СиСА Вики

Appearance

При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них:

  • Настройка установки программного обеспечения из репозитория.
  • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему.
  • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей.
  • Управление ярлыками для компьютера или пользователей.
  • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd).
  • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo.
  • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs.
  • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие).
  • Управление настройками приложений через ini-файлы.
  • Управление интервалом времени применения групповой политики.
  • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium.
  • Возможность принудительного выполнения политики на клиенте.

https://www.altlinux.org/Групповые_политики

https://www.altlinux.org/CUPS/Kerberos

http://moodle.ppkslavyanova.ru/moodle/mod/page/view.php?id=94

https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Print_Server

Настройка установки программного обеспечения из репозитория.

Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему.

Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей.

Управление ярлыками для компьютера или пользователей.

Централизованное управление конфигурациями сервисов systemd, включая

интерфейс-терминала смарт-карт (openct),

диспетчер авторизации (polkit),

службы аудита безопасности (auditd).

Централизованное управление конфигурациями системных сервисов:

CUPS

SSHD

NTP Chrony

Postfix MTA и postqueue

DNS

OpenLDAP

Rpcbind

SSSD

очередь заданий

и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo

Централизованное управление конфигурациями прав доступа

монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs

Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие).

Управление настройками приложений через ini-файлы.

Управление интервалом времени применения групповой политики.

У машины и пользователя собственные таймеры процесса gpupdate.

Для мониторинга и контроля времени выполнения службы gpupdate.service используются системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer. Для управления периодом запуска групповых политик достаточно изменить параметр соответствующего таймера systemd (по умолчанию период запуска составляет 1 час).

Изменить периодичность запуска системного таймера можно в /lib/systemd/system/gpupdate.timer. По умолчанию таймер gpupdate.timer запустится после загрузки ОС, а затем будет запускаться каждый час во время работы системы. Просмотреть статус системного таймера:

bash
systemctl status gpupdate.timer

Изменить периодичность запуска пользовательского таймера можно в /usr/lib/systemd/user/gpupdate-user.timer. По умолчанию таймер gpupdate-user.timer запустится после входа пользователя в систему, а затем будет запускаться каждый час пока активен сеанс соответствующего пользователя. Просмотреть статус пользовательского таймера:

bash
systemctl --user status gpupdate-user.timer

Примечание: Чтобы изменения, внесённые в файл /usr/lib/systemd/user/gpupdate-user.timer, вступили в силу следует выполнить команду:

bash
systemctl --user daemon-reload

Управлять периодичностью запуска gpupdate можно также через групповые политики

Для настройки используются политика управления каталогами и политика управления INI-файлов.

Для изменения периодичности запроса конфигураций можно создать файлы:

  • /etc/systemd/user/gpupdate-user.timer.d/override.conf — изменение пользовательского таймера;
  • /etc/systemd/system/gpupdate.timer.d/override.conf — изменение системного таймера.

С содержимым:

[Timer]
OnUnitActiveSec = 10min

где 10min — периодичность запроса конфигураций.

Пример ГП задания периодичности запроса конфигураций:

  1. Настроить групповую политику создания каталога:

    Политика создания каталога

    • в поле «Действие» выбрать пункт «Создать»
    • в поле «Путь» указать /etc/systemd/system/gpupdate.timer.d (или /etc/systemd/user/gpupdate-user.timer.d для пользовательского таймера)

  2. Настроить групповую политику создания INI-файла:

    Политика создания INI-файла

    • в поле «Действие» выбрать пункт «Обновить»
    • в поле «Путь к файлу» указать /etc/systemd/system/gpupdate.timer.d/override.conf (или /etc/systemd/user/gpupdate-user.timer.d/override.conf для пользовательского таймера)
    • в поле «Имя секции» указать Timer
    • в поле «Имя свойства» указать OnUnitActiveSec
    • в поле «Значение свойства» указать периодичность запроса, в примере 10 минут: 10min

  3. Применить групповые политики на целевом компьютере, например, выполнив команду:

    bash

gpupdate


4. Выполнить команду (или перезагрузить компьютер):

```bash
systemctl daemon-reload
  1. Убедиться, что политика применилась, выполнив команду:
bash
systemctl status gpupdate.timer

Примечание: Применить пользовательские настройки можно, выполнив команду:

bash
systemctl --user daemon-reload

Примечание: Файл override.conf подменяет настройки системной библиотеки в /lib/systemd/system/gpupdate.timer только если значение секции Timer в файле override.conf меньше, чем значение аналогичной секции в gpupdate.timer.

Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium.

Возможность принудительного выполнения политики на клиенте.

Отметка в поле «Принудительно» означает, что связь установлена принудительно. Это приведёт к принудительному применению политик более высокого уровня к объектам более низкого уровня, например, применение политики домена ко всем дочерним подразделениям, или применения политики сайта ко всем доменам и подразделениям в пределах сайта

При использовании параметра «Принудительно» выигрывает та политика, которая находится выше в иерархии домена (например, политика Default Domain Policy будет выигрывать у всех других ГП, если у неё активирован параметр «Принудительно»).

Контакты: bystrovno@basealt.ru

© 2025 – настоящее время, Никита Б. Разработано на VitePress.