механизм Control)
|
Необходимо для ограничения доступа через SSH для всех пользователей домена (только при наличии соответствующей привилегии)
|
system-policy
|
Применяет групповые политики при логине (механизм Control)
|
|
oddjobd.service
|
Включение oddjobd.service (механизм Systemd)
|
Необходимо для обеспечения возможности запуска
gpupdate для пользователя с правами администратора
|
gpupdate.service
|
Включение gpupdate.service (механизм Systemd)
|
Необходимо для регулярного обновления настроек машины
|
sshd.service
|
Включение sshd.service (механизм Systemd)
|
Необходимо для обеспечения возможности удалённого администрирования
|
OpenSSH
|
Открытие порта 22
|
Необходимо для обеспечения возможности подключения по SSH на машинах при старте Firewall applier
|
/usr/share/local-policy/workstation/Machine/Registry.pol.xml
):
<?xml version="1.0" encoding="utf-8"?> <PolFile num_entries="9" signature="PReg" version="1"> <Entry type="1" type_name="REG_SZ"> <Key>Software\BaseALT\Policies\Control</Key> <ValueName>sshd-gssapi-auth</ValueName> <Value>enabled</Value> </Entry> <Entry type="1" type_name="REG_SZ"> <Key>Software\BaseALT\Policies\Control</Key> <ValueName>ssh-gssapi-auth</ValueName> <Value>enabled</Value> </Entry> <Entry type="1" type_name="REG_SZ"> <Key>Software\BaseALT\Policies\Control</Key> <ValueName>sshd-allow-groups</ValueName> <Value>enabled</Value> </Entry> <Entry type="1" type_name="REG_SZ"> <Key>Software\BaseALT\Policies\Control</Key> <ValueName>sshd-allow-groups-list</ValueName> <Value>remote</Value> </Entry> <Entry type="1" type_name="REG_SZ"> <Key>Software\BaseALT\Policies\Control</Key> <ValueName>system-policy</ValueName> <Value>gpupdate</Value> </Entry> <Entry type="4" type_name="REG_DWORD"> <Key>Software\BaseALT\Policies\SystemdUnits</Key> <ValueName>oddjobd.service</ValueName> <Value>1</Value> </Entry> <Entry type="4" type_name="REG_DWORD"> <Key>Software\BaseALT\Policies\SystemdUnits</Key> <ValueName>sshd.service</ValueName> <Value>1</Value> </Entry> <Entry type="4" type_name="REG_DWORD"> <Key>Software\BaseALT\Policies\SystemdUnits</Key> <ValueName>gpupdate.service</ValueName> <Value>1</Value> </Entry> <Entry type="1" type_name="REG_SZ"> <Key>SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules</Key> <ValueName>OpenSSH</ValueName> <Value>v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|</Value> </Entry> </PolFile>
Таблица 8.5. Список модулей
Расширение клиентской стороны
|
Модуль
|
Описание
|
---|---|---|
Управление control framework
|
control
|
Управляет фреймворком control. Может быть вызван только машинной политикой. Принцип работы — вызвать утилиту
control с нужным параметром
|
Управление настройками службы Polkit
|
polkit
|
Управляет генерацией настроек PolicyKit. Работа с правилами PolicyKit ведется методом генерации файлов
.rules
|
Управление настройками службы Polkit
|
polkit_user
|
Управляет генерацией настроек PolicyKit в контексте пользователя
|
Включение или выключение различных служб
|
systemd
|
Управление включением или выключением сервисов systemd. Данный applier реализован только для машин. Его функция — включение или выключение systemd units (при их наличии). Applier способен обрабатывать параметры, полученные из PReg файлов (через ADMX) в виде ветвей реестра
|
Настройка браузера Chromium
|
chromium
|
Генерирует файл политики для Chromium (
policies.json ). Данные настройки устанавливаются из ADMX-файлов для Chromium. Может быть вызван только машинной политикой
|
Настройка браузера Firefox
|
firefox
|
Генерирует файл политики для Firefox (
policies.json ). Данные настройки устанавливаются из ADMX-файлов для Firefox. Может быть вызван только машинной политикой
|
Настройка Яндекс.Браузера
|
yandex
|
Генерирует файл политики для Яндекс.Браузера (
policies.json ). Данные настройки устанавливаются из ADMX-файлов для Яндекс.Браузера. Может быть вызван только машинной политикой
|
Управление ярлыками запуска программ
|
shortcut
|
Управляет
.desktop файлами (создание/удаление/замена)
|
Управление ярлыками запуска программ
|
shortcut_user
|
Управляет
.desktop файлами в контексте пользователя. Способен реагировать на опцию выполнения операций в контексте администратора или пользователя
|
Управление подключением сетевых дисков
|
cifs
|
Управляет подключением сетевых дисков
|
Управление подключением сетевых дисков
|
cifs_user
|
Управляет подключением сетевых дисков в контексте пользователя
|
Управление каталогами файловой системы
|
folder
|
Управляет каталогами файловой системы (создание/удаление/пересоздание)
|
Управление каталогами файловой системы
|
folder_user
|
Управляет каталогами файловой системы в контексте пользователя
|
Управление файлами
|
files
|
Управляет файлами (создание/удаление/пересоздание)
|
Управление файлами
|
files_user
|
Управляет файлами в контексте пользователя
|
Управление INI-файлами
|
ini
|
Управляет INI-файлами (создание/удаление/пересоздание)
|
Управление INI-файлами
|
ini_user
|
Управляет INI-файлами в контексте пользователя
|
Управление переменными среды
|
envvar
|
Управляет переменными среды
|
Управление переменными среды
|
envvar_user
|
Управляет переменными среды в контексте пользователя
|
Управление общими каталогами
|
networkshare
|
Управляет общими каталогами
|
Управление общими каталогами
|
networkshare_user
|
Управляет общими каталогами в контексте пользователя
|
Управление gsettings (настройки графической среды Mate)
|
gsettings
|
Разворачивает системные настройки gsettings. Редактирование системных настроек осуществляется методом развертывания файлов с расширением
.gschema.override (в формате INI) в директории с XML схемами. После разворачивания необходимо осуществить вызов glib-compile-schemas, для того чтобы настройки вступили в силу
|
Управление gsettings (настройки графической среды Mate)
|
gsettings_user
|
Устанавливает настройки gsettings для пользователя
|
Управление настройками графической среды KDE
|
kde
|
Средство управления настройками среды рабочего стола KDE
|
Управление настройками графической среды KDE
|
kde_user
|
Устанавливает настройки KDE в контексте пользователя
|
Управление пакетами
|
package
|
Средство работы с пакетным менеджером для установки и удаления пакетов программ
|
Управление пакетами
|
package_user
|
Управление пакетами в контексте пользователя
|
Управление logon-скриптами
|
scripts
|
Управление скриптами запуска и завершения работы компьютера, входа и выхода из системы пользователя
|
Управление logon-скриптами
|
scripts_user
|
Управление скриптами в контексте пользователя
|
gpupdate.timer
. Запуск фронтенда для пользователя в административном контексте производится с помощью модуля pam_oddjob при входе в систему и далее раз в час (по умолчанию) также средством Systemd — gpupdate-user.timer
.
gpupdate.service
используются системный таймер gpupdate.timer
и пользовательский таймер gpupdate-user.timer
. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).
OnUnitActiveSec
в файле /lib/systemd/system/gpupdate.timer
:
[Unit] Description=Run gpupdate every hour [Timer] OnStartupSec=60min OnUnitActiveSec=60min [Install] WantedBy=timers.target
gpupdate.timer
запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера можно, выполнив команду:
# systemctl status gpupdate.timer
● gpupdate.timer - Run gpupdate every hour
Loaded: loaded (/lib/systemd/system/gpupdate.timer; enabled; vendor preset: disabled)
Active: active (waiting) since Mon 2024-06-10 16:39:44 EET; 5min ago
Trigger: Mon 2024-06-10 17:29:17 EET; 43min left
Triggers: ● gpupdate.service
июн 10 16:39:44 w2.test.alt systemd[1]: Started Run gpupdate every hour..
OnUnitActiveSec
в файле /usr/lib/systemd/user/gpupdate-user.timer
:
[Unit] Description=Run gpupdate-user every hour [Timer] OnStartupSec=60min OnUnitActiveSec=60min [Install] WantedBy=timers.target
gpupdate-user.timer
запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера можно, выполнив команду от имени пользователя:
$ systemctl --user status gpupdate-user.timer
● gpupdate-user.timer - Run gpupdate-user every hour
Loaded: loaded (/usr/lib/systemd/user/gpupdate-user.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Mon 2024-06-10 16:29:32 EET; 10min ago
Trigger: Mon 2024-06-10 17:29:32 EET; 49min left
Triggers: ● gpupdate-user.service
июн 10 16:29:32 w2.test.alt systemd[3469]: Started Run gpupdate-user every hour.
/usr/lib/systemd/user/gpupdate-user.timer
, вступили в силу следует выполнить команду:
$ systemctl --user daemon-reload
Примечание
gpupdate
можно также через групповые политики (см. раздел Настройка периодичности запроса конфигураций).
$ systemctl list-timers
$ systemctl --user list-timers
/etc/dconf/db/policy.d/policy.ini
, политики пользователя — в файле /etc/dconf/db/policy<UID>.d/policy<UID>.ini
(где UID — идентификатор пользователя в системе).
dconf dump /
При выполнении этой команды с правами доменного пользователя будут выведены машинные политики и политики данного пользователя, при выполнении с правами пользователя root будут выведены только машинные политики.
dconf dump /
с правами доменного пользователя:
$ dconf dump /
[SOFTWARE/Policies/Microsoft/WindowsFirewall/FirewallRules]
OpenSSH='v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|'
[Software/BaseALT/Policies/Control]
ssh-gssapi-auth='enabled'
sshd-allow-groups='enabled'
sshd-allow-groups-list='remote'
sshd-gssapi-auth='enabled'
system-policy='gpupdate'
[Software/BaseALT/Policies/ReadQueue/Machine]
0="('Local Policy', '/var/cache/gpupdate/local-policy', None)"
1="('Firefox', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{0CCFA74C-57F5-42B5-98E2-007D4A59C4C4}', 262148)"
[Software/BaseALT/Policies/ReadQueue/User]
0="('nm', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}', 131074)"
[Software/BaseALT/Policies/SystemdUnits]
gpupdate.service=1
oddjobd.service=1
sshd.service=1
[Software/Policies/Mozilla/Firefox]
DisableMasterPasswordCreation=1
PasswordManagerEnabled=1
ShowHomeButton=1
[Software/Policies/Mozilla/Firefox/Authentication]
SPNEGO="['.test.alt']"
[Software/Policies/Mozilla/Firefox/Homepage]
Locked=1
URL='https://basealt.ru'
[org/gnome/evolution-data-server]
migrated=true
network-monitor-gio-name=''
[org/mate/caja/window-state]
geometry='800x550+310+75'
maximized=false
start-with-sidebar=true
start-with-status-bar=true
start-with-toolbar=true
[org/mate/desktop/accessibility/keyboard]
bouncekeys-beep-reject=true
bouncekeys-delay=300
bouncekeys-enable=false
enable=false
feature-state-change-beep=false
mousekeys-accel-time=1200
mousekeys-enable=false
mousekeys-init-delay=160
mousekeys-max-speed=750
slowkeys-beep-accept=true
slowkeys-beep-press=true
slowkeys-beep-reject=false
slowkeys-delay=300
slowkeys-enable=false
stickykeys-enable=false
stickykeys-latch-to-lock=true
stickykeys-modifier-beep=true
stickykeys-two-key-off=true
timeout=120
timeout-enable=false
togglekeys-enable=false
[org/mate/desktop/session]
session-start=1718111448
[org/mate/mate-menu/plugins/applications]
last-active-tab=0
[org/mate/panel/general]
object-id-list=['menu-bar', 'show-desktop', 'workspace-switcher', 'window-list', 'notification-area', 'clock']
toplevel-id-list=['bottom']
[org/mate/panel/objects/clock]
applet-iid='ClockAppletFactory::ClockApplet'
locked=true
object-type='applet'
panel-right-stick=true
position=0
toplevel-id='bottom'
[org/mate/panel/objects/clock/prefs]
custom-format=''
format='24-hour'
[org/mate/panel/objects/menu-bar]
applet-iid='MateMenuAppletFactory::MateMenuApplet'
has-arrow=false
locked=true
object-type='applet'
position=0
toplevel-id='bottom'
[org/mate/panel/objects/notification-area]
applet-iid='NotificationAreaAppletFactory::NotificationArea'
locked=true
object-type='applet'
panel-right-stick=true
position=10
toplevel-id='bottom'
[org/mate/panel/objects/show-desktop]
applet-iid='WnckletFactory::ShowDesktopApplet'
locked=true
object-type='applet'
position=1
toplevel-id='bottom'
[org/mate/panel/objects/window-list]
applet-iid='WnckletFactory::WindowListApplet'
locked=true
object-type='applet'
position=20
toplevel-id='bottom'
[org/mate/panel/objects/workspace-switcher]
applet-iid='WnckletFactory::WorkspaceSwitcherApplet'
locked=true
object-type='applet'
position=10
toplevel-id='bottom'
[org/mate/panel/toplevels/bottom]
expand=true
orientation='bottom'
screen=0
size=28
y=836
y-bottom=0
[org/mate/terminal/profiles/default]
background-color='#2C2C2C2C2C2C'
background-darkness=0.94999999999999996
background-type='transparent'
bold-color='#000000000000'
foreground-color='#F5F5F5F5E4E4'
palette='#2E2E34343636:#CCCC00000000:#4E4E9A9A0606:#C4C4A0A00000:#34346565A4A4:#757550507B7B:#060698209A9A:#D3D3D7D7CFCF:#555557575353:#EFEF29292929:#8A8AE2E23434:#FCFCE9E94F4F:#72729F9FCFCF:#ADAD7F7FA8A8:#3434E2E2E2E2:#EEEEEEEEECEC'
use-theme-colors=false
visible-name='По умолчанию'
gpresult
) отображает сведения о результирующе наборе групповых политик для текущего пользователя (для которого запущена сессия) на текущей машине.
gpupdate
. GPResult не вызывает утилиту gpupdate
.
gpresult
:
gpresult [-h] [-r] [-c] [-v] [-l] [-i POLICY_GUID] [-n POLICY_NAME] [-u] [-m]
Таблица 8.6. Опции команды gpresult
Ключ
|
Описание
|
---|---|
-h, --help
|
Вывести справку о команде
|
-r, --raw
|
Формат вывода: отображение ключей и значений
|
-c, --common
|
Формат вывода: отображение сведений о системе и имен групповых политик
|
-v, --verbose
|
Формат вывода: отображение подробных сведений о групповых политиках
|
-l, --list
|
Формат вывода: форматированное отображение имен групповых политик и их GUID
|
-i POLICY_GUID, --policy_guid POLICY_GUID
|
Получить информацию о примененных ключах и значениях политики по GUID
|
-n POLICY_NAME, --policy_name POLICY_NAME
|
Получить информацию о примененных ключах и значениях политики по имени
|
-u, --user
|
Отобразить информацию для текущего пользователя
|
-m, --machine
|
Отобразить информацию для текущей машины
|
Примечание
-l
не применяется с опциями -i
и -n
. Опция -l
может использоваться вместе с опцией -r
– вывод не будет форматированным. Имя GPO и GUID разделяются одним пробелом. Без выбора опции формата вывода по умолчанию используется -v
.
Примечание
gpresult
:
$ gpresult -v
Отчет сформирован 23-09-2024 14:17
Результирующий набор политик
----------------------------
Операционная система: ALT
Версия ОС: 10.4 (SorbaroniaMitschurinii)
ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
--------------------------
Примененные Объекты Групповой Политики
--------------------------------------
GPO nm
Path /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
Version 196611
GUID {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
Keys and values /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network Yes
МАШИННЫЕ НАСТРОЙКИ
------------------
Примененные Объекты Групповой Политики
--------------------------------------
GPO Local Policy
Path /var/cache/gpupdate/local-policy
Version -
GUID -
Keys and values /SOFTWARE/Policies/Microsoft/WindowsFirewall/FirewallRules/OpenSSH v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|
/Software/BaseALT/Policies/Control/ssh-gssapi-auth enabled
/Software/BaseALT/Policies/Control/sshd-allow-groups enabled
/Software/BaseALT/Policies/Control/sshd-allow-groups-list remote
/Software/BaseALT/Policies/Control/sshd-gssapi-auth enabled
/Software/BaseALT/Policies/Control/system-policy gpupdate
/Software/BaseALT/Policies/SystemdUnits/gpupdate.service 1
/Software/BaseALT/Policies/SystemdUnits/oddjobd.service 1
/Software/BaseALT/Policies/SystemdUnits/sshd.service 1
GPO nm
Path /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
Version 196611
GUID {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
Keys and values /Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network Auth_admin
/Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.settings.modify.system No
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.enable-disable-network 0
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.settings.modify.system 0
GPO KDE
Path /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{A12547D7-2FFA-4E37-9382-D6767489E3DF}
Version 393226
GUID {A12547D7-2FFA-4E37-9382-D6767489E3DF}
Keys and values /Software/BaseALT/Policies/GPUpdate/GlobalExperimental 1
/Software/BaseALT/Policies/GPUpdate/KdeApplierUser 1
/Software/BaseALT/Policies/KDE/baloofilerc/Basic Settings/Indexing-Enabled 0
/Software/BaseALT/Policies/KDE/baloofilerc/General/index hidden folders 1
/Software/BaseALT/Policies/KDE/baloofilerc/General/only basic indexing 1
/Software/BaseALT/Policies/KDE/kwinrc/Windows/FocusPolicy FocusFollowsMouse
/Software/BaseALT/Policies/KDE/kwinrc/Windows/NextFocusPrefersMouse 1
/Software/BaseALT/Policies/KDE/plasma-localerc/Formats/LANG ru_RU.UTF-8
/Software/BaseALT/Policies/KDE/plasma-localerc/Translation/LANGUAGE ru
/Software/BaseALT/Policies/KDELocks/baloofilerc.Basic Settings.Indexing-Enabled 1
/Software/BaseALT/Policies/KDELocks/kwinrc.Windows.FocusPolicy 1
/Software/BaseALT/Policies/KDELocks/plasma-localerc.Formats.LANG 1
/Software/BaseALT/Policies/KDELocks/plasma-localerc.Translation.LANGUAGE 0
/Software/BaseALT/Policies/Polkit/org.freedesktop.packagekit.package-reinstall No
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.packagekit.package-reinstall 0
$ gpresult -v -u
Отчет сформирован 29-11-2024 15:45
Результирующий набор политик
----------------------------
Операционная система: ALT Workstation
Версия ОС: 10.4 (Autolycus)
Локальный профиль: /home/TEST.ALT/ivanov
ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ
--------------------------
Примененные Объекты Групповой Политики
--------------------------------------
GPO Ярлыки
Путь /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{84852039-C31A-4C14-97C7-AC98810083B0}
Версия 65537
GUID {84852039-C31A-4C14-97C7-AC98810083B0}
Ключи и значения -
Настройки -
GPO Default Domain Policy
Путь /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{31B2F340-016D-11D2-945F-00C04FB984F9}
Версия 0
GUID {31B2F340-016D-11D2-945F-00C04FB984F9}
Ключи и значения -
Настройки -
GPO Control
Путь /var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{653398BD-1EC1-4059-892C-2577B4D03669}
Версия 0
GUID {653398BD-1EC1-4059-892C-2577B4D03669}
Ключи и значения -
Настройки -
$ gpresult -l
Local Policy -
nm {6F65CD4D-9209-4A81-9801-17A35CEE5CFD}
KDE {A12547D7-2FFA-4E37-9382-D6767489E3DF}
$ gpresult -c -i 6F65CD4D-9209-4A81-9801-17A35CEE5CFD
/Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.enable-disable-network Auth_admin
/Software/BaseALT/Policies/Polkit/org.freedesktop.NetworkManager.settings.modify.system No
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.enable-disable-network 0
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.NetworkManager.settings.modify.system 0
$ gpresult -c -n KDE
/Software/BaseALT/Policies/GPUpdate/GlobalExperimental 1
/Software/BaseALT/Policies/GPUpdate/KdeApplierUser 1
/Software/BaseALT/Policies/KDE/baloofilerc/Basic Settings/Indexing-Enabled 0
/Software/BaseALT/Policies/KDE/baloofilerc/General/index hidden folders 1
/Software/BaseALT/Policies/KDE/baloofilerc/General/only basic indexing 1
/Software/BaseALT/Policies/KDE/kwinrc/Windows/FocusPolicy FocusFollowsMouse
/Software/BaseALT/Policies/KDE/kwinrc/Windows/NextFocusPrefersMouse 1
/Software/BaseALT/Policies/KDE/plasma-localerc/Formats/LANG ru_RU.UTF-8
/Software/BaseALT/Policies/KDE/plasma-localerc/Translation/LANGUAGE ru
/Software/BaseALT/Policies/KDELocks/baloofilerc.Basic Settings.Indexing-Enabled 1
/Software/BaseALT/Policies/KDELocks/kwinrc.Windows.FocusPolicy 1
/Software/BaseALT/Policies/KDELocks/plasma-localerc.Formats.LANG 1
/Software/BaseALT/Policies/KDELocks/plasma-localerc.Translation.LANGUAGE 0
/Software/BaseALT/Policies/Polkit/org.freedesktop.packagekit.package-reinstall No
/Software/BaseALT/Policies/PolkitLocks/org.freedesktop.packagekit.package-reinstall 0
где KDE — имя групповой политики.
admc
).
Примечание
$ kinit administrator
Примечание
/usr/share/icons
, пользовательские темы берутся по умолчанию из каталога /usr/share/ad-integration
. Каталоги с темами определяются по наличию в них файла index.theme
и могут быть символическими ссылками.
Таблица 9.1. Назначение вкладок окна «Свойства учётной записи пользователя»
Вкладка
|
Описание
|
Расширенный режим
|
---|---|---|
Общее
|
Основная вкладка, содержащая информацию, идентифицирующую личность пользователя, которой соответствует данная учётная запись
|
-
|
Учётная запись
|
Характеристики учётной записи пользователя, настройка правил регистрации в сети
|
-
|
Адрес
|
Почтовый адрес пользователя
|
-
|
Организация
|
Данные о сотруднике согласно штатному расписанию
|
-
|
Телефоны
|
Настройка телефонии
|
-
|
Группы
|
Управление членством в группах безопасности
|
-
|
Атрибуты
|
Список атрибутов объекта
|
+
|
Объект
|
Информация об объекте
|
+
|
Делегирование
|
|
-
|
Безопасность
|
Права доступа к объекту
|
+
|
Таблица 9.2. Соответствие параметров на вкладке «Общее» полям в AD
Поле на вкладке Общее
|
Примечание
|
Поле в Active Directory
|
Тип
|
---|---|---|---|
Полное имя
|
Во вкладке Общее значение этого поля изменить нельзя
|
cn, name
|
Юникод
|
Описание
|
|
description
|
Юникод
|
Имя
|
|
givenName
|
Юникод
|
Фамилия
|
|
sn
|
Юникод
|
Отображаемое имя
|
Значение этого параметра складывается из значений трёх параметров: First Name, Initials и Last Name
|
diplayName
|
Юникод
|
Инициалы
|
Длина не более 6 символов
|
initials
|
Юникод
|
Электронная почта
|
Автоматически заполняемое поле в соответствии с форматом UPN (RFC 822) при создании почтового ящика для учётной записи пользователя. По умолчанию поле пустое
|
mail
|
Юникод
|
Расположение офиса
|
Указывается физическое месторасположение пользователя: комната, офис и т.д.
|
physicalDeliveryOfficeName
|
Юникод
|
Номер телефона
|
|
telephoneNumber
|
Юникод
|
Другие телефоны
|
Можно задать, нажав кнопку
|
otherTelephone
|
Юникод
|
Адрес веб-страницы
|
|
wWWHomePage
|
Юникод
|
Другие адреса веб-страниц
|
Можно задать, нажав кнопку
|
url
|
Юникод
|
Таблица 9.3. Соответствие параметров на вкладке «Учетная запись» полям в AD
Поле на вкладке Учетная запись
|
Примечание
|
Поле в Active Directory
|
Тип
|
---|---|---|---|
Имя для входа
|
Имя пользователя для входа (логин пользователя)
|
userPrincipalName
|
Юникод
|
Разблокировать учётную запись
|
Позволяет разблокировать учётную запись пользователя, если она была заблокирована, например, из-за слишком большого количества неудачных попыток входа
|
userAccountControl = 16
|
Целое число
|
Срок действия учётной записи
|
Дата отключения учётной записи (по умолчанию Никогда — неограниченный срок действия). Если нужно задать дату окончания срока действия учётной записи пользователя, следует выбрать Конец и затем выбрать дату
|
accountExpires
|
Большое целое число
|
Время входа…
|
Часы, в которые пользователю разрешено выполнять вход в домен
|
logonHours
|
Октет
|
Учетная запись отключена (ACCOUNTDISABLE)
|
Если эта опция включена, пользователь не сможет войти в систему
|
userAccountControl = 0x0002 (2)
|
Целое число
|
Пользователь не может изменить пароль (PASSWD_CANT_CHANGE)
|
|
userAccountControl = 0x0040 (64)
|
Целое число
|
Пользователь должен сменить пароль при следующем входе в систему
|
|
pwdLastSet
|
Большое целое число
|
Пароль не истекает (DONT_EXPIRE_PASSWORD)
|
Срок действия пароля для этой учётной записи никогда не истечет
|
userAccountControl = 0x10000 (65536)
|
Целое число
|
Хранить пароль с использованием обратимого шифрования (ENCRYPTED_TEXT_PWD_ALLOWED)
|
Для шифрования ключей использовать DES-шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности
|
userAccountControl = 0x0080 (128)
|
Целое число
|
Смарт-карта необходима для интерактивного входа в систему (SMARTCARD_REQUIRED)
|
Пользователь должен войти в систему с помощью смарт-карты
|
userAccountControl = 0x40000 (262144)
|
Целое число
|
Учетная запись является конфиденциальной и не может быть делегирована (NOT_DELEGATED)
|
Пользователю нельзя доверять делегирование полномочий
|
userAccountControl = 0x100000 (1048576)
|
Целое число
|
Использовать Kerberos DES тип шифрования для этой учётной записи (USE_DES_KEY_ONLY)
|
Ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей
|
userAccountControl = 0x200000 (2097152)
|
Целое число
|
Не требовать предварительной аутентификации Kerberos (DONT_REQ_PREAUTH)
|
Для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos
|
userAccountControl = 0x400000 (4194304)
|
Целое число
|
Доверять делегирование (TRUSTED_FOR_DELEGATION)
|
Учетная запись пользователя или компьютера, под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу
|
userAccountControl = 0x80000 (524288)
|
Целое число
|
Примечание
Примечание
Примечание
Примечание
Примечание
Предупреждение
Предупреждение
Предупреждение
Примечание
Предупреждение
Примечание
Примечание
Примечание
Примечание
Предупреждение
Примечание
Примечание
Примечание
Примечание
Примечание
Примечание
Примечание
Примечание
Примечание
Примечание
<Фильтр>=(<Атрибут><оператор сравнения><значение>)
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"
-p
позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt
— имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}
— GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.
Примечание
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"
/usr/share/PolicyDefinitions
.
-b
:
$ gpui-main -b "/usr/share/PolicyDefinitions"
Примечание
systemctl enable <служба>
);
systemctl disable <служба>
).
Таблица 10.1. Список служб, состояние которых можно изменить, настроив соответствующую политику в GPUI
Служба
|
Описание
|
Сервис Systemd
|
---|---|---|
Менеджер модема
|
Политика определяет, включен ли systemd юнит диспетчера модемов
|
ModemManager.service
|
Ожидание Network Manager'ом сети при загрузке
|
Политика определяет, включен ли systemd юнит «Network Manager Wait Online»
|
NetworkManager-wait-online.service
|
Управление службой Network Manager
|
Политика определяет, включен ли systemd юнит «Network Manager»
|
NetworkManager.service
|
Служба учётных записей (accounts-daemon)
|
Политика определяет, включен ли systemd юнит службы учётных записей (accounts-daemon)
|
accounts-daemon.service
|
Служба события ACPI
|
Политика определяет, включен ли systemd юнит системной службы событий ACPI
|
acpid.service
|
Сервер frontend веб-интерфейса Alterator
|
Политика определяет, включен ли systemd юнит веб-сервера frotend WWW интерфейса Alterator
|
ahttpd.service
|
Серверная часть Alterator
|
Политика определяет, включен ли systemd юнит внутреннего сервера Alterator
|
alteratord.service
|
Служба аудита безопасности
|
Политика определяет, включен ли системный модуль службы аудита безопасности
|
auditd.service
|
Avahi mDNS/DNS-SD
|
Политика определяет, включен ли systemd юнит стека mDNS/DNS-SD Avahi
|
avahi-daemon.service
|
DNS-сервер BIND
|
Политика определяет, включен ли systemd юнит DNS-сервера (сервиса) BIND (Berkeley Internet Name Domain)
|
bind.service
|
Chronyd (служба NTP)
|
Политика определяет, включен ли systemd юнит NTP клиента/сервера Chronyd
|
chronyd.service
|
Сервис colord
|
Политика определяет, включен ли systemd юнит colord (сервис для управления, установки и создания цветовых профилей)
|
colord.service
|
Сервис Сonsolesaver SYSV
|
Политика определяет, включен ли systemd юнит Сonsolesaver (SYSV: этот пакет загружает конфигурацию энергосбережения консоли)
|
consolesaver.service
|
Cpufreq-simple сервис
|
Политика определяет, включен ли systemd юнит службы Cpufreq-simple (загружает модули ядра, необходимые для масштабирования cpufreq)
|
cpufreq-simple.service
|
Служба Crond
|
Политика определяет, включен ли systemd юнит службы Cron
|
crond.service
|
Шина системных сообщений D-Bus
|
Политика определяет, включен ли systemd юнит шины системных сообщений D-Bus
|
dbus.service
|
Служба Dnsmasq
|
Политика определяет, включен ли systemd юнит службы Dnsmasq (облегченный DHCP и кеширующий DNS-сервер, а также TFTP-сервер для поддержки загрузки по сети)
|
dnsmasq.service
|
Менеджер мыши в консоли
|
Политика определяет, включен ли sytemd юнит диспетчера мыши консоли
|
gpm.service
|
Системный модуль kmod-static-nodes
|
Политика определяет, включен ли systemd юнит kmod-static-nodes (создаёт список необходимых статических узлов устройства для текущего ядра)
|
kmod-static-nodes.service
|
Kerberos 5 KDC
|
Политика определяет, включен ли systemd юнит Kerberos 5 KDC
|
krb5kdc.service
|
Графический менеджер входа в систему (lightdm)
|
Политика определяет, включен ли systemd юнит службы графического менеджера входа в систему
|
lightdm.service
|
Служба сетевых подключений
|
Политика определяет, включен ли systemd юнит службы сетевых подключений
|
network.service
|
Samba NMB сервис
|
Политика определяет, включен ли systemd юнит сервиса Samba NMB
|
nmb.service
|
Сервис кеширования службы имен (nscd)
|
Политика определяет, включён ли systemd юнит сервиса кеширования службы имен
|
nscd.service
|
Сервис службы именования LDAP-клиента (nslcd)
|
Политика определяет, включен ли systemd юнит сервиса служб именования клиента LDAP
|
nslcd.service
|
Системный модуль oddjobd
|
Политика определяет, включен ли systemd юнит oddjobd (используется для запуска привилегированных операций для непривилегированных процессов)
|
oddjobd.service
|
SYSV: интерфейс терминала смарт-карт
|
Политика определяет, включен ли systemd юнит Openct (SYSV: терминал смарт-карт)
|
openct.service
|
Планировщик CUPS
|
Политика определяет, включен ли systemd юнит Service CUPS (планировщик)
|
org.cups.cupsd.service
|
Служба PC/SC Smart Card
|
Политика определяет, включен ли systemd юнит службы поддержки PC/SC Smart Card
|
pcscd.service
|
Диспетчер авторизации (polkit)
|
Политика определяет, включен ли systemd юнит диспетчера авторизации (polkit)
|
polkit.service
|
Агент передачи почты Postfix
|
Политика определяет, включен ли systemd юнит агента передачи почты Postfix
|
postfix.service
|
Сервис отображения универсальных адресов и номеров программ RPC
|
Политика определяет, включен ли systemd юнит RPC bind
|
rpcbind.service
|
Samba SMB сервис
|
Политика определяет, включен ли systemd юнит сервис Samba SMB
|
smb.service
|
Служба защищенного управления (sshd)
|
Политика определяет, включен ли systemd юнит демона сервера OpenSSH
|
sshd.service
|
Демон Upower
|
Политика определяет, включен ли systemd юнит Daemon Upower (управление питанием)
|
upower.service
|
Samba Winbind сервис
|
Политика определяет, включен ли systemd юнит Samba Winbind
|
winbind.service
|
Таблица 10.2. Категория «Безопасность»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Выполнение программы
/usr/bin/chage
|
chage
|
Политика позволяет контролировать доступ для выполнения программы
/usr/bin/chage
|
|
Выполнение программы
/usr/bin/chfn
|
chfn
|
Политика позволяет контролировать поведение и права доступа к команде
chfn (/usr/bin/chfn ). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учётной записи пользователя. Обычный пользователь может изменять поля только для своей учётной записи, с учётом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя)
|
|
Выполнение программы
/usr/bin/chsh
|
chsh
|
Политика позволяет управлять правами доступа к команде
chsh (/usr/bin/chsh ). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash ). Обычный пользователь может изменить командную оболочку только для своей учётной записи (командная оболочка должна быть перечислена в файле /etc/shells ). Суперпользователь может изменить настройки для любой учётной записи (могут быть указаны любые значения)
|
|
Разрешение на использование
consolehelper
|
consolehelper
|
Определяет права доступа к инструменту
consolehelper (/usr/lib/consolehelper/priv/auth ), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM. Когда это возможно, аутентификация выполняется графически; в противном случае выполняется в текстовой консоли, с которой был запущен consolehelper
|
|
Выполнение программы
/usr/bin/gpasswd
|
gpasswd
|
Определяет права на запуск инструмента
/usr/bin/gpasswd
|
|
Выполнение программы
/usr/bin/groupmems
|
groupmems
|
Определяет права на выполнение программы
/usr/bin/groupmems
|
|
Выполнение программы
usr/sbin/hddtemp
|
groupmems
|
Разрешение на использование инструмента
usr/sbin/hddtemp — отслеживание температуры жёсткого диска
|
|
Разрешения для
/usr/bin/newgrp
|
newgrp
|
Разрешение на использование инструмента
/usr/bin/newgrp
|
|
Создание временных каталогов
|
pam_mktemp
|
Определяет, следует ли создавать отдельные временные каталоги для пользователей
|
|
Управление паролями с помощью
passwd
|
passwd
|
Определяет политику управления паролями с помощью команды
/usr/bin/passwd
|
|
Управление проверками сложности пароля
|
passwdqc-enforce
|
Политика управляет паролями для достаточной надежности пароля
|
|
Разрешения для
/bin/su
|
su
|
Определяет разрешения для
/bin/su
|
|
Разрешения для
/usr/bin/sudo
|
sudo
|
Определяет разрешения для
/usr/bin/sudo
|
|
Режим передачи родительской среды в sudo
|
sudoers
|
Определяет, передаются ли переменные среды в sudo
|
|
Разрешения для
/usr/bin/sudoreplay
|
sudoreplay
|
Определяет разрешения для
/usr/bin/sudoreplay
|
|
Разрешить команду
sudo членам группы «wheel»
|
sudowheel
|
Эта политика разрешает или запрещает членам группы «wheel» применять команду
sudo . Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo . Если политика не сконфигурирована или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo
|
|
Метод аутентификации
|
system-auth
|
Определяет метод аутентификации пользователя
|
|
Разрешения для
/usr/lib/chkpwd/tcb_chkpwd
|
tcb_chkpwd
|
Определяет разрешения для привилегированного помощника
/usr/lib/chkpwd/tcb_chkpwd
|
|
Разрешения для
/usr/bin/write
|
write
|
Определяет разрешения для
/usr/bin/write
|
|
Примечание
/etc/samba/smb.conf
в секции [global] подключен файл /etc/samba/usershares.conf
(include = /etc/samba/usershares.conf).
Таблица 10.3. Категория «Службы»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Права доступа и поведение очереди заданий
/usr/bin/at
|
at
|
Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска
/usr/bin/at )
|
|
Режим демона NTP Chrony
|
chrony
|
Политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
|
|
Разрешение на использование
crontab
|
crontab
|
Политика определяет права доступа к инструменту
crontab (/usr/bin/crontab )
|
|
Режим CUPS
|
cups
|
Политика определяет поведение CUPS
|
|
Обратный поиск DNS для запросов OpenLDAP
|
ldap-reverse-dns-lookup
|
Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
|
|
Проверка сертификата при установлении соединений TLS OpenLDAP
|
ldap-tls-cert-check
|
Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP
|
|
Режим работы Postfix MTA
|
postfix
|
Политика определяет режим работы MTA Postfix (почтовый транспортный агент)
|
|
Разрешения для
/usr/sbin/postqueue
|
postqueue
|
Определяет разрешения для
/usr/sbin/postqueue
|
|
Режим работы Rpcbind
|
rpcbind
|
Политика определяет режим работы
rpcbind (/sbin/rpcbind )
|
|
Поддержка SFTP на сервере OpenSSH
|
sftp
|
Политика определяет поддержку SFTP на сервере OpenSSH
|
|
Поддержка аутентификации OpenSSH-клиентов через GSSAPI
|
ssh-gssapi-auth
|
Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI
|
|
Samba опции
|
|||
Гостевой доступ к общим каталогам
|
smb-conf-usershare-allow-guests
|
Политика управляет возможностью предоставления гостевого доступа общему ресурсу.
Данная политика управляет параметром
usershare allow guests в файле /etc/samba/usershares.conf .
|
|
Доступ к общим каталогам других пользователей
|
smb-conf-usershare-owner-only
|
Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога.
Данная политика управляет параметром
usershare owner only в файле /etc/samba/usershares.conf .
|
|
Доступ членам группы «sambashare» к управлению общими каталогами
|
role-sambashare
|
Политика управляет разрешением членам группы «sambashare» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге
/var/lib/samba/usershares , права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».
|
|
Доступ членам группы «users» к управлению общими каталогами
|
role-usershares
|
Политика управляет разрешением членам группы «users» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге
/var/lib/samba/usershares , права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».
|
|
Запрет на создание общих каталогов в системных каталогах
|
smb-conf-usershare-deny-list
|
Данная политика управляет параметром
usershare prefix deny list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр
usershare prefix deny list определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix deny list заданы каталоги: /etc , /dev , /sys , /proc .
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
|
|
Разрешение на создание общих каталогов в системных каталогах
|
smb-conf-usershare-allow-list
|
Данная политика управляет параметром
usershare prefix allow list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр
usershare prefix allow list определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix allow list заданы каталоги: /home , /srv , /mnt , /media , /var .
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
|
|
Разрешение на создание пользовательских общих каталогов
|
smb-conf-usershare
|
Политика управляет возможностью создания пользовательских общих каталогов на компьютере.
Дананя политика управляет параметром
usershare max shares в файле /etc/samba/usershares.conf , который устанавливает предельное число общих каталогов.
|
|
SSHD опции
|
|||
Контроль доступа по группам к серверу OpenSSH
|
ssh-gssapi-auth
|
Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп
|
|
Группы для контроля доступа к серверу OpenSSH
|
sshd-allow-groups-list
|
Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH
|
|
Поддержка GSSAPI-аутентификации на сервере OpenSSH
|
sshd-gssapi-auth
|
Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH
|
|
Аутентификация по паролю на сервере OpenSSH
|
sshd-password-auth
|
Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH
|
|
Аутентификация суперпользователя на сервере OpenSSH
|
sshd-permit-root-login
|
Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH
|
|
SSSD опции
|
|||
Контроль доступа в SSSD через групповые политики
|
sssd-ad-gpo-access-control
|
Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
|
|
Игнорирование политик при недоступности GPT
|
sssd-ad-gpo-ignore-unreadable
|
Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
|
|
Кеширование учётных данных пользователей
|
sssd-cache-credentials
|
Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кеше SSSD
|
|
Режим привилегий службы SSSD
|
sssd-drop-privileges
|
Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
|
|
Обновление DNS-записей прямой зоны
|
sssd-dyndns-update
|
Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
|
|
Обновление DNS-записей обратной зоны
|
sssd-dyndns-update-ptr
|
Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»
|
|
Таблица 10.4. Категория «Сетевые приложения»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Разрешение на использование
/usr/bin/mtr
|
mtr
|
Разрешение на использование сетевого инструмента
/usr/bin/mtr
|
|
Разрешения для
/usr/bin/ping
|
ping
|
Эта политика определяет разрешения для
/usr/bin/ping
|
|
Разрешения для
/usr/sbin/pppd
|
ppp
|
Эта политика определяет разрешения для
/usr/sbin/pppd
|
|
Разрешения для wireshark-capture (
dumpcap )
|
wireshark-capture
|
Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (
/usr/bin/dumpcap )
|
|
Таблица 10.5. Категория «Приложения для CD/DVD»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Разрешение на использование
/usr/bin/dvd-ram-control
|
dvd-ram-control
|
Эта политика определяет права доступа к
/usr/bin/dvd-ram-control
|
|
Разрешения на использование
/usr/bin/dvd+rw-booktype
|
dvd+rw-booktype
|
Эта политика определяет права доступа к
/usr/bin/dvd+rw-booktype
|
|
Разрешения на использование
/usr/bin/dvd+rw-format
|
dvd+rw-format
|
Эта политика определяет права доступа к
/usr/bin/dvd+rw-format
|
|
Разрешения на использование
/usr/bin/dvd+rw-mediainfo
|
dvd+rw-mediainfo
|
Эта политика определяет права доступа к
/usr/bin/dvd+rw-mediainfo
|
|
Разрешения на использование
/usr/bin/growisofs
|
growisofs
|
Эта политика определяет права на использование инструмента
/usr/bin/growisofs
|
|
Таблица 10.6. Категория «Монтирование»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Доступ к инструментам FUSE
|
fusermount
|
Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ
/usr/bin/fusermount и /usr/bin/fusermount3 )
|
|
Разрешения для
/bin/mount и /bin/umount
|
mount
|
Эта политика определяет разрешения для
/bin/mount и /bin/umount
|
|
Разрешения для
/sbin/mount.nfs
|
nfsmount
|
Эта политика определяет разрешения для
/sbin/mount.nfs
|
|
Правила подключения USB-накопителей
|
udisks2
|
Эта политика определяет правила подключения USB-накопителей
|
|
Таблица 10.7. Категория «Виртуализация»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Разрешения для VirtualBox
|
virtualbox
|
Эта политика определяет разрешения для VirtualBox
|
|
Таблица 10.8. Категория «Графическая подсистема»
Политика
|
Control
|
Описание
|
Режимы
|
---|---|---|---|
Cписок пользователей в greeter (LightDM)
|
lightdm-greeter-hide-users
|
Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
|
|
Стандартные каталоги в home
|
xdg-user-dirs
|
Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя
|
|
Разрешения для Xorg
|
xorg-server
|
Эта политика определяет разрешения для Xorg (
/usr/bin/Xorg )
|
|
Примечание
/etc/polkit-1/rules.d/50-default.rules
:
polkit.addAdminRule(function(action, subject) { return ["unix-group:wheel"]; });По умолчанию запрашивается пароль пользователя, находящегося в группе wheel.
49-alt_group_policy_permissions.rules
, для пользовательской политики — 48-alt_group_policy_permissions_user.<USERNAME>.rules
. Правила для пользовательской политики обрабатываются до правил для машинной политики. У машинных политик имеются блокировки (параметр Блокировать), при установке которых машинные политики становятся приоритетнее пользовательских (создается файл правил 47-alt_group_policy_permissions.rules
).
Таблица 10.9. Ограничения для работы с токенами и смарт-картами
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности доступа к демону PC/SC
|
Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами
|
org.debian.pcsc-lite.access_pcsc
|
Ограничение возможности доступа к смарт-картам
|
Данная политика управляет ограничением возможности доступа к смарт-картам
|
org.debian.pcsc-lite.access_card
|
Таблица 10.10. Ограничения службы Login
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности блокировки или разблокировки экрана активных сеансов
|
Политика ограничивает возможность блокировки или разблокировки экрана активных сеансов
|
org.freedesktop.login1.lock-sessions
|
Ограничение возможности выключения питания системы
|
Политика ограничивает возможность выключения питания системы
|
org.freedesktop.login1.power-off
|
Ограничение возможности выключения системы, когда приложение запрещает это действие
|
Политика ограничивает возможность выключения системы, когда приложение запрещает это действие
|
org.freedesktop.login1.power-off-ignore-inhibit
|
Ограничение возможности выключения системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность выключения системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.power-off-multiple-sessions
|
Ограничение возможности изменения сеанса виртуального терминала
|
Политика управляет ограничением возможности изменить сеанс виртуального терминала
|
org.freedesktop.login1.chvt
|
Ограничение возможности остановки системы
|
Политика ограничивает возможность остановки системы
|
org.freedesktop.login1.halt
|
Ограничение возможности остановки системы, когда приложение запрещает это действие
|
Политика ограничивает возможность остановки системы, пока приложение запрещает это действие
|
org.freedesktop.login1.halt-ignore-inhibit
|
Ограничение возможности остановки системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность остановки системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.halt-multiple-sessions
|
Ограничение возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
|
Политика управляет ограничением возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
|
org.freedesktop.login1.flush-devices
|
Ограничение возможности перевода системы в спящий режим
|
Политика ограничивает возможность перевода системы в спящий режим
|
org.freedesktop.login1.hibernate
|
Ограничение возможности перевода системы в спящий режим, пока приложение препятствует этому
|
Политика ограничивает возможность перевода системы в спящий режим, пока приложение препятствует этому
|
org.freedesktop.login1.hibernate-ignore-inhibit
|
Ограничение возможности перевода системы в спящий режим, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность перевода системы в спящий режим, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.hibernate-multiple-sessions
|
Ограничение возможности перезагрузки системы
|
Политика ограничивает возможность перезагрузки системы
|
org.freedesktop.login1.reboot
|
Ограничение возможности перезагрузки системы, когда приложение препятствует этому действию
|
Политика ограничивает возможность перезагрузки системы, когда приложение препятствует этому действию
|
org.freedesktop.login1.reboot-ignore-inhibit
|
Ограничение возможности перезагрузки системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность перезагрузки системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.reboot-multiple-sessions
|
Ограничение возможности приложениям блокировать выключение системы
|
Политика ограничивает возможность приложениям блокировать выключение системы
|
org.freedesktop.login1.inhibit-block-shutdown
|
Ограничение возможности приложениям запрещать автоматическое приостановление работы системы
|
Политика ограничивает возможность приложениям запрещать автоматическое приостановление работы системы
|
org.freedesktop.login1.inhibit-block-idle
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
|
org.freedesktop.login1.inhibit-handle-hibernate-key
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
|
org.freedesktop.login1.inhibit-handle-lid-switch
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
|
org.freedesktop.login1.inhibit-handle-reboot-key
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
|
org.freedesktop.login1.inhibit-handle-power-key
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
|
org.freedesktop.login1.inhibit-handle-suspend-key
|
Ограничение возможности приложениям запрещать системный сон
|
Политика ограничивает возможность приложениям запрещать системный сон
|
org.freedesktop.login1.inhibit-block-sleep
|
Ограничение возможности приложениям откладывать выключение системы
|
Политика ограничивает возможность приложениям откладывать выключение системы
|
org.freedesktop.login1.inhibit-delay-shutdown
|
Ограничение возможности приложениям откладывать переход в спящий режим
|
Политика ограничивает возможность приложениям откладывать переход в спящий режим
|
org.freedesktop.login1.inhibit-delay-sleep
|
Ограничение возможности приостановки работы системы
|
Политика ограничивает возможность приостановки работы системы
|
org.freedesktop.login1.suspend
|
Ограничение возможности приостановки работы системы, пока приложение препятствует этому действию
|
Политика ограничивает возможность приостановки работы системы, пока приложение препятствует этому действию
|
org.freedesktop.login1.suspend-ignore-inhibit
|
Ограничение возможности приостановки работы системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность приостановки работы системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.suspend-multiple-sessions
|
Ограничение возможности присоединения устройств к рабочим местам
|
Политика управляет ограничением возможности присоединить устройства к рабочим местам
|
org.freedesktop.login1.attach-device
|
Ограничение возможности разрешения незалогиненному пользователю запускать программы
|
Политика ограничивает возможность разрешения незалогиненному пользователю запускать программы
|
org.freedesktop.login1.set-self-linger
|
Ограничение возможности разрешения незалогиненным пользователям запускать программы
|
Политика ограничивает возможность разрешения незалогиненным пользователям запускать программы
|
org.freedesktop.login1.set-user-linger
|
Ограничение возможности указания загрузчику системы на загрузку в определенную запись загрузчика
|
Политика ограничивает возможность указания загрузчику системы на загрузку в определенную запись загрузчика
|
org.freedesktop.login1.set-reboot-to-boot-loader-entry
|
Ограничение возможности указания загрузчику системы на необходимость загрузки в меню загрузчика
|
Политика ограничивает возможность указания загрузчику системы на необходимость загрузки в меню загрузчика
|
org.freedesktop.login1.set-reboot-to-boot-loader-menu
|
Ограничение возможности указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
|
Политика ограничивает возможность указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
|
org.freedesktop.login1.set-reboot-to-firmware-setup
|
Ограничение возможности управления активными сеансами, пользователями и местами
|
Политика ограничивает возможность управления активными сеансами, пользователями и местами
|
org.freedesktop.login1.manage
|
Ограничение возможности установки «причины» перезагрузки в ядре
|
Политика ограничивает возможность установить «причины» перезагрузки в ядре
|
org.freedesktop.login1.set-reboot-parameter
|
Ограничение возможности установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
|
Политика ограничивает возможность установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
|
org.freedesktop.login1.set-wall-message
|
Таблица 10.11. Ограничения службы Machine
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности авторизации в локальном контейнере
|
Политика управляет ограничением возможности авторизации в локальном контейнере
|
org.freedesktop.machine1.login
|
Ограничение возможности авторизации на локальном хосте
|
Политика управляет ограничением возможности авторизации на локальном хосте
|
org.freedesktop.machine1.host-login
|
Ограничение возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
|
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
|
org.freedesktop.machine1.shell
|
Ограничение возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
|
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
|
org.freedesktop.machine1.host-shell
|
Ограничение возможности получения псевдотелетайпа (TTY) в локальном контейнере
|
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) в локальном контейнере
|
org.freedesktop.machine1.open-pty
|
Ограничение возможности получения псевдотелетайпа (TTY) на локальном хосте
|
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) на локальном хосте
|
org.freedesktop.machine1.host-open-pty
|
Ограничение возможности управления локальными виртуальными машинами и контейнерами
|
Политика управляет ограничением возможности управления локальными виртуальными машинами и контейнерами
|
org.freedesktop.machine1.manage-machines
|
Ограничение возможности управления локальными виртуальными машинами и образами контейнеров
|
Политика управляет ограничением возможности управления локальными виртуальными машинами и образами контейнеров
|
org.freedesktop.machine1.manage-images
|
Таблица 10.12. Ограничения ModemManager
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности блокировки и управления мобильным широкополосным устройством
|
Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства
|
org.freedesktop.ModemManager1.Device.Control
|
Ограничение возможности добавления, изменения или удаления контактов устройства
|
Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа
|
org.freedesktop.ModemManager1.Contacts
|
Ограничение возможности запросов и использования сетевой информации и услуг
|
Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы
|
org.freedesktop.ModemManager1.USSD
|
Ограничение возможности запросов информации о сетевом времени и часовом поясе
|
Политика ограничивает возможность запрашивать информацию о сетевом времени
|
org.freedesktop.ModemManager1.Time
|
Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений
|
Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства
|
org.freedesktop.ModemManager1.Messaging
|
Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова
|
Политика ограничивает возможность голосовых вызовов
|
org.freedesktop.ModemManager1.Voice
|
Ограничение возможности просмотра информации о географическом положении и позиционировании
|
Политика ограничивает возможность просмотра информации о географическом положении
|
org.freedesktop.ModemManager1.Location
|
Ограничение возможности управления демоном Modem Manager
|
Политика ограничивает возможность управления диспетчером модемов
|
org.freedesktop.ModemManager1.Control
|
Ограничение возможности управления прошивкой мобильного широкополосного устройства
|
Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства
|
org.freedesktop.ModemManager1.Firmware
|
Таблица 10.13. Ограничения NetworkManager
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности включения или отключения сети
|
Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации
|
org.freedesktop.NetworkManager.enable-disable-network
|
Ограничение возможности включения или отключения статистики
|
Политика управляет ограничением возможности включения или отключения счётчика статистики устройства
|
org.freedesktop.NetworkManager.enable-disable-statistics
|
Ограничение возможности включения или отключения устройств Wi-Fi
|
Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi
|
org.freedesktop.NetworkManager.enable-disable-wifi
|
Ограничение возможности включения или отключения устройств WiMAX
|
Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX
|
org.freedesktop.NetworkManager.enable-disable-wimax
|
Ограничение возможности включения или отключения WWAN-устройств
|
Политика управляет ограничением возможности включения или отключения WWAN-устройств
|
org.freedesktop.NetworkManager.enable-disable-wwan
|
Ограничение возможности изменения общих настроек DNS
|
Политика управляет ограничением возможности изменений общей конфигурации DNS
|
org.freedesktop.NetworkManager.settings.modify.global-dns
|
Ограничение возможности изменения персональных сетевых настроек
|
Данная политика управляет ограничением возможности изменений личных сетевых соединений
|
org.freedesktop.NetworkManager.settings.modify.own
|
Ограничение возможности изменения постоянного имени хоста
|
Данная политика управляет ограничением возможности изменения постоянного имени (hostname) системы
|
org.freedesktop.NetworkManager.settings.modify.hostname
|
Ограничение возможности изменения сетевых подключений для всех пользователей
|
Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей
|
org.freedesktop.NetworkManager.settings.modify.system
|
Ограничение возможности изменения системных настроек для сети
|
Политика управляет ограничением возможности изменения системных сетевых настроек
|
org.freedesktop.NetworkManager.network-control
|
Ограничение возможности изменения состояния сна NetworkManager
|
Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы).
В спящем состоянии все интерфейсы, которыми управляет NetworkManager, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NetworkManager не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы.
|
org.freedesktop.NetworkManager.sleep-wake
|
Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке
|
Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней
|
org.freedesktop.NetworkManager.checkpoint-rollback
|
Ограничение возможности перезагрузки NetworkManager
|
Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager
|
org.freedesktop.NetworkManager.reload
|
Ограничение возможности проверки подключения сети
|
Политика управляет ограничением возможности включения или отключения проверки подключения к сети
|
org.freedesktop.NetworkManager.enable-disable-connectivity-check
|
Ограничение возможности сканирования Wi-Fi сетей
|
Данная политика управляет ограничением возможности сканирования Wi-Fi сетей
|
org.freedesktop.NetworkManager.wifi.scan
|
Ограничение возможности совместных подключений через защищённую сеть Wi-Fi
|
Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi
|
org.freedesktop.NetworkManager.wifi.share.protected
|
Ограничение возможности совместных подключений через открытую сеть Wi-Fi
|
Политика управляет ограничением возможности совместного подключения ерез открытую сеть Wi-Fi
|
org.freedesktop.NetworkManager.wifi.share.open
|
$ nmcli general permissions
PERMISSION VALUE
org.freedesktop.NetworkManager.checkpoint-rollback auth
org.freedesktop.NetworkManager.enable-disable-connectivity-check нет
org.freedesktop.NetworkManager.enable-disable-network auth
org.freedesktop.NetworkManager.enable-disable-statistics auth
org.freedesktop.NetworkManager.enable-disable-wifi да
org.freedesktop.NetworkManager.enable-disable-wimax да
org.freedesktop.NetworkManager.enable-disable-wwan да
org.freedesktop.NetworkManager.network-control да
org.freedesktop.NetworkManager.reload auth
org.freedesktop.NetworkManager.settings.modify.global-dns нет
org.freedesktop.NetworkManager.settings.modify.hostname auth
org.freedesktop.NetworkManager.settings.modify.own auth
org.freedesktop.NetworkManager.settings.modify.system да
org.freedesktop.NetworkManager.sleep-wake да
org.freedesktop.NetworkManager.wifi.scan да
org.freedesktop.NetworkManager.wifi.share.open да
org.freedesktop.NetworkManager.wifi.share.protected да
Таблица 10.14. Ограничения PackageKit
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности восстановления пакетов в системе
|
Данная политика ограничивает пользователям возможность восстановления системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.repair-system
|
Ограничение возможности добавления ключа электронной подписи
|
Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-trust-signing-key
|
Ограничение возможности обновления пакетов
|
Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-update
|
Ограничение возможности обновления системных источников пакетов
|
Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-sources-refresh
|
Ограничение возможности переустановки пакетов
|
Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-reinstall
|
Ограничение возможности принятия лицензионного соглашения
|
Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-eula-accept
|
Ограничение возможности редактирования источников пакетов
|
Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-sources-configure
|
Ограничение возможности удаления пакетов
|
Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-remove
|
Ограничение возможности установки пакетов
|
Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-install
|
Ограничение возможности установки непроверенных пакетов
|
Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-install-untrusted
|
Таблица 10.15. Ограничения Realmd
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности возможности запустить обнаружение области Kerberos REALM
|
Данная политика управляет ограничением возможности запустить обнаружение области Kerberos REALM
|
org.freedesktop.realmd.discover-realm
|
Ограничение возможности изменения политики входа в систему
|
Данная политика управляет ограничением возможности изменения политики входа в систему
|
org.freedesktop.realmd.login-policy
|
Ограничение возможности присоединения машины к домену или Kerberos REALM
|
Данная политика управляет ограничением возможности присоединения машины к домену или Kerberos REALM
|
org.freedesktop.realmd.configure-realm
|
Ограничение возможности отключения машины из домена или Kerberos REALM
|
Данная политика управляет ограничением возможности удаления машины из домена или Kerberos REALM
|
org.freedesktop.realmd.deconfigure-realm
|
Таблица 10.16. Ограничения Udisks
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Общая политика ограничения возможности монтирования
|
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах
|
org.freedesktop.udisks2.filesystem-mount
org.freedesktop.udisks2.filesystem-mount-other-seat
org.freedesktop.udisks2.filesystem-mount-system
|
Ограничение возможности включения/отключения SMART
|
Данная политика управляет ограничением возможности включения/отключения SMART
|
org.freedesktop.udisks2.ata-smart-enable-disable
|
Ограничение возможности запуска самопроверки SMART
|
Данная политика управляет ограничением возможности запуска самопроверки SMART
|
org.freedesktop.udisks2.ata-smart-selftest
|
Ограничение возможности монтирования системных разделов
|
Данная политика ограничивает возможность монтирования системных разделов. Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная
HintSystem установлена в значение True . Жёсткий диск с установленной ОС относится к системным устройствам
|
org.freedesktop.udisks2.filesystem-mount-system
|
Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах
|
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии)
|
org.freedesktop.udisks2.filesystem-mount-other-seat
|
Ограничение возможности монтирования файловой системы
|
Данная политика управляет ограничением возможности монтирования файловой системы устройства
|
org.freedesktop.udisks2.filesystem-mount
|
Ограничение возможности надежно стереть жесткий диск
|
Данная политика управляет ограничением возможности надежно стереть жесткий диск
|
org.freedesktop.udisks2.ata-secure-erase
|
Ограничение возможности обновить данные SMART
|
Данная политика управляет ограничением возможности обновить данные SMART
|
org.freedesktop.udisks2.ata-smart-update
|
Ограничение возможности отправить команду ожидания для диска с удаленного места
|
Данная политика управляет ограничением возможности отправить команду ожидания для диска с удаленного места
|
org.freedesktop.udisks2.ata-standby-other-seat
|
Ограничение возможности отправить команду режима ожидания на системный диск
|
Данная политика управляет ограничением возможности отправить команду режима ожидания на системный диск
|
org.freedesktop.udisks2.ata-standby-system
|
Ограничение возможности отправить резервную команду
|
Данная политика управляет ограничением возможности отправить резервную команду
|
org.freedesktop.udisks2.ata-standby
|
Ограничение возможности разрешения на проверку состояния питания жесткого диска
|
Данная политика управляет ограничением возможности разрешения на проверку состояния питания жесткого диска
|
org.freedesktop.udisks2.ata-check-power
|
Ограничение возможности установить данные SMART из большого двоичного объект
|
Данная политика управляет ограничением возможности установить данные SMART из большого двоичного объекта
|
org.freedesktop.udisks2.ata-smart-simulate
|
Таблица 10.17. Другие политики
Политика
|
Описание
|
Правило Polkitd
|
---|---|---|
Ограничение возможности запуска программы от имени другого пользователя
|
Данная политика управляет ограничением возможности запуска программы от имени другого пользователя
|
org.freedesktop.policykit.exec
|
{GUID GPT}/Machine/Registry.pol
и {GUID GPT}/User/Registry.pol
.
Registry.pol
:
PReg [Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;] [Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No] [Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self] [Software\BaseALT\Policies\PolkitLocks;org.freedesktop.NetworkManager.network-control;;;] [Software\BaseALT\Policies\Polkit;org.freedesktop.NetworkManager.network-control;;Yes]
Примечание
/etc/polkit-1/rules.d/
).
49-gpoa_disk_permissions.rules
, для пользовательской политики — 48-gpoa_disk_permissions_user.<USERNAME>.rules
.
Примечание
{GUID GPT}/Machine/Registry.pol
и {GUID GPT}/User/Registry.pol
.
Registry.pol
:
PReg [Software\Policies\Microsoft\Windows\RemovableStorageDevices;Deny_All;;;]
Таблица 10.18. Настройки фона рабочего стола
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Картинка фона рабочего стола
|
picture-filename
|
Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение
|
Строка, содержащая путь (с точки зрения клиента) к файлу изображения (например,
/usr/share/backgrounds/mate/nature/Wood.jpg )
|
Метод отображения картинки фона
|
picture-options
|
Устанавливает метод отображения изображения, заданного параметром Картинка фона рабочего стола
|
|
Тип градиента
|
color-shading-type
|
Устанавливает тип градиента фона рабочего стола. Этот параметр имеет смысл, только если не установлен параметр Картинка фона рабочего стола
|
|
Конечный цвет градиента
|
secondary-color
|
Устанавливает «конечный» цвет градиента фона рабочего стола. Данным цветом заканчивается градиент и, в зависимости от типа градиента, параметр определяет цвет правого или нижнего края рабочего стола. Данный параметр не используется, если в параметре Тип градиента выбрана Сплошная заливка
|
|
Начальный цвет градиента
|
primary-color
|
Устанавливает начальный цвет градиента фона рабочего стола. Данным цветом начинается градиент и, в зависимости от типа градиента, параметр определяет цвет левого или верхнего края рабочего стола, или цвет сплошной заливки
|
|
Таблица 10.19. Настройки хранителя экрана
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Время смены тем
|
cycle-delay
|
Устанавливает интервал (в минутах) между сменами тем хранителя экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и если для параметра Режим работы установлено значение Случайные темы.
|
Время в минутах
|
Время до блокировки паролем
|
lock-delay
|
Устанавливает количество минут, по истечении которых после активации хранителя экрана, компьютер будет заблокирован.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера
|
Время в минутах
|
Блокировка компьютера
|
lock-enabled
|
Включает блокировку компьютера при активации хранителя экрана. Блокировка будет включена через интервал времени, установленный настройкой Время до блокировки паролем.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана
|
-
|
Время до выхода из сеанса
|
logout-delay
|
Устанавливает количество минут, по истечении которых после активации хранителя экрана, при разблокировании пользователю будет предоставлена возможность выхода из сеанса.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Выход из сеанса после блокировки
|
Время в минутах
|
Выход из сеанса после блокировки
|
logout-enabled
|
После некоторой задержки добавляет кнопку выхода из сеанса (Время выхода из сеанса.
) к диалогу разблокирования экрана. Время задержки указывается в настройке
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)
|
-
|
Режим работы
|
mode
|
Устанавливает режим работы хранителя экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана
|
Доступны следующие режимы:
|
Переключить пользователя после блокировки
|
user-switch-enabled
|
Добавляет кнопку
к диалогу разблокирования экрана.
Этот параметр имеет смысл только при активированном параметре Включение хранителя экрана и Блокировка компьютера (так как без блокировки не появляется диалог с кнопкой)
|
-
|
Включение хранителя экрана
|
idle-activation-enabled
|
Обеспечивает включение хранителя экрана при бездействии системы
|
-
|
Таблица 10.20. Настройки ограничений пользователя
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Запрет блокировки экрана
|
picture-filename
|
Запрещает пользователю блокировать экран паролем. При установке данной настройки, значение параметра Блокировка компьютера игнорируется
|
-
|
Запрет пользователю завершать сеанс
|
disable-log-out
|
Запрещает пользователю завершать свой сеанс
|
-
|
Запрет выбора тем рабочего стола
|
picture-filename
|
Запрещает пользователю изменять тему оформления графической среды Mate
|
-
|
Запрет переключения пользователей
|
disable-user-switching
|
Запрещает пользователю переключение на другую учётную запись, пока активен его сеанс. Отключает кнопку
в диалоговом окне, вызываемом при выборе в главном меню пункта
|
-
|
Таблица 10.21. Настройки удаленного доступа VNC
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Альтернативный порт
|
alternative-port
|
Устанавливает альтернативный порт для удаленного подключения к рабочему столу. Используется только при установленном параметре Включить альтернативный порт
|
Значение номера порта в пределах от 5 000 до 50 000. По умолчанию используется порт 5900
|
Методы аутентификации
|
authentication-methods
|
Устанавливает методы аутентификации пользователей, подключающихся к рабочему столу. Используется только при установленном параметре Пароль для подключения
|
|
Удаленный доступ
|
enabled
|
Разрешает удаленный доступ к рабочему столу с использованием протокола RFB и VNC
|
|
Иконка подключения
|
icon-visibility
|
Управляет отображением значка подключения в области уведомления
|
|
Подтверждение при подключении
|
prompt-enabled
|
Включает запрос подтверждения при любой попытке доступа к рабочему столу. Рекомендуется при отсутствии защиты подключения паролем
|
|
Включить альтернативный порт
|
prompt-enabled
|
Включить прослушивание альтернативного порта для удалённых подключений (вместо порта по умолчанию 5 900). Порт указывается в параметре Альтернативный порт
|
|
Удалённое управление
|
view-only
|
Запрещает удалённое управление рабочим столом. Удалённым пользователям, разрешается только просматривать рабочий стол, но не управлять мышью и клавиатурой
|
|
Таблица 10.22. Настройки оконного менеджера Marco
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Иконки заголовка окна
|
button-layout
|
Настройки расположения кнопок в заголовке окна
|
Строка вида: menu:minimize,maximize,spacer,close
Разделителем правой и левой половин является двоеточие. Имена кнопок разделяются запятыми.
Например, строка 'menu:minimize,maximize,spacer,close' — расположить кнопку меню окна слева, а справа кнопки свернуть, распахнуть, закрыть окно.
Дублирование кнопок не допускается. Неизвестные имена кнопок игнорируются без уведомления.
Специальный элемент spacer может использоваться для вставки пробела между двумя кнопками.
|
Действие по нажатию средней кнопки
|
action-middle-click-titlebar
|
Установливает действие, выполняемое по нажатию средней кнопки мыши по заголовку окна
|
|
Действие по нажатию правой кнопки
|
action-right-click-titlebar
|
Устанавливает действие, выполняемое по нажатию правой кнопки мыши по заголовку окна
|
|
Действие по двойному щелчку
|
action-double-click-titlebar
|
Устанавливает действие, выполняемое по двойному щелчку левой кнопкой мыши по заголовку окна
|
|
Изменение размеров окна при перетаскивании
|
primary-color
|
Включает изменение размеров окна при перетаскивании его в различные области экрана.
Если включено, перетаскивание окна на границу экрана распахивает окно вертикально и изменяет горизонтальный размер до половины доступного пространства.
Если активирован параметр Распахнуть окно при перетаскивании к верхнему краю экрана, перетаскивание окна наверх разворачивает окно.
|
-
|
Разворачивание при перетаскивании (Распахнуть окно при перетаскивании к верхнему краю экрана)
|
allow-top-tiling
|
Включает разворачивание окна во весь экран при перетаскивании его к верхнему краю экрана. Этот параметр имеет смысл только при активированном параметре Изменение размеров окна при перетаскивании
|
-
|
Размер окна переключения Alt+Tab
|
alt-tab-max-columns
|
Устанавливает количество колонок в окне переключения приложений Alt+Tab
|
Количество колонок
|
Задержка при восстановлении
|
alt-tab-max-columns
|
Временной интервал в миллисекундах, по истечении которого окно в фокусе будет поднято поверх остальных. Этот параметр имеет смысл только при активированном параметре Автоматически поднимать окно, получившее фокус
|
Время в миллисекундах
|
Автоматически поднимать окно, получившее фокус
|
auto-raise
|
При включении этой политики, окно, получившее фокус, автоматически отображается поверх остальных. Параметр Переключение фокуса окон должен быть установлен в Sloppy или Mouse. Интервал, по истечении которого, окно поднимается, устанавливается в параметре Задержка при восстановлении
|
-
|
Новые окна по центру
|
center-new-windows
|
Если включено, то новые окна будут открываться по центру экрана. В противном случае они будут открыты в левом верхнем углу экрана
|
-
|
Миниатюры при переключении окон
|
compositing-fast-alt-tab
|
Если включено, то вместо миниатюр предварительного просмотра в окне переключения Alt+Tab будут отображаться значки приложений
|
-
|
Режим активации окна
|
focus-mode
|
Режим переключения фокуса в окно определяет, как активируются окна
|
|
Переключение фокуса на новое окно
|
focus-new-windows
|
Определяет, как новое окно получает фокус
|
|
Размер иконок в окне Alt+Tab
|
icon-size
|
Устанавливает размер значков, отображаемых в окне переключения приложений Alt+Tab
|
Интервал допустимых значений: 8-256
|
Количество рабочих областей (мест)
|
num-workspaces
|
Установка количества рабочих мест
|
Интервал допустимых значений 1-36
|
Расположение новых окон
|
placement-mode
|
Указывает как будут позиционироваться новые окна
|
|
Граница окна при переключении с помощью Alt+Tab
|
show-tab-border
|
Выделять границу выбранного окна при переключении с помощью Alt+Tab
|
-
|
Тема оформления
|
theme
|
Устанавливает тему, отвечающую за отображение границ окон, заголовка и т.д.
|
Строка, содержащая название темы (например, Dopple)
|
Шрифт заголовка окна
|
titlebar-font
|
Устанавливает шрифт заголовков окон. Этот параметр игнорируется, если активирован параметр Системный шрифт в заголовке окон
|
Строка, содержащая название шрифта и через пробел, размер шрифта (например, Noto Sans Bold 10)
|
Системный шрифт в заголовке окна
|
titlebar-uses-system-font
|
Если включено, в заголовках окон используется стандартный системный шрифт. Параметр Шрифт заголовка окна при этом игнорируется
|
-
|
Переключение рабочих областей (столов)
|
wrap-style
|
Определяет, каким образом пролистывать от одного рабочего стола к другому на границе переключателя рабочих мест
|
|
Таблица 10.23. Настройки клавиатуры
Политика
|
Ключ
|
Описание
|
Значение
|
---|---|---|---|
Задержка перед повтором
|
delay
|
Задержка перед повтором нажатой и удерживаемой клавиши
|
Время в миллисекундах
|
Скорость повтора
|
rate
|
Устанавливает скорость повтора нажатой и удерживаемой клавиши
|
Количество повторов в секунду
|
Повторять удерживаемую нажатой клавишу
|
repeat
|
Включить повтор нажатой и удерживаемой клавиши. Если нажать и удерживать клавишу при включённом повторе ввода, действие, соответствующее клавише, будет повторяться. Например, если нажать и удерживать клавишу с буквой, то эта буква будет многократно повторена.
|
-
|
[General] FilterBar=0 Version=202 ViewPropsTimestamp=2023,10,5,18,6,33.478 [MainWindow] MenuBar=Disabled ToolBarsMovable=Disabled
Примечание
/etc/xdg/<имя_файла>
— машинная политика;
~/.config/<имя_файла>
— пользовательская политика.
Таблица 10.24. Настройки среды рабочего стола KDE
Политика
|
Описание
|
Примечание
|
---|---|---|
Виртуальные рабочие столы
|
Позволяет настроить количество виртуальных рабочих столов.
|
Файлы конфигурации:
Пример файла конфигурации:
[Desktops] Number=4 Rows=1Где:
|
Графические эффекты
|
Позволяет настроить включение или отключение графических эффектов при входе в систему.
|
Файлы конфигурации:
Пример файла конфигурации:
[Compositing] Enabled=1Возможные значения:
|
Задержка отрисовки
|
Позволяет установить уровень задержки и плавности анимации.
|
Возможные значения:
Файлы конфигурации:
Пример файла конфигурации:
[Compositing] LatencyPolicy=Medium |
Наличие кнопки «Удалить» в контекстном меню Dolphin
|
Позволяет управлять отображением кнопки «Удалить» в контекстном меню Dolphin.
|
Файлы конфигурации:
Пример файла конфигурации:
[KDE] ShowDeleteCommand[$i]=1Возможные значения:
|
Настройка подключаемых устройств
|
Позволяет настроить автоматическое монтирование подключаемых устройств.
|
Возможные значения:
Файлы конфигурации:
Пример файла конфигурации:
[General] AutomountEnabled=1 AutomountOnLogin=1 AutomountOnPlugin=0 AutomountUnknownDevices=0 |
Открытие файла или каталога одним щелчком
|
Позволяет настроить открытие файла или каталога одним щелчком.
|
Файлы конфигурации:
Пример файла конфигурации:
[KDE] SingleClick[$i]=1Возможные значения:
|
Региональные и языковые параметры
|
Позволяет установить региональные и языковые параметры. Эти параметры меняют настройки не только самого языка системы, но и задают настройки валюты, стандарт времени, числовые значения, стиль написания имени, телефонный код и стандарт телефонного номера страны. Параметры вписываются в поля Стандарт и Язык.
Примеры:
|
Файлы конфигурации:
Пример файла конфигурации:
[Formats] LANG[$i]=ru_RU.UTF-8 [Translation] LANGUAGE=ruГде:
|
Режим активации окна
|
Позволяет определить как активируются окна при переключении фокуса.
|
Возможные значения:
Файлы конфигурации:
Пример файла конфигурации:
[Windows] FocusPolicy=FocusFollowMouse NextFocusPrefersMouse=0 |
Служба поиска файлов
|
Позволяет включить службу поиска файлов и задать параметры индексирования файлов.
|
Возможные значения:
Файлы конфигурации:
Пример файла конфигурации:
[Basic Settings] Indexing-Enabled=1 [General] index hidden folders=0 only basic indexing=1 Примечание
Параметры Включить индексацию содержимого файлов и Включить индексацию скрытых файлов и папок имеют смысл только при включённом параметре Включить службу поиска файлов.
|
Таблица 10.25. Внешний вид
Политика
|
Описание
|
Значение
|
---|---|---|
Оформление рабочего стола
|
Позволяет выбрать оформление рабочего стола (определяет то, как отображаются различные компоненты Plasma), указав название темы (например, breeze-light).
Используются темы оформления рабочего стола, доступные в
/usr/share/kf5/plasma/desktoptheme . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
|
Оформление рабочей среды
|
Позволяет установить тему оформления рабочей среды, указав название темы (например, org.kde.название.desktop или org.kde.название).
Используются темы оформления рабочего стола, доступные в
/usr/share/kf5/plasma/look-and-feel/ . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
|
Тема заставки
|
Позволяет установить тему заставки, указав название темы (например, org.kde.название.desktop или org.kde.название).
Используются темы заставки, доступные в
/usr/share/kf5/plasma/look-and-feel/ . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
|
Тема значков
|
Позволяет установить тему значков, указав название темы (например, gnome).
Применение темы значков зависит от её наличия в системе. Используются темы значков, доступные в
/usr/share/icons/ . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
|
Тема курсора
|
Позволяет установить тему курсора мыши, указав название темы (например, Adwaita).
Применение темы курсора зависит от её наличия в системе. Используются темы курсоров, доступные в
/usr/share/icons/ . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
|
Цвета
|
Позволяет установить цветовую схему, указав название схемы (например, BreezeClassic).
Применение цветовой схемы зависит от её наличия в системе. Используются цветовые схемы, доступные в
/usr/share/kf5/color-schemes . Для добавления новых тем необходимо установить пакеты, включающие в себя эти темы.
|
Варианты цветовых схем:
|
Пользовательские политики
|
||
Обои рабочего стола
|
Позволяет установить изображение в качестве фона рабочего стола, указав файл, содержащий изображение.
|
В качестве значения должна быть указана строка, содержащая путь (с точки зрения клиента) к файлу изображения. Например:
|
Включение панели фильтрации в файловом менеджере Dolphin
|
Позволяет включить или отключить панель фильтрации в файловом менеджере Dolphin.
|
-
|
/etc/xdg/powermanagementprofilesrc
— машинная политика;
~/.config/powermanagementprofilesrc
— пользовательская политика.
Таблица 10.26. Управление электропитанием
Политика
|
Описание
|
Файл конфигурации
|
---|---|---|
Потухание экрана
|
Позволяет настроить время до угасания экрана (уменьшения яркости до нуля) в зависимости от режима электропитания.
|
Для указания значения используется точное время в минутах, заданное в миллисекундах. Если время в миллисекундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например:
Пример файла конфигурации:
[AC][DimDisplay] idleTime=800000 [Battery][DimDisplay] idleTime=600000 [LowBattery][DimDisplay] idleTime=600000 |
Энергосбережение монитора
|
Позволяет настроить время до выключения монитора (при бездействии) в зависимости от режима электропитания.
|
Для указания значения используется точное время в минутах, заданное в секундах. Если время в секундах указано неверно и не соответствует целому значению в минутах, то время автоматически округляется к ближайшему целому значению в меньшую сторону, например:
Пример файла конфигурации:
[AC][DPMSControl] idleTime=800 [Battery][DPMSControl] idleTime=600 [LowBattery][DPMSControl] idleTime[$i]=60 |
Яркость клавиатуры
|
Позволяет настроить яркость клавиатуры в зависимости от режима электропитания.
|
Для указания значения используется число от 0 до 100, например:
Пример файла конфигурации:
[AC][KeyboardBrightnessControl] value=60 [Battery][KeyboardBrightnessControl] value=20 [LowBattery][KeyboardBrightnessControl] value[$i]=0 |
Яркость экрана
|
Позволяет настроить яркость экрана в зависимости от режима электропитания.
|
Для указания значения используется число от 0 до 100, например:
Пример файла конфигурации:
[AC][BrightnessControl] value=80 [Battery][BrightnessControl] value=50 [LowBattery][BrightnessControl] value=30 |
Таблица 10.27. Настройки приложений
Политика
|
Описание
|
Значение
|
---|---|---|
Браузер по умолчанию
|
Позволяет выбрать браузер по умолчанию.
|
Возможные значения:
Примечание
Применение настроек доступно только в случае, если в системе установлен выбранный браузер.
|
Примечание
Примечание
{GUID GPT}/Machine/Registry.pol
и {GUID GPT}/User/Registry.pol
.
Registry.pol
:
PReg [Software\BaseALT\Policies\GPUpdate;GlobalExperimental;;;] [Software\BaseALT\Policies\Packages;Sync;;;] [Software\BaseALT\Policies\Packages\Install;gimp;;;gimp] [Software\BaseALT\Policies\Packages\Install;simple-scan;;;simple-scan] [Software\BaseALT\Policies\Packages\Remove;python3-tools;;;python3-tools]
/etc/chromium/policies/managed/policies.json
и применяет параметры групповых политик. Групповые политики на основе policies.json
предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.
Примечание
/etc/chromium/policies/managed/policies_local.json
и вносить изменения в него. При коллизиях будет применена последняя прочитанная настройка.
Примечание
Примечание
chrome://policy
:
{GUID GPT}/Machine/Registry.pol
. Пример файла Registry.pol
:
PReg[Software\Policies\Google\Chrome;HomepageLocation;;;https://docs.altlinux.org]
chrome://policy
и установив отметку на пункте Показывать правила, значения которых не заданы.
Таблица 10.28. Примеры политик управляющих настройками браузера Chromium
Политика
|
Ключ
|
Описание
|
---|---|---|
Действие при запуске
|
RestoreOnStartup
|
Настройка процесса запуска Chromium.
При выборе значения Восстановить последний сеанс или «Открыть список URL и восстановить последний сеанс» будут отключены некоторые функции, такие как удаление данных о работе в браузере или сессионных файлов cookie при завершении работы.
Если для политики указано значение Открыть список URL и восстановить последний сеанс, браузер будет восстанавливать предыдущий сеанс и открывать URL, заданные в политике URL, открывающиеся при запуске, в отдельном окне. Если пользователь не закроет страницы с этими URL, они также будут восстановлены в новом сеансе.
Если политика находится в состоянии Включено, пользователи не смогут изменить эту настройку в Chromium.
|
Настройка URL домашней страницы
|
HomepageLocation
|
Позволяет установить URL домашней страницы и запрещает пользователям его изменять.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию (открыть эту страницу в Chromium можно, нажав кнопку на панели инструментов). Пользователи при этом не смогут изменить домашнюю страницу.
Если политика находится в состоянии Отключено, пользователи не смогут установить домашнюю страницу.
Если политика находится в состоянии Не сконфигурировано, пользователь может сам установить и изменить домашнюю страницу.
Данная политика не будет работать, если пользователем или политикой «Сделать страницу быстрого доступа главной» в качестве главной страницы была задана страница быстрого доступа.
|
Настройка URL страницы быстрого доступа
|
NewTabPageLocation
|
Позволяет установить URL страницы быстрого доступа по умолчанию и запрещает пользователям его изменять.
Страница быстрого доступа появляется, когда пользователь открывает новую вкладку или окно.
Политика не определяет, какие страницы открываются при запуске. Для этого применяется политика Действие при запуске. Но если страница быстрого доступа используется в качестве главной или стартовой страницы, эта политика также распространяется и на них.
Если политика находится в состоянии Не сконфигурировано или URL не указан, используется страница быстрого доступа, установленная по умолчанию.
|
Отображать кнопку
на панели инструментов
|
ShowHomeButton
|
Позволяет управлять отображением кнопки
на панели инструментов.
Если политика находится в состоянии Включено, кнопка отображается на панели инструментов.
Если политика находится в состоянии Отключено, кнопка не будет отображаться.
Если эта политика настроена, пользователи не смогут изменить эту настройку в Chromium. В противном случае пользователи смогут добавить или скрыть кнопку главного экрана.
|
Сделать страницу быстрого доступа главной
|
HomepageIsNewTabPage
|
Если политика находится в состоянии Включено, в качестве главной страницы используется страница быстрого доступа. Заданный URL главной страницы игнорируется.
Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа открывается, только когда в качестве URL главной страницы указан путь
chrome://newtab .
Если эта политика настроена, пользователи не смогут изменить главную страницу в Chromium. Если политика не сконфигурирована, пользователи смогут выбрать, устанавливать ли страницу быстрого доступа в качестве главной.
|
URL, открывающиеся при запуске
|
RestoreOnStartupURLs
|
Если для политики Действие при запуске задано значение Открыть одну или несколько страниц, в данной политике можно настроить список URL-адресов.
В противном случае при запуске будет открываться страница быстрого доступа.
|
Включить сохранение паролей
|
PasswordManagerEnabled
|
Если политика находится в состоянии Включено или Не сконфигурировано, Chromium будет предлагать запоминать введенные пароли (а также предлагать их при следующем входе).
Если политика находится в состоянии Отключено, пользователям будут доступны только ранее сохраненные пароли, а сохранить новые будет нельзя.
Если политика настроена, пользователи не могут изменить её в Chromium. В противном случае пользователи при желании смогут отключить функцию сохранения паролей.
|
Включить поисковую систему по умолчанию
|
DefaultSearchProviderEnabled
|
Если политика находится в состоянии Включено, то при вводе в адресную строку текста (не URL) будет выполняться поиск в используемой по умолчанию поисковой системе.
Задать поисковую систему по умолчанию можно с помощью других политик. Если значения для этих политик не установлены, пользователь может сам выбрать поисковую систему по умолчанию.
Если политика находится в состоянии Отключено, то поиск текста, введенного в адресную строку, не выполняется.
|
Название поисковой системы по умолчанию
|
DefaultSearchProviderName
|
Если политика Включить поисковую систему по умолчанию включена, то данная политика задает название поисковой системы по умолчанию.
Если параметр Включить поисковую систему по умолчанию не задан, то используется имя хоста, указанное в URL поискового запроса.
|
Показ URL страницы быстрого доступа в поисковой системе по умолчанию
|
DefaultSearchProviderNewTabURL
|
Если политика Включить поисковую систему по умолчанию включена, то данная политика указывает URL поисковой системы, используемой для страницы быстрого доступа.
Если политика находится в состоянии Отключено или Не сконфигурировано, страница быстрого доступа не будет использоваться.
|
URL поиска для поисковой системы по умолчанию
|
DefaultSearchProviderSearchURL
|
Если политика Включить поисковую систему по умолчанию включена, то данная политика содержит URL поисковой системы, используемой по умолчанию. В URL должна быть строка '{searchTerms}', которая во время отправки запроса заменяется на текст пользователя.
URL поисковой системы Google можно указать так: '{google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion} {google:assistedQueryStats}{google:searchFieldtrialParameter} {google:searchClient}{google:sourceId}ie={inputEncoding}'.
URL поисковой системы Яндекс можно указать так: https://yandex.ru/search/?text={searchTerms}
|
Включить панель закладок
|
BookmarkBarEnabled
|
Если политика находится в состоянии Включено, в Chromium будет видна панель закладок.
Если политика находится в состоянии Отключено, панель закладок будет всегда скрыта.
Если эта политика настроена, пользователи не смогут её изменить. Если политика находится в состоянии Не сконфигурировано, пользователи смогут самостоятельно решать, использовать эту функцию или нет.
|
Разрешить пользователям менять фон на странице быстрого доступа
|
NTPCustomBackgroundEnabled
|
Если политика находится в состоянии Отключено, пользователи не смогут изменять фон страницы быстрого доступа. Уже используемые изображения удаляются без возможности восстановления.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут изменять фон страницы быстрого доступа.
|
Блокировать изображения на этих сайтах
|
ImagesBlockedForUrls
|
Позволяет задать список шаблонов URL для указания сайтов (значение * не поддерживается для этой политики), на которых запрещен показ изображений.
Если политика находится в состоянии Включено, Chromium будет блокировать изображения на указанных сайтах.
Если политика находится в состоянии Не сконфигурировано, то действует политика Настройка изображений по умолчанию) при условии, что оно задано. В противном случае применяются персональные настройки пользователя.
|
Блокировка доступа к списку URL
|
URLBlocklist
|
Если политика находится в состоянии Включено, страницы с запрещенными URL не загружаются (задаются шаблоны запрещенных URL).
Если политика находится в состоянии Не сконфигурировано, браузер не блокирует URL.
Формат шаблона URL должен соответствовать требованиям, указанным на странице
https://www.chromium.org/administrators/url-blocklist-filter-format . В политике URLAllowlist можно задавать не более 1000 исключений.
|
Всегда открывать PDF-файлы во внешнем приложении
|
AlwaysOpenPdfExternally
|
Если политика находится в состоянии Включено, встроенное средство просмотра PDF-файлов в Chromium отключается, они начинают обрабатываться как скачанный контент, а пользователю разрешается открывать их в приложении, установленном по умолчанию.
Если политика находится в состоянии Отключено, для просмотра PDF-файлов будет использоваться плагин PDF (если он не отключен пользователем).
Если политика находится в состоянии Не сконфигурировано, пользователи смогут настраивать этот параметр самостоятельно.
|
Всегда указывать место для скачивания
|
PromptForDownloadLocation
|
Если политика находится в состоянии Включено, то при скачивании каждого файла пользователь должен указать, в какой каталог его сохранить.
Если политика находится в состоянии Отключено, скачивание выполняется без запроса каталога для сохранения.
Если политика находится в состоянии Не сконфигурировано, пользователи могут выбрать каталог, в который всегда будут сохраняться файлы.
|
Выбор каталога для скачиваний
|
DownloadDirectory
|
В этой политике указывается каталог, в котором браузер Chromium сохраняет скачиваемые файлы. Данный каталог используется, даже если пользователь выбрал каталог для сохранения или установил флажок, позволяющий выбирать каталог при каждом скачивании файла.
Эта политика отменяет действие политики DefaultDownloadDirectory.
Если политика находится в состоянии Не сконфигурировано, браузер Chromium скачивает файлы в каталог по умолчанию, а пользователь может его изменить.
Список переменных можно посмотреть на странице
https://www.chromium.org/administrators/policy-list-3/user-data-directory-variables .
|
Доступ к поисковой системе по умолчанию в контекстном меню
|
DefaultSearchProviderContextMenuAccessAllowed
|
Позволяет использовать поисковую систему по умолчанию в контекстном меню.
Если политика находится в состоянии Включено или Не сконфигурировано, поиск в системе по умолчанию будет доступен в контекстном меню.
Если политика находится в состоянии Отключено, поиск будет недоступен в контекстном меню.
Значение этой политики применяется только в том случае, если включена политика Включить поисковую систему по умолчанию.
|
Доступность режима инкогнито
|
IncognitoModeAvailability
|
Определяет, может ли пользователь просматривать страницы в Chromium в режиме инкогнито.
Если политика находится в состоянии Включено или значение не задано, страницы можно открывать в режиме инкогнито.
Если политика находится в состоянии Отключено, пользователи не смогут открывать страницы в режиме инкогнито.
Если для политики выбрано значение Включить принудительно, страницы можно просматривать ТОЛЬКО в режиме инкогнито.
|
Удаление истории просмотров и загрузок браузера
|
AllowDeletingBrowserHistory
|
Определяет, может ли пользователь удалять историю просмотров и скачиваний.
Если политика находится в состоянии Включено или Не сконфигурировано, то историю просмотров и скачиваний можно удалить.
Если политика находится в состоянии Отключено, то историю просмотров и скачиваний удалить нельзя.
|
Разрешить вызов окна выбора файлов
|
AllowFileSelectionDialogs
|
Если политика находится в состоянии Включено или Не сконфигурировано, то пользователи смогут открывать в Chromium окна выбора файлов.
Если политика находится в состоянии Отключено, и пользователь выполняет действия, для которых нужно открыть окно выбора файлов (например, импортирует закладки, загружает файлы, сохраняет ссылки и т.д.), вместо окна отображается сообщение и предполагается, что пользователь нажал кнопку в окне выбора файлов.
|
Включить поисковые подсказки
|
SearchSuggestEnabled
|
Если политика находится в состоянии Включено, в адресной строке Chromium при поиске будут появляться подсказки.
Если политика находится в состоянии Отключено, поисковые подсказки не отображаются.
Эта политика не влияет на показ в строке поиска закладок и страниц из истории просмотров.
Если политика настроена, пользователи не могут изменить её. Если политика не сконфигурирована, подсказки при поиске будут включены, но пользователи смогут отключить их в любое время.
|
Настройка изображений по умолчанию
|
DefaultImagesSetting
|
Если политика находится в состоянии Включено и выбрано значение 1 — Разрешить показ изображений на всех сайтах, на всех сайтах могут показываться изображения. При значении 2 — Запретить показ изображений на всех сайтах, показ изображений на сайтах запрещен.
Если политика находится в состоянии Не сконфигурировано, показ изображений разрешен, но пользователи могут изменять этот параметр.
|
Разрешить полноэкранный режим
|
FullscreenAllowed
|
Если политика находится в состоянии Включено или Не сконфигурировано, то при наличии необходимых разрешений пользователи, приложения и расширения смогут включать полноэкранный режим, в котором виден только контент веб-страниц.
Если политика находится в состоянии Отключено, то полноэкранный режим будет заблокирован для всех пользователей, приложений и расширений.
|
Управляемые закладки
|
ManagedBookmarks
|
Политика позволяет установить список закладок в Chromium.
Если политика настроена, будет создан список закладок Каждая закладка представляет собой словарь, где ключам name и url соответствуют значения — название закладки и URL-адрес сайта ([{"name": "Документация","url": "docs.altlinux.org"},{"name": "Wiki","url": "altlinux.org"}]).
По умолчанию папка называется «Управляемые закладки». Чтобы изменить это название, необходимо добавить в правило дополнительный словарь с единственным ключом
toplevel_name и названием папки в качестве значения. Можно также задать подпапку для закладок. Для этого вместо ключа url следует использовать ключ children , а в качестве его значения указать список вложенных закладок или папок ([{"toplevel_name":"ALT"},{"name":"BaseALT","url":"basealt.ru"}, {"name":"ALT docs","children":[{"name": "Документация","url": "docs.altlinux.org"}, {"name": "Wiki","url": "altlinux.org"}]}]).
Chromium дополняет неполные URL так же, как при их вводе в адресной строке. Например, адрес altlinux.org будет преобразован в
https://altlinux.org/ .
Пользователи не смогут изменять папки с закладками, а только скрывать их на панели. Управляемые закладки не синхронизируются с аккаунтом пользователя, а расширения не могут их изменять.
|
Включить анонимный сбор данных о URL
|
UrlKeyedAnonymizedDataCollectionEnabled
|
Если политика находится в состоянии Включено, то всегда выполняется анонимный сбор данных о URL (эти сведения отправляются в Google с целью улучшить поиск и просмотр веб-страниц).
Если политика находится в состоянии Отключено, сбор данных о URL не выполняется.
Если политика находится в состоянии Не сконфигурировано, пользователь может разрешить или запретить анонимный сбор данных о URL.
|
Удаление данных о работе в браузере при выходе
|
ClearBrowsingDataOnExitList
|
Политика позволяет настроить список данных о работе в браузере, которые должны удаляться, когда пользователь закрывает все окна браузера.
Можно указать следующие типы данных:
У этой политики нет приоритета над политикой Удаление истории просмотров и загрузок браузера.
Эта политика работает, если политика Отключить синхронизацию данных с Google находится в состоянии Включено. В противном случае политика игнорируется.
Если Chromium закрывается непредвиденно (например, из-за сбоя в работе браузера или ОС), данные о работе в браузере удаляются при следующей загрузке профиля.
Если политика находится в состоянии Отключено, то данные о работе, при закрытии браузера, не удаляются.
|
Отключить синхронизацию данных с Google
|
SyncDisabled
|
Если политика находится в состоянии Включено, синхронизация данных в Chromium с помощью сервисов, размещенных в Google, отключается.
Полностью отключить сервис «Chrome Sync» можно через Google Admin console.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно решать, использовать ли им сервис «Chrome Sync».
|
Включает гостевой режим в браузере
|
BrowserGuestModeEnabled
|
Если политика находится в состоянии Включено или Не сконфигурировано, разрешается использовать гостевой доступ. При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито.
При гостевом доступе все окна для профилей Chromium открываются в режиме инкогнито.
Если политика находится в состоянии Отключено, в браузере не разрешается использовать гостевые профили.
|
Задать объем кеша в байтах
|
DiskCacheSize
|
Если для политики задано значение None, Chromium использует объем кеша по умолчанию для хранения кешированных файлов на диске. В этом случае пользователи не могут изменить правило.
Если политика находится в состоянии Включено Chromium будет использовать указанный размер кеша независимо от того, указали ли пользователи значение экспериментального параметра
--disk-cache-size . Объем кеша задается в байтах, например, чтобы задать размер кеша 300МБ, необходимо указать 314572800. Значения меньше нескольких мегабайтов округляются.
Если политика находится в состоянии Не сконфигурировано, Chromium использует объем по умолчанию. В этом случае пользователи могут менять размер кеша с помощью экспериментального параметра
--disk-cache-size .
Указанное в правиле значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.
|
Список разрешенных серверов для аутентификации
|
AuthServerAllowlist
|
Это правило указывает, какие серверы можно использовать для встроенной проверки подлинности Windows (IWA). Встроенная проверка подлинности включается, только когда Chromium получает запрос на аутентификацию от прокси-сервера или от сервера из списка разрешенных.
Если политика находится в состоянии Не сконфигурировано, Chromium отвечает на запросы IWA только после того, как определяет, находится ли сервер в интранете. Если сервер находится в Интернете, Chromium игнорирует поступающие от него IWA запросы (веб-сайту не разрешается использовать аутентификацию SPNEGO с помощью браузера).
Названия серверов нужно разделять запятыми. Допустимы подстановочные знаки (*).
|
Управление расширениями (Позволяет управлять расширениями)
|
ExtensionSettings
|
Это правило контролирует настройки управления расширениями в Chromium, включая те, которые заданы другими правилами. Оно заменяет любые ранее действовавшие правила.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения.
Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
Пример значения:
{ "hdokiejnpimakedhajhdlcegeplioahd": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" }, "pioclpoplcdbaefihamjohnefbikjilc": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" } }
Параметры политики:
|
policies.json
и применяет параметры групповых политик. Групповые политики на основе policies.json
предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.
policies.json
, в зависимости от версии веб-браузера Firefox:
/etc/firefox/policies
— новые версии;
/usr/lib64/firefox/distribution
— старые версии.
Примечание
Примечание
about:policies#active
:
{GUID GPT}/Machine/Registry.pol
. Пример файла Registry.pol
:
PReg[Software\Policies\Mozilla\Firefox\Homepage;URL;;;https://basealt.ru] [Software\Policies\Mozilla\Firefox\Homepage;Locked;;;]
about:policies#documentation
.
Таблица 10.29. Примеры политик управляющих настройками веб-браузера Mozilla Firefox
Политика
|
Ключ
|
Описание
|
---|---|---|
Менеджер паролей
|
PasswordManagerEnabled
|
Позволяет запретить доступ к менеджеру паролей через настройки и блокирует about:logins.
Если эта политика находится в состоянии Включено или Не сконфигурировано, менеджер паролей доступен в настройках и на странице about:logins.
Если эта политика находится в состоянии Отключено, Firefox запрещает доступ к менеджеру паролей через настройки и блокирует about:logins.
|
Отключить создание мастер-пароля
|
DisableMasterPasswordCreation
|
Позволяет отключить возможность установить мастер-пароль (основной пароль).
Если эта политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут создать мастер-пароль.
Если эта политика находится в состоянии Включено, то она работает так же, как установка политики Основной (главный) пароль состояние Отключено, и пользователи не могут создать мастер-пароль.
Если используются и политика «Отключить создание мастер-пароля», и «Основной (главный) пароль», то политика Отключить создание мастер-пароля имеет приоритет.
|
Предлагать сохранить логины
|
OfferToSaveLogins
|
Позволяет настроить будет ли Firefox предлагать запоминать сохранённые логины и пароли.
Если политика находится в состоянии Отключено, Firefox не будет предлагать сохранять логины и пароли веб-сайтов.
Если политика находится в состоянии Включено или Не сконфигурировано, Firefox будет предлагать сохранять логины и пароли веб-сайтов.
|
Отключить инструменты разработчика
|
DisableDeveloperTools
|
Позволяет управлять доступом к инструментам разработчика.
Если политика находится в состоянии Включено, инструменты веб-разработчика недоступны в Firefox.
Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты веб-разработчика доступны в Firefox.
|
Отключить приватный просмотр
|
DisablePrivateBrowsing
|
Запрещает доступ к приватному просмотру.
Если политика находится в состоянии Включено, приватный просмотр запрещен.
Если политика находится в состоянии Отключено или Не сконфигурировано, приватный просмотр разрешен.
|
Нет закладок по умолчанию
|
NoDefaultBookmarks
|
Отключает создание закладок по умолчанию (идущих вместе с Firefox), и смарт-закладки (часто посещаемые, недавние).
Если политика находится в состоянии Включено, закладки по умолчанию и смарт-закладки (наиболее посещаемые, недавние теги) не создаются.
Если политика находится в состоянии Отключено или Не сконфигурировано, создаются закладки по умолчанию и смарт-закладки (наиболее посещаемые, последние теги).
Примечание: эта политика эффективна только в том случае, если она используется до первого запуска профиля.
|
Запрос места загрузки
|
PromptForDownloadLocation
|
Спрашивает, куда сохранять файлы при загрузке.
Если политика находится в состоянии Отключено, файлы будут сохраняться в каталог указанный в настройках (пользователю не предлагается указать место для загрузки файла).
Если политика находится в состоянии Включено, пользователю будет всегда выдаваться запрос на сохранение файла.
Если политика находится в состоянии Не сконфигурировано, пользователю будет выдаваться запрос на сохранение файла, но он может изменить значение по умолчанию.
|
Отключить историю форм
|
DisableFormHistory
|
Отключает запоминание истории поиска и данных форм.
Если политика находится в состоянии Включено, Firefox не запоминает историю форм или поиска.
Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox будет помнить историю форм и поиска.
|
Блокировка редактора настроек (about:config)
|
BlockAboutConfig
|
Блокирует доступ к странице about:config.
Если эта политика находится в состоянии Включено, пользователь не может получить доступ к about:config.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к about:config.
|
Блокировка страницы управления профилями (about:profiles)
|
BlockAboutProfiles
|
Блокирует доступ к странице управления профилями (about:profiles).
Если политика находится в состоянии Включено, пользователь не может получить доступ к профилям about:profiles.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к профилям about:profiles.
|
Блокировка информации об устранении неполадок
|
BlockAboutSupport
|
Блокирует доступ к странице about:support.
Если политика находится в состоянии Включено, пользователь не может получить доступ к информации для устранения неполадок или about:support.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может получить доступ к информации для устранения неполадок или about:support.
|
Captive Portal (портал захвата)
|
CaptivePortal
|
Включает или отключает тест соединения (поддержку перехватывающего портала).
Если политика находится в состоянии Отключено, то поддержка captive portal отключена.
Если политика находится в состоянии Включено или Не сконфигурировано, то поддержка captive portal включена.
Примечание: Браузер Mozilla Firefox при запуске проверяет, требует ли используемое сетевое соединение вход в систему. Во время теста Firefox пытается подключиться к
http://detectportal.firefox.com/success.txt , чтобы проверить возможность соединения с этим адресом. Этот адрес также используется для проверки поддержки активного сетевого соединения IPv6. Отключение этой функциональности уменьшает количество автоматических подключений и может немного ускорить запуск браузера.
|
Отключить встроенную программу просмотра PDF (PDF.js)
|
DisableBuiltinPDFViewer
|
Отключает PDF.js, встроенный просмотрщик PDF в Firefox.
Если политика находится в состоянии Включено, файлы PDF не просматриваются в Firefox.
Если политика находится в состоянии Отключено или Не сконфигурировано, файлы PDF просматриваются в Firefox.
|
Отключить команды обратной связи
|
DisableFeedbackCommands
|
Отключает команды отправки отзывов в меню
( и ).
Если политика находится в состоянии Включено, пункты меню и недоступны из меню .
Если политика находится в состоянии Отключено или Не сконфигурировано, пункты меню и доступны из меню .
|
Отключить снимки экрана Firefox
|
DisableFirefoxScreenshots
|
Отключает функцию Firefox Screenshots.
Если политика находится в состоянии Включено, снимки экрана Firefox недоступны.
Если политика находится в состоянии Отключено или Не сконфигурировано, доступны снимки экрана Firefox.
|
Отключить учетные записи Firefox
|
DisableFirefoxAccounts
|
Отключает службы, основанные на Аккаунте Firefox, включая синхронизацию.
Если политика находится в состоянии Включено, учетные записи Firefox отключены, в том числе отключена синхронизация.
Если политика находится в состоянии Отключено или Не сконфигурировано, доступны Аккаунты Firefox и синхронизация.
|
Отключить исследования Firefox
|
DisableFirefoxStudies
|
Запрещает Firefox выполнять исследования.
Если политика находится в состоянии Включено, Firefox никогда не будет проводить исследования SHIELD или опросы Heartbeat.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может включить исследования SHIELD или опросы Heartbeat.
Для получения дополнительной информации см.
https://support.mozilla.org/en-US/kb/shield и https://wiki.mozilla.org/Firefox/Shield/Heartbeat
|
Отключить кнопку «Забыть»
|
DisableForgetButton
|
Закрывает доступ к кнопке
.
Если политика находится в состоянии Включено, кнопка недоступна.
Если политика находится в состоянии Отключено или Не сконфигурировано, кнопка доступна.
|
Запретить показывать пароли в сохраненных логинах
|
DisablePasswordReveal
|
Не позволяет просматривать пароли у сохранённых логинов.
Если политика находится в состоянии Включено, пользователи не могут отображать пароли в сохраненных логинах.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут отображать пароли в сохраненных логинах.
|
Отключить Pocket
|
DisablePocket
|
Отключает сохранение страниц в Pocket.
Если политика находится в состоянии Включено, Pocket недоступен.
Если политика находится в состоянии Отключено или Не сконфигурировано, Pocket доступен.
Примечание: Pocket — это специальный сервис для хранения различной информации, найденной в ходе веб-сёрфинга.
|
Отключить импорт профиля
|
DisableProfileImport
|
Отключает команду меню для импорта данных из другого браузера.
Если политика находится в состоянии Включено, опция в окне закладок недоступна.
Если политика находится в состоянии Отключено или Не сконфигурировано, опция доступна.
|
Отключить обновление профиля
|
DisableProfileRefresh
|
Отключает кнопку
на странице about:support.
Если политика находится в состоянии Включено, кнопка будет недоступна на странице about:support.
Если эта политика отключена или не сконфигурирована, кнопка
будет доступна.
|
Отключить безопасный режим
|
DisableSafeMode
|
Отключает функцию для перезапуска в безопасном режиме.
Если политика находится в состоянии Включено, пользователь не может перезапустить браузер в безопасном режиме.
Если политика находится в состоянии Отключено или Не сконфигурировано, безопасный режим разрешен.
|
Не проверять браузер по умолчанию
|
DontCheckDefaultBrowser
|
Отключает проверку браузера по умолчанию при запуске.
Если политика находится в состоянии Включено, Firefox не проверяет, является ли он браузером по умолчанию при запуске.
Если политика находится в состоянии Отключено или Не сконфигурировано, Firefox при запуске проверяет, является ли он браузером по умолчанию.
|
Аппаратное ускорение
|
HardwareAcceleration
|
Отключает аппаратное ускорение.
Если политика находится в состоянии Отключено, аппаратное ускорение не может быть включено.
Если политика находится в состоянии Включено или Не сконфигурировано, включено аппаратное ускорение.
|
Основной (главный) пароль
|
PrimaryPassword
|
Требовать или не давать использовать мастер-пароль.
Если политика находится в состоянии Отключено, пользователи не могут создать основной пароль.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут создать основной пароль.
|
Прогнозирование сети
|
NetworkPrediction
|
Включает или отключает прогнозирование сети (предварительная выборка DNS).
Предварительная выборка DNS — это технология, используемая Firefox для ускорения загрузки новых веб-сайтов.
Если политика находится в состоянии Отключено, прогнозирование сети (предварительная выборка DNS) будет отключено.
Если политика находится в состоянии Включено или Не сконфигурировано, будет включено прогнозирование сети (предварительная выборка DNS).
|
Новая вкладка
|
NewTabPage
|
Включает или отключает страницу новой вкладки.
Если эта политика находится в состоянии Отключено, в новой вкладке будет загружена пустая страница.
Если эта политика в состоянии Включено или Не сконфигурировано, в новой вкладке будет загружена страница по умолчанию.
|
Подсказки по поиску
|
SearchSuggestEnabled
|
Включает или отключает поисковые предложения.
Если эта политика находится в состоянии Отключено, поисковые подсказки будут отключены.
Если эта политика в состоянии Включено, поисковые подсказки будут включены.
Если эта политика в состоянии Не сконфигурировано, поисковые подсказки будут включены, но пользователь может отключить их.
|
Показывать кнопку «Домашняя страница» на панели инструментов
|
ShowHomeButton
|
Включает кнопку
на панели инструментов.
Если политика находится в состоянии Отключено, кнопка не будет отображаться на панели инструментов.
Если политика находится в состоянии Включено, кнопка отображается на панели инструментов.
|
Блокировка менеджера дополнений (about:addons)
|
BlockAboutAddons
|
Блокирует доступ к менеджеру дополнений (about:addons).
Если политика находится в состоянии Отключено или Не сконфигурировано пользователь может получить доступ к менеджеру дополнений (about:addons).
Если политика находится в состоянии Включено, пользователь не может получить доступ к менеджеру дополнений (about:addons).
|
URL для домашней страницы
|
Homepage
|
Устанавливает URL домашней страницы при старте браузера и, если необходимо, блокирует её смену.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может установить и изменить домашнюю страницу.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию, а также заблокировать возможность изменения домашней страницы.
|
SPNEGO
|
SPNEGO
|
Включает аутентификацию через SPNEGO/Kerberos.
Если политика находится в состоянии Отключено или Не сконфигурировано, никаким веб-сайтам не разрешается использовать аутентификацию SPNEGO с помощью браузера.
Если политика находится в состоянии Включено, указанным веб-сайтам разрешается использовать аутентификацию SPNEGO в браузере. Записи в списке имеют формат altlinux.org или https://altlinux.org
|
Не разрешать изменять настройки аутентификации
|
Authentication Locked
|
Блокирует настройки аутентификации от изменений пользователем.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователь не может изменить параметры проверки подлинности.
Если политика находится в состоянии Отключено, пользователь может изменить параметры проверки подлинности.
|
Разрешить неполное доменное имя (Non FQDN)
|
Authentication AllowNonFQDN
|
Разрешить SPNEGO или NTLM для неполных доменных имен (Non FQDN).
Если политика находится в состоянии Отключено или Не сконфигурировано, NTLM и SPNEGO не будут включены для неполных доменных имен.
Если политика находится в состоянии Включено (и флажки отмечены), SPNEGO или NTLM будут включены для неполных доменных имен (Non FQDN).
|
Расширения для установки
|
Extensions\Install
|
Задаёт список URL-адресов или собственных путей для устанавливаемых расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, расширения не устанавливаются.
Если политика находится в состоянии Включено, можно указать список URL-адресов или путей расширений, которые будут устанавливаться при запуске Firefox. При каждом изменении этого списка политики будут переустанавливаться.
URL политики необходимо задавать в формате *.xpi (например,
https://addons.mozilla.org/firefox/downloads/file/3450175/adapter_rutoken_plugin-1.0.5.0.xpi ). Можно также указать путь на локальный каталог, в который политикой копирования файлов скопировать расширение в формате *.xpi.
|
Управление расширениями
|
ExtensionSettings
|
Это правило позволяет управлять всеми аспектами расширений.
Политика сопоставляет идентификатор расширения с его конфигурацией. Если указан идентификатор расширения, конфигурация будет применяться только к указанному расширению. Конфигурация по умолчанию может быть установлена для специального идентификатора *, который будет применяться ко всем расширениям, для которых не задана пользовательская конфигурация в этой политике.
Чтобы получить идентификатор расширения, можно установите расширение и посмотреть идентификатор на странице about:support в разделе Расширения.
Если политика находится в состоянии Отключено или Не сконфигурировано, расширения не будут управляться.
Если политика находится в состоянии Включено, можно использовать JSON для описания политики управления расширениями.
Пример JSON:
{ "*": { "blocked_install_message": "Custom error message" }, "adblockultimate@adblockultimate.net": { "installation_mode": "force_installed", "install_url": "file:///home/user/file.xpi" }, "rutokenplugin@rutoken.ru": { "installation_mode": "force_installed", "install_url": "https://addons.mozilla.org/…/plugin.xpi" } }
Конфигурация для каждого расширения — это еще один словарь, который может содержать следующие поля:
|
/etc/opt/yandex/browser/policies/managed/policies.json
и применяет параметры групповых политик. Групповые политики на основе policies.json
предоставляют кроссплатформенную совместимость, что позволяет управлять браузерами в любом дистрибутиве Альт с установленным окружением рабочего стола.
Примечание
/etc/opt/yandex/browser/policies/managed/policies_local.json
и вносить изменения в него. При коллизиях будет применена последняя прочитанная настройка.
Примечание
browser://policy
:
{GUID GPT}/Machine/Registry.pol
. Пример файла Registry.pol
:
Preg[Software\Policies\YandexBrowser;BlockExternalExtensions;;;] [Software\Policies\YandexBrowser\URLBlocklist;https://mail.ru;; ;https://mail.ru] [Software\Policies\YandexBrowser\AutoOpenFileTypes;pdf;;pdf] [Software\Policies\YandexBrowser;HomepageLocation;;4;https://docs.altlinux.org]
browser://policy/
и установив отметку на пункте Показывать правила, значения которых не заданы.
Таблица 10.30. Примеры политик управляющих настройками «Яндекс.Браузера»
Политика
|
Ключ
|
Описание
|
---|---|---|
Включить или отключить панель закладок
|
BookmarkBarEnabled
|
Политика позволяет принудительно включить или принудительно отключить панель закладок в «Яндекс.Браузере».
Если политика находится в состоянии Включено, панель закладок отображается.
Если политика находится в состоянии Отключено, панель закладок не отображается.
Если политика находится в состоянии Не сконфигурировано, пользователь может самостоятельно решать, включить или отключить панель закладок.
|
Настроить закладки
|
EditBookmarksEnabled
|
Политика включает или отключает возможность изменения закладок.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут добавлять, изменять и удалять закладки.
Если политика находится в состоянии Отключено, пользователи не могут добавлять, изменять и удалять закладки. Закладки, созданные до отключения политики, останутся доступными.
|
Задать форматы файлов, которые будут автоматически открываться после скачивания
|
AutoOpenFileTypes
|
Политика позволяет задать форматы файлов, которые будут автоматически открываться после скачивания.
Если политика находится в состоянии Включено, в ней можно перечислить форматы файлов (без точки), которые будут автоматически открываться после скачивания (например, txt, jpg).
Если политика находится в состоянии Отключено или Не сконфигурировано, после скачивания будут автоматически открываться файлы только тех форматов, которые выбрал пользователь в контекстном меню загруженного файла (например, «Открывать JPG автоматически»).
|
Настроить показ всплывающих окон
|
DefaultPopupsSetting
|
Политика разрешает или запрещает всплывающие окна на всех сайтах.
Если политика находится в состоянии Отключено или Не сконфигурировано, всплывающие окна блокируются на всех сайтах. Пользователи могут разрешать или блокировать всплывающие окна в настройках браузера.
Если политика находится в состоянии Включено, администратор может определить режим применения политики:
|
Разрешить полноэкранный режим
|
FullscreenAllowed
|
Политика разрешает или запрещает активацию полноэкранного режима. В этом режиме все элементы интерфейса «Яндекс.Браузера» скрыты, и на экране отображается только содержимое сайта.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут активировать полноэкранный режим, нажав F11. Полноэкранный режим может быть активирован приложениями и расширениями, если у них есть на это разрешения.
Если политика находится в состоянии Отключено, полноэкранный режим отключен для всех пользователей, приложений и расширений.
|
Задать URL домашней страницы
|
HomepageLocation
|
Политика задает URL домашней страницы. Если в качестве домашней страницы задана страница быстрого доступа, политика не будет работать.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут сами установить URL домашней страницы в настройках браузера.
Если политика находится в состоянии Включено, можно установить домашнюю страницу по умолчанию. URL должен иметь стандартный вид (например,
https://altlinux.org ).
Домашняя страница откроется, если в последний раз браузер был закрыт без вкладок или сочетанием клавиш Alt+Home. Пользователи не могут менять домашнюю страницу в браузере.
|
Отключить контекстное меню для выделенного текста
|
InstaserpDisabled
|
Политика позволяет отключить контекстное меню, всплывающее при выделении текста на странице.
Если политика находится в состоянии Включено, контекстное меню не показывается, пользователи не могут включить его в настройках (опция При выделении текста показывать кнопки «Найти» и «Копировать» неактивна).
Если политика находится в состоянии Отключено, контекстное меню показывается, пользователи не могут отключить его в настройках.
Если политика находится в состоянии Не сконфигурировано, контекстное меню показывается, пользователи могут отключить его в настройках.
|
Отображать боковую панель
|
SidePanelMode
|
Политика позволяет настроить режим отображения боковой панели и запретить пользователям его менять.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настроить режим отображения боковой панели.
Если политика находится в состоянии Включено, администратор может выбрать режим отображения боковой панели:
|
Включить автозаполнение адресов
|
AutofillAddressEnabled
|
Политика разрешает пользователям автозаполнение адресов.
Если политика находится в состоянии Включено или Не сконфигурировано, автозаполнение адресов включено.
Если политика находится в состоянии Отключено, автозаполнение адресов отключено, введенные адреса не сохраняются.
|
Настроить режим Инкогнито
|
IncognitoModeAvailability
|
Политика определяет, могут ли пользователи включать режим «Инкогнито».
Если политика находится в состоянии Не сконфигурировано, пользователи могут открывать страницы в режиме Инкогнито.
Если политика находится в состоянии Включено, администратор может определить режим применения политики:
Если политика находится в состоянии Отключено, пользователи могут просматривать страницы только в обычном режиме.
|
Запретить использовать мастер-пароль
|
MasterPasswordDisabled
|
Политика запрещает пользователям использовать мастер-пароль.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователь может использовать мастер-пароль.
Если политика находится в состоянии Включено, мастер-пароль в браузере отключен.
|
Разрешить сохранять пароли
|
PasswordManagerEnabled
|
Политика разрешает сохранять пароли в браузере и автоматически подставлять их при авторизации на сайтах.
Если политика находится в состоянии Не сконфигурировано, сохранение паролей в браузере включено. Пользователи могут включать и отключать сохранение паролей.
Если политика находится в состоянии Включено, сохранение паролей включено. Пользователи не могут включать и отключать сохранение паролей.
Если политика находится в состоянии Отключено, сохранение новых паролей отключено. Пользователи могут использовать уже сохраненные пароли. Пользователи не могут включать и отключать сохранение паролей.
|
Запретить сохранять историю просмотров
|
SavingBrowserHistoryDisabled
|
Политика запрещает сохранять историю просмотров и синхронизировать открытые вкладки. При синхронизации информация передается на сервер Яндекса по защищенному каналу.
Если политика находится в состоянии Отключено или Не сконфигурировано, история посещенных страниц сохраняется в журнале браузера. Вкладки и Табло синхронизируются с сервером Яндекса. Пользователи могут импортировать историю из других браузеров.
Если политика находится в состоянии Включено, история посещенных страниц не сохраняется в журнале браузера. Пользователи не могут включить сохранение истории посещенных страниц. Только Табло синхронизируются с сервером Яндекса. Возможность переноса истории вручную отключена.
|
Выбрать папку кеша на диске
|
DiskCacheDir
|
Политика определяет место хранения данных кеша. Чтобы не потерять данные, не следует указывать в политике корневую папку или папку, которая используется в других целях.
Если политика находится в состоянии Отключено или Не сконфигурировано, браузер использует папку по умолчанию, однако пользователи могут ее изменить с помощью параметра
disk-cache-dir .
Если политика находится в состоянии Включено, браузер хранит кеш на диске в заданной администратором папке. Пользователи не могут ее изменить с помощью параметра
disk-cache-dir .
|
Задать объём кеша в байтах
|
DiskCacheSize
|
Политика позволяет задать объем кеша в байтах. Значение используется различными подсистемами в браузере как справочное. Поэтому фактический объем используемого дискового пространства может превышать указанное значение, но будет иметь такой же порядок.
Если политика находится в состоянии Не сконфигурировано, браузер использует объем кеша по умолчанию.
Если политика находится в состоянии Включено, браузер использует заданный размер кеша независимо от параметра
--disk-cache-size . Указывается максимальный размер кеша в байтах. Например, 104857600 — это 100 МБ.
Если политика находится в состоянии Отключено, браузер использует объем кеша по умолчанию, но пользователи могут менять размер кеша с помощью параметра
--disk-cache-size .
|
Блокировать внешние расширения
|
BlockExternalExtensions
|
Политика позволяет запретить установку внешних расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, установка внешних расширений разрешена.
Если политика находится в состоянии Включено, установка внешних расширений запрещена.
|
Блокировать URL'ы из заданного списка
|
URLBlocklist
|
Политика блокирует доступ к URL и локальным файлам, которые внесены в черный список.
Если политика находится в состоянии Отключено или Не сконфигурировано, браузер не блокирует URL.
Если политика находится в состоянии Включено, страницы запрещенных URL не загружаются. В политике можно перечислить шаблоны запрещенных URL. Политика не действует на URL со встроенным кодом JavaScript и динамически загружаемые данные.
Общий формат шаблона URL: scheme://host:port/path, где:
Общий формат шаблона локального файла file://path, где:
|
Задать исключения для политики URLBlocklist (Разрешить доступ к списку URL)
|
URLAllowlist
|
Политика позволяет внести в белый список URL или локальный файл. Белый список разрешает доступ к явно перечисленным в нем URL и файлам, даже если они попадают под действие шаблонов из черного списка (см. описание политики Блокировать URL'ы из заданного списка).
Если политика находится в состоянии Отключено или Не сконфигурировано, исключений из правила URLBlocklist нет.
Если политика находится в состоянии Включено, указанные URL становятся доступны пользователям и считаются исключениями из правила URLBlocklist. Политика позволяет настроить исключения для определенных протоколов, субдоменов, отдельных доменов, портов или путей. Политика URLAllowlist имеет приоритет над правилом URLBlocklist. В этом правиле можно указать не более 1000 URL.
Форматы шаблонов см. в описании политики Блокировать URL'ы из заданного списка.
|
Разрешить вызывать окно выбора файлов
|
AllowFileSelectionDialogs
|
Политика разрешает или запрещает отображать окно выбора файлов и управляет настройками загрузки.
Если политика находится в состоянии Включено или Не сконфигурировано, пользователи могут открывать окна выбора файлов (импорт закладок или паролей, загрузка файлов, сохранение ссылок и т.д.). Пользователи также могут сохранить файл с помощью контекстного меню и изменять настройки в разделе Загруженные файлы ( → → ).
Если политика находится в состоянии Отключено и пользователь выполняет действия, для которых нужно открыть окно выбора файла (например, импорт закладок, загрузка файлов, сохранение ссылок и т.д.), вместо окна отображается сообщение и имитируется нажатие пользователем кнопки в окне выбора файлов. Пользователи также не смогут сохранить файл из контекстного меню и изменять настройки в разделе Загруженные файлы.
|
Ограничить инструменты разработчика
|
DeveloperToolsAvailability
|
Политика ограничивает использование инструментов разработчика.
Если политика находится в состоянии Отключено или Не сконфигурировано, инструменты разработчика и консоль JavaScript запрещены только для расширений, ограниченных корпоративной политикой.
Если политика находится в состоянии Включено можно установить ограничение на использование инструментов разработчика. Доступны следующие параметры:
|
Управлять настройками расширений
|
ExtensionSettings
|
Политика управляет настройками расширений в «Яндекс.Браузере». Заменяет любые другие политики по настройке расширений.
Если политика находится в состоянии Отключено или Не сконфигурировано, пользователи могут самостоятельно настраивать расширения.
Если политика находится в состоянии Включено, настройки расширений задает администратор с помощью кода, указанного в параметрах политики:
Пример значения:
{ "hdokiejnpimakedhajhdlcegeplioahd": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" }, "pioclpoplcdbaefihamjohnefbikjilc": { "installation_mode": "force_installed", "update_url": "https://clients2.google.com/service/update2/crx" } }
Параметры политики:
|
Примечание
Примечание
Ярлыки
в Program Files
, необходимо ввести %ProgramFilesDir%\Ярлыки\Почта). Чтобы разместить ярлык в подпапке для выбранного размещения из списка, следует указать <название подпапки>\<имя ярлыка> в поле Название, например, чтобы разместить ярлык с именем Почта в подпапке Ярлыки
в размещении Рабочий стол
, необходимо ввести Ярлыки/Почта в поле Название и выбрать Рабочий стол в поле Место нахождения:
Предупреждение
{GUID GPT}/Machine/Preferences/Shortcuts/Shortcuts.xml
{GUID GPT}/User/Preferences/Shortcuts/Shortcuts.xml
Shortcuts.xml
:
<?xml version="1.0" encoding="utf-8"?> <Shortcuts clsid="{872ECB34-B2EC-401b-A585-D32574AA90EE}"> <Shortcut bypassErrors="0" changed="2022-11-17 11:07:40" clsid="{4F2F7C55-2790-433e-8127-0739D1CFA327}" desc="" image="0" name="Почта" removePolicy="0" status="" uid="{dfd45a36-4634-47d9-8a22-5f702fba21bc}" userContext="0"> <Properties action="U" arguments="" comment="" iconPath="/usr/lib64/thunderbird/chrome/icons/default/default32.png" pidl="" shortcutPath="%DesktopDir%\Почта" startIn="" targetPath="/usr/bin/thunderbird" targetType="FILESYSTEM" window=""/> </Shortcut> </Shortcuts>
Примечание
{GUID GPT}/Machine/Preferences/Folders/Folders.xml
{GUID GPT}/User/Preferences/Folders/Folders.xml
Folders.xml
:
<?xml version="1.0" encoding="utf-8" standalone="no" ?> <Folders clsid="{77CC39E7-3D16-4f8f-AF86-EC0BBEE2C861}"> <Folder clsid="{07DA02F5-F9CD-4397-A550-4AE21B6B4BD3}" name="MyDir" status="MyDir" image="2" bypassErrors="1" changed="2020-10-27 11:49:19" uid="{57F41C87-4A65-4561-BFFF-4219149DCBF7}"> <Properties action="U" path="%DesktopDir%\MyDir" readOnly="0" archive="1" hidden="0"/> </Folder> </Folders>
[sectionA] var01=value01 [sectionB] var01=value01 var02=value02
{GUID GPT}/Machine/Preferences/Inifiles/Inifiles.xml
{GUID GPT}/User/Preferences/Inifiles/Inifiles.xml
Inifiles.xml
:
<?xml version="1.0" encoding="utf-8" standalone="no" ?> <IniFiles clsid="{694C651A-08F2-47fa-A427-34C4F62BA207}"> <Ini changed="2022-11-21 09:13:44" clsid="{EEFACE84-D3D8-4680-8D4B-BF103E759448}" image="3" name="version.ini" status="version.ini" uid="{ADAA9BCF-C2EA-4004-980F-CEDA823E3B91}" bypassErrors="1"> <Properties path="C:\tmp\version.ini" section="" value="" property="BP" action="D"/> </Ini> </IniFiles>
{GUID GPT}/Machine/Preferences/EnvironmentVariables/EnvironmentVariables.xml
{GUID GPT}/User/Preferences/EnvironmentVariables/EnvironmentVariables.xml
EnvironmentVariables.xml
:
<?xml version="1.0" encoding="utf-8" standalone="no" ?> <EnvironmentVariables clsid="{BF141A63-327B-438a-B9BF-2C188F13B7AD}"> <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}" name="VAR" status="VAR = value_1" image="0" changed="2020-06-05 12:16:20" uid="{6738058D-5455-4D9A-9B84-78E87DDD18D7}" desc="environment variable example" bypassErrors="1"> <Properties action="C" name="VAR" value="value_1" user="1" partial="0"/> </EnvironmentVariable> <EnvironmentVariable clsid="{78570023-8373-4a19-BA80-2F150738EA19}" name="PATH" status="PATH = value_2" image="2" changed="2020-06-05 12:16:48" uid="{15E854D6-C338-4AD2-BF8D-72292B364BA3}"> <Properties action="U" name="PATH" value="value_2" user="0" partial="1"/> </EnvironmentVariable> </EnvironmentVariables>
Примечание
$ env |grep имя_переменной
/etc/gpupdate/environment
:
TEMP DEFAULT="C:\tmp" Var DEFAULT="Value1" HTTPS_PROXY DEFAULT="https://10.0.66.52:3128"
Примечание
Примечание
Примечание
Примечание
chmod +x
).
{GUID GPT}/Machine/Preferences/Files/Files.xml
{GUID GPT}/User/Preferences/Files/Files.xml
Files.xml
:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?> <Files clsid="{215B2E53-57CE-475c-80FE-9EEC14635851}"> <File bypassErrors="0" changed="2023-08-20 13:18:25" clsid="{50BE44C8-567A-4ed1-B1D0-9234FE1F38AF}" desc="Файл с сервера" image="0" name="Задание.txt" removePolicy="0" status="" uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}" userContext="0"> <Properties action="C" archive="0" executable="0" fromPath="\\TEST.ALT\sysvol\test.alt\newfile" hidden="0" readOnly="0" suppress="0" targetPath="%DesktopDir%\New\Задание.txt"/> </File> </Files>
Примечание
Примечание
control smb-conf-usershares
установлен в enabled;
/etc/samba/smb.conf
в секции [global] подключен файл /etc/samba/usershares.conf
(include = /etc/samba/usershares.conf).
Примечание
{GUID GPT}/Machine/Preferences/NetworkShares/NetworkShares.xml
{GUID GPT}/User/Preferences/NetworkShares/NetworkShares.xml
NetworkShares.xml
:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?> <NetworkShareSettings clsid="{520870D8-A6E7-47e8-A8D8-E6A4E76EAEC2}"> <NetShare changed="2022-11-21 13:03:10" clsid="{2888C5E7-94FC-4739-90AA-2C1536D68BC0}" image="0" name="share2" status="" uid="{cd0d3cba-8698-4612-9c76-5e21da62cc48}" userContext="0" removePolicy="0"> <Properties action="C" name="share2" path="/var/share2" comment="" limitUsers="NO_CHANGE" abe="NO_CHANGE"/> </NetShare> </NetworkShareSettings>
/media/gpupdate/drives.system
— для системных ресурсов;
/media/gpupdate/.drives.system
— для скрытых системных ресурсов;
/run/media/USERNAME/drives
— для общих ресурсов пользователя;
/run/media/USERNAME/.drives
— для скрытых общих ресурсов пользователя.
Примечание
/etc/auto.master.gpupdate.d/<имя>.autofs
и /etc/auto.master.gpupdate.d/<имя>.conf
— для отображаемых ресурсов;
/etc/auto.master.gpupdate.d/<имя>_hide.autofs
и /etc/auto.master.gpupdate.d/<имя>_hide.conf
— для скрытых ресурсов.
\\server\sharename
, \\server\hiddenshare$
или \\server\sharename\foldername
). Это поле может содержать переменные. Чтобы изменить существующий сетевой диск (определяемый по букве диска), следует оставить это поле пустым;
Примечание
Примечание
Примечание
/etc/auto.master.gpupdate.d/<имя>.autofs
) добавляется опция --browse
. В этом случае для данной точки монтирования будет создан пустой каталог, независимо от того, смонтирована ли какая-либо файловая система в него или нет.
~/net.drives.system
— ссылка на /media/gpupdate/drives.system
;
~/.net.drives.system
— ссылка на /media/gpupdate/.drives.system
;
~/net.drives
— ссылка на /run/media/USERNAME/drives
;
~/.net.drives
— ссылка на /run/media/USERNAME/.drives
;
{GUID GPT}/Machine/Preferences/Drives/Drives.xml
{GUID GPT}/User/Preferences/Drives/Drives.xml
Drives.xml
с двумя сетевыми дисками:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?> <Drives clsid="{8FDDCC1A-0C3C-43cd-A6B4-71A6DF20DA8C}"> <Drive bypassErrors="0" changed="2022-11-29 16:28:32" clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" desc="" image="2" name="\\dc\Free" removePolicy="0" status="O:" uid="{D070D4D6-DEB5-4DDE-9A53-6AB33C90352A}" userContext="0"> <Properties action="U" allDrives="SHOW" cpassword="" label="" letter="O" path="\\dc\Free" persistent="1" thisDrive="SHOW" useLetter="1" userName=""/> </Drive> <Drive bypassErrors="0" changed="2022-11-29 14:34:53" clsid="{935D1B74-9CB8-4e3c-9914-7DD559B7A417}" desc="" image="2" name="I:" status="I:" uid="{4BDA1724-4BBF-4B4D-B299-E81080D9A4B5}" userContext="0"> <Properties action="U" allDrives="SHOW" cpassword="" label="" letter="I" path="\\dc1.test.alt\sysvol" persistent="1" thisDrive="SHOW" useLetter="0" userName=""/> </Drive> </Drives>
{GUID GPT}/Machine/Preferences/Registry/Registry.xml
{GUID GPT}/User/Preferences/Registry/Registry.xml
Registry.xml
:
<?xml version="1.0" encoding="UTF-8" standalone="no" ?> <RegistrySettings clsid="{A3CCFC41-DFDB-43a5-8D26-0FE8B954DA51}"> <Registry changed="2022-11-21 18:36:20" clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}" image="12" name="failed_count" status="failed_count" uid="{D5855321-D2BA-4595-BD28-4DF452BFF65F}" bypassErrors="1"> <Properties action="U" displayDecimal="0" hive="HKEY_CURRENT_USER" key="Software\Google\Chrome\BLBeacon" name="failed_count" type="REG_DWORD" value="00000001"> <SubProp id="" mask="0" value="0"/"> </Properties> </Registry> </RegistrySettings>
Примечание
/etc/sysconfig/network
удалить строки:
HTTP_PROXY= HTTPS_PROXY= FTP_PROXY= NO_PROXY=
http://username:password@address:port
$ gpupdate
$ env |grep PROXY
HTTP_PROXY=http://10.0.66.52:3128
HTTPS_PROXY=http://10.0.66.52:3128
FTP_PROXY=http://10.0.66.52:3128
/etc/systemd/user/gpupdate-user.timer.d/override.conf
— изменение пользовательского таймера;
/etc/systemd/system/gpupdate.timer.d/override.conf
— изменение системного таймера.
[Timer] OnUnitActiveSec = 10minгде 10min — периодичность запроса конфигураций.
/etc/systemd/system/gpupdate.timer.d
(или /etc/systemd/system/gpupdate-user.timer.d
для пользовательского таймера).
/etc/systemd/system/gpupdate.timer.d/override.conf
(или /etc/systemd/system/gpupdate-user.timer.d/override.conf
для пользовательского таймера);
Timer
;
OnUnitActiveSec
;
10min
.
$ gpupdate
# systemctl daemon-reload
$cat /etc/systemd/system/gpupdate.timer.d/override.conf
[Timer] OnUnitActiveSec = 10min $systemctl status gpupdate.timer
… Active: active (waiting) since Mon 2024-06-10 16:29:23 EET; 44s ago Trigger: Mon 2024-06-10 16:39:25 EET; 9min left
Примечание
$ systemctl --user daemon-reload
Примечание
override.conf
подменяет настройки системной библиотеки в файле /lib/systemd/system/gpupdate.timer
только если значение секции Timer
в файле override.conf
меньше, чем значение аналогичной секции в gpupdate.timer
.
Примечание
Примечание
User\Scripts\Logon
(например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\User\Scripts\Logon
) или User\Scripts\Logoff
соответствующей политики.
Примечание
gpupdate
версии 0.9.11. В версиях ниже скрипты для ОС «Альт» должны находиться в GPT настраиваемого объекта групповой политики.
*.ps1
.
Machine\Scripts\Startup
(например, \\test.alt\sysvol\test.alt\Policies\{20DDB816-421B-4861-8AC5-007E56CB67D0}\Machine\Scripts\Startup
) или Machine\Scripts\Shutdown
соответствующей политики.
Примечание
*.ps1
.
{GUID GPT}/User/Scripts/Logon
и {GUID GPT}/User/Scripts/Logoff
. Настройки политики для сценариев входа и выхода пользователя хранятся в файле {GUID GPT}/User/Scripts/scripts.ini
. В файле scripts.ini
перечисляются все скрипты, выполняемые в сценариях входа и выхода пользователя из системы. Сценарии входа начинаются с преамбулы [Logon]
, сценарии выхода начинаются с преамбулы [Logoff]
.
scripts.ini
:
[Logon] 0CmdLine=date.sh 0Parameters=test 1CmdLine=test.sh 1Parameters=new [Logoff] 0CmdLine=touch.sh 0Parameters= 1CmdLine=Logoff.bat 1Parameters=1.txt 2CmdLine=C:\share\Logon.bat 2Parameters=
{GUID GPT}/Machine/Scripts/Shutdown
и {GUID GPT}/Machine/Scripts/Startup
. Настройки политики для сценариев запуска и завершения работы компьютера хранятся в файле {GUID GPT}/Machine/Scripts/scripts.ini
. В файле scripts.ini
перечисляются все скрипты, выполняемые в сценариях запуска и завершения работы компьютера. Сценарии запуска компьютера начинаются с преамбулы [Startup]
, сценарии завершения работы начинаются с преамбулы [Shutdown]
.
scripts.ini
:
[Startup] 0CmdLine=hello.bat 0Parameters= 1CmdLine=notescript.vbs 1Parameters= 2CmdLine=notescript2.vbs 2Parameters= 3CmdLine=touch.bat 3Parameters= [Shutdown] 0CmdLine=touch.bat 0Parameters=
scripts.ini
закодирован в формате UTF-16LE (little-endian).
Примечание
{GUID GPT}/User/Scripts/pgscripts.ini
(для сценариев входа и выхода пользователя) и {GUID GPT}/Machine/Scripts/pgscripts.ini
(для запуска и завершения работы компьютера).
<?xml version="<версия>" encoding="<кодировка"?>где:
Примечание
<policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="<MajorVerison.MinorVersion>" schemaVersion="<MajorVerison.MinorVersion>" xmlns=" http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" > <policyNamespaces> … </policyNamespaces> <supersededAdm> … </supersededAdm> <resources> … </resources> <supportedOn> … </supportedOn> <categories> … </categories> <policies> … </policies> </policyDefinitions>
Таблица 11.1. Атрибуты элемента policyDefinitions
Атрибут
|
Обязательный
|
Описание
|
---|---|---|
xmlns:xsd
|
Нет
|
Обозначение элементов и типов данных, используемых в схеме пространства имен
|
xmlns:xsi
|
Нет
|
Обозначение пространства имён экземпляра XML-схемы, предоставленной в самом пространстве
|
revision
|
Да
|
Версия ADMX-файла, которая в большинстве случаев предназначена для отслеживания внесенных изменений.
Синтаксис:
revision="<MajorVerison.MinorVersion>"где MajorVersion и MinorVersion являются номерами версии, например, revision="1.0" |
schemaVersion
|
Да
|
Указывает версию схемы, используемую средствами работы с ГП для определения того, поддерживается ли ими формат конкретных ADMX-файлов. Синтаксис этой команды идентичен синтаксису revision
|
xmlns
|
Нет
|
Пространство имен схемы ГП
|
Примечание
Таблица 11.2. Дочерние элементы policyDefinitions
Элемент
|
Обязательный
|
Описание
|
---|---|---|
policyNamespaces
|
Да
|
Определяет уникальное имя пространства имен политики в файле ADMX, а также любых пространств имен, на которые оно ссылается в других файлах ADMX.
Синтаксис:
<policyNamespaces> <target> … </target> <using> … </using> </policyNamespaces>где:
|
supersededAdm
|
Нет
|
Данный элемент ссылается на имя ADM-файла, заменяемого ADMX-файлом
|
resources
|
Да
|
Определяет требования для ресурсов определенного языка и минимальную необходимую версию связанного ADML-файла.
Синтаксис:
<resources minRequiredRevision="<MajorVerison.MinorVersion>" fallbackCulture="<language name>"/>где:
|
supportedOn
|
Нет
|
Определяет сопоставление ссылки на локализированные строки текста с ОС или приложениями, на которые влияют конкретные параметры политики.
Синтаксис:
<supportedOn> <definitions> … </definitions> </supportedOn>Элементы definitions содержат информацию о поддерживаемой версии. |
categories
|
Нет
|
Содержит список категорий, в которых параметр политики текущего ADMX-файла будет отображаться в редакторе управления групповыми политиками.
Синтаксис:
<categories> <category> … </category> </categories>Элемент category указывает имя уникальной категории, которая будет отображаться в редакторе объектов групповой политики. |
policies
|
Нет
|
Содержит список определений параметров политики.
Синтаксис:
<policies> <policy> … </policy> </policies>Дочерний элемент policy соответствует одному параметру ГП, отображаемому в редакторе объектов групповой политики. Элемент policy описывает всю информацию о параметре политики, но включает ссылку на определение параметра. |
<category name="<logical or friendly name>" displayName="$(string.<category text>)" explainText="$(string.<help text>)"> <parentCategory> … </parentCategory> <seeAlso> … </seeAlso> <keywords> … </keywords> </category>
Таблица 11.3. Атрибуты элемента category
Атрибут
|
Обязательный
|
Описание
|
---|---|---|
name
|
Да
|
Имя, которое будет использоваться для конкретного поддерживаемого приложения и версии
|
displayName
|
Да
|
Ссылка на текстовую строку категории, расположенную в таблице строк ADML-файла
|
explainText
|
Нет
|
Текст объяснения или справки, связанный с конкретной категорией
|
Таблица 11.4. Дочерние элементы category
Элемент
|
Обязательный
|
Описание
|
---|---|---|
parentCategory
|
Да
|
Ссылка на родительскую категорию
|
seeAlso
|
Нет
|
Ссылка на другой элемент, который может быть связан с этим. Этот элемент не поддерживается и будет игнорироваться текущей ГП
|
keywords
|
Нет
|
Содержит индексные слова, которые можно использовать для поиска элементов. Этот элемент не поддерживается и будет игнорироваться текущей ГП
|
<policy name="<logical or friendly name>" class="Machine|User|Both" displayName="$(string.<category text>)" explainText="$(string.<help text>)" presentation="$(presentation.<parameter>)" key="<registry key>" valueName="<registry valuename>"> <parentCategory> … </parentCategory> <supportedOn> … </supportedOn> <enabledValue> … </enabledValue> <disabledValue> … </disabledValue> <enabledList> … </enabledList> <disabledList> … </disabledList> <elements> … </elements> </policy>
Таблица 11.5. Атрибуты элемента policy
Атрибут
|
Обязательный
|
Описание
|
---|---|---|
name
|
Да
|
Уникальное имя элемента политики (строка, желательно без пробелов и специальных символов)
|
class
|
Да
|
Определяет, где в каком разделе редактора ГП будет размещён элемент политики: компьютере, пользователе или в обоих узлах. Может принимать значения: «User», «Machine» или «Both»
|
displayName
|
Да
|
Имя, отображаемое в GPUI или оснастке консоли управления ГП. Ссылка на строку, расположенную в ADML-файле
|
explainText
|
Нет
|
Текст объяснения или справки, связанный с элементом политики. Ссылка на строку, расположенную в ADML-файле
|
presentation
|
Нет
|
Подписи параметров политики. Ссылка на строки, расположенные в ADML-файле
|
key
|
Да
|
Местоположение ключа реестра, в котором будет создан параметр реестра
|
valueName
|
Нет
|
Значение реестра, которое будет настроено для этого конкретного элемента политики
|
Таблица 11.6. Дочерние элементы policy
Элемент
|
Обязательный
|
Описание
|
---|---|---|
parentCategory
|
Да
|
Ссылка на родительскую категорию (раздел, в котором будет отображаться политика)
|
supportedOn
|
Нет
|
Логическое имя supportOn, определенное в элементе supportOn для этого файла (ссылка на поддерживаемые продукты)
|
enabledValue
|
Нет
|
Значение, которое раздел реестра примет, если политика включена.
Синтаксис:
<enabledValue> <delete /> | <decimal> … </decimal> | <string> … </string> </enabledValue>где:
|
disabledValue
|
Нет
|
Значение, которое раздел реестра примет, если политика отключена. См. описание enabledValue.
|
enabledList
|
Нет
|
Набор значений и ключей реестра, представляющих включенное состояние элемента политики
Синтаксис:
<enabledList defaultKey="<registry subkey>"> <item> … </item> </enabledList>где:
|
disabledList
|
Нет
|
Набор значений и ключей реестра, представляющих отключенное состояние элемента политики. См. описание enabledList
|
elements
|
Нет
|
Один из пяти типов параметров (см.ниже), которые можно задать в настройке политики
|
<elements> <boolean> … </boolean> <decimal> … </decimal> <text> … </text> <enum> … </enum> <list> … </list> </elements>
Таблица 11.7. Дочерние элементы elements
Элемент
|
Обязательный
|
Описание
|
---|---|---|
boolean
|
Нет
|
Представляет логический элемент в политике.
Синтаксис:
<boolean id="<ID>" clientExtension="<GUID>" key="<RegKey>" valueName="<Name>"> <trueValue> … </trueValue> <falseValue> … </falseValue> <trueList> … </trueList> <falseList> … </falseList> </boolean>где:
<boolean id="OrgXfceThunar_blocker" key="Software\BaseALT\Policies\PolkitLocks" valueName="org.xfce.thunar"> <trueValue> <decimal value="1" /> </trueValue> <falseValue> <decimal value="0" /> </falseValue> </boolean>
Для элемента boolean в ADMX-файле требуется элемент checkBox с соответствующим идентификатором в ADML-файле.
|
decimal
|
Нет
|
Представляет числовой/десятичный элемент в политике. Число может быть определено для хранения в виде числового или строкового репрезентативного значения
Синтаксис:
<decimal id="<ID>" clientExtension="<GUID>" key="<RegKey>" valueName="<Name>" required="true|false" minValue="<MinValue>" maxValue="<MaxValue>" storeAsText="true|false" soft="true|false" />где:
<decimal id="OrgMateSessionIdleDelay_setter" valueName="org.mate.session.idle-delay" minValue="1" maxValue="2147483647" />
Для элемента decimal требуется элемент decimalTextBox с соответствующим идентификатором в ADML-файле.
|
text
|
Нет
|
Представляет текстовый элемент в политике.
Синтаксис:
<text id="<ID>" clientExtension="<GUID>" key="<RegKey>" valueName="<Name>" required="true|false" maxLength="<maxLength>" expandable="true|false" soft="true|false" />где:
<text id="OrgMateBackgroundSecondaryColor_setter" valueName="org.mate.background.secondary-color" />
Элемент text допускает строковые значения длиной до 1023 символов.
|
enum
|
Нет
|
Представляет элемент перечисления.
Синтаксис:
<enum id="<ID>" clientExtension="<GUID>" key="<RegKey>" valueName="<Name>" required="true|false"> <item> … </item> </enum>где:
<enum id="OrgMateColorShadingType_setter" required="true" valueName="org.mate.background.color-shading-type"> <item displayName="$(string.org-mate-background-color-shading-type-horizontal-gradient)"> <value> <string>horizontal-gradient</string> </value> </item> <item displayName="$(string.org-mate-background-color-shading-type-vertical-gradient)"> <value> <string>vertical-gradient</string> </value> </item> <item displayName="$(string.org-mate-background-color-shading-type-solid)"> <value> <string>solid</string> </value> </item> </enum>
Элемент enum обычно связан с элементом раскрывающегося списка в редакторе объектов групповой политики.
Для элемента enum требуется элемент dropdownList с соответствующим идентификатором в ADML-файле.
|
list
|
Нет
|
Представляет элемент списка в политике.
Синтаксис:
<list id="<ID>" clientExtension="<GUID>" key="<RegKey>" valuePrefix="<Name>"> additive="true|false" expandable="true|false" explicitValue="true|false" > </ list>где:
Пример:
<list id="InstallPackagesList" key="Software\BaseALT\Policies\Packages\Install" additive="true"/>
Для элемента list требуется элемент listBox с соответствующим идентификатором в ADML-файле.
|
Примечание
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="<MajorVerison.MinorVersion>" schemaVersion="<MajorVerison.MinorVersion>" xmlns=" http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" > <displayName> … </displayName> <description> … </description> <annotation> … </annotation> <resources> … </resources> </policyDefinitionResources>
Таблица 11.8. Атрибуты элемента policyDefinitionResources
Атрибут
|
Обязательный
|
Описание
|
---|---|---|
xmlns:xsd
|
Нет
|
Обозначение элементов и типов данных, используемых в схеме пространства имен
|
xmlns:xsi
|
Нет
|
Обозначение пространства имён экземпляра XML-схемы, предоставленной в самом пространстве
|
revision
|
Да
|
Версия ADMX-файла.
Синтаксис:
revision="<MajorVerison.MinorVersion>"где MajorVersion и MinorVersion являются номерами версии, например, revision="1.0" |
schemaVersion
|
Да
|
Указывает версию схемы, используемую средствами работы с ГП. Синтаксис этой команды идентичен синтаксису revision
|
xmlns
|
Нет
|
Пространство имен схемы ГП
|
Таблица 11.9. Дочерние элементы policyDefinitionResources
Элемент
|
Обязательный
|
Описание
|
---|---|---|
displayName
|
Да
|
Локализованное название политики, содержащееся в ADML-файле
|
description
|
Нет
|
Описание параметров политики, содержащееся в ADML-файле
|
annotation
|
Да
|
Локализованный комментарий
|
resources
|
Нет
|
Содержит элементы stringTable и presentationTable для указанного языка.
Синтаксис:
<resources> <stringTable> … </stringTable> <presentationTable> … </presentationTable> </resources> |
Таблица 11.10. Дочерние элементы resources
Элемент
|
Обязательный
|
Описание
|
---|---|---|
stringTable
|
Нет
|
Содержит отображаемые строки для следующих видов информации:
Синтаксис:
<stringTable> <string> … </string> </stringTable>
Элемент stringTable нельзя объявлять более одного раза.
|
presentationTable
|
Нет
|
Таблица элементов представления, представляющая структуру элементов управления параметрами для отдельных параметров групповой политики. Расположение элементов управления параметрами включает в себя: тип элемента ввода параметров (поле редактирования, ползунок, выпадающий список, флажки, переключатели); подписи и текст подсказки для ввода параметров; а также значения по умолчанию и диапазон возможных значений для каждого параметра.
Синтаксис:
<presentationTable> <presentation> … </presentation> </presentationTable>
Если в ADML-файле нет элементов представления, элемент PresentationTable можно опустить. Если элемент PresentationTable включен в ADML-файл, необходимо определить хотя бы один элемент представления. Элемент PresentationTable определяется в ADML-файле не более одного раза.
|
<presentation id="<logical or friendly name>"> <text> … </text> <decimalTextBox> … </decimalTextBox> <textBox> … </textBox> <checkBox> … </checkBox> <comboBox> … </comboBox> <dropdownList> … </dropdownList> <listBox> … </listBox> </presentation>
Таблица 11.11. Атрибуты элемента presentation
Атрибут
|
Обязательный
|
Описание
|
---|---|---|
id
|
Да
|
Указывает логическое имя при ссылке на информацию о представлении для определенного параметра политики
|
Таблица 11.12. Дочерние элементы presentation
Элемент
|
Обязательный
|
Описание
|
---|---|---|
text
|
Да
|
Локализованная строка. Используется для определения текста, расположенного выше и ниже поля ввода параметра.
Синтаксис:
<text>Локализованная строка</text> |
decimalTextBox
|
Нет
|
Текстовое поле с элементом управления прокруткой или без него для ввода десятичных чисел в качестве параметра настройки политики. Должен быть связан с элементом decimal, определенным в элементе elements.
Синтаксис:
<decimalTextBox refId="Sample_NumericTextLabel">Метка:</decimalTextBox>где:
Пример:
<decimalTextBox refId="OrgMateScreensaverLockDelay_setter" defaultValue="3"> Скорость повтора </decimalTextBox> |
textBox
|
Нет
|
Синтаксис:
<textBox refId="<ID>"> <label> … </label> <defaultValue> … </defaultValue> </textBox>где:
Пример:
<textBox refId="OrgMateFilename_setter"> <label>Файл:</label> </textBox> |
checkBox
|
Нет
|
Синтаксис:
<checkBox refId="<ID> defaultChecked="true|false"> Placeholder label: </checkBox>где:
Пример:
<checkBox refId="OrgXfceThunar_blocker"> Блокировать </checkBox> |
comboBox
|
Нет
|
Поле со списком со значениями по умолчанию или предлагаемыми записями. Должно быть связано с элементом text, определенным в элементе elements.
Синтаксис:
<comboBox refId="<ID> noSort="true|false"> <label> … </label> <default> … </default> <suggestion> … </suggestion> </comboBox>где:
Пример:
<comboBox refId="OrgMateFilename_setter"> <label>Файл</label> <default>None</default> <suggestion>testA</suggestion> <suggestion>testB</suggestion> <suggestion>testC</suggestion> </comboBox> |
dropdownList
|
Нет
|
Раскрывающийся список, с помощью которого пользователь может выбрать одну из отображаемых записей. Должен быть связан с элементом enum, определенным в элементе elements.
Синтаксис:
<dropdownList refId="<ID>" noSort="true|false"> defaultItem="<NumericValue>"> Placeholder label: </dropdownList>где:
Пример:
<dropdownList noSort="true" defaultItem="0" refId="OrgMateColorShadingType_setter"> Тип градиента: </dropdownList> |
listBox
|
Нет
|
Представляет параметр списка с кнопками «Добавить» и «Удалить». Это единственный параметр, который можно использовать для управления несколькими значениями под одним ключом. Должен быть связан с элементом list, определенным в элементе elements.
Синтаксис:
<listBox refId="ID">Описание:</listBox>где:
Пример:
<listBox refId="InstallPackagesList"> Список пакетов для установки </listBox> |
Примечание
example.admx
с элементом policy, который содержит два элемента флажка (checkbox):
<policy name="Sample_Checkbox" class="User" displayName="$(string.Sample_Checkbox)" explainText="$(string.Sample_Checkbox_Help)" presentation="$(presentation.Sample_Checkbox)" key="Software\BaseALT\Policies\gsettings"> <parentCategory ref="system:ALT_Background_Mate" /> <supportedOn ref="system:SUPPORTED_AltP9" /> <elements> <boolean id="Checkbox_1" valueName="ExampleCheckbox1"> <trueValue> <decimal value="1" /> </trueValue> <falseValue> <decimal value="0" /> </falseValue> </boolean> <boolean id="Checkbox_2" valueName="ExampleCheckbox2"> <trueValue> <decimal value="0" /> </trueValue> <falseValue> <decimal value="1" /> </falseValue> </boolean> </elements> </policy>
example.admx
с элементом policy, который содержит два элемента флажка (checkbox):
<presentation id="Sample_Checkbox"> <checkBox refId="Checkbox_1">Первый параметр</checkBox> <checkBox refId="Checkbox_2" defaultChecked="true">Второй параметр — отмечен по умолчанию</checkBox> </presentation>
Примечание
<elements> <boolean id="Checkbox_1" valueName="ExampleCheckbox1"> … </boolean> <boolean id="Checkbox_2" valueName="ExampleCheckbox2"> … </boolean> </elements>Элемент presentation содержит два элемента checkBox:
<presentation id="Sample_Checkbox"> <checkBox refId="Checkbox_1">…</checkBox> <checkBox refId="Checkbox_2" defaultChecked="true">…</checkBox> </presentation>Атрибут id элемента boolean используется для соответствия связанному элементу checkBox, на который ссылается атрибут refId.
Таблица 11.13. Сопоставление
Тип данных в ADMX-файле
|
Определение параметра в ADML-файле
|
---|---|
boolean
|
checkBox
|
text
|
textBox
|
decimal
|
decimalTextBox
|
text
|
comboBox
|
enum или item
|
dropdownList
|
list
|
listBox
|
MyCompany.admx
с определением категории MyCompany:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="mycompany" namespace="MyCompany.Policies.MyCompany" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <categories> <category name="MyCompany" displayName="$(string.MyCompany)" explainText="$(string.MyCompany_Help)" /> </categories> </policyDefinitions>
ru-RU/MyCompany.adml
, который будет содержать локализованное название категории:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>Определение базовой категории</displayName> <description>Этот файл содержит определение базовой категории организации. </description> <resources> <stringTable> <string id="MyCompany">Моя организация</string> <string id="MyCompany_Help">Содержит параметры конфигурации, специфичные для организации.</string> </stringTable> </resources> </policyDefinitionResources>
using
в элемент policyNamespaces
. Атрибут пространства имен должен соответствовать пространству имен, определенному в пользовательском базовом файле (в примере MyCompany.Policies.MyCompany
). Атрибутом префикса может быть любое имя, уникальное для ADMX-файла. Рекомендуется по возможности использовать строку атрибута префикса из пользовательского базового файла, чтобы избежать путаницы. Например, следующий фрагмент файла example.admx
определяет пространство имен и ссылается на базовый файл MyCompany в элементе policyNamespaces
:
<policyNamespaces> <target prefix="example" namespace="MyCompany.Policies.Example" /> <using prefix="mycompany" namespace="MyCompany.Policies.MyCompany" /> </policyNamespaces>
Примечание
Примечание
$ systemctl list-units --type service --all
Получить список всех установленных файлов модулей можно, выполнив команду:
$ systemctl list-unit-files
MySystemd.admx
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="systemdunits" namespace="BaseALT.Policies.MySystemdUnits" /> <using prefix="system" namespace="BaseALT.Policies.System" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <policies> <policy class="Machine" displayName="$(string.httpd2_service)" explainText="$(string.httpd2_service_help)" key="Software\BaseALT\Policies\SystemdUnits" valueName="httpd2.service" name="httpd2.service"> <parentCategory ref="system:ALT_Systemd"/> <supportedOn ref="system:SUPPORTED_AltP9"/> <enabledValue> <decimal value="1"/> </enabledValue> <disabledValue> <decimal value="0"/> </disabledValue> </policy> </policies> </policyDefinitions>
ru-RU/MySystemd.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Определения служб</displayName> <description>Этот файл содержит дополнительные определения systemd-служб</description> <resources> <stringTable> <string id="httpd2_service">Веб-сервер Apache</string> <string id="httpd2_service_help">Эта политика определяет, включен ли systemd юнит веб-сервера Apache. </string> </stringTable> </resources> </policyDefinitionResources>
en-US/MySystemd.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Services definitions</displayName> <description>This file contains the systemd services definitionsб</description> <resources> <stringTable> <string id="httpd2_service">Apache Web Server</string> <string id="httpd2_service_help">This policy determines whether the systemd unit of Apache Web Server is enabled. </string> </stringTable> </resources> </policyDefinitionResources>
MySystemd.admx
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
ru-RU/MySystemd.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
en-US/MySystemd.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
MySystemd.admx
в каталог /usr/share/PolicyDefinitions
ru-RU/MySystemd.adml
в каталог /usr/share/PolicyDefinitions/ru-RU
en-US/MySystemd.adml
в каталог /usr/share/PolicyDefinitions/en-US
/var/lib/samba/sysvol/<DOMAIN>/Policies/
).
Примечание
# control
Примечание
# control osec-send help
mail: Mail root
journal: Write to systemd journal
MyControl.admx
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="control" namespace="BaseALT.Policies.MyControl" /> <using prefix="system" namespace="BaseALT.Policies.System" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <policies> <policy class="Machine" displayName="$(string.osec-send)" explainText="$(string.osec-send_help)" key="Software\BaseALT\Policies\Control" name="osec-send" presentation="$(presentation.osec-send)"> <parentCategory ref="system:ALT_Services"/> <supportedOn ref="system:SUPPORTED_AltP9"/> <elements> <enum id="osec-send_setter" required="true" valueName="osec-send"> <item displayName="$(string.osec-send_mail)"> <value> <string>mail</string> </value> </item> <item displayName="$(string.osec-send_journal)"> <value> <string>journal</string> </value> </item> </enum> </elements> </policy> </policies> </policyDefinitions>
ru-RU/MyControl.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Определения политик управления системными компонентами</displayName> <description>Этот файл содержит определения политик управления системными компонентами.</description> <resources> <stringTable> <string id="osec-send">Отчет подсистемы osec</string> <string id="osec-send_help">Политика позволяет определить куда отправлять ежедневный отчёт: Почта — отправлять отчёт на почтовый ящик пользователя root Журнал — записывать отчёт в системный журнал </string> <string id="osec-send_mail">Почта</string> <string id="osec-send_journal">Журнал</string> </stringTable> <presentationTable> <presentation id="osec-send"> <dropdownList noSort="true" defaultItem="0" refId="osec-send_setter">Куда отправлять отчёт: </dropdownList> </presentation> </presentationTable> </resources> </policyDefinitionResources>
en-US/MyControl.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Control installed facilities definitions</displayName> <description>This file contains the control installed facilities definitions.</description> <resources> <stringTable> <string id="osec-send">Osec Subsystem Report</string> <string id="osec-send_help">The policy allows you to determine where to send the daily report: Mail — Mail root Journal — Write to systemd journal </string> <string id="osec-send_mail">Mail</string> <string id="osec-send_journal">Journal</string> </stringTable> <presentationTable> <presentation id="osec-send"> <dropdownList noSort="true" defaultItem="0" refId="osec-send_setter">Where to send the report: </dropdownList> </presentation> </presentationTable> </resources> </policyDefinitionResources>
MyControl.admx
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
ru-RU/MyControl.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
en-US/MyControl.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
MyControl.admx
в каталог /usr/share/PolicyDefinitions
ru-RU/MyControl.adml
в каталог /usr/share/PolicyDefinitions/ru-RU
en-US/MyControl.adml
в каталог /usr/share/PolicyDefinitions/en-US
/var/lib/samba/sysvol/<DOMAIN>/Policies/
).
Примечание
$ gsettings list-schemas
Посмотреть все ключи Gsettings можно, выполнив команду:
$ gsettings list-recursively
Примечание
$Ключ idle-delay позволяет управлять настройкой «Считать компьютер простаивающим через».gsettings list-keys org.mate.session
gnome-compat-startup show-hidden-apps idle-delay required-components-list default-session auto-save-session logout-prompt logout-timeout session-start $gsettings get org.mate.session idle-delay
5
MyGsettings.admx
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="gsettings" namespace="BaseALT.Policies.MyGsettings" /> <using prefix="system" namespace="BaseALT.Policies.System" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <policies> <policy name="OrgMateSessionIdleDelayUser" class="User" displayName="$(string.org-mate-session-idle-delay)" explainText="$(string.org-mate-session-idle-delay_help)" key="Software\BaseALT\Policies\gsettings" presentation="$(presentation.OrgMateSessionIdleDelayUser-pr)"> <parentCategory ref="system:ALT_Screensaver_Mate" /> <supportedOn ref="system:SUPPORTED_AltP9" /> <elements> <decimal id="OrgMateSessionIdleDelay_setter" valueName="org.mate.session.idle-delay" minValue="1" maxValue="2147483647" /> </elements> </policy> <policy name="OrgMateSessionIdleDelayMachine" class="Machine" displayName="$(string.org-mate-session-idle-delay)" explainText="$(string.org-mate-session-idle-delay_help)" key="Software\BaseALT\Policies\gsettings" presentation="$(presentation.OrgMateSessionIdleDelayMachine-pr)"> <parentCategory ref="system:ALT_Screensaver_Mate" /> <supportedOn ref="system:SUPPORTED_AltP9" /> <elements> <decimal id="OrgMateSessionIdleDelay_setter" valueName="org.mate.session.idle-delay" minValue="1" maxValue="2147483647" /> <boolean id="OrgMateSessionIdleDelay_setter_blocker" key="Software\BaseALT\Policies\GSettingsLocks" valueName="org.mate.session.idle-delay"> <trueValue> <decimal value="1" /> </trueValue> <falseValue> <decimal value="0" /> </falseValue> </boolean> </elements> </policy> </policies> </policyDefinitions>
ru-RU/MyGsettings.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Определения списка настроек рабочего окружения MATE</displayName> <description>Этот файл содержит определения настроек рабочего окружения MATE.</description> <resources> <stringTable> <string id="org-mate-session-idle-delay">Считать компьютер простаивающим через</string> <string id="org-mate-session-idle-delay_help">Устанавливает количество минут, по истечении которых компьютер будет считаться простаивающим. Опция «Блокировать» — (доступна только для машинной политики) запрещает изменение данной настройки пользователем. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. </string> </stringTable> <presentationTable> <presentation id="OrgMateSessionIdleDelayUser-pr"> <text>Количество минут, по истечении которого компьютер будет считаться простаивающим</text> <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Время в минутах</decimalTextBox> </presentation> <presentation id="OrgMateSessionIdleDelayMachine-pr"> <text>Количество минут, по истечении которого компьютер будет считаться простаивающим</text> <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Время в минутах:</decimalTextBox> <checkBox refId="OrgMateSessionIdleDelay_setter_blocker">Блокировать</checkBox> </presentation> </presentationTable> </resources> </policyDefinitionResources>
en-US/MyGsettings.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>MATE desktop configurations definitions</displayName> <description>This file contains the desktop MATE configurations definitions.</description> <resources> <stringTable> <string id="org-mate-session-idle-delay">Consider the computer idle after</string> <string id="org-mate-session-idle-delay_help">Sets the number of minutes after which the computer will be considered idle. The "Block" option — (available only for machine policy) prevents the user from changing this setting. Blocking a policy makes it a priority over a similar policy for the user. </string> </stringTable> <presentationTable> <presentation id="OrgMateSessionIdleDelayUser-pr"> <text>Number of minutes after which the computer will be considered idle</text> <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Time in minutes</decimalTextBox> </presentation> <presentation id="OrgMateSessionIdleDelayMachine-pr"> <text>Number of minutes after which the computer will be considered idle</text> <decimalTextBox refId="OrgMateSessionIdleDelay_setter" defaultValue="1">Time in minutes:</decimalTextBox> <checkBox refId="OrgMateSessionIdleDelay_setter_blocker">Блокировать</checkBox> </presentation> </presentationTable> </resources> </policyDefinitionResources>
MyGsettings.admx
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
ru-RU/MyGsettings.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
en-US/MyGsettings.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
MyGsettings.admx
в каталог /usr/share/PolicyDefinitions
ru-RU/MyGsettings.adml
в каталог /usr/share/PolicyDefinitions/ru-RU
en-US/MyGsettings.adml
в каталог /usr/share/PolicyDefinitions/en-US
/var/lib/samba/sysvol/<DOMAIN>/Policies/
).
Примечание
/usr/share/polkit-1/actions/
в формате *.policy Каждая политика представляет собой xml-файл, в котором описываются запросы к polkit.
/usr/share/polkit-1/actions/
можно, выполнив команду
$ pkaction
MyPolkit.admx
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <policyNamespaces> <target prefix="xfce" namespace="BaseALT.Policies.MyPolkit" /> <using prefix="system" namespace="BaseALT.Policies.System" /> </policyNamespaces> <resources minRequiredRevision="1.0" /> <policies> <policy class="Machine" displayName="$(string.org-xfce-thunar)" explainText="$(string.org-xfce-thunar_help)" key="Software\BaseALT\Policies\Polkit" name="org.xfce.thunar" valuename="org.xfce.thunar" presentation="$(presentation.OrgXfceThunar-pr)"> <parentCategory ref="system:ALT_Polkit" /> <supportedOn ref="system:SUPPORTED_AltP10" /> <elements> <enum id="OrgXfceThunar_setter" valueName="org.xfce.thunar" required="true"> <item displayName="$(string.org-xfce-thunar-No)"> <value> <string>No</string> </value> </item> <item displayName="$(string.org-xfce-thunar-Yes)"> <value> <string>Yes</string> </value> </item> <item displayName="$(string.org-xfce-thunar-Auth-self)"> <value> <string>Auth_self</string> </value> </item> <item displayName="$(string.org-xfce-thunar-Auth-admin)"> <value> <string>Auth_admin</string> </value> </item> <item displayName="$(string.org-xfce-thunar-Auth-self-keep)"> <value> <string>Auth_self_keep</string> </value> </item> <item displayName="$(string.org-xfce-thunar-Auth-admin-keep)"> <value> <string>Auth_admin_keep</string> </value> </item> </enum> <boolean id="OrgXfceThunar_blocker" key="Software\BaseALT\Policies\PolkitLocks" valueName="org.xfce.thunar"> <trueValue> <decimal value="1" /> </trueValue> <falseValue> <decimal value="0" /> </falseValue> </boolean> </elements> </policy> </policies> </policyDefinitions>
ru-RU/MyPolkit.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>Определения политик Xfce</displayName> <description>Этот файл содержит определения политик для управления Xfce.</description> <resources> <stringTable> <string id="org-xfce-thunar">Ограничение возможности запуска Thunar от суперпользователя</string> <string id="org-xfce-thunar_help">Политика управляет ограничением возможности запуска Thunar от суперпользователя Отключено/Не сконфигурировано — ограничения определяются системными параметрами. Включено — ограничение с установленными правами; Возможные значения: «No» — установить ограничение с запретом действия (пользователю не разрешено выполнять действие); «Yes» — снять ограничение (пользователь может выполнять действие без какой-либо аутентификации); «Auth_self» — пользователь должен ввести свой пароль для аутентификации. Обратите внимание, этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется «Auth_admin»; «Auth_admin» — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора; «Auth_self_keep» — подобно «Auth_self», но авторизация сохраняется в течение короткого периода времени (например, пять минут). Обратите внимание, этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется «Auth_admin_keep»; «Auth_admin_keep» — аналогично «Auth_admin», но авторизация сохраняется в течение короткого периода времени (например, пять минут); Примечание: обладание административными правами в контексте PolicyKit определяются его правилами. По умолчанию в Альт запрашивается пароль пользователя, находящегося в группе «wheel». Опция «Блокировать» — запрещает изменение данной настройки пользователем. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. </string> <string id="org-xfce-thunar-No">No</string> <string id="org-xfce-thunar-Yes">Yes</string> <string id="org-xfce-thunar-Auth-self">Auth_self</string> <string id="org-xfce-thunar-Auth-admin">Auth_admin</string> <string id="org-xfce-thunar-Auth-self-keep">Auth_self_keep</string> <string id="org-xfce-thunar-Auth-admin-keep">Auth_admin_keep</string> </stringTable> <presentationTable> <presentation id="OrgXfceThunar-pr"> <dropdownList noSort="true" defaultItem="1" refId="OrgXfceThunar_setter">Варианты ограничений на запуск Thunar от суперпользователя:</dropdownList> <checkBox refId="OrgXfceThunar_blocker">Блокировать настройку ограничений</checkBox> </presentation> </presentationTable> </resources> </policyDefinitionResources>
en-US/MyPolkit.adml
:
<?xml version="1.0" encoding="utf-8"?> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions" revision="1.0" schemaVersion="1.0"> <displayName>ALT Xfce policies definitions</displayName> <description>This file contains the Xfce service policies definitions used by ALT operating system.</description> <resources> <stringTable> <string id="org-xfce-thunar">Run Thunar as root</string> <string id="org-xfce-thunar_help">This policy grants or restricts permissions to run Thunar as root Disabledd/Not configured — Permissions are determined by system settings. Default is «Auth_admin» Enabled — permission to mount with set rights; Possible values: "No" — block permissions (the user is not allowed to perform the action); "Yes" — grant permissions (the user can perform the action without any authentication); "Auth_self" — The user must enter their password to authenticate. Note that this permission is not sufficient for most uses on multi-user systems, the "Auth_admin" permission is generally recommended; "Auth_admin" — The user must enter an administrator password on each request. Requires user authentication with administrator rights; "Auth_self_keep" — Similar to "Auth_self", but the authorization is kept for a short period of time (for example, five minutes). Note that this permission is not sufficient for most uses on multi-user systems, the "Auth_admin_keep" permission is generally recommended; "Auth_admin_keep" — similar to "Auth_admin", but the authorization is kept for a short period of time (for example, five minutes); Note: the possession of administrative rights in the context of PolicyKit is determined by its rules. By default, Alt asks for the password of the user in the "wheel" group. The "Block" option prevents the user from changing this setting. Blocking a policy makes it a priority over a similar policy for the user. </string> <string id="org-xfce-thunar-No">No</string> <string id="org-xfce-thunar-Yes">Yes</string> <string id="org-xfce-thunar-Auth-self">Auth_self</string> <string id="org-xfce-thunar-Auth-admin">Auth_admin</string> <string id="org-xfce-thunar-Auth-self-keep">Auth_self_keep</string> <string id="org-xfce-thunar-Auth-admin-keep">Auth_admin_keep</string> </stringTable> <presentationTable> <presentation id="OrgXfceThunar-pr"> <dropdownList noSort="true" defaultItem="1" refId="OrgXfceThunar_setter">Restriction options:</dropdownList> <checkBox refId="OrgXfceThunar_blocker">Block</checkBox> </presentation> </presentationTable> </resources> </policyDefinitionResources>
MyPolkit.admx
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions
ru-RU/MyPolkit.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\ru-RU
en-US/MyPolkit.adml
в каталог \\test.alt\sysvol\test.alt\Policies\PolicyDefinitions\en-US
MyPolkit.admx
в каталог /usr/share/PolicyDefinitions
ru-RU/MyPolkit.adml
в каталог /usr/share/PolicyDefinitions/ru-RU
en-US/MyPolkit.adml
в каталог /usr/share/PolicyDefinitions/en-US
/var/lib/samba/sysvol/<DOMAIN>/Policies/
).
Примечание
flags
: объект GPO включён (значение 0, все настройки политики применяются к целевым объектам AD), отключён раздел Конфигурация пользователя (значение 1, не применяются настройки пользовательских политик), отключён раздел Конфигурация компьютера (значение 2, не применяются настройки из параметров GPO компьютера), объект GPO полностью отключён (значение 3, все настройки политики не применяются).
gpresult
(на машинах Windows).
$ gpresult -v
# gpoa --loglevel 0
# gpoa --loglevel 0 <имя_пользователя>
Таблица 16.1. Коды ошибок
Код
|
Описание
|
Решение
|
---|---|---|
E00001
|
Недостаточно прав для запуска программы
gpupdate
|
Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора
|
E00002
|
Программа
gpupdate не будет запущена из-за предыдущих ошибок
|
|
E00003
|
Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне
|
Возможно, это ошибка в коде и необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
|
E00004
|
Ошибка во время работы фронтенда
|
Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться ошибкой в коде
|
E00005
|
Не получилось запустить appliers политик для обновления групповых политик компьютера
|
Необходимо проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
|
E00006
|
Показать список доступных бэкэндов
|
Необходимо проверить, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО
|
E00007
|
Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba
|
Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен
|
E00008
|
Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик
|
Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator
|
E00009
|
Произошла ошибка при попытке запуска
adp
|
Необходимо обратиться к руководству по устранению неполадок проекта ADP
|
E00010
|
Произошёл сбой при попытке получить имя домена Active Directory
|
Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию
|
E00011
|
Во время работы applier с пониженным уровнем привилегий произошла неполадка
|
Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно
|
E00012
|
Высокоуровневая ошибка инициализации бэкэнда
|
Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba — удостовериться, что машина введена в домен
|
E00013
|
У пользователя, запустившего программу, недостаточно прав для обновления настроек машины
|
Необходимо запустить программу с правами администратора
|
E00014
|
Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена
|
Необходимо проверить конфигурацию Kerberos в файле
/etc/krb5.conf . Попытаться получить билет Kerberos вручную
|
E00015
|
Запрос на получение имени домена Active Directory через LDAP не прошёл
|
Необходимо проверить возможность получения Kerberos ticket для машины. Проверить работу DNS и возможность обратиться к доменному LDAP
|
E00016
|
Утилита
wbinfo не отдаёт SID для пользователя, для которого выполняется обновление групповых политик
|
Необходимо проверить целостность программы
wbinfo . Проверить, что машина введена в домен
|
E00017
|
Невозможно получить список групповых политик для репликации на используемое имя пользователя
|
Следует удостовериться, что пользователь для которого происходит попытка получить список групповых политик, существует в домене. Необходимо также удостовериться, что проблема не вызвана misconfiguration домена
|
E00018
|
Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR
|
Необходимо удостовериться, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует
|
E00019
|
Произошла ошибка во время работы applier для пользователя
|
Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
|
E00020
|
Произошла ошибка во время работы applier для пользователя с пониженными привилегиями
|
Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможно это ошибка. В таком случае необходимо создать отчет об ошибке, чтобы разработчики узнали о ней
|
E00021
|
Не был получен ответ от D-Bus при попытке запустить
gpoa для текущего пользователя
|
Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
|
E00022
|
Не был получен ответ от D-Bus при попытке запустить
gpoa для машины
|
Необходимо удостовериться, что D-Bus работает корректно и демон oddjobd запущен
|
E00023
|
Не был получен ответ от D-Bus при попытке запустить
gpoa для пользователя
|
Следует удостовериться, что D-Bus работает корректно и демон oddjobd запущен. Необходимо удостовериться, что у текущего пользователя достаточно прав для обращения к D-Bus
|
E00024
|
Ошибка во время работы машинного applier
|
Необходимо проверить настройки applier вручную, чтобы убедиться, что соответствующая часть ОС не поломана
|
E00025
|
Ошибка во время инициализации пользовательского applier
|
Необходимо проверить, что машина является частью домена и контроллер домена доступен. Следует удостовериться, что пользователь существует и что соответствующая часть ОС не поломана
|
E00026
|
Ошибка слияния машинной групповой политики
|
Необходимо очистить кеш gpupdate
|
E00027
|
Ошибка слияния пользовательской групповой политики
|
Необходимо очистить кеш gpupdate
|
E00028
|
Ошибка слияния машинной части групповой политики
|
Необходимо очистить кеш gpupdate
|
E00029
|
Ошибка слияния пользовательской части групповой политики
|
Необходимо очистить кеш gpupdate
|
E00030
|
Ошибка при запуске процесса с пониженным уровнем привилегий в контексте пользователя
|
Необходимо проверить наличие домашнего каталога пользователя, для которого выполняется
gpupdate
|
E00042
|
Не входит в возможные значения для control
|
Ошибка возникает в случае некорректного целочисленного типа данных, прописанного в шаблонах групповых политик (ADMX-файлах)
|
E00055
|
Ошибка при запуске
pkcon_runner синхронно для компьютера
|
Необходимо проверить наличие в системе и корректность файла
pkcon_runner
|
E00056
|
Ошибка запуска
apt-get update
|
Необходимо проверить подключение к сети и корректность репозиториев, отсутствие подключённых дополнительных репозиториев
|
E00057
|
Ошибка установки пакета
|
Необходимо проверить наличие пакета в репозиториях, правильность имени пакета, наличие подключения к сети и наличие в системе пакета packagekit
|
E00058
|
Ошибка удаления пакета
|
Вероятно, пакет не установлен в систему или в системе отсутствует пакет packagekit
|
E00059
|
Не входит в возможные значения для control
|
Ошибка возникает в случае некорректного строкового типа данных, прописанного в шаблонах групповых политик (ADMX-файлах)
|
E00060
|
Ошибка при запуске
pkcon_runner синхронно для пользователя
|
Необходимо проверить наличие в системе и корректность файла
pkcon_runner
|
E00061
|
Ошибка при запуске
pkcon_runner асинхронно для компьютера
|
Необходимо проверить наличие в системе и корректность файла
pkcon_runner
|
E00062
|
Ошибка при запуске
pkcon_runner асинхронно для пользователя
|
Необходимо проверить наличие в системе и корректность файла
pkcon_runner
|
E00067
|
Ошибка создания переменных среды
|
Необходимо убедиться в наличии переменных окружения: XDG_DATA_DIRS, XDG_RUNTIME_DIR, DBUS_SESSION_BUS_ADDRESS, PATH
|
E00068
|
Ошибка выполнения команды
kwriteconfig5
|
Необходимо убедиться, что установлен пакет kf5-kconfig
|
# gpupdate-setup status
# systemctl status gpupdate-scripts-run.service
# ls -Rl /var/cache/gpupdate_scripts_cache/
$ systemctl --user status gpupdate-scripts-run-user.service
# gpoa --loglevel 0