Групповые политики/ALT System Control

Описание

Через групповые политики реализовано управление настройками control. Все control разделены на категории:

Безопасность
Службы
Сетевые приложения
Приложения для CD/DVD
Монтирование
Виртуализация
Графическая подсистема
Аппаратные средства
СУБД

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.

Шаг 3. Запустить GPUI:

из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
или с указанием каталога групповой политики:
```
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
```
где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:

Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать режим доступа для данного control:

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:

Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:

Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:

Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control:

Таблицы режимов для control по категориям

Безопасность

Политика	Control	Описание	Режимы на русском	Режимы на английском
Выполнение программы /usr/bin/chage	chage	Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage	Только root — только суперпользователь (root) может выполнить /usr/bin/chage Любой пользователь — любой пользователь может просмотреть, когда ему следует сменить свой пароль, используя команду «chage -l имя_пользователя»	Only root — Only root can execute /usr/bin/chage Any user — Any user can determine when he should change his/her password using the «chage» command
Выполнение команды /usr/bin/chfn	chfn	Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учетной записи пользователя. Обычный пользователь может изменять поля только для своей учетной записи, с учетом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя). Кроме того, только суперпользователь может использовать опцию -o для изменения неопределенных частей поля GECOS	Любой пользователь — любой пользователь может использовать команду /usr/bin/chfn Только root — только суперпользователь (root) может выполнить /usr/bin/chfn	Any user — Any user can use the command /usr/bin/chfn Only root — Only root can execute /usr/bin/chfn
Разрешение на использование /usr/bin/chsh	chsh	Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учетной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учетной записи (могут быть указаны любые значения). Chsh.png	Все пользователи — всем пользователям разрешено использовать /usr/bin/chsh Только root — только суперпользователь (root) может использовать /usr/bin/chsh	All users — All users are allowed to use /usr/bin/chsh Only root — Only root can use /usr/bin/chsh
Разрешение на использование consolehelper	consolehelper	Эта политика определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM (которую можно настроить так, чтобы доверять всем пользователям консоли или запрашивать пароль по усмотрению системного администратора). Когда это возможно, аутентификация выполняется графически; в противном случае это делается в текстовой консоли, с которой был запущен consolehelper	Любой пользователь — любой пользователь может использовать consolehelper Только wheel — только члены группы «wheel» могут использовать consolehelper Только root — только суперпользователь (root) может использовать consolehelper	Any user — Any user can use consolehelper Only wheel — Only members of the wheel group can use consolehelper Only root — Only root can use consolehelper
Выполнение программы /usr/bin/gpasswd	gpasswd	Политика определяет права на запуск инструмента /usr/bin/gpasswd	Любой пользователь — любой пользователь может выполнить /usr/bin/gpasswd Только wheel — только члены группы «wheel» могут выполнять /usr/bin/gpasswd Только root — только суперпользователь (root) может выполнить /usr/bin/gpasswd	Any user — Any user can execute /usr/bin/gpasswd Only wheel — Only wheel group members can execute /usr/bin/gpasswd Only root — Only root can execute /usr/bin/gpasswd
Выполнение программы /usr/bin/groupmems	groupmems	Политика определяет права на выполнение программы /usr/bin/groupmems	Любой пользователь — любой пользователь может выполнить /usr/bin/groupmems Только wheel — только члены группы «wheel» могут выполнять /usr/bin/groupmems Только root — только суперпользователь (root) может выполнять /usr/bin/groupmems	Any user — Any user can execute /usr/bin/groupmems Only wheel — Only wheel group members can execute /usr/bin/groupmems Only root — Only root can execute /usr/bin/groupmems
Разрешение на использование /usr/sbin/hddtemp	hddtemp	Разрешение на использование инструмента /usr/sbin/hddtemp — отслеживание температуры жесткого диска	Любой пользователь — любой пользователь может выполнить /usr/sbin/hddtemp Только wheel — только члены группы «wheel» могут выполнять /usr/sbin/hddtemp Только root — только суперпользователь (root) может выполнить /usr/sbin/hddtemp	Any user — Any user can execute /usr/sbin/hddtemp Only wheel — Only wheel group members can execute /usr/sbin/hddtemp Only root — Only root can execute /usr/sbin/hddtemp
Разрешения для /usr/bin/newgrp	newgrp	Эта политика определяет разрешения для /usr/bin/newgrp	Любой пользователь — любой пользователь может запускать /usr/bin/newgrp Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/newgrp Только root — только суперпользователь (root) может запускать /usr/bin/newgrp	Any user — Any user is permitted to run /usr/bin/newgrp Only wheel — Users from the «wheel» group are permitted to run /usr/bin/newgrp Only root — Only root is permitted to run /usr/bin/newgrp
Создание временных каталогов	pam_mktemp	Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей	Отключено — отключить создание отдельных временных каталогов для пользователей Включено — включить создание отдельных временных каталогов для пользователей	Disabled — Disable the creation of individual temporary directories for users Enabled — Enable the creation of individual temporary directories for users
Управление паролями с помощью passwd	passwd	Определяет политику управления паролями с помощью команды /usr/bin/passwd	TCB — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда включена схема tcb Традиционный (схема tcb отключена) — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда схема tcb отключена Только root — только суперпользователь (root) имеет право изменять пароли пользователей	TCB — Any user can change his own password using /usr/bin/passwd when tcb scheme is enabled Traditional — Any user can change his own password using /usr/bin/passwd when tcb scheme is disabled Only root — Only superuser (root) has the right to change user passwords
Управление проверками сложности пароля	passwdqc-enforce	Политика управляет паролями для достаточной надежности пароля	Все — включить проверку сложности пароля для всех пользователей Только для пользователей — включить проверку сложности пароля для всех пользователей, кроме суперпользователей	Everyone — Enable password complexity checks for all users Users only — Enable password complexity checks for all but superusers
Разрешения для /bin/su	su	Эта политика определяет разрешения для /bin/su	Любой пользователь — любой пользователь может запускать /bin/su Все пользователи, кроме root — любой пользователь имеет право запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии до суперпользователя (root) Только wheel — только пользователи из группы «wheel» могут запускать /bin/su Только root — только суперпользователь (root) может запускать /bin/su	Any user — Any user is permitted to run /bin/su All users, but not root — Any user has the right to run /bin/su, but only members of the «wheel» group can raise privileges to the superuser (root) Only wheel — Only users of the «wheel» group are allowed to run /bin/su Only root — Only root is permitted to run /bin/su
Разрешения для /usr/bin/sudo	sudo	Эта политика определяет разрешения для /usr/bin/sudo	Любой пользователь — любой пользователь может запускать /usr/bin/sudo Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/sudo Только root — только суперпользователь (root) может запускать /usr/bin/sudo	Any user — Any user is permitted to run /usr/bin/sudo Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudo Only root — Only root is permitted to run /usr/bin/sudo
Режим передачи родительской среды в sudo	sudoers	Эта политика определяет, передается ли родительская среда (переменные среды) в sudo	Строгий — не передавать переменные окружения дочернему процессу Слабый — передать переменные окружения дочернему процессу	Strict — Do not pass environment variables to the child process Relaxed — Pass environment variables to the child process
Разрешения для /usr/bin/sudoreplay	sudoreplay	Эта политика определяет разрешения для /usr/bin/sudoreplay	Любой пользователь — любой пользователь может запускать /usr/bin/sudoreplay Только wheel — пользователям из группы «wheel» разрешено запускать /usr/bin/sudoreplay Только root — только суперпользователь (root) может запускать /usr/bin/sudoreplay	Any user — Any user is permitted to run /usr/bin/sudoreplay Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudoreplay Only root — Only root is permitted to run /usr/bin/sudoreplay
Разрешить команду sudo членам группы «wheel»	sudowheel	Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не настроена или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo.	Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo	Disabled — members of the «wheel» group cannot raise privileges with sudo command Enabled — members of the «wheel» grop can raise privileges with sudo command
Метод аутентификации	system-auth	Эта политика определяет метод аутентификации пользователя	Winbind — использовать Winbind для аутентификации SSSD — использовать метод проверки подлинности демона System Security Services	Winbind — Use Winbind for authentication SSSD — Use System Security Services Daemon authentication method
Разрешения для /usr/lib/chkpwd/tcb_chkpwd	tcb_chkpwd	Эта политика определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd	Любой пользователь с отключенным tcb — любой пользователь может быть аутентифицирован с использованием привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd, когда отключена схема tcb Любой пользователь с включенным tcb — любой пользователь может аутентифицироваться с помощью привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd, если включена схема tcb Только root — только суперпользователь (root) может быть аутентифицирован с помощью /usr/lib/chkpwd/tcb_chkpwd	Any user with scheme tcb disabled — Any user can be authenticated using /usr/lib/chkpwd/tcb_chkpwd privileged helper when tcb scheme is disabled Any user with scheme tcb enabled — Any user can be authenticated using /usr/lib/chkpwd/tcb_chkpwd privileged helper when tcb scheme is enabled Only root — Only the superuser can be authenticated with /usr/lib/chkpwd/tcb_chkpwd
Разрешения для /usr/bin/write	write	Эта политика определяет разрешения для /usr/bin/write	Любой пользователь — любой пользователь может запускать /usr/bin/write Только root — только суперпользователь (root) может запускать /usr/bin/write	Any user — Any user is permitted to run /usr/bin/write Only root — Only root is permitted to run /usr/bin/write

Службы

Внимание! Поддержка опций Samba в групповых политиках работает с samba, начиная с версии 4.16.7-alt5.

Примечание: Для управления настройками usershares с помощью политик на клиенте должны быть выполнены следующие условия:

установлен пакет samba-usershares;
в /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf:

include = /etc/samba/usershares.conf

Политика	Control	Описание	Режимы на русском	Режимы на английском
Права доступа и поведение очереди заданий /usr/bin/at	at	Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at)	Все пользователи — всем пользователям разрешено запускать /usr/bin/at Только root — только суперпользователь (root) может запускать /usr/bin/at Режим совместимости — режим «atdaemon», не должен использоваться	All users — All users are allowed to run /usr/bin/at Only root — Only root allowed to run /usr/bin/at Compatibility mode — mode "atdaemon", should not be used
Режим демона NTP Chrony	chrony	Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени	Сервер — если этот режим выбран, то он раскомментирует или добавит директиву «allow all» в файл конфигурации демона, подробности см. в документации Клиент — если этот режим выбран, он закомментирует директиву «allow» в файле конфигурации демона, подробности см. в документации	Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details Client — if selected, it will comment out the "allow" directive in the daemon configuration file, see the documentation for details
Разрешение на использование crontab	crontab	Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab)	Любой пользователь — любой пользователь может использовать /usr/bin/crontab Только root — только суперпользователь (root) может использовать /usr/bin/crontab	Any user — Any user can use crontab Only root — Only root can use crantab
Режим CUPS	cups	Эта политика определяет поведение CUPS	Внешний интерфейс IPP — внешний интерфейс IPP доступен для пользователя Только локальные утилиты — только локальные утилиты могут работать с CUPS	External IPP interface — External IPP interface are available for user Only local utilities — Only local utilities can work with CUPS
Обратный поиск DNS для запросов OpenLDAP	ldap-reverse-dns-lookup	Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP	Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP	Allow — Perform reverse DNS lookup on OpenLDAP queries Default — Perform reverse DNS lookup on OpenLDAP queries Not allow — Do not perform reverse DNS lookups on OpenLDAP queries
Проверка сертификата при установлении соединений TLS OpenLDAP	ldap-tls-cert-check	Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP	По умолчанию — установить соединение только с правильным сертификатом Никогда — не выполнять никаких проверок Разрешить — установить соединение, даже если сертификат отсутствует или неверный Пробовать — установить соединение, если нет сертификата или с действующим сертификатом Требовать — установить соединение только с правильным сертификатом	Default — Only establish a connection with the correct certificate Never — Do not perform any checks Allow — Establish a connection even if there is no or incorrect certificate Try — Establish a connection if there is no or with a valid certificate Demand — Only establish a connection with the correct certificate
Режим работы Postfix MTA	postfix	Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент)	Локальный (отключен) — Postfix MTA отключен Сервер (фильтры отключены) — Postfix MTA включен без почтовых фильтров Фильтр — Postfix MTA включен с почтовыми фильтрами	Local (disabled) — Postfix MTA is disabled Server (filters off) — Postfix MTA enabled without mail filters Filter — Postfix MTA is enabled with mail filters
Разрешения для /usr/sbin/postqueue	postqueue	Эта политика определяет разрешения для /usr/sbin/postqueue	Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue	Any user — Any user is permitted to run /usr/sbin/postqueue Group mailadm — Users from the "mailadm" group are permitted to run /usr/sbin/postqueue Only root — Only root is permitted to run /usr/sbin/postqueue
Режим работы Rpcbind	rpcbind	Эта политика определяет режим работы rpcbind (/sbin/rpcbind)	Сервер — rpcbind будет прослушивать входящие соединения из сети Локальный — rpcbind будет принимать только локальные запросы	Server — rpcbind will listen for incoming connections from the network Local — rpcbind will only accept local requests
Поддержка SFTP на сервере OpenSSH	sftp	Эта политика определяет поддержку SFTP на сервере OpenSSH	Включено — включить поддержку SFTP на сервере OpenSSH Отключено — отключить поддержку SFTP на сервере OpenSSH	Disabled — Disable SFTP support on the OpenSSH server Enabled — Enable SFTP support on the OpenSSH server
Поддержка аутентификации OpenSSH-клиентов через GSSAPI	ssh-gssapi-auth	Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI	Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена	Enable — GSSAPI authentication support for OpenSSH clients is enabled Disable — GSSAPI authentication support for OpenSSH clients is disabled
Samba опции
Гостевой доступ к общим каталогам	smb-conf-usershare-allow-guests	Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Политика управляет параметром «usershare allow guests» в файле /etc/samba/usershares.conf.	Включено — разрешить предоставление гостевого доступа общему ресурсу (usershare allow guests = yes) Отключено — запретить предоставление гостевого доступа общему ресурсу (usershare allow guests = no)	Enabled — enable restriction of permit guest access by samba usershares Disabled — disable restriction of permit guest access by samba usershares
Доступ к общим каталогам других пользователей	smb-conf-usershare-owner-only	Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Политика меняет параметр «usershare owner only» в файле /etc/samba/usershares.conf.	Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = yes) Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = no)	Enabled — disable restriction of only directories owned by the sharing user can be shared by samba usershares Disabled — enable restriction of only directories owned by the sharing user can be shared by samba usershares
Доступ членам группы «sambashare» к управлению общими каталогами	role-sambashare	Политика управляет разрешением членам группы «sambashare» управлять общими каталогами (net usershare). Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».	Включено — разрешить членам группы «sambashare» управлять общими каталогами Отключено — запретить членам группы «sambashare» управлять общими каталогами	Enabled — allow users in group «sambashare» to use samba usershares Disabled — disallow users in group «sambashare» to use samba usershares
Доступ членам группы «users» к управлению общими каталогами	role-usershares	Политика управляет разрешением членам группы «users» управлять общими каталогами. Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».	Включено — разрешить членам группы «users» управлять общими каталогами Отключено — запретить членам группы «users» управлять общими каталогами	Enabled — privilege group «usershares» assigned to group «users» Disabled — privilege group «usershares» assigned to users explicitly
Разрешение на создание пользовательских общих каталогов	smb-conf-usershares	Политика управляет возможностью создания пользовательских общих каталогов на компьютере (net usershare). Политика управляет параметром «usershare max shares» в файле /etc/samba/usershares.conf.	Включено — разрешить общие каталоги пользователей на компьютере (usershare max shares» = 100) Отключено — отключить общие каталоги пользователей на компьютере (usershare max shares» = 0)	Enabled — enable smb usershare options Disabled — disable smb usershare options
Запрет на создание общих каталогов в системных каталогах	smb-conf-usershare-deny-list	Политика управляет параметром «usershare prefix deny list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix deny list» определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix deny list» заданы каталоги: /etc, /dev, /sys, /proc. Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.	Включено — включить список запрещенных каталогов (запретить создание общих каталогов в системных каталогах из списка «usershare prefix deny list») Отключено — отключить список запрещённых каталогов (параметр usershare prefix deny list будет закомментирован)	Enabled — enable list of prohibited directories to be shared by samba usershares Disabled — disable list of prohibited directories to be shared by samba usershares
Разрешение на создание общих каталогов в системных каталогах	smb-conf-usershare-allow-list	Политика управляет параметром «usershare prefix allow list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix allow list» определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, доступ к общему каталогу будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix allow list» заданы каталоги: /home, /srv, /mnt, /media, /var. Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений.	Включено — включить список разрешенных каталогов (разрешить создание общих каталогов только в системных каталогах из списка «usershare prefix allow list») Отключено — отключить список разрешенных каталогов (параметр usershare prefix allow list будет закомментирован)	Enabled — enable list of permitted directories to be shared by samba usershares Disabled — disable list of permitted directories to be shared by samba usershares
SSHD опции
Контроль доступа по группам к серверу OpenSSH	sshd-allow-groups	Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп	Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен	Disabled — Remote access control to the OpenSSH server is disabled Enabled — Remote access control to the OpenSSH server is enabled
Группы для контроля доступа к серверу OpenSSH	sshd-allow-groups-list	Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH	Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users» Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote») Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel») Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»	All users — Allow access to the OpenSSH server by «wheel» and «users» groups Groups wheel and remote — Allow access to the OpenSSH server by «wheel» and «remote» groups Only wheel — Allow access to the OpenSSH server by «wheel» group only Only remote — Allow access to the OpenSSH server by «remote» group only
Поддержка GSSAPI-аутентификации на сервере OpenSSH	sshd-gssapi-auth	Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH	Включено — поддержка GSSAPI на сервере OpenSSH включена Отключено — поддержка GSSAPI на сервере OpenSSH отключена	Enable — GSSAPI support on the OpenSSH server is enabled Disable — GSSAPI support on the OpenSSH server is disabled
Аутентификация по паролю на сервере OpenSSH	sshd-password-auth	Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH	Включено — поддержка аутентификации по паролю на сервере OpenSSH включена Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена	Enable — Password authentication support on the OpenSSH server is enabled Disable — Password authentication support on the OpenSSH server is disabled
Аутентификация суперпользователя на сервере OpenSSH	sshd-permit-root-login	Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH	Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете	Without password only — The superuser (root) is only allowed password-free authentication on the OpenSSH server Enabled — The superuser (root) is allowed to authenticate on the OpenSSH server Disabled — The superuser (root) is denied authentication on the OpenSSH server Default — Reset the authentication mode for the superuser (root) to the package default
SSSD опции
Контроль доступа в SSSD через групповые политики	sssd-ad-gpo-access-control	Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)	Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете	Enforced — SSSD GPO-based access control rules are evaluated and enforced Permissived — TSSSD GPO-based access control rules are evaluated, but not enforced Disabled — SSSD GPO-based access control rules are neither evaluated nor enforced Default — SSSD GPO-based access control reset to the default value in the package
Игнорирование политик при недоступности GPT	sssd-ad-gpo-ignore-unreadable	Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)	Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете	Enabled — Ignore access control rules via group policies if group policy templates are not available for SSSD Disabled — Deny access SSSD AD users when group policy templates are not unavailable Default — The policy ignoring setting, when group policy templates are unavailable, is reset to the default value in the package
Кэширование учётных данных пользователей	sssd-cache-credentials	Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD	Включить — сохранение в локальном кэше SSSD учётных данных пользователей включено Отключить — сохранение в локальном кэше SSSD учётных данных пользователей отключено По умолчанию — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете	Enabled — Storing user credentials in the local SSSD cache is enabled Disabled — Storing user credentials in the local SSSD cache is disabled Default — The setting for storing user credentials in the local SSSD cache reset to the default value in the package
Режим привилегий службы SSSD	sssd-drop-privileges	Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)	Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root) Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd) По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете	Privileged — The SSSD service is running on behalf of a privileged superuser (root) Unprivileged — The SSSD service is running on behalf of an unprivileged user (_sssd) Default — The SSSD privilege mode is set by default in the packager
Обновление DNS-записей прямой зоны	sssd-dyndns-update	Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD	Включить — автоматическое обновление DNS-записи клиента через SSSD включено Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете	Enabled — Automatic client DNS record update via SSSD is enabled Disabled — Automatic client DNS record update via SSSD is disabled Default — The configuration of automatic updating of client DNS records via SSSD is set by default in the package
Обновление DNS-записей обратной зоны	sssd-dyndns-update-ptr	Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»	Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете	Enabled — Automatic DNS update of the reverse zone record via SSSD is enabled Disabled — Automatic DNS update of the reverse zone record via SSSD is disabled Default — The configuration of automatic updating of client PTR record for reverse zone records using SSSD is set by default in the package

Сетевые приложения

Политика	Control	Описание	Режимы на русском	Режимы на английском
Разрешение на использование /usr/bin/mtr	mtr	Разрешение на использование сетевого инструмента /usr/bin/mtr	Любой пользователь — любой пользователь может выполнить /usr/bin/mtr Группа netadmin — только члены группы «netadmin» могут выполнять /usr/bin/mtr Только root — только суперпользователь (root) может выполнить /usr/bin/mtr	Any user — Any user can execute /usr/bin/mtr Group netadmin — Only "netadmin" group members can execute /usr/bin/mtr Only root — Only root can execute /usr/bin/mtr
Разрешения для /usr/bin/ping	ping	Эта политика определяет разрешения для /usr/bin/ping	Любой пользователь — любой пользователь может запускать /usr/bin/ping Группа netadmin — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping Только root — только суперпользователь (root) может запускать /usr/bin/ping Любой пользователь (в контейнерах) — любой пользователь может запускать /usr/bin/ping (в контейнерах) Группа netadmin (в контейнерах) — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping (в контейнерах)	Any user — Any user is permitted to run /usr/bin/ping Group netadmin — Users from the "netadmin" group are permitted to run /usr/bin/ping Only root — Only root is permitted to run /usr/bin/ping Any user (in containers) — Any user is permitted to run /usr/bin/ping (in containers) Group netadmin (in containers) — Users from the "netadmin" group are permitted to run /usr/bin/ping (in containers)
Разрешения для /usr/sbin/pppd	ppp	Эта политика определяет разрешения для /usr/sbin/pppd	Только root — только суперпользователю (root) разрешено запускать /usr/sbin/pppd Традиционный — любой пользователь имеет право запускать /usr/sbin/pppd без повышения привилегий Группа uucp — пользователи группы «uucp» имеют право запускать /usr/sbin/pppd с правами суперпользователя Любой пользователь — любой пользователь имеет право запускать /usr/sbin/pppd с правами суперпользователя	Only root — Only root is permitted to run /usr/sbin/pppd Traditional — Any user has the right to run /usr/sbin/pppd without elevating privileges Group uucp — Users of the "uucp" group have the right to run /usr/sbin/pppd with superuser rights Public — Any user has the right to run /usr/sbin/pppd with superuser rights
Разрешения для wireshark-capture (dumpcap)	wireshark-capture	Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)	Любой пользователь — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика включен Любой пользователь, без захвата трафика — любой пользователь имеет право запускать /usr/bin/dumpcap, захват трафика отключен Группа netadmin — пользователи группы «netadmin» имеют право запускать /usr/bin/dumpcap Только root — только суперпользователь (root) имеет право запускать /usr/bin/dumpcap	Any user — Any user has the right to run /usr/bin/dumpcap, traffic capture is enabled Any user, no traffic capture — Any user has the right to run /usr/bin/dumpcap, traffic capture is disabled Group netadmin — Users of the group "netadmin" have the right to run /usr/bin/dumpcap Only root — Only the superuser has the right to run /usr/bin/dumpcap

Приложения для CD/DVD

Политика	Control	Описание	Режимы на русском	Режимы на английском
Разрешение на использование /usr/bin/dvd-ram-control	dvd-ram-control	Эта политика определяет права доступа к /usr/bin/dvd-ram-control	Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control Режим совместимости — режим совместимости, не должен использоваться	Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd-ram-control Only root — Only root can execute /usr/bin/dvd-ram-control Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-booktype	dvd+rw-booktype	Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype	Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype Режим совместимости — режим совместимости, не должен использоваться	Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-booktype Only root — Only root can execute /usr/bin/dvd+rw-booktype Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-format	dvd+rw-format	Эта политика определяет права доступа к /usr/bin/dvd+rw-format	Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format Режим совместимости — режим совместимости, не должен использоваться	Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-format Only root — Only root can execute /usr/bin/dvd+rw-format Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/dvd+rw-mediainfo	dvd+rw-mediainfo	Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo	Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo Режим совместимости — режим совместимости, не должен использоваться	Only cdwriter — Only cdwriter group members can execute /usr/bin/dvd+rw-mediainfo Only root — Only root can execute /usr/bin/dvd+rw-mediainfo Compatibility mode — Compatibility mode, should not be used
Разрешение на использование /usr/bin/growisofs	growisofs	Политика определяет права на использование инструмента /usr/bin/growisofs	Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs Режим совместимости — режим совместимости, не должен использоваться	Only cdwriter — Only cdwriter group members can execute /usr/bin/growisofs Only root — Only root can execute /usr/bin/growisofs Compatibility mode — Compatibility mode, should not be used

Монтирование

Политика	Control	Описание	Режимы на русском	Режимы на английском
Доступ к инструментам FUSE	fusermount	Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)	Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3 Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3 Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3 Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3	Any user — Any user can execute /usr/bin/fusermount and /usr/bin/fusermount3 Only fuse — Only "fuse" group members can execute /usr/bin/fusermount and /usr/bin/fusermount3 Only wheel — Only "wheel" group members can execute /usr/bin/fusermount and /usr/bin/fusermount3 Only root — Only root can execute /usr/bin/fusermount and /usr/bin/fusermount3
Разрешения для /bin/mount и /bin/umount	mount	Эта политика определяет разрешения для /bin/mount и /bin/umount	Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root) Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount	Any user — Any user is permitted to run /bin/mount and /bin/umount Only wheel — Users from the "wheel" group are permitted to run /bin/mount and /bin/umount Unprivileged user — Any user is permitted to run /bin/mount and /bin/umount for unprivileged actions Only root — Only root is permitted to run /bin/mount and /bin/umount
Разрешения для /sbin/mount.nfs	nfsmount	Эта политика определяет разрешения для /sbin/mount.nfs	Любой пользователь — любому пользователю разрешено запускать /sbin/mount.nfs Только wheel — пользователям из группы «wheel» разрешено запускать /sbin/mount.nfs Только root — только суперпользователь (root) может запускать /sbin/mount.nfs	Any user — Any user is permitted to run /sbin/mount.nfs Only wheel — Users from the "wheel" group are permitted to run /sbin/mount.nfs Only root — Only root is permitted to run /sbin/mount.nfs
Правила подключения USB-накопителей	udisks2	Эта политика определяет правила подключения USB-накопителей	По умолчанию — подключить накопитель индивидуально (/run/media/$user/) для каждого пользователя Общий — подключить накопитель к общедоступной точке (/media/)	Default — Connect storage media individually (/run/media/$user/) for each user Shared — Connect storage media to a public point (/media/)

Виртуализация

Политика	Control	Описание	Режимы на русском	Режимы на английском
Разрешения для VirtualBox	virtualbox	Эта политика определяет разрешения для VirtualBox	Любой пользователь — любому пользователю разрешено использовать VirtualBox Группа vboxusers — пользователям группы «vboxusers» разрешено использовать VirtualBox Только root — только суперпользователю (root) разрешено использовать VirtualBox	Any user — Any user is permitted to use VirtualBox Group vboxusers — Users of the "vboxusers" group are permitted to use VirtualBox Only root — Only root is permitted to use VirtualBox

Графическая подсистема

Политика	Control	Описание	Режимы на русском	Режимы на английском
Cписок пользователей в greeter (LightDM)	lightdm-greeter-hide-users	Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет	Показать — показать список доступных пользователей в greeter Скрыть — не перечислять всех пользователей в greeter	Show — Show available users list in greeter Hide — Don't list all users in greeter
Стандартные каталоги в home	xdg-user-dirs	Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя	Отключено — функция сохранения списка пользовательских каталогов отключена Включено — функция сохранения списка пользовательских каталогов включена	Disabled — The function to save the list of user directories is disabled Enabled — The option to save the list of user directories is enabled
Разрешения для Xorg	xorg-server	Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)	Не сконфигурировано — любому пользователю разрешено запускать /usr/bin/Xorg Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg Только root — только суперпользователь (root) может запускать /usr/bin/Xorg	Not Configured — Any user is permitted to run /usr/bin/Xorg Any user — Any user is permitted to run /usr/bin/Xorg Group xgrp — Users of the "xgrp" group are permitted to run /usr/bin/Xorg Only root — Only root is permitted to run /usr/bin/Xorg

Групповые политики