Групповые политики: различия между версиями

Материал из ALT Linux Wiki
(Переиграл расположение разделов, а то вверху получалось два заголовка, а структура имела большую вложенность)
Строка 1: Строка 1:
= Групповые политики в решениях ALT =
Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию.
Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию.
Групповые политики в реализации Active Directory - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.  
Групповые политики в реализации Active Directory - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.  
Строка 6: Строка 4:
__TOC__
__TOC__


== Механизмы назначения и кеширования ==
= Механизмы назначения и кеширования =


В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:
В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент [https://github.com/altlinux/gpupdate gpupdate]. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:
Строка 50: Строка 48:
Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе '''GPUpdate'''.
Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе '''GPUpdate'''.


=== Развёртывание ===
== Развёртывание ==


На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория <code>241549</code> (для p9):
На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория <code>241549</code> (для p9):
Строка 76: Строка 74:
  apt-get install alterator-auth alterator-gpupdate
  apt-get install alterator-auth alterator-gpupdate


===[[Групповые_политики/Развёртывание|Развёртывание групповых политик на Альт 9.1]]===
==[[Групповые_политики/Развёртывание|Развёртывание групповых политик на Альт 9.1]]==


=== Конфигурирование с помощью RSAT ===
== Конфигурирование с помощью RSAT ==


Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).
Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).
Строка 90: Строка 88:
[[File:chrony_config.png]]
[[File:chrony_config.png]]


==== Конфигурирование Firefox ====
=== Конфигурирование Firefox ===


Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция <code>URL for Home Page</code>, позволяющая задать URL домашней страницы при старте браузера.
Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция <code>URL for Home Page</code>, позволяющая задать URL домашней страницы при старте браузера.
Строка 96: Строка 94:
[[File:rsat-mozilla-firefox-admx.png]]
[[File:rsat-mozilla-firefox-admx.png]]


=== Конфигурирование с помощью Alterator ===
== Конфигурирование с помощью Alterator ==


На текущий момент конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля из пакета <code>alterator-gpupdate</code>:
На текущий момент конфигурирование групповых политик с помощью '''Alterator''' возможно с помощью модуля из пакета <code>alterator-gpupdate</code>:
Строка 106: Строка 104:
[[File:Alterator-gpupdate-screen.png]]
[[File:Alterator-gpupdate-screen.png]]


=== Состав локальной политики ===
= Internals =
 
Групповые политики кэшируются в файле <code>/var/cache/gpupdate/registry.sqlite</code> (можно просматривать его командой <code>sqlite3</code>).
 
== Состав локальной политики ==


Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге <code>/usr/share/local-policy/default</code>. Данные настройки по умолчанию поставляются пакетом <code>local-policy</code>. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге <code>/usr/share/local-policy/default</code>. Данные настройки по умолчанию поставляются пакетом <code>local-policy</code>. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Строка 133: Строка 135:
  |}
  |}


=== Internals ===


Групповые политики кэшируются в файле <code>/var/cache/gpupdate/registry.sqlite</code> (можно просматривать его командой <code>sqlite3</code>).


=== Коды ошибок ===
= Troubleshooting =
 
== Коды ошибок ==


Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.
Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.
Строка 155: Строка 157:
  |}
  |}


== Страницы проектов ==
= Страницы проектов =


* https://github.com/altlinux/gpupdate
* https://github.com/altlinux/gpupdate

Версия от 10:39, 4 августа 2020

Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей среды относительно локальных политик, по умолчанию. Групповые политики в реализации Active Directory - это часть интегрированного решения. Альтернативной реализацией Active Directory под Linux/Unix является проект Samba. Поддержка применения групповых политик в конкретных дистрибутивных решениях, в целом, не является частью проекта Samba. В данной статье представлен общий обзор данного инструмента в контексте интеграции применения групповых политик в решениях ALT.

Механизмы назначения и кеширования

В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba. Обновление машинных политик происходит раз в час. Среди применяемых настроек присутствуют:

Настройка Статус Комментарий
Установка домашней страницы браузера Firefox Экспериментальная Возможно установить при использовании ADMX файлов Mozilla Firefox: https://github.com/mozilla/policy-templates/releases
Установка домашней страницы браузера Chromium Экспериментальная Возможно установить при использовании ADMX файлов Google Chrome: https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
Запрет на подключение внешних носителей данных Стабильная Стандартные средства RSAT
Включение или выключение различных служб (сервисов systemd) Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Управление control framework Стабильная Возможно установить при использовании ADMX файлов ALT: https://github.com/altlinux/admx-basealt
Генерация ярлычков запуска программ Стабильная Стандартные средства RSAT. С некоторыми ограничениями. Также можно делать ярлычки типа URL и делать, например, URI-ссылки smb:// для открытия Samba shares.
Подключение сетевых дисков Экспериментальная Стандартные средства RSAT
Создание директорий Стабильная Стандартные средства RSAT

Оценить полный набор возможностей могут администраторы инфраструктур на базе Active Directory скачав файлы ADMX из репозитория: https://github.com/altlinuxteam/admx-basealt и загрузив их в оснастку RSAT. Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе GPUpdate.

Развёртывание

На текущий момент для включения инструмента групповых политик на клиентах AD необходимо установить пакеты из репозитория 241549 (для p9):

  • oddjob-gpupdate
  • gpupdate

Подключение репозитория производится командой:

apt-repo add 241549

Установка ПО производится командами:

apt-get update
apt-get install gpupdate

Включение работы групповых политик и выбор умолчальной локальной политики выполняется командой /usr/sbin/gpupdate-setup от пользователя с правами администратора:

gpupdate-setup enable

и перезагрузите рабочую машину.

Также возможно дополнить инсталляцию графическими инструментами (модулями Alterator), чтобы выполнить аналогичные действия с помощью GUI:

apt-get install alterator-auth alterator-gpupdate

Развёртывание групповых политик на Альт 9.1

Конфигурирование с помощью RSAT

Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS ( https://bugzilla.samba.org/show_bug.cgi?id=11231 ).

Для задания конфигурации с помощью RSAT необходимо скачать ADMX файлы ("административные шаблоны") из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории \\<DOMAIN>\SYSVOL\<DOMAIN>\policies\PolicyDefinitions. Корректно установленные административные шаблоны будут отображены в оснастке Group Policy Management Editor в разделе Computer Configuration > Policies > Administrative Templates > ALT System:

Gpme.png

При выборе опции из списка справа возможно задать конфигурацию службы или параметра:

Chrony config.png

Конфигурирование Firefox

Дополнительное дерево настроек для браузера Mozilla Firefox появится после установки ADMX файлов Firefox. Для Linux поддерживаются только машинные политики вследствие ограничений реализации Firefox for Linux. На данный момент поддерживается только опция URL for Home Page, позволяющая задать URL домашней страницы при старте браузера.

Rsat-mozilla-firefox-admx.png

Конфигурирование с помощью Alterator

На текущий момент конфигурирование групповых политик с помощью Alterator возможно с помощью модуля из пакета alterator-gpupdate:

Alterator-gpupdate-local-policy.png

Функционал пока ограничен включением/выключением политики и выбором шаблона локальной политики - Сервер, Рабочая станция или Контроллер домена:

Alterator-gpupdate-screen.png

Internals

Групповые политики кэшируются в файле /var/cache/gpupdate/registry.sqlite (можно просматривать его командой sqlite3).

Состав локальной политики

Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге /usr/share/local-policy/default. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.

Описание Комментарий
Включение oddjobd.service Необходимо для обеспечения возможности запуска gpupdate для пользователя с правами администратора.
Включение gpupdate.service Необходимо для регулярного обновления настроек машины.
Включение sshd.service Необходимо для обеспечения возможности удалённого администрирования.
Включение аутентификации с помощью GSSAPI для sshd Необходимо для аутентификации в домене при доступе через SSH.
Ограничение аутентификации для sshd по группам wheel и remote Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии).
Открытие порта 22 Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier.


Troubleshooting

Коды ошибок

Сообщения, сопутствующие кодам ошибок, могут изменяться (переводиться, исправляться), но сам код уникален для определённой части программы, что позволяет однозначно идентифицировать проблему.

Код Описание Решение
E00001 Недостаточно прав для запуска программы gpupdate. Необходимо повысить уровень привилегий.
E00002 Программа gpupdate не будет запущена из-за предыдущих ошибок.

Страницы проектов