Для начала установки ОС «Альт Сервер» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.

Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Install ALT Server, и нажать Enter.

Во время установки системы выполняются следующие шаги:

Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы:

После окна выбора языковых параметров ОС «Альт Сервер» программа установки переходит к окну «Лицензионное соглашение»:

Для подтверждения согласия с условиями лицензии, необходимо отметить пункт Да, я согласен с условиями и нажать кнопку Далее.

На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени. Для ручной установки текущих даты и времени нужно нажать кнопку Изменить….

На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Сервер», в первую очередь — выделяется свободное место на диске.

В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:

По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Сервер».

Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Сервер» и установлены вместе с ней на диск:

Для установки пакетов, необходимых для разворачивания контроллера домена, следует выбрать профиль Сервер Samba DC (контроллер AD) и нажать кнопку Далее:

Начнётся установка пакетов:

Установка происходит автоматически в два этапа:

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

На этапе «Установка загрузчика» программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС «Альт Сервер».

При установке системы в режиме UEFI следует выбрать в качестве устройства для установки специальный раздел «EFI»:

Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, шлюз по умолчанию и DNS-серверы:

На вторичном сервере обязательно нужно указать первичный сервер в поле DNS-серверы:

Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Администратор системы» загрузчик создает учётную запись администратора:

В открывшемся окне необходимо ввести пароль учётной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учётной записи вводится дважды. Подтверждение введенного (или сгенерированного) пароля учётной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.

На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Сервер»:

В этом окне необходимо заполнить следующие поля:

Подтверждение введенного (или сгенерированного) пароля учётной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.

Если на этапе подготовки диска были созданы шифруемые разделы (LUKS-разделы), то на этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому разделу:

На экране последнего шага установки отображается информация о завершении установки:

После нажатия кнопки Завершить автоматически начнется перезагрузка системы. Далее можно загружать установленную систему в обычном режиме.

После установки системы, её следует обновить до актуального состояния.

Для обновления системы необходимо выполнить команды (с правами администратора):

# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

$ su -

Все действия выполняются на узле dc1.test.alt (192.168.0.122).

Для установки Samba AD DC выполняются следующие шаги:

Для задания конфигурации необходимо установить административные шаблоны (ADMX-файлы). Для этого:

Все действия выполняются на узле dc2.test.alt (192.168.0.141), если не указано иное.

Для заведения вторичного DC выполняются следующие шаги:

Настройка репликации:

Для начала установки ОС «Альт Рабочая станция» необходимо загрузиться с носителя, на котором записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с оптического привода или с USB-устройства.

Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Установить ALT Workstation, и нажать Enter.

Во время установки системы выполняются следующие шаги:

Установка начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы:

После окна выбора языковых параметров ОС «Альт Рабочая станция» программа установки переходит к окну «Лицензионное соглашение»:

Для подтверждения согласия с условиями лицензии, необходимо отметить пункт Да, я согласен с условиями и нажать кнопку Далее.

На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени. Для ручной установки текущих даты и времени нужно нажать кнопку Изменить….

На этапе «Подготовка диска» программа установки подготавливает площадку для установки ОС «Альт Рабочая станция», в первую очередь — выделяется свободное место на диске.

В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:

По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

На этапе «Установка системы» происходит распаковка ядра и установка набора программ, необходимых для работы ОС «Альт Рабочая станция».

Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС «Альт Рабочая станция» и установлены вместе с ней на диск:

В группе пакетов Групповые политики можно выбрать к установке инструменты применения/администрирования групповых политик:

Выбрав необходимые группы, следует нажать Далее, после чего начнётся установка пакетов.

Установка происходит автоматически в два этапа:

По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.

После сохранения настроек осуществляется автоматический переход к следующему шагу.

На этапе «Установка загрузчика» программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС «Альт Рабочая станция».

При установке системы в режиме UEFI следует выбрать в качестве устройства для установки специальный раздел «EFI»:

Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Настройка сети» необходимо задать имя компьютера, IP-адрес, в качестве первичного DNS должен указать DNS-сервер домена (192.168.0.122) и в поле Домены поиска — домен для поиска:

Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

На этапе «Администратор системы» загрузчик создает учётную запись администратора:

В открывшемся окне необходимо ввести пароль учётной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учётной записи вводится дважды. Подтверждение введенного (или сгенерированного) пароля учётной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.

На этапе «Системный пользователь» программа установки создает учётную запись системного пользователя (пользователя) ОС «Альт Рабочая станция»:

В этом окне необходимо заполнить следующие поля:

Подтверждение введенного (или сгенерированного) пароля учётной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.

Если на этапе подготовки диска были созданы шифруемые разделы (LUKS-разделы), то на этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому разделу:

На экране последнего шага установки отображается информация о завершении установки. Эта информация может содержать важные замечания по использованию дистрибутива.

После нажатия кнопки Завершить автоматически начнется перезагрузка системы. Далее можно загружать установленную систему в обычном режиме.

После установки системы, её следует обновить до актуального состояния.

Для обновления системы необходимо выполнить команды (с правами администратора):

# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

$ su -

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd (и все его зависимости) и пакет alterator-gpupdate для включения групповых политик:

# apt-get install task-auth-ad-sssd alterator-gpupdate

search test.alt
nameserver 192.168.0.122

Для ввода рабочей станции в домен необходимо запустить ЦУС (Меню MATE → Приложения → Администрирование → Центр управления системой). В ЦУС следует перейти в раздел Пользователи → Аутентификация. В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль, установить отметку в поле Включить групповые политики и нажать кнопку ОК:

При успешном подключении к домену, отобразится соответствующая информация:

Далее необходимо перезагрузить рабочую станцию.

Проверить подключение к домену (ivanov — пользователь в домене)

# getent passwd ivanov
ivanov:*:1327601105:1327600513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash

# net ads info
LDAP server: 192.168.0.122
LDAP server name: dc1.test.alt
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Ср, 27 мар 2024 10:36:51 EET
KDC server: 192.168.0.122
Server time offset: 2
Last machine account password change: Ср, 20 мар 2024 11:13:27 EET

# net ads testjoin
Join is OK

# samba-tool user list

Установить пакет admc:

# apt-get install admc

Запуск ADMC осуществляется из меню запуска приложений: пункт Системные → ADMC или из командной строки (команда admc).

$ kinit administrator

Установить пакет gpui:

# apt-get install gpui

# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup

Для использования GPUI необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду:

$ kinit administrator

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…: либо с указанием каталога групповой политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"

Ключ -p позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.

Пример запуска GPUI для редактирования политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

В центре управления сетями и общим доступом выбрать Подключение по локальной сети, в контекстном меню выбрать пункт Свойства. В появившемся окне выбрать Протокол Интернета версии 4 (TCP/IPv4) и нажать кнопку Свойства:

В открывшемся окне задать IP-адрес, в качестве предпочитаемого DNS-сервера указать DNS-сервер домена (192.168.0.122). Сохранить изменения, нажав кнопку ОК:

Для ввода машины с ОС Windows в домен необходимо выполнить следующие действия:

Для включения компонентов удалённого администрирования:

Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию.

Групповые политики, как механизм, отличаются от стандартных инструментов управления конфигурациями (таких как, например, Puppet и Ansible) тремя ключевыми особенностями:

В дистрибутивах «Альт» для применения групповых политик используется инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в «Альт Домен».

Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:

Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.

Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на узле в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему. Некоторые задачи управлениями конфигурациями можно решить как через пользовательские, так и через машинные параметры.

Система управления групповых политик в «Альт Домен» представлена широким набором конфигурационных настроек. В общем виде эти настройки делятся на две категории — политики и предпочтения. Основное отличие политик от предпочтений состоит в том, что политики можно отменить, поскольку они «накладываются» через реестр поверх настроек приложений так, что приложения не могут их изменить. Исключение составляют настройки перегружаемые через такие такой механизм, как GConf или dconf, а также определённые правила для PolicyKit. Основным отличием предпочтений от политик состоит в том, что эти настройки пользователь или приложение может изменить или отменить после их применения. Регулярная перезапись таких настроек, частично, сглаживает эту особенность, доставляя конечному пользователю неудобство, но не ограничивая его возможности повлиять на заданную для него или его компьютера политику, точнее предпочтение.

Одним из ключевых ограничений, не позволяющий задавать политики, вместо предпочтений состоит в том, что значение конфигурационных настроек при их задании перезаписывается, а исходное состояние теряется. В рамках дистрибутивных решений «Альт» разработан механизм локальной политики (аналогичный Local Policy под Windows), позволяющий частично преодолеть эту проблему. На текущий момент этот механизм представлен профилями, определяющими шаблон локальной политики, определяемый при включении механизма применения групповых политик (см. Локальная политика).

Далее, для терминологического упрощения, политики и предпочтения называются одним термином «Групповая политика» (ГП) с поправками на особенности их применения.

В таблице Список групповых политик представлен список ГП, которые можно настроить и применять в «Альт Домен».

Модуль состоит из трёх утилит:

⁠ Синтаксис команды gpoa:

gpoa [-h] [--dc DC] [--nodomain] [--noupdate] [--noplugins] [--list-backends] [--loglevel LOGLEVEL] [пользователь]

Примеры работы с командой gpoa:

Синтаксис команды gpupdate:

gpupdate [-h] [-u USER] [-t {ALL,USER,COMPUTER}] [-l LOGLEVEL] [-s]

Только root может указать любое имя пользователя для обновления. Пользователь может выполнять gpupdate только для машины или самого себя.

Примеры работы с командой gpupdate:

Синтаксис команды gpupdate-setup:

gpupdate-setup [-h] действие …

Примеры работы с командой gpupdate-setup:

По умолчанию, нет необходимости конфигурировать gpupdate. Однако в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:

Пример, файла /etc/gpupdate/gpupdate.ini на контроллере домена:

[gpoa]
backend = samba
local-policy = ad-domain-controller

Пример, файла /etc/gpupdate/gpupdate.ini на рабочей станции:

[gpoa]
backend = samba
local-policy = workstation

В следующем примере указан пустой профиль локальной политики. Указать пустой профиль бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:

[gpoa]
backend = samba
local-policy = /usr/share/local-policy/default

[samba]
dc = dc1.test.alt

Настройки локальной политики находятся в каталоге /usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и разворачивать её единообразно на всех клиентах. Формат шаблонов политик по умолчанию представляет собой архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

Пример локальной политики (файл /usr/share/local-policy/workstation/Machine/Registry.pol.xml):

<?xml version="1.0" encoding="utf-8"?>
<PolFile num_entries="9" signature="PReg" version="1">
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>ssh-gssapi-auth</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups</ValueName>
        <Value>enabled</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>sshd-allow-groups-list</ValueName>
        <Value>remote</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>Software\BaseALT\Policies\Control</Key>
        <ValueName>system-policy</ValueName>
        <Value>gpupdate</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>oddjobd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>sshd.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="4" type_name="REG_DWORD">
        <Key>Software\BaseALT\Policies\SystemdUnits</Key>
        <ValueName>gpupdate.service</ValueName>
        <Value>1</Value>
    </Entry>
    <Entry type="1" type_name="REG_SZ">
        <Key>SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules</Key>
        <ValueName>OpenSSH</ValueName>
        <Value>v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|</Value>
    </Entry>
</PolFile>

На клиентский компьютер должны распространяться параметры политики, указанные в соответствующем объекте ГП.

Каждая группа параметров групповой политики обслуживается определенным модулем (Applier) клиентской стороны.

Модель групповых политик вызывает Applier отвечающие за внесение изменений, согласно параметрам политики. Для выполнения настроек, указанных в параметрах групповой политики, расширения клиентской стороны изменяют конкретные параметры операционной системы. Изменения, внесённые в операционную систему при помощи модуля групповых политик, записываются в журналы событий.

Каждый фронтенд срабатывает на определённые ветки настроек. Запуск фронтенда для машины по умолчанию производится раз в час средством Systemd — gpupdate.timer. Запуск фронтенда для пользователя в административном контексте производится с помощью модуля pam_oddjob при входе в систему и далее раз в час (по умолчанию) также средством Systemd — gpupdate-user.timer.

Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).

Изменить периодичность запуска системного таймера можно, изменив значение параметра OnUnitActiveSec в файле /lib/systemd/system/gpupdate.timer:

[Unit]
Description=Run gpupdate every hour

[Timer]
OnStartupSec=60min
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target

По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера можно, выполнив команду:

# systemctl status gpupdate.timer
● gpupdate.timer - Run gpupdate every hour
     Loaded: loaded (/lib/systemd/system/gpupdate.timer; enabled; vendor preset: disabled)
     Active: active (waiting) since Mon 2024-06-10 16:39:44 EET; 5min ago
    Trigger: Mon 2024-06-10 17:29:17 EET; 43min left
   Triggers: ● gpupdate.service

июн 10 16:39:44 w2.test.alt systemd[1]: Started Run gpupdate every hour..

Изменить периодичность запуска пользовательского таймера можно, изменив значение параметра OnUnitActiveSec в файле /usr/lib/systemd/user/gpupdate-user.timer:

[Unit]
Description=Run gpupdate-user every hour

[Timer]
OnStartupSec=60min
OnUnitActiveSec=60min

[Install]
WantedBy=timers.target

По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера можно, выполнив команду от имени пользователя:

$ systemctl --user status gpupdate-user.timer
● gpupdate-user.timer - Run gpupdate-user every hour
     Loaded: loaded (/usr/lib/systemd/user/gpupdate-user.timer; enabled; vendor preset: enabled)
     Active: active (waiting) since Mon 2024-06-10 16:29:32 EET; 10min ago
    Trigger: Mon 2024-06-10 17:29:32 EET; 49min left
   Triggers: ● gpupdate-user.service

июн 10 16:29:32 w2.test.alt systemd[3469]: Started Run gpupdate-user every hour.

Чтобы изменения, внесённые в файл /usr/lib/systemd/user/gpupdate-user.timer, вступили в силу следует выполнить команду:

$ systemctl --user daemon-reload

Просмотреть список запущенных системных таймеров можно, выполнив команду:

$ systemctl list-timers

Просмотреть список запущенных пользовательских таймеров можно, выполнив команду:

$ systemctl --user list-timers

Ключи реестра, полученные из объектов групповой политики (GPO), хранятся в Dconf.

Машинные политики хранятся в файле /etc/dconf/db/policy.d/policy.ini, политики пользователя — в файле /etc/dconf/db/policy<UID>.d/policy<UID>.ini (где UID — идентификатор пользователя в системе).

Отследить какие политики «прилетели» на машину клиента можно, выполнив команду:

dconf dump /

При выполнении этой команды с правами доменного пользователя будут выведены машинные политики и политики данного пользователя, при выполнении с правами пользователя root будут выведены только машинные политики.

Пример результата выполнения команды dconf dump / с правами доменного пользователя:

$ dconf dump /
[SOFTWARE/Policies/Microsoft/WindowsFirewall/FirewallRules]
OpenSSH='v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|'

[Software/BaseALT/Policies/Control]
ssh-gssapi-auth='enabled'
sshd-allow-groups='enabled'
sshd-allow-groups-list='remote'
sshd-gssapi-auth='enabled'
system-policy='gpupdate'

[Software/BaseALT/Policies/ReadQueue/Machine]
0="('Local Policy', '/var/cache/gpupdate/local-policy', None)"
1="('Firefox', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{0CCFA74C-57F5-42B5-98E2-007D4A59C4C4}', 262148)"

[Software/BaseALT/Policies/ReadQueue/User]
0="('nm', '/var/cache/samba/gpo_cache/TEST.ALT/POLICIES/{6F65CD4D-9209-4A81-9801-17A35CEE5CFD}', 131074)"

[Software/BaseALT/Policies/SystemdUnits]
gpupdate.service=1
oddjobd.service=1
sshd.service=1

[Software/Policies/Mozilla/Firefox]
DisableMasterPasswordCreation=1
PasswordManagerEnabled=1
ShowHomeButton=1

[Software/Policies/Mozilla/Firefox/Authentication]
SPNEGO="['.test.alt']"

[Software/Policies/Mozilla/Firefox/Homepage]
Locked=1
URL='https://basealt.ru'

[org/gnome/evolution-data-server]
migrated=true
network-monitor-gio-name=''

[org/mate/caja/window-state]
geometry='800x550+310+75'
maximized=false
start-with-sidebar=true
start-with-status-bar=true
start-with-toolbar=true

[org/mate/desktop/accessibility/keyboard]
bouncekeys-beep-reject=true
bouncekeys-delay=300
bouncekeys-enable=false
enable=false
feature-state-change-beep=false
mousekeys-accel-time=1200
mousekeys-enable=false
mousekeys-init-delay=160
mousekeys-max-speed=750
slowkeys-beep-accept=true
slowkeys-beep-press=true
slowkeys-beep-reject=false
slowkeys-delay=300
slowkeys-enable=false
stickykeys-enable=false
stickykeys-latch-to-lock=true
stickykeys-modifier-beep=true
stickykeys-two-key-off=true
timeout=120
timeout-enable=false
togglekeys-enable=false

[org/mate/desktop/session]
session-start=1718111448

[org/mate/mate-menu/plugins/applications]
last-active-tab=0

[org/mate/panel/general]
object-id-list=['menu-bar', 'show-desktop', 'workspace-switcher', 'window-list', 'notification-area', 'clock']
toplevel-id-list=['bottom']

[org/mate/panel/objects/clock]
applet-iid='ClockAppletFactory::ClockApplet'
locked=true
object-type='applet'
panel-right-stick=true
position=0
toplevel-id='bottom'

[org/mate/panel/objects/clock/prefs]
custom-format=''
format='24-hour'

[org/mate/panel/objects/menu-bar]
applet-iid='MateMenuAppletFactory::MateMenuApplet'
has-arrow=false
locked=true
object-type='applet'
position=0
toplevel-id='bottom'

[org/mate/panel/objects/notification-area]
applet-iid='NotificationAreaAppletFactory::NotificationArea'
locked=true
object-type='applet'
panel-right-stick=true
position=10
toplevel-id='bottom'

[org/mate/panel/objects/show-desktop]
applet-iid='WnckletFactory::ShowDesktopApplet'
locked=true
object-type='applet'
position=1
toplevel-id='bottom'

[org/mate/panel/objects/window-list]
applet-iid='WnckletFactory::WindowListApplet'
locked=true
object-type='applet'
position=20
toplevel-id='bottom'

[org/mate/panel/objects/workspace-switcher]
applet-iid='WnckletFactory::WorkspaceSwitcherApplet'
locked=true
object-type='applet'
position=10
toplevel-id='bottom'

[org/mate/panel/toplevels/bottom]
expand=true
orientation='bottom'
screen=0
size=28
y=836
y-bottom=0

[org/mate/terminal/profiles/default]
background-color='#2C2C2C2C2C2C'
background-darkness=0.94999999999999996
background-type='transparent'
bold-color='#000000000000'
foreground-color='#F5F5F5F5E4E4'
palette='#2E2E34343636:#CCCC00000000:#4E4E9A9A0606:#C4C4A0A00000:#34346565A4A4:#757550507B7B:#060698209A9A:#D3D3D7D7CFCF:#555557575353:#EFEF29292929:#8A8AE2E23434:#FCFCE9E94F4F:#72729F9FCFCF:#ADAD7F7FA8A8:#3434E2E2E2E2:#EEEEEEEEECEC'
use-theme-colors=false
visible-name='По умолчанию'

Запуск ADMC осуществляется из меню запуска приложений: пункт Системные → ADMC или из командной строки (команда admc).

$ kinit administrator

Включить/выключить отображение панелей можно, отметив соответствующий пункт в меню Вид:

В меню Вид → Тема можно выбрать тему значков:

В меню Настройки можно изменить параметры ADMC:

Выбранные параметры сохраняются и восстанавливаются при каждом запуске программы.

При выборе корневого элемента в дереве консоли будет отображена информация о домене: дерево с сайтами, контроллерами домена и ролями FSMO. Данный виджет также содержит версию контроллера домена, количество сайтов и контроллеров домена, режимы работы домена и леса, версию схемы домена: Роли FSMO:

Меню операций с объектом открывается из строки меню (пункт Действие) после выбора объекта: или в контекстном меню объекта: Меню операций содержит действия, применимые к выделенному объекту.

Существует два режима работы ADMC: обычный и расширенный режим. При включении расширенного режима (Настройки → Дополнительные возможности) в свойствах всех объектов появляются дополнительно две вкладки: Атрибуты и Объект. Для объекта пользователь также появляется вкладка Безопасность.

Окно Учетная запись пользователя – Свойства в расширенном режиме: По умолчанию отображается вкладка Общее.

Во вкладке Общее задаются личные данные сотрудника и его контактная информация: телефоны, размещение, адрес электронной почты и др. Вкладка Общее отображается по умолчанию при вызове свойств учётной записи любого объекта AD. В качестве значений параметров указаны названия соответствующих им полей в AD.

Во вкладке Учетная запись сосредоточены настройки, характеризующие правила доступа пользователя к сети, включая имя входа в сеть:

На вкладке Группы формируется список групп, членом которых является текущий пользователь. Здесь также можно назначить основную группу (Primary Group). Для управления членством пользователя в группах безопасности AD используются две кнопки, находящиеся под списком групп, членами которой является пользователь: Добавить и Удалить. По умолчанию пользователь входит в группу Domain Users.

На вкладке Делегирование доступно два параметра:

Каждому объекту в сети назначается набор данных об управлении доступом. Этот набор данных определяет, какой тип доступа разрешается пользователям и группам. Управление разрешениями для выбранного объекта доступно на вкладке Безопасность: В поле Разрешения отображается список действующих разрешений и запретов для каждой выбранной группы. Чтобы установить разрешения для группы, которая отсутствует в списке можно воспользоваться кнопкой Добавить… или Добавить известное доверенное лицо….

Для тонкого редактирования свойств объектов AD (пользователей, компьютеров, групп) можно воспользоваться вкладкой Атрибуты: Эту вкладку можно использовать для просмотра и редактирования атрибутов, недоступных через другие вкладки окна Свойства объекта (например, для просмотра значений неизменяемых атрибутов).

Содержимое окна редактирования атрибута зависит от типа атрибута. Окно редактирования атрибута целого типа: Окно редактирования атрибута логического типа:

Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например, значение атрибута lastLogon или lastLogonTimestamp (информация о времени последнего входа пользователя в домен) во вкладке Атрибуты и в окне редактирования атрибута отображается в формате «Дата Время», хотя время хранится в виде большого целого числа, представляющего число 100-наносекундных интервалов с 1 января 1601 (UTC):

Кнопка Загрузить необязательные атрибуты позволяет загрузить значения необязательных атрибутов:

Кнопка Фильтр позволяет управлять отображением списка атрибутов:

При перемещении объекта в новый контейнер (пункт Переместить… в контекстном меню объекта) открывается окно, в котором можно выбрать контейнер, в который следует переместить объект.

Учетная запись пользователя AD:

В ADMC предусмотрена возможность создания новых учётных записей пользователей в доменных службах AD и управления существующими учётными записями пользователей.

Контакт предназначен для хранения информации о пользователях, которым не требуется регистрация в домене.

Группа состоит из учётных записей пользователей и компьютеров, контактов и других групп и может управляться как единое целое. Пользователи и компьютеры, входящие в определённую группу, являются членами группы.

Группы характеризуются областью действия и типом. Область действия группы определяет пределы применения группы внутри домена или леса. Тип группы определяет возможность использования группы для назначения разрешений с ресурса общего доступа (для групп безопасности) или только для списков рассылки электронной почты (для групп рассылки).

Учетные записи компьютеров представляют собой устройства, подключенные к AD. Они хранятся в базе данных AD после того, как их подключат к домену.

Организационная единица или, подразделение (Organizational Unit, OU) — это субконтейнер в AD, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделение — самая маленькая область или единица, для которой можно назначить параметры групповой политики. Подразделения могут быть вложенными.

Объекты настроек паролей (Password Settings Object, PSO) позволяют администраторам домена переопределять параметры политики паролей домена и настраивать более точные параметры паролей для конкретных пользователей или групп пользователей. Например, для определённых пользователей можно установить требование минимальной длины пароля, ослабить ограничения сложности для других пользователей и т.д. PSO могут применяться к группам или к отдельным пользователям.

Общая папка является ссылкой на общий сетевой ресурс и не содержит никаких данных.

Для создания общей папки следует в контекстном меню контейнера выбрать пункт Создать → Общая папка. Окно мастера создания общей папки: В поле Имя следует ввести название папки, под которым она будет отображаться в каталоге AD, а в поле Сетевой путь — полный сетевой путь к общей папке.

Для изменения общей папки следует в контекстном меню общей папки выбрать соответствующее действие:

Групповая политика состоит из набора политик, называемых объектами групповой политики. Для вступления настроек в силу, объект групповой политики необходимо связать с одним или несколькими контейнерами AD. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

ADMC позволяет управлять объектами групповых политик: создавать, удалять, создавать ссылки на групповые политики.

В разделе Объекты групповой политики отображаются групповые политики, которые назначены на различные OU (отображается вся структура OU). Полный список политик (GPO) в текущем домене доступен в разделе Все политики.

Групповые политики Active Directory можно назначить на OU или весь домен. Чаще всего политики привязываются к OU с компьютерами или пользователями.

UserPrincipalName (UPN) — имя для входа пользователя в формате email-адреса, например, ivanov@test.alt. Здесь ivanov это UPN-префикс (имя пользователя в домене AD), test.alt — UPN-суффикс. По умолчанию в AD в качестве UPN-суффикса используется DNS имя домена AD. Добавление дополнительных имен доменов позволяет упростить процесс входа и повысить безопасность.

Для того чтобы добавить/удалить дополнительный UPN-суффикс, необходимо выполнить следующие шаги:

FSMO, или Flexible single-master operations (операции с одним исполнителем) — это операции, выполняемые контроллерами домена AD, которые требуют обязательной уникальности сервера для каждой операции. В зависимости от типа операции уникальность FSMO подразумевается в пределах одного домена или леса доменов. Различные типы FSMO могут выполняться как на одном, так и на нескольких контроллерах домена. Выполнение FSMO сервером называют ролью сервера, а сами сервера — хозяевами операций.

Для просмотра текущего владельца роли необходимо выбрать пункт меню Файл → Мастера Операций. В открывшемся окне в списке слева выбрать роль и в поле Текущий мастер будет показан владелец роли:

Список возможных ролей:

Если отмечен пункт Редактирование политик только с подключением к PDC-Emulator, при отсутствии подключения к контроллеру домена с ролью PDC-эмуляции, действия, затрагивающие шаблоны групповых политик (редактирование/изменение/удаление политик) будут запрещены:

Для штатной передачи роли необходимо выполнить следующие действия:

Выбор объектов осуществляется в диалоговом окне Выбрать объекты — ADMC. Доступ к этому диалоговому окну можно получить из разных мест, например, при выборе действия Добавить в группу… в контекстном меню учётной записи пользователя.

Для выбора объекта достаточно указать класс объекта, выбрать расположение, с которого требуется начать поиск и в поле Имя ввести имена объектов:

Для выбора объектов можно также использовать продвинутый поиск, который можно открыть, нажав кнопку Продвинутый.

Поиск объектов осуществляется в диалоговом окне Поиск объектов — ADMC. Доступ к этому диалоговому окну можно получить, выбрав пункт Найти… в меню >Действие или в контекстном меню контейнера.

Поиск объектов в домене возможен по разным критериям:

<Фильтр>=(<Атрибут><оператор сравнения><значение>)

Сохранение запросов (результатов поиска) — это удобный способ сохранять и воспроизводить поиск. Сохранённые запросы позволяют создавать различные LDAP-фильтры для выборки объектов AD. С помощью сохранённых запросов можно быстро и эффективно решать задачи поиска и выборки объектов в AD по различным критериям.

При использовании сохранённых запросов администратор может выполнять групповые операции с объектами из разных OU AD. Например, можно выполнить массовую блокировку/разблокировку, удаление учётных записей, переименование.

Сохранённые запросы можно организовать в древовидную структуру:

Создание папки запросов:

Создание запроса:

При выборе сохранённого запроса, в правом окне появится список объектов, который соответствует данному запросу:

Редактирование запроса:

В ADMC существует возможность переноса поисковых запросов между компьютерами (экспорт и импорт поисковых запросов).

Экспорт запроса:

Импорт запроса:

Для удаления запроса или папки запросов, необходимо в контекстном меню объекта выбрать пункт Удалить.

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой политики пункт Изменить…: либо с указанием каталога групповой политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}"

Ключ -p позволяет указать путь к шаблону групповой политики, который нужно редактировать, dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. Можно указывать как каталоги smb, так и локальные каталоги.

Пример запуска GPUI для редактирования политики:

$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{2E80AFBE-BBDE-408B-B7E8-AF79E02839D6}"

По умолчанию GPUI загружает ADMX-файлы, содержащие описание шаблонов групповых политик, из каталога /usr/share/PolicyDefenitions.

Для того чтобы указать другой набор шаблонов групповых политик, GPUI можно запустить с ключом -b:

$ gpui-main -b "/usr/share/PolicyDefinitions"

Каталог шаблонов групповых политик также можно выбрать в графическом интерфейсе:

Все настройки в GPUI разделены на два раздела:

Если параметр политики настраивается в секции Компьютер, групповая политика должна быть привязана к OU с компьютерами. Соответственно, если настраиваемый параметр относится к конфигурации пользователя, нужно назначить политику на OU с пользователями. Также следует убедиться, что объект, к которому должна применяться политика находится в нужном OU с компьютерами или пользователями.

В каждом разделе есть три подраздела:

Для быстрого доступа к политике можно воспользоваться поиском, для этого следует ввести в поле Поиск… ключевое слово.