Групповые политики: различия между версиями

Материал из ALT Linux Wiki
(не показаны 3 промежуточные версии этого же участника)
Строка 4: Строка 4:
__TOC__
__TOC__


= Механизмы назначения и кеширования =
== Механизмы назначения и кеширования ==


В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Среди применяемых настроек присутствуют:
В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Среди применяемых настроек присутствуют:
Строка 89: Строка 89:
*настройки для пользователя реплицируются при входе пользователя в систему и далее обновляются раз в час.
*настройки для пользователя реплицируются при входе пользователя в систему и далее обновляются раз в час.


== Развёртывание клиентских средств применения групповых политик ==
=== Развёртывание клиентских средств применения групповых политик ===


На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:
На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:


* oddjob-gpupdate
* {{pkg|oddjob-gpupdate}}
* gpupdate
* {{pkg|gpupdate}}


Установка ПО производится командами:
Установка ПО производится командами:
<syntaxhighlight lang="bash"># apt-get update
# apt-get install gpupdate
</syntaxhighlight>


apt-get update
==== Конфигурирование в командной строке ====
apt-get install gpupdate


=== Конфигурирование в командной строке ===
Включение работы групповых политик и выбор шаблона локальной политики (local policy) выполняется командой <code>gpupdate-setup</code> от пользователя с правами администратора:


Включение работы групповых политик и выбор политик по умолчанию (default policy) выполняется командой <code>gpupdate-setup</code> от пользователя с правами администратора:
<syntaxhighlight lang="bash"># gpupdate-setup enable
workstation</syntaxhighlight>


<source lang="text" highlight="1"># gpupdate-setup enable
Для применения настроек следует перезагрузить рабочую машину.
workstation</source>
 
и перезагрузите рабочую машину.


Примеры, работы с командой <code>gpupdate-setup</code>:
Примеры, работы с командой <code>gpupdate-setup</code>:
*показать текущий статус групповой политики:
*показать текущий статус групповой политики:
*:<source lang="text" highlight="1"># gpupdate-setup
*:<syntaxhighlight lang="bash"># gpupdate-setup
enabled</source>
enabled</syntaxhighlight>
*показать текущий профиль политики:
*показать текущий профиль политики:
*:<source lang="text" highlight="1"># gpupdate-setup active-policy
*:<syntaxhighlight lang="bash"># gpupdate-setup active-policy
workstation</source>
workstation</syntaxhighlight>
*показать список доступных профилей локальной политики:
*показать список доступных профилей локальной политики:
*:<source lang="text" highlight="1"># gpupdate-setup list
*:<syntaxhighlight lang="bash"># gpupdate-setup list
server
server
ad-domain-controller
ad-domain-controller
workstation</source>
workstation</syntaxhighlight>
*включить групповые политики и установить профиль локальной политики server:
*включить групповые политики и установить профиль локальной политики server:
*:<source lang="text" highlight="1"># gpupdate-setup write enable server
*:<syntaxhighlight lang="bash"># gpupdate-setup write enable server
server</source>
server</syntaxhighlight>
 
=== Конфигурирование с помощью Alterator ===


Также возможно дополнить инсталляцию графическими инструментами (модулями '''Alterator'''), чтобы выполнить аналогичные действия с помощью GUI:
==== Конфигурирование с помощью Alterator ====
Включить работу групповых политик и выбрать профиль локальной политики по умолчанию можно также с помощью GUI в [[ЦУС]].
Должны быть установлены пакеты {{pkg|alterator-auth}} и {{pkg|alterator-gpupdate}}:


apt-get install alterator-auth alterator-gpupdate
<syntaxhighlight lang="bash"># apt-get install alterator-auth alterator-gpupdate</syntaxhighlight>


Конфигурирование групповых политик с помощью '''Alterator''' возможно как при вводе машины в домен AD, так и на уже включённой в домен рабочей станции.
Конфигурирование групповых политик с помощью '''Alterator''' возможно как при вводе машины в домен AD, так и на уже включённой в домен рабочей станции.


Для включения групповых политик при вводе машины в домен следует в модуле ЦУС «Аутентификация» отметить пункт «Включить групповые политики»:
Для включения групповых политик при вводе машины в домен, следует в модуле ЦУС [[Alterator-auth|«Аутентификация»]] отметить пункт «Включить групповые политики»:


[[Изображение:Alterator-auth-pass-gpupdate.png|Включение групповых политик при вводе в домен AD]]
[[Изображение:Alterator-auth-pass-gpupdate.png|Включение групповых политик при вводе в домен AD]]


Если рабочая станция уже находится в домене, конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля из пакета {{pkg|alterator-gpupdate}}:
Если рабочая станция уже находится в домене, конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля [[Alterator-gpupdate|«Групповые политики»]] из пакета {{pkg|alterator-gpupdate}}:


[[Изображение:Alterator-gpupdate-local-policy.png|ЦУС. Модуль «Групповые политики»]]
[[Изображение:Alterator-gpupdate-local-policy.png|ЦУС. Модуль «Групповые политики»]]


Функционал пока ограничен включением/выключением политики и выбором шаблона локальной политики — '''Сервер''', '''Рабочая станция''' или '''Контроллер домена''':
Функционал модуля «Групповые политики» пока ограничен включением/выключением политики и выбором шаблона локальной политики — '''Сервер''', '''Рабочая станция''' или '''Контроллер домена''':


[[Изображение:Alterator-gpupdate-screen.png|Модуль ЦУС «Групповые политики»]]
[[Изображение:Alterator-gpupdate-screen.png|Модуль ЦУС «Групповые политики»]]


== Конфигурирование gpupdate ==
=== Конфигурирование gpupdate ===
По умолчанию, нет необходимости конфигурировать gpupdate.
По умолчанию, нет необходимости конфигурировать gpupdate.


Однако, в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:
Однако, в файле {{path|/etc/gpupdate/gpupdate.ini}} можно указать в явном виде следующие опции:


в разделе [gpoa]<br>
в разделе [gpoa]<br>
Строка 158: Строка 158:
dc = контроллер домена, с которого нужно обновлять групповые политики
dc = контроллер домена, с которого нужно обновлять групповые политики


В данном примере указан пустой профиль локальной политики. Это бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:
В следующем примере указан пустой профиль локальной политики. Это бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:
# cat /etc/gpupdate/gpupdate.ini  
<syntaxhighlight lang="ini">
[gpoa]
[gpoa]
backend = samba
backend = samba
local-policy = /usr/share/local-policy/default
local-policy = /usr/share/local-policy/default
   
   
[samba]
[samba]
dc = dc0.domain.alt
dc = dc0.domain.alt
</syntaxhighlight>
 
=== Периодичность запуска групповых политик ===
 
У машины и пользователя собственные таймеры процесса gpupdate.


==[[Групповые_политики/Развёртывание|Развёртывание административных шаблонов для групповых политик]]==
Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).


Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS (https://bugzilla.samba.org/show_bug.cgi?id=11231).
Изменить периодичность запуска системного таймера можно в {{path|/lib/systemd/system/gpupdate.timer}}. По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера:
<syntaxhighlight lang="bash"># systemctl status gpupdate.timer </syntaxhighlight>


Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (ADMX-файлы). Это можно сделать одним из следующих способов:
Изменить периодичность запуска пользовательского таймера можно в {{path|/usr/lib/systemd/user/gpupdate-user.timer}}. По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера:
* на контроллере домена — установить пакеты политик {{pkg|admx-basealt}},  {{pkg|admx-samba}},  {{pkg|admx-chromium}},  {{pkg|admx-firefox}} и утилиту {{pkg|admx-msi-setup}}:
<syntaxhighlight lang="bash">$ systemctl --user status gpupdate-user.timer </syntaxhighlight>
*:<source lang="text" highlight="1"># apt-get install admx-basealt admx-samba  admx-chromium admx-firefox admx-msi-setup</source>
*: скачать и установить ADMX от Microsoft:
*:<source lang="text" highlight="1"># admx-msi-setup</source>
*: после установки, политики будут находиться в каталоге {{path|/usr/share/PolicyDefinitions}}. Скопировать локальные ADMX-файлы в сетевой каталог sysvol ({{path|/var/lib/samba/sysvol/&lt;DOMAIN&gt;/Policies/}}):
*:<source lang="text" highlight="1"># samba-tool gpo admxload</source>{{Note|Возможно, следует добавить к команде {{cmd|-U Administrator}}. Также убедитесь, что система полностью обновлена.}}
* на машине Windows — скачать ADMX-файлы (например, политики Альт из репозитория https://github.com/altlinux/admx-basealt) и разместить их в директории <code>\\&lt;DOMAIN&gt;\SYSVOL\&lt;DOMAIN&gt;\policies\PolicyDefinitions</code>.


{{Note|По умолчанию, admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy - Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
{{Note|Чтобы изменения, внесённые в файл {{path|/usr/lib/systemd/user/gpupdate-user.timer}}, вступили в силу следует выполнить команду:
<source lang="text" highlight="1"># admx-msi-setup -h
<syntaxhighlight lang="bash">$ systemctl --user daemon-reload</syntaxhighlight>}}
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]


Removing admx-msi-setup temporary files...</source>}}
=== Установка административных шаблонов и инструментов администрирования ГП ===


Корректно установленные административные шаблоны будут отображены в оснастке «Редактор управления групповыми политиками» («Group Policy Management Editor») в разделе «Конфигурация компьютера» → «Политики» → «Административные шаблоны» → «Система ALT» («Computer Configuration» → «Policies» → «Administrative Templates» → «ALT System»):
Для задания конфигурации необходимо установить административные шаблоны (ADMX-файлы).


[[Изображение:gpme.png|Политики настройки систем Альт в консоли gpme.msc]]
Установка ADMX-файлов и инструментов администрирования: 
[[Групповые_политики/Развёртывание|Развёртывание административных шаблонов для групповых политик]].


При выборе опции из списка справа возможно задать конфигурацию службы или параметра:
Подробнее о инструменте удалённого управления базой данных конфигурации: [[ADMC]].


[[Изображение:chrony_config.png|Определение режима работы (конфигурации) службы Chrony]]
Подробнее о инструменте редактирования настроек клиентской конфигурации: [[Групповые_политики/GPUI|GPUI]].


= Internals =
== Internals ==


Групповые политики кэшируются в файле {{path|/var/cache/gpupdate/registry.sqlite}} (можно просматривать его командой <code>sqlite3</code>).
Групповые политики кэшируются в файле {{path|/var/cache/gpupdate/registry.sqlite}} (можно просматривать его командой <code>sqlite3</code>).


== Состав локальной политики ==
=== Состав локальной политики ===


Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге {{path|/usr/share/local-policy/}}. Данные настройки по умолчанию поставляются пакетом {{pkg|local-policy}}. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге {{path|/usr/share/local-policy/}}. Данные настройки по умолчанию поставляются пакетом {{pkg|local-policy}}. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Строка 228: Строка 227:




= Troubleshooting =
== Troubleshooting ==


В случае неописанных ошибок и «развала» отладочного вывода один из простых подходов к решению проблемы — удалить файл «реестра» {{path|/var/cache/gpupdate/registry.sqlite}} и запустить <code>gpoa</code> заново для перегенерации файла и вызова «применялки настроек».
В случае неописанных ошибок и «развала» отладочного вывода один из простых подходов к решению проблемы — удалить файл «реестра» {{path|/var/cache/gpupdate/registry.sqlite}} и запустить <code>gpoa</code> заново для перегенерации файла и вызова «применялки настроек».
Строка 239: Строка 238:




== Коды ошибок ==
=== Коды ошибок ===


Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.
Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.
Строка 349: Строка 348:
  |}
  |}


= Страницы проектов =
== Страницы проектов ==


* https://github.com/altlinux/gpupdate
* https://github.com/altlinux/gpupdate

Версия от 14:57, 9 декабря 2022

Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию. Групповые политики в реализации Active Directory — это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.

Механизмы назначения и кеширования

В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba. Среди применяемых настроек присутствуют:

Настройка Статус Комментарий
Настройка браузера Firefox Стабильная Возможно установить при использовании ADMX файлов Mozilla Firefox (пакет admx-firefox, https://github.com/mozilla/policy-templates/releases)
Настройка браузера Chromium Стабильная Возможно установить при использовании ADMX файлов Google Chrome (пакет admx-chromium, https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip)
Запрет на подключение внешних носителей данных Стабильная Стандартные средства RSAT
Включение или выключение различных служб (сервисов systemd) Стабильная Возможно установить при использовании ADMX файлов ALT (пакет admx-basealt, https://github.com/altlinux/admx-basealt)
Управление control framework Стабильная Возможно установить при использовании ADMX файлов ALT (пакет admx-basealt, https://github.com/altlinux/admx-basealt)
Управление Gsettings Стабильная Возможно установить при использовании ADMX файлов ALT (пакет admx-basealt, https://github.com/altlinux/admx-basealt)
Генерация ярлыков запуска программ Стабильная Стандартные средства RSAT. С некоторыми ограничениями. Также можно делать ярлыки типа URL и делать, например, URI-ссылки smb:// для открытия Samba shares.
Подключение сетевых дисков Экспериментальная Стандартные средства RSAT
Управление каталогами Стабильная Стандартные средства RSAT
Управление INI-файлами Экспериментальная Стандартные средства RSAT
Управление общими каталогами Экспериментальная Стандартные средства RSAT
Управление файлами Экспериментальная Стандартные средства RSAT
Управление переменными среды Стабильная Стандартные средства RSAT
Управление logon-скриптами Экспериментальная Стандартные средства RSAT
Установка программного обеспечения Экспериментальная Возможно установить при использовании ADMX файлов ALT (пакет admx-basealt, https://github.com/altlinux/admx-basealt)
Установка пароля для локального пользователя root Не реализовано
Политика замыкания Возможно установить при использовании ADMX файлов от Microsoft (пакет admx-msi-setup)

Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе GPUpdate.

Процесс применения настроек:

  • настройки для машины реплицируются при запуске компьютера и далее обновляются раз в час;
  • настройки для пользователя реплицируются при входе пользователя в систему и далее обновляются раз в час.

Развёртывание клиентских средств применения групповых политик

На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:

  • oddjob-gpupdate
  • gpupdate

Установка ПО производится командами:

# apt-get update
# apt-get install gpupdate

Конфигурирование в командной строке

Включение работы групповых политик и выбор шаблона локальной политики (local policy) выполняется командой gpupdate-setup от пользователя с правами администратора:

# gpupdate-setup enable
workstation

Для применения настроек следует перезагрузить рабочую машину.

Примеры, работы с командой gpupdate-setup:

  • показать текущий статус групповой политики:
    # gpupdate-setup
    enabled
    
  • показать текущий профиль политики:
    # gpupdate-setup active-policy
    workstation
    
  • показать список доступных профилей локальной политики:
    # gpupdate-setup list
    server
    ad-domain-controller
    workstation
    
  • включить групповые политики и установить профиль локальной политики server:
    # gpupdate-setup write enable server
    server
    

Конфигурирование с помощью Alterator

Включить работу групповых политик и выбрать профиль локальной политики по умолчанию можно также с помощью GUI в ЦУС. Должны быть установлены пакеты alterator-auth и alterator-gpupdate:

# apt-get install alterator-auth alterator-gpupdate

Конфигурирование групповых политик с помощью Alterator возможно как при вводе машины в домен AD, так и на уже включённой в домен рабочей станции.

Для включения групповых политик при вводе машины в домен, следует в модуле ЦУС «Аутентификация» отметить пункт «Включить групповые политики»:

Включение групповых политик при вводе в домен AD

Если рабочая станция уже находится в домене, конфигурирование групповых политик с помощью Alterator возможно с помощью модуля «Групповые политики» из пакета alterator-gpupdate:

ЦУС. Модуль «Групповые политики»

Функционал модуля «Групповые политики» пока ограничен включением/выключением политики и выбором шаблона локальной политики — Сервер, Рабочая станция или Контроллер домена:

Модуль ЦУС «Групповые политики»

Конфигурирование gpupdate

По умолчанию, нет необходимости конфигурировать gpupdate.

Однако, в файле /etc/gpupdate/gpupdate.ini можно указать в явном виде следующие опции:

в разделе [gpoa]
backend = выбор способа получения настроек
local-policy = профиль локальной политики, который будет применен сразу после загрузки ОС.

в разделе [samba]
dc = контроллер домена, с которого нужно обновлять групповые политики

В следующем примере указан пустой профиль локальной политики. Это бывает необходимо для тестирования групповых политик, чтобы они не наслаивались на локальные политики:

[gpoa]
backend = samba
local-policy = /usr/share/local-policy/default
 
[samba]
dc = dc0.domain.alt

Периодичность запуска групповых политик

У машины и пользователя собственные таймеры процесса gpupdate.

Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).

Изменить периодичность запуска системного таймера можно в /lib/systemd/system/gpupdate.timer. По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера:

# systemctl status gpupdate.timer

Изменить периодичность запуска пользовательского таймера можно в /usr/lib/systemd/user/gpupdate-user.timer. По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера:

$ systemctl --user status gpupdate-user.timer
Примечание: Чтобы изменения, внесённые в файл /usr/lib/systemd/user/gpupdate-user.timer, вступили в силу следует выполнить команду:
$ systemctl --user daemon-reload


Установка административных шаблонов и инструментов администрирования ГП

Для задания конфигурации необходимо установить административные шаблоны (ADMX-файлы).

Установка ADMX-файлов и инструментов администрирования: Развёртывание административных шаблонов для групповых политик.

Подробнее о инструменте удалённого управления базой данных конфигурации: ADMC.

Подробнее о инструменте редактирования настроек клиентской конфигурации: GPUI.

Internals

Групповые политики кэшируются в файле /var/cache/gpupdate/registry.sqlite (можно просматривать его командой sqlite3).

Состав локальной политики

Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге /usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

Описание Комментарий
Включение oddjobd.service Необходимо для обеспечения возможности запуска gpupdate для пользователя с правами администратора.
Включение gpupdate.service Необходимо для регулярного обновления настроек машины.
Включение sshd.service Необходимо для обеспечения возможности удалённого администрирования.
Включение аутентификации с помощью GSSAPI для sshd Необходимо для аутентификации в домене при доступе через SSH.
Ограничение аутентификации для sshd по группам wheel и remote Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
Открытие порта 22 Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier.


Troubleshooting

В случае неописанных ошибок и «развала» отладочного вывода один из простых подходов к решению проблемы — удалить файл «реестра» /var/cache/gpupdate/registry.sqlite и запустить gpoa заново для перегенерации файла и вызова «применялки настроек».

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команды:

  • получить и применить настройки для текущей машины:
    # gpoa --loglevel 0
    
  • получить и применить настройки для пользователя ivanov:
    # gpoa --loglevel 0 ivanov
    


Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

Код Описание Решение
E00001 Недостаточно прав для запуска программы gpupdate. Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора.
E00002 Программа gpupdate не будет запущена из-за предыдущих ошибок.
E00003 Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне. Возможно, это баг в коде и необходимо отправить багрепорт в багтрекер проекта.
E00004 Ошибка во время работы фронтенда. Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться багом в коде.
E00005 Не получилось запустить применялку политик для обновления групповых политик компьютера. Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
E00006 Не получилось запустить применялку политик для обновления групповых политик пользователя. Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
E00007 Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba. Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен.
E00008 Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик. Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator.
E00009 Произошла ошибка при попытке запуска adp Необходимо обратиться к руководству по устранению неполадок проекта ADP.
E00010 Произошёл сбой при попытке получить имя домена Active Directory Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию.
E00011 Во время работы applier с пониженным уровнем привилегий произошла неполадка. Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно.
E00012 Высокоуровневая ошибка инициализации бэкэнда. Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba — удостовериться, что машина введена в домен.
E00013 У пользователя, запустившего программу, недостаточно прав для обновления настроек машины. Запустите программу с правами администратора.
E00014 Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена. Проверьте конфигурацию Kerberos в файле /etc/krb5.conf. Попробуйте получить билет Kerberos вручную.
E00015 Запрос на получение имени домена Active Directory через LDAP не прошёл. Проверьте возможность получения Kerberos ticket для машины. Проверьте работу DNS и возможность обратиться к доменному LDAP.
E00016 Утилита wbinfo не отдаёт SID для пользователя, для которого выполняется обновление групповых политик. Проверьте целостность программы wbinfo. Проверьте, что машина введена в домен.
E00017 Невозможно получить список групповых политик для репликации на используемое имя пользователя. Удостоверьтесь, что пользователь, для которого происходит попытка получить список групповых политик, существует в домене. Также необходимо удостовериться, что проблема не вызвана misconfiguration домена.
E00018 Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR. Удостоверьтесь, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует.
E00019 Произошла ошибка во время работы applier для пользователя. Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
E00020 Произошла ошибка во время работы applier для пользователя с пониженными привилегиями. Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
E00021 Не был получен ответ от D-Bus при попытке запустить GPOA для текущего пользователя. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
E00022 Не был получен ответ от D-Bus при попытке запустить GPOA для машины. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен.
E00023 Не был получен ответ от D-Bus при попытке запустить GPOA для пользователя. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
E00024 Ошибка во время работы машинного applier. Проверьте настройки applier вручную, чтобы убедиться, что соответствующая часть ОС не поломана.
E00025 Ошибка во время инициализации пользовательского applier. Проверьте, что машина является частью домена и контроллер домена доступен. Удостоверьтесь, что пользователь существует. Проверьте, что соответствующая часть ОС не поломана.

Страницы проектов