Групповые политики: различия между версиями

Материал из ALT Linux Wiki
(в версии 0.8.1 каталоги создаются)
(не показаны 33 промежуточные версии 4 участников)
Строка 1: Строка 1:
= Групповые политики в решениях ALT =
Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию.
 
Групповые политики в реализации Active Directory - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.  
Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно [[Локальные политики|локальных политик]], по умолчанию.
Групповые политики в реализации [[Active_Directory] - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.  


__TOC__
__TOC__


== Общий подход ==
= Механизмы назначения и кеширования =
 
Групповые политики, как механизм, отличаются от стандартных инструментов управления конфигурациями (таких как, например, Puppet и Ansible) тремя ключевыми особенностями:
 
* интеграцией в инфраструктуру Active Directory;
* соответствием декларативной части настроек конфигураций конкретным дистрибутивным решениям;
* наличием не только управления конфигурациями компьютеров, но и конфигурациями пользователей
 
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
 
* подразделениям (OU - organizational units) - пользователям и компьютерам, хранящимся в соответствующей части дерева объектов;
* сайтам - группам компьютеров в заданной подсети в рамках одного и того же домена.
* конкретным пользователям и компьютерам.
 
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том как и, вообще, нужно или не нужно применять данную групповую политику. В качестве дополнительных условий можно установить окружение, в котором выполняется групповая политика (пользовательское или системное), а также требование применять или не применять повторно данную политику, если ранее она уже применялась (например, чтобы удалённый вручную пользователем ярлычок повторно не появлялся на рабочем столе). В качестве фильтров используется информация о состоянии компьютера (размер свободного дискового пространства, наличии батареи (ноутбук или нет?), наличие в файловой системе конкретного файла или каталога, название операционной системы, тип сессии (локальный или терминальный), произвольный ldap или wmi запрос и др.)
 
Соответствие декларативной части настроек конфигураций конкретным дистрибутивным решениям позволяет управлять не действиями в виде названий скриптов, а вариантами настроек в контексте самих дистрибутивных решений. Таким образом, значения настроек конфигураций сводятся к значениям пар ключ/значение (в решениях от Microsoft такие настройки хранятся в так называемом реестре). Подробный список доступных настроек в оригинальных групповых политиках для решений представлен в таблице [https://www.microsoft.com/en-us/download/details.aspx?id=25250 Windows 10 and Windows Server 2016 Policy Settings].
 
Настраиваемые параметры групповых политик подразделяются на пользовательские и машинные (политики компьютеров - рабочих станций и серверов). Машинные параметры применяются на узле в момент загрузки, в также в момент явного или регулярного запроса планировщиком. Поскольку пользовательские параметры не могут быть заранее запланированы (поскольку компьютеры в домене явно не привязаны к пользователям и заранее неизвестно какой пользователей попытается войти в систему на данном узле), пользовательские параметры применяются в момент входа в систему. Большинство параметров, устанавливаемых через групповые политики в Active Directory (ярлычки, принтеры, общие каталоги, сетевые настройки и ограничения, и даже дополнительно устанавливаемые программы), являются пользовательскими. Некоторые задачи управлениями конфигурациями можно решить как через пользовательские, так и через машинные параметры. Групповые политики, как техническое решение, прежде всего, подразумевают возможность управлениями не только машинными, но и пользовательскими конфигурациями.
 
== Механизмы назначения и кеширования ==


В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:
В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:
Строка 32: Строка 10:
{| class="wikitable"
{| class="wikitable"
  ! Настройка
  ! Настройка
! Статус
  ! Комментарий
  ! Комментарий
  |-
  |-
  | Установка домашней страницы браузера Firefox
  | [[Групповые_политики/Homepage_Firefox|Установка домашней страницы браузера Firefox]]
  |
| Экспериментальная
| Возможно установить при использовании ADMX файлов Mozilla Firefox: https://github.com/mozilla/policy-templates/releases
|-
| [[Групповые_политики/Homepage_Chromium|Установка домашней страницы браузера Chromium]]
| Экспериментальная
| Возможно установить при использовании ADMX файлов Google Chrome: https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
|-
| [[Групповые_политики/Политики_доступа_к_съемным_носителям|Запрет на подключение внешних носителей данных]]
| Стабильная
| Стандартные средства RSAT
|-
| Включение или выключение различных служб (сервисов systemd)
| Стабильная
  | Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
  |-
  |-
  | Установка домашней страницы браузера Chromium
  | [[Групповые_политики/ALT_System_Control|Управление control framework]]
  |
| Стабильная
  | Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
  |-
  |-
  | Запрет на подключение внешних носителей данных
  | [[Групповые_политики/Управление_ярлыками|Генерация ярлычков запуска программ]]
  |
| Стабильная
  | Стандартные средства RSAT. С некоторыми ограничениями. Также можно делать ярлычки типа URL и делать, например, URI-ссылки <code>smb://</code> для открытия Samba shares.
  |-
  |-
  | Включение или выключение различных служб
  | Подключение сетевых дисков
  |
  | Экспериментальная
| Стандартные средства RSAT
  |-
  |-
  | Генерация ярлычков запуска программ
  | [[Групповые_Политики/Управление_каталогами|Создание директорий]]
  | Гарантированно - для Chromium, для остальных случаев - присутствуют ограничения
| Стабильная
  | Стандартные средства RSAT
  |}
  |}


Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT.
Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе '''GPUpdate'''.


=== Развёртывание ===
== Развёртывание ==


На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория <code>241549</code> (для p9) или <code>241548</code> (для Sisyphus):
На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:


* oddjob-gpupdate
* oddjob-gpupdate
* gpupdate
* gpupdate


Подключение репозитория и установка производится командами:
Установка ПО производится командами:


apt-repo add 241549
  apt-get update
  apt-get update
  apt-get install gpupdate oddjob-gpupdate
  apt-get install gpupdate


Включение работы групповых политик и выбор умолчальной локальной политики выполняется командой <code>/usr/sbin/gpupdate-setup</code> от пользователя с правами администратора:
Включение работы групповых политик и выбор умолчальной локальной политики выполняется командой <code>/usr/sbin/gpupdate-setup</code> от пользователя с правами администратора:
Строка 69: Строка 64:
  gpupdate-setup enable
  gpupdate-setup enable


Также включение работы групповых политик можно осуществить с помощью модуля '''Alterator''' - <code>alterator-gpupdate</code> используя графический интерфейс.
и перезагрузите рабочую машину.
 
Также возможно дополнить инсталляцию графическими инструментами (модулями '''Alterator'''), чтобы выполнить аналогичные действия с помощью GUI:
 
apt-get install alterator-auth alterator-gpupdate
 
==[[Групповые_политики/Развёртывание|Развёртывание групповых политик на Альт 9.1]]==


=== Конфигурирование с помощью RSAT ===
== Конфигурирование с помощью RSAT ==


Для задания конфигурации с помощью RSAT необходимо скачать ADMX файлы ("'''административные шаблоны'''") из репозитория https://github.com/altlinuxteam/admx-basealt и разместить их в директории <code>\\&lt;DOMAIN&gt;\SYSVOL\&lt;DOMAIN&gt;\policies\PolicyDefinitions</code>. Корректно установленные административные шаблоны будут отображены в оснастке <code>Group Policy Management Editor</code> в разделе <code>Computer Configuration</code>&nbsp;&gt;&nbsp;<code>Policies</code>&nbsp;&gt;&nbsp;<code>Administrative Templates</code>&nbsp;&gt;&nbsp;<code>ALT System</code>:
Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).
 
Для задания конфигурации с помощью RSAT необходимо скачать ADMX файлы ("'''административные шаблоны'''") из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории <code>\\&lt;DOMAIN&gt;\SYSVOL\&lt;DOMAIN&gt;\policies\PolicyDefinitions</code>. Корректно установленные административные шаблоны будут отображены в оснастке <code>Group Policy Management Editor</code> в разделе <code>Computer Configuration</code>&nbsp;&gt;&nbsp;<code>Policies</code>&nbsp;&gt;&nbsp;<code>Administrative Templates</code>&nbsp;&gt;&nbsp;<code>ALT System</code>:


[[File:gpme.png]]
[[File:gpme.png]]
Строка 81: Строка 84:
[[File:chrony_config.png]]
[[File:chrony_config.png]]


=== Конфигурирование с помощью Alterator ===
=== Конфигурирование Firefox ===
 
Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция <code>URL for Home Page</code>, позволяющая задать URL домашней страницы при старте браузера.
 
[[File:rsat-mozilla-firefox-admx.png]]
 
== Конфигурирование с помощью Alterator ==


На текущий момент конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля из пакета <code>alterator-gpupdate</code>:
На текущий момент конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля из пакета <code>alterator-gpupdate</code>:
Строка 87: Строка 96:
[[File:Alterator-gpupdate-local-policy.png]]
[[File:Alterator-gpupdate-local-policy.png]]


Функционал пока ограничен включением/выключением политики и выбором шаблона локальной политики - '''Server''' или '''Workstation''':
Функционал пока ограничен включением/выключением политики и выбором шаблона локальной политики - '''Сервер''', '''Рабочая станция''' или '''Контроллер домена''':


[[File:Alterator-gpupdate-screen.png]]
[[File:Alterator-gpupdate-screen.png]]


= Internals =


=== Состав локальной политики ===
Групповые политики кэшируются в файле <code>/var/cache/gpupdate/registry.sqlite</code> (можно просматривать его командой <code>sqlite3</code>).


Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге <code>/usr/share/local-policy/default</code>. Данные настройки по умолчанию поставляются пакетом <code>local-policy</code>. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Состав локальной политики может меняться или адаптироваться системным администратором.
== Состав локальной политики ==
 
Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге <code>/usr/share/local-policy/default</code>. Данные настройки по умолчанию поставляются пакетом <code>local-policy</code>. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.


{| class="wikitable"
{| class="wikitable"
Строка 114: Строка 126:
  | Ограничение аутентификации для sshd по группам wheel и remote
  | Ограничение аутентификации для sshd по группам wheel и remote
  | Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
  | Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
|-
| Открытие порта 22
| Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier.
  |}
  |}




=== Internals ===


Внутри разработанная утилита <code>gpupdate</code> имеет достаточно простое устройство и технически позволяет настраивать следующие подсистемы дистрибутива:
= Troubleshooting =
 
В случае неописанных ошибок и "развала" отладочного вывода один из простых подходов к решению проблемы - удалить файл "реестра" <code>/var/cache/gpupdate/registry.sqlite</code> и запустить <code>gpoa</code> заново для перегенерации файла и вызова "применялки настроек".
 
== Коды ошибок ==
 
Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.


{| class="wikitable"
{| class="wikitable"
! Код
  ! Описание
  ! Описание
  ! Комментарий
  ! Решение
|-
| E00001
| Недостаточно прав для запуска программы <code>gpupdate</code>.
| Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора.
  |-
  |-
  | controls
  | E00002
| Программа <code>gpupdate</code> не будет запущена из-за предыдущих ошибок.
  |
  |
  |-
  |-
  | PolicyKit
  | E00003
  | Запрет на подключение внешних устройств за счёт генерации соответствующего файла <code>.rules</code>.
  | Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне.
| Возможно, это баг в коде и необходимо отправить багрепорт в багтрекер проекта.
|-
| E00004
| Ошибка во время работы фронтенда.
| Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться багом в коде.
|-
| E00005
| Не получилось запустить применялку политик для обновления групповых политик компьютера.
| Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
|-
| E00006
| Не получилось запустить применялку политик для обновления групповых политик пользователя.
| Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
|-
| E00007
| Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba.
| Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен.
|-
| E00008
| Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик.
| Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator.
|-
| E00009
| Произошла ошибка при попытке запуска <code>adp</code>
| Необходимо обратиться к руководству по устранению неполадок проекта ADP.
|-
| E00010
| Произошёл сбой при попытке получить имя домена Active Directory
| Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию.
|-
| E00011
| Во время работы applier с пониженным уровнем привилегий произошла неполадка.
| Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно.
|-
| E00012
| Высокоуровневая ошибка инициализации бэкэнда.
| Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba - удостовериться, что машина введена в домен.
|-
| E00013
| У пользователя, запустившего программу, недостаточно прав для обновления настроек машины.
| Запустите программу с правами администратора.
|-
| E00014
| Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена.
| Проверьте конфигурацию Kerberos в файле <code>/etc/krb5.conf</code>. Попробуйте получить билет Kerberos вручную.
|-
| E00015
| Запрос на получение имени домена Active Directory через LDAP не прошёл.
| Проверьте возможность получения Kerberos ticket для машины. Проверьте работу DNS и возможность обратиться к доменному LDAP.
|-
| E00016
| Утилита wbinfo не отдаёт SID для пользователя, для которого выполняется обновление групповых политик.
| Проверьте целостность программы wbinfo. Проверьте, что машина введена в домен.
|-
| E00017
| Невозможно получить список групповых политик для репликации на используемое имя пользователя.
| Удостоверьтесь, что пользователь, для которого произходит попытка получить список групповых политик, существует в домене. Также необходимо удостовериться, что проблема не вызвана misconfiguration домена.
|-
| E00018
| Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR.
| Удостоверьтесь, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует.
|-
| E00019
| Произошла ошибка во время работы applier для пользователя.
| Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
|-
| E00020
| Произошла ошибка во время работы applier для пользователя с пониженными привилегиями.
| Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
  |-
  |-
  | systemd
  | E00021
  | Позволяет включить или выключить сервис.
  | Не был получен ответ от D-Bus при попытке запустить GPOA для текущего пользователя.
| Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
  |-
  |-
  | Chromium
  | E00022
  | Позволяет установить домашнюю страницу браузера за счёт генерации файла машинной политики.
  | Не был получен ответ от D-Bus при попытке запустить GPOA для машины.
| Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен.
  |-
  |-
  | Firefox
  | E00023
  | Позволяет установить домашнюю страницу браузера за счёт генерации файла машинной политики.
  | Не был получен ответ от D-Bus при попытке запустить GPOA для пользователя.
| Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
  |-
  |-
  | Генерация </code>.desktop</code> файлов
  | E00024
  | Генерируем различные "ярлычки" для пользователя. На данный момент обладает определёнными ограничениями.
| Ошибка во время работы машинного applier.
  | Проверьте настройки applier вручную, чтобы убедиться, что соответствущая часть ОС не поломана.
  |-
  |-
  | Развёртвание различных настроек '''GSettings'''
  | E00025
  | Достигается за счёт генерации файла <code>.gsettings.override</code>.
  | Ошибка во время инициализации пользовательского applier.
| Проверьте, что машина является частью домена и контроллер домена доступен. Удостоверьтесь, что пользователь существует. Проверьте, что соответствущая часть ОС не поломана.
  |}
  |}


== Отладка ==
= Страницы проектов =


Групповые политики кэшируются в файле {{path|/var/cache/gpupdate/registry.sqlite}} (можно просматривать его командой {{cmd|sqlite3}}).
* https://github.com/altlinux/gpupdate


[[Категория:Active Directory]]
[[Категория:Active Directory]]
{{Category navigation|title=Samba|category=Samba|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Samba|category=Samba|sortkey={{SUBPAGENAME}}}}

Версия от 15:07, 27 октября 2020

Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию. Групповые политики в реализации Active Directory - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.

Механизмы назначения и кеширования

В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:

Настройка Статус Комментарий
Установка домашней страницы браузера Firefox Экспериментальная Возможно установить при использовании ADMX файлов Mozilla Firefox: https://github.com/mozilla/policy-templates/releases
Установка домашней страницы браузера Chromium Экспериментальная Возможно установить при использовании ADMX файлов Google Chrome: https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
Запрет на подключение внешних носителей данных Стабильная Стандартные средства RSAT
Включение или выключение различных служб (сервисов systemd) Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Управление control framework Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Генерация ярлычков запуска программ Стабильная Стандартные средства RSAT. С некоторыми ограничениями. Также можно делать ярлычки типа URL и делать, например, URI-ссылки smb:// для открытия Samba shares.
Подключение сетевых дисков Экспериментальная Стандартные средства RSAT
Создание директорий Стабильная Стандартные средства RSAT

Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе GPUpdate.

Развёртывание

На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория:

  • oddjob-gpupdate
  • gpupdate

Установка ПО производится командами:

apt-get update
apt-get install gpupdate

Включение работы групповых политик и выбор умолчальной локальной политики выполняется командой /usr/sbin/gpupdate-setup от пользователя с правами администратора:

gpupdate-setup enable

и перезагрузите рабочую машину.

Также возможно дополнить инсталляцию графическими инструментами (модулями Alterator), чтобы выполнить аналогичные действия с помощью GUI:

apt-get install alterator-auth alterator-gpupdate

Развёртывание групповых политик на Альт 9.1

Конфигурирование с помощью RSAT

Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).

Для задания конфигурации с помощью RSAT необходимо скачать ADMX файлы ("административные шаблоны") из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории \\<DOMAIN>\SYSVOL\<DOMAIN>\policies\PolicyDefinitions. Корректно установленные административные шаблоны будут отображены в оснастке Group Policy Management Editor в разделе Computer Configuration > Policies > Administrative Templates > ALT System:

Gpme.png

При выборе опции из списка справа возможно задать конфигурацию службы или параметра:

Chrony config.png

Конфигурирование Firefox

Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция URL for Home Page, позволяющая задать URL домашней страницы при старте браузера.

Rsat-mozilla-firefox-admx.png

Конфигурирование с помощью Alterator

На текущий момент конфигурирование групповых политик с помощью Alterator возможно с помощью модуля из пакета alterator-gpupdate:

Alterator-gpupdate-local-policy.png

Функционал пока ограничен включением/выключением политики и выбором шаблона локальной политики - Сервер, Рабочая станция или Контроллер домена:

Alterator-gpupdate-screen.png

Internals

Групповые политики кэшируются в файле /var/cache/gpupdate/registry.sqlite (можно просматривать его командой sqlite3).

Состав локальной политики

Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге /usr/share/local-policy/default. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

Описание Комментарий
Включение oddjobd.service Необходимо для обеспечения возможности запуска gpupdate для пользователя с правами администратора.
Включение gpupdate.service Необходимо для регулярного обновления настроек машины.
Включение sshd.service Необходимо для обеспечения возможности удалённого администрирования.
Включение аутентификации с помощью GSSAPI для sshd Необходимо для аутентификации в домене при доступе через SSH.
Ограничение аутентификации для sshd по группам wheel и remote Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
Открытие порта 22 Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier.


Troubleshooting

В случае неописанных ошибок и "развала" отладочного вывода один из простых подходов к решению проблемы - удалить файл "реестра" /var/cache/gpupdate/registry.sqlite и запустить gpoa заново для перегенерации файла и вызова "применялки настроек".

Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

Код Описание Решение
E00001 Недостаточно прав для запуска программы gpupdate. Необходимо повысить уровень привилегий. Может помочь запуск программы от имени администратора.
E00002 Программа gpupdate не будет запущена из-за предыдущих ошибок.
E00003 Ошибка работы бэкэнда, которая привела к досрочному прекращению обработки групповых политик. Этот код характеризует серьёзные ошибки, которые обрабатываются на самом высоком уровне. Возможно, это баг в коде и необходимо отправить багрепорт в багтрекер проекта.
E00004 Ошибка во время работы фронтенда. Высокоуровневая ошибка при инициализации фронтенда или во время работы appliers. С большой вероятностью может оказаться багом в коде.
E00005 Не получилось запустить применялку политик для обновления групповых политик компьютера. Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
E00006 Не получилось запустить применялку политик для обновления групповых политик пользователя. Проверьте, что машина всё ещё в домене, демон oddjobd доступен через D-Bus и у пользователя достаточно прав для запуска ПО.
E00007 Невозможно инициализировать бэкэнд Samba в силу неполадок компонентов, связанных с Samba. Необходимо проверить инсталляцию Samba на машине, убедиться, что машина введена в домен и домен доступен.
E00008 Невозможно инициализировать бэкэнд no-domain для выполнения процедуры бутстрапа групповых политик. Возможно, было произведено вмешательство в локальную политику или произошёл misconfiguration. Необходимо проверить целостность пакета local-policy и настройки домена в Alterator.
E00009 Произошла ошибка при попытке запуска adp Необходимо обратиться к руководству по устранению неполадок проекта ADP.
E00010 Произошёл сбой при попытке получить имя домена Active Directory Необходимо проверить работу доменной службы имён (DNS), а также доступность доменного LDAP. Для доступа к LDAP необходим работоспособный Kerberos, так что стоит проверить и его конфигурацию.
E00011 Во время работы applier с пониженным уровнем привилегий произошла неполадка. Возможно, что в используемой групповой политике заданы параметры, для установки которых требуются права администратора. Это необходимо проверить и исправить объект групповой политики соответственно.
E00012 Высокоуровневая ошибка инициализации бэкэнда. Необходимо проверить наличие условий для запуска бэкэнда. В случае с Samba - удостовериться, что машина введена в домен.
E00013 У пользователя, запустившего программу, недостаточно прав для обновления настроек машины. Запустите программу с правами администратора.
E00014 Не прошла проверка наличия билета Kerberos. Билет Kerberos нужен для доступа к сервисам домена. Проверьте конфигурацию Kerberos в файле /etc/krb5.conf. Попробуйте получить билет Kerberos вручную.
E00015 Запрос на получение имени домена Active Directory через LDAP не прошёл. Проверьте возможность получения Kerberos ticket для машины. Проверьте работу DNS и возможность обратиться к доменному LDAP.
E00016 Утилита wbinfo не отдаёт SID для пользователя, для которого выполняется обновление групповых политик. Проверьте целостность программы wbinfo. Проверьте, что машина введена в домен.
E00017 Невозможно получить список групповых политик для репликации на используемое имя пользователя. Удостоверьтесь, что пользователь, для которого произходит попытка получить список групповых политик, существует в домене. Также необходимо удостовериться, что проблема не вызвана misconfiguration домена.
E00018 Не получилось прочитать содержимое настройки XDG_DESKTOP_DIR. Удостоверьтесь, что XDG в системе сконфигурирован корректно и пользователь, для которого вычитывается настройка, существует.
E00019 Произошла ошибка во время работы applier для пользователя. Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
E00020 Произошла ошибка во время работы applier для пользователя с пониженными привилегиями. Необходимо удостовериться, что это не misconfiguration в используемой GPO. Возможен баг. В таком случае необходимо оставить bug report на страничке проекта.
E00021 Не был получен ответ от D-Bus при попытке запустить GPOA для текущего пользователя. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
E00022 Не был получен ответ от D-Bus при попытке запустить GPOA для машины. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен.
E00023 Не был получен ответ от D-Bus при попытке запустить GPOA для пользователя. Удостоверьтесь, что D-Bus работает корректно и демон oddjobd запущен. Удостоверьтесь, что у текущего пользователя достаточно прав для обращения к D-Bus.
E00024 Ошибка во время работы машинного applier. Проверьте настройки applier вручную, чтобы убедиться, что соответствущая часть ОС не поломана.
E00025 Ошибка во время инициализации пользовательского applier. Проверьте, что машина является частью домена и контроллер домена доступен. Удостоверьтесь, что пользователь существует. Проверьте, что соответствущая часть ОС не поломана.

Страницы проектов