Групповые политики/ALT System Control: различия между версиями
м (→Службы) |
|||
(не показаны 34 промежуточные версии этого же участника) | |||
Строка 1: | Строка 1: | ||
== Описание == | == Описание == | ||
Через групповые политики реализовано управление настройками control. | Через групповые политики реализовано управление настройками [[control]]. | ||
Все control разделены на категории: | Все [[control]] разделены на категории: | ||
* Безопасность | * Безопасность | ||
* Службы | * Службы | ||
Строка 15: | Строка 15: | ||
=== На рабочей станции === | === На рабочей станции === | ||
Шаг 1. На машине с установленными [[ | '''Шаг 1.''' На машине с установленными [[ADMC]] и [[Групповые_политики/GPUI|GPUI]] получить ключ Kerberos для администратора домена. | ||
Шаг 2. В ADMC | '''Шаг 2.''' В [[ADMC]] создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика. | ||
Шаг 3. Запустить | '''Шаг 3.''' Запустить [[Групповые_политики/GPUI|GPUI]]: | ||
< | *из [[ADMC|модуля удаленного управления базой данных конфигурации (ADMC)]], выбрав в контекстном меню объекта групповой политики пункт «Изменить…»: | ||
*:[[File:Admc-gp-edit-control.png|Запуск GPUI из ADMC]] | |||
*или с указанием каталога групповой политики: | |||
*:<syntaxhighlight lang="bash">$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"</syntaxhighlight> | |||
*:где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования. | |||
Откроется окно редактирования групповых политик. | |||
'''Шаг 4.''' Перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control: | |||
[[Файл:Gpui-Controls.png|GPUI. Политики настройки систем ALT]] | |||
'''Шаг 5.''' При выборе раздела, в правом окне редактора отобразится список политик: | |||
[[Файл:Gpui-ControlsSecurity.png|GPUI. Список политик]] | |||
'''Шаг 6.''' При выборе политики, откроется диалоговое окно настройки соответствующей политики: | |||
[[Файл:Gpui-Controls_chage1.png|GPUI. Диалоговое окно настройки политики]] | |||
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать режим доступа для данного control: | |||
[[Файл:Gpui-Controls_chage2.png|GPUI. Выбор режима доступа для control]] | |||
=== На машине Windows === | === На машине Windows === | ||
Шаг 1. На машине с установленным RSAT | '''Шаг 1.''' На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc). | ||
Шаг 2. | '''Шаг 2.''' Создать новый объект групповой политики (GPO) и связать его с OU. | ||
Шаг 3. В контекстном меню GPO | '''Шаг 3.''' В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO. | ||
Шаг 4. | '''Шаг 4.''' Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». | ||
Здесь есть несколько разделов, соответствующих категориям control: | Здесь есть несколько разделов, соответствующих категориям control: | ||
[[Файл:Controls.png|Политики настройки систем ALT]] | [[Файл:Controls.png|RSAT. Политики настройки систем ALT]] | ||
Шаг 5. | '''Шаг 5.''' При выборе раздела, в правом окне редактора отобразится список политик и их состояние: | ||
[[Файл:ControlsSecurity.png|Список политик]] | [[Файл:ControlsSecurity.png|RSAT. Список политик]] | ||
Шаг 6. Дважды | '''Шаг 6.''' Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики: | ||
[[Файл:Controls_chage1.png|Диалоговое окно настройки политики]] | [[Файл:Controls_chage1.png|RSAT. Диалоговое окно настройки политики]] | ||
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control. | Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control: | ||
[[Файл:Controls_chage2.png|RSAT. Выбор режима доступа для control]] | |||
== Таблицы режимов для control по категориям == | == Таблицы режимов для control по категориям == | ||
Строка 81: | Строка 87: | ||
| | | | ||
* Only root — Only root can execute /usr/bin/chage | * Only root — Only root can execute /usr/bin/chage | ||
* Any user — Any user can determine when he should change his/her password using the | * Any user — Any user can determine when he should change his/her password using the «chage» command | ||
|- | |- | ||
| Выполнение команды /usr/bin/chfn | | Выполнение команды /usr/bin/chfn | ||
Строка 160: | Строка 166: | ||
| | | | ||
* Any user — Any user is permitted to run /usr/bin/newgrp | * Any user — Any user is permitted to run /usr/bin/newgrp | ||
* Only wheel — Users from the | * Only wheel — Users from the «wheel» group are permitted to run /usr/bin/newgrp | ||
* Only root — Only root is permitted to run /usr/bin/newgrp | * Only root — Only root is permitted to run /usr/bin/newgrp | ||
|- | |- | ||
| Создание | | Создание временных каталогов | ||
| pam_mktemp | | pam_mktemp | ||
| Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей | | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей | ||
Строка 200: | Строка 206: | ||
| | | | ||
* Любой пользователь — любой пользователь может запускать /bin/su | * Любой пользователь — любой пользователь может запускать /bin/su | ||
* | * Все пользователи, кроме root — любой пользователь имеет право запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии до суперпользователя (root) | ||
* Только wheel — только пользователи из группы «wheel» могут запускать /bin/su | * Только wheel — только пользователи из группы «wheel» могут запускать /bin/su | ||
* Только root — только суперпользователь (root) может запускать /bin/su | * Только root — только суперпользователь (root) может запускать /bin/su | ||
| | | | ||
* Any user — Any user is permitted to run /bin/su | * Any user — Any user is permitted to run /bin/su | ||
* | * All users, but not root — Any user has the right to run /bin/su, but only members of the «wheel» group can raise privileges to the superuser (root) | ||
* Only wheel — Only users of the | * Only wheel — Only users of the «wheel» group are allowed to run /bin/su | ||
* Only root — Only root is permitted to run /bin/su | * Only root — Only root is permitted to run /bin/su | ||
|- | |- | ||
Строка 218: | Строка 224: | ||
| | | | ||
* Any user — Any user is permitted to run /usr/bin/sudo | * Any user — Any user is permitted to run /usr/bin/sudo | ||
* Only wheel — Users from the | * Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudo | ||
* Only root — Only root is permitted to run /usr/bin/sudo | * Only root — Only root is permitted to run /usr/bin/sudo | ||
|- | |- | ||
Строка 240: | Строка 246: | ||
| | | | ||
* Any user — Any user is permitted to run /usr/bin/sudoreplay | * Any user — Any user is permitted to run /usr/bin/sudoreplay | ||
* Only wheel — Users from the | * Only wheel — Users from the «wheel» group are permitted to run /usr/bin/sudoreplay | ||
* Only root — Only root is permitted to run /usr/bin/sudoreplay | * Only root — Only root is permitted to run /usr/bin/sudoreplay | ||
|- | |- | ||
| | | Разрешить команду sudo членам группы «wheel» | ||
| sudowheel | | sudowheel | ||
| Эта политика | | Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не настроена или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo. | ||
| | | | ||
* Отключено — пользователи группы «wheel» не могут | * Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo | ||
* Включено — пользователи группы «wheel» могут | * Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo | ||
| | | | ||
* Disabled — | * Disabled — members of the «wheel» group cannot raise privileges with sudo command | ||
* Enabled — | * Enabled — members of the «wheel» grop can raise privileges with sudo command | ||
|- | |- | ||
| Метод аутентификации | | Метод аутентификации | ||
Строка 287: | Строка 293: | ||
=== Службы === | === Службы === | ||
{{Attention|Поддержка опций Samba в групповых политиках работает с {{pkg|samba}}, начиная с версии 4.16.7-alt5.}} | |||
{{Note|Для управления настройками [[Samba/Usershares|usershares]] с помощью политик на клиенте должны быть выполнены следующие условия: | |||
* установлен пакет {{pkg|samba-usershares}}; | |||
* в {{path|/etc/samba/smb.conf}} в секции [global] подключен файл {{path|/etc/samba/usershares.conf}}: | |||
<pre>include = /etc/samba/usershares.conf</pre> | |||
}} | |||
{| class="wikitable" | {| class="wikitable" | ||
! Политика | ! Политика | ||
Строка 310: | Строка 325: | ||
| Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени | | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени | ||
| | | | ||
* Сервер — если этот режим выбран, то он раскомментирует или добавит директиву | * Сервер — если этот режим выбран, то он раскомментирует или добавит директиву «allow all» в файл конфигурации демона, подробности см. в документации | ||
* Клиент — если этот режим выбран, он закомментирует директиву | * Клиент — если этот режим выбран, он закомментирует директиву «allow» в файле конфигурации демона, подробности см. в документации | ||
| | | | ||
* Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details | * Server — If selected, uncomment or add the "allow all" directive to daemon configuration file, see documentation for details | ||
Строка 340: | Строка 355: | ||
| Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP | | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP | ||
| | | | ||
* | * Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP | ||
* Не | * Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP | ||
* По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP | * По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP | ||
| | | | ||
Строка 355: | Строка 370: | ||
* Никогда — не выполнять никаких проверок | * Никогда — не выполнять никаких проверок | ||
* Разрешить — установить соединение, даже если сертификат отсутствует или неверный | * Разрешить — установить соединение, даже если сертификат отсутствует или неверный | ||
* Пробовать — установить соединение, если нет или с действующим сертификатом | * Пробовать — установить соединение, если нет сертификата или с действующим сертификатом | ||
* | * Требовать — установить соединение только с правильным сертификатом | ||
| | | | ||
* Default — Only establish a connection with the correct certificate | * Default — Only establish a connection with the correct certificate | ||
Строка 376: | Строка 391: | ||
* Filter — Postfix MTA is enabled with mail filters | * Filter — Postfix MTA is enabled with mail filters | ||
|- | |- | ||
| Разрешения для /usr/ | | Разрешения для /usr/sbin/postqueue | ||
| postqueue | | postqueue | ||
| Эта политика определяет разрешения для /usr/ | | Эта политика определяет разрешения для /usr/sbin/postqueue | ||
| | | | ||
* Любой пользователь — любому пользователю разрешено запускать /usr/ | * Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue | ||
* Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/ | * Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue | ||
* Только root — только суперпользователю (root) разрешено запускать /usr/ | * Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue | ||
| | | | ||
* Any user — Any user is permitted to run /usr/ | * Any user — Any user is permitted to run /usr/sbin/postqueue | ||
* Group mailadm — Users from the "mailadm" group are permitted to run /usr/ | * Group mailadm — Users from the "mailadm" group are permitted to run /usr/sbin/postqueue | ||
* Only root — Only root is permitted to run /usr/ | * Only root — Only root is permitted to run /usr/sbin/postqueue | ||
|- | |- | ||
| Режим работы Rpcbind | | Режим работы Rpcbind | ||
Строка 402: | Строка 417: | ||
| Эта политика определяет поддержку SFTP на сервере OpenSSH | | Эта политика определяет поддержку SFTP на сервере OpenSSH | ||
| | | | ||
* | * Включено — включить поддержку SFTP на сервере OpenSSH | ||
* | * Отключено — отключить поддержку SFTP на сервере OpenSSH | ||
| | | | ||
* Disabled — Disable SFTP support on the OpenSSH server | * Disabled — Disable SFTP support on the OpenSSH server | ||
Строка 410: | Строка 425: | ||
| Поддержка аутентификации OpenSSH-клиентов через GSSAPI | | Поддержка аутентификации OpenSSH-клиентов через GSSAPI | ||
| ssh-gssapi-auth | | ssh-gssapi-auth | ||
| Эта политика определяет функциональные возможности поддержки | | Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI | ||
| | | | ||
* | * Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена | ||
* | * Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена | ||
| | | | ||
* Enable — GSSAPI authentication support for OpenSSH clients is enabled | * Enable — GSSAPI authentication support for OpenSSH clients is enabled | ||
* Disable — GSSAPI authentication support for OpenSSH clients is disabled | * Disable — GSSAPI authentication support for OpenSSH clients is disabled | ||
|- | |||
! scope="row" colspan="5" style="text-align:left;" | Samba опции | |||
|- | |||
| Гостевой доступ к общим каталогам | |||
| smb-conf-usershare-allow-guests | |||
| Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Политика управляет параметром «usershare allow guests» в файле {{path|/etc/samba/usershares.conf}}. | |||
| | |||
* Включено — разрешить предоставление гостевого доступа общему ресурсу (''usershare allow guests = yes'') | |||
* Отключено — запретить предоставление гостевого доступа общему ресурсу (''usershare allow guests = no'') | |||
| | |||
* Enabled — enable restriction of permit guest access by samba usershares | |||
* Disabled — disable restriction of permit guest access by samba usershares | |||
|- | |||
| Доступ к общим каталогам других пользователей | |||
| smb-conf-usershare-owner-only | |||
| Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Политика меняет параметр «usershare owner only» в файле {{path|/etc/samba/usershares.conf}}. | |||
| | |||
* Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (''usershare owner only = yes'') | |||
* Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (''usershare owner only = no'') | |||
| | |||
* Enabled — disable restriction of only directories owned by the sharing user can be shared by samba usershares | |||
* Disabled — enable restriction of only directories owned by the sharing user can be shared by samba usershares | |||
|- | |||
| Доступ членам группы «sambashare» к управлению общими каталогами | |||
| role-sambashare | |||
| Политика управляет разрешением членам группы «sambashare» управлять общими каталогами ({{cmd|net usershare}}). | |||
Конфигурации пользовательских общих ресурсов расположены в каталоге {{path|/var/lib/samba/usershares}}, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares». | |||
| | |||
* Включено — разрешить членам группы «sambashare» управлять общими каталогами | |||
* Отключено — запретить членам группы «sambashare» управлять общими каталогами | |||
| | |||
* Enabled — allow users in group «sambashare» to use samba usershares | |||
* Disabled — disallow users in group «sambashare» to use samba usershares | |||
|- | |||
| Доступ членам группы «users» к управлению общими каталогами | |||
| role-usershares | |||
| Политика управляет разрешением членам группы «users» управлять общими каталогами. | |||
Конфигурации пользовательских общих ресурсов расположены в каталоге {{path|/var/lib/samba/usershares}}, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares». | |||
| | |||
* Включено — разрешить членам группы «users» управлять общими каталогами | |||
* Отключено — запретить членам группы «users» управлять общими каталогами | |||
| | |||
* Enabled — privilege group «usershares» assigned to group «users» | |||
* Disabled — privilege group «usershares» assigned to users explicitly | |||
|- | |||
| Разрешение на создание пользовательских общих каталогов | |||
| smb-conf-usershares | |||
| Политика управляет возможностью создания пользовательских общих каталогов на компьютере ({{cmd|net usershare}}). Политика управляет параметром «usershare max shares» в файле {{path|/etc/samba/usershares.conf}}. | |||
| | |||
* Включено — разрешить общие каталоги пользователей на компьютере (''usershare max shares» = 100'') | |||
* Отключено — отключить общие каталоги пользователей на компьютере (''usershare max shares» = 0'') | |||
| | |||
* Enabled — enable smb usershare options | |||
* Disabled — disable smb usershare options | |||
|- | |||
| Запрет на создание общих каталогов в системных каталогах | |||
| smb-conf-usershare-deny-list | |||
| Политика управляет параметром «usershare prefix deny list» в файле {{path|/etc/samba/usershares.conf}} — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix deny list» определяет каталоги в корневом каталоге ({{path|/}}), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix deny list» заданы каталоги: {{path|/etc}}, {{path|/dev}}, {{path|/sys}}, {{path|/proc}}. | |||
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений. | |||
| | |||
* Включено — включить список запрещенных каталогов (запретить создание общих каталогов в системных каталогах из списка «usershare prefix deny list») | |||
* Отключено — отключить список запрещённых каталогов (параметр ''usershare prefix deny list'' будет закомментирован) | |||
| | |||
* Enabled — enable list of prohibited directories to be shared by samba usershares | |||
* Disabled — disable list of prohibited directories to be shared by samba usershares | |||
|- | |||
| Разрешение на создание общих каталогов в системных каталогах | |||
| smb-conf-usershare-allow-list | |||
| Политика управляет параметром «usershare prefix allow list» в файле {{path|/etc/samba/usershares.conf}} — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix allow list» определяет каталоги в корневом каталоге ({{path|/}}), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, доступ к общему каталогу будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix allow list» заданы каталоги: {{path|/home}}, {{path|/srv}}, {{path|/mnt}}, {{path|/media}}, {{path|/var}}. | |||
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений. | |||
| | |||
* Включено — включить список разрешенных каталогов (разрешить создание общих каталогов только в системных каталогах из списка «usershare prefix allow list») | |||
* Отключено — отключить список разрешенных каталогов (параметр ''usershare prefix allow list'' будет закомментирован) | |||
| | |||
* Enabled — enable list of permitted directories to be shared by samba usershares | |||
* Disabled — disable list of permitted directories to be shared by samba usershares | |||
|- | |- | ||
! scope="row" colspan="5" style="text-align:left;" | SSHD опции | ! scope="row" colspan="5" style="text-align:left;" | SSHD опции | ||
|- | |||
| Контроль доступа по группам к серверу OpenSSH | | Контроль доступа по группам к серверу OpenSSH | ||
| sshd-allow-groups | | sshd-allow-groups | ||
| Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп | | Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп | ||
| | | | ||
* | * Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен | ||
* | * Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен | ||
| | | | ||
* Disabled — Remote access control to the OpenSSH server is disabled | * Disabled — Remote access control to the OpenSSH server is disabled | ||
Строка 435: | Строка 528: | ||
| | | | ||
* Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users» | * Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users» | ||
* | * Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote») | ||
* Только | * Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel») | ||
* Только | * Только remote — разрешить доступ к серверу OpenSSH только для группы «remote» | ||
| | | | ||
* All users — Allow access to the OpenSSH server by «wheel» and «users» groups | * All users — Allow access to the OpenSSH server by «wheel» and «users» groups | ||
* | * Groups wheel and remote — Allow access to the OpenSSH server by «wheel» and «remote» groups | ||
* | * Only wheel — Allow access to the OpenSSH server by «wheel» group only | ||
* | * Only remote — Allow access to the OpenSSH server by «remote» group only | ||
|- | |- | ||
| Поддержка GSSAPI-аутентификации на сервере OpenSSH | | Поддержка GSSAPI-аутентификации на сервере OpenSSH | ||
Строка 448: | Строка 541: | ||
| Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH | | Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH | ||
| | | | ||
* | * Включено — поддержка GSSAPI на сервере OpenSSH включена | ||
* | * Отключено — поддержка GSSAPI на сервере OpenSSH отключена | ||
| | | | ||
* Enable — GSSAPI support on the OpenSSH server is enabled | * Enable — GSSAPI support on the OpenSSH server is enabled | ||
Строка 456: | Строка 549: | ||
| Аутентификация по паролю на сервере OpenSSH | | Аутентификация по паролю на сервере OpenSSH | ||
| sshd-password-auth | | sshd-password-auth | ||
| Эта политика | | Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH | ||
| | | | ||
* | * Включено — поддержка аутентификации по паролю на сервере OpenSSH включена | ||
* | * Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена | ||
| | | | ||
* Enable — Password authentication support on the OpenSSH server is enabled | * Enable — Password authentication support on the OpenSSH server is enabled | ||
Строка 468: | Строка 561: | ||
| Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH | | Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH | ||
| | | | ||
* | * Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH | ||
* Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH | * Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH | ||
* | * Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH | ||
* По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете | * По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете | ||
| | | | ||
Строка 546: | Строка 639: | ||
| Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны» | | Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны» | ||
| | | | ||
* Включить — автоматическое обновление DNS записи обратной зоны через SSSD включено | * Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено | ||
* Отключить — автоматическое обновление DNS записи обратной зоны через SSSD отключено | * Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено | ||
* По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете | * По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете | ||
| | | | ||
Строка 605: | Строка 698: | ||
* Public — Any user has the right to run /usr/sbin/pppd with superuser rights | * Public — Any user has the right to run /usr/sbin/pppd with superuser rights | ||
|- | |- | ||
| | | Разрешения для wireshark-capture (dumpcap) | ||
| wireshark-capture | | wireshark-capture | ||
| Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap) | | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap) | ||
Строка 702: | Строка 795: | ||
| | | | ||
* Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3 | * Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3 | ||
* | * Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3 | ||
* Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3 | * Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3 | ||
* Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3 | * Только root — только суперпользователь (root) может выполнять /usr/bin/fusermount и /usr/bin/fusermount3 | ||
Строка 717: | Строка 810: | ||
* Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount | * Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount | ||
* Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount | * Только wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount | ||
* Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий | * Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root) | ||
* Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount | * Только root — только суперпользователю (root) разрешено запускать /bin/mount и /bin/umount | ||
| | | | ||
Строка 747: | Строка 840: | ||
* Shared — Connect storage media to a public point (/media/) | * Shared — Connect storage media to a public point (/media/) | ||
|} | |} | ||
=== Виртуализация === | === Виртуализация === | ||
Строка 755: | Строка 851: | ||
! Режимы на русском | ! Режимы на русском | ||
! Режимы на английском | ! Режимы на английском | ||
|- | |- | ||
| Разрешения для VirtualBox | | Разрешения для VirtualBox | ||
Строка 789: | Строка 873: | ||
! Режимы на английском | ! Режимы на английском | ||
|- | |- | ||
| | | Cписок пользователей в greeter (LightDM) | ||
| lightdm-greeter-hide-users | | lightdm-greeter-hide-users | ||
| Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет | | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет | ||
Строка 801: | Строка 885: | ||
| Стандартные каталоги в home | | Стандартные каталоги в home | ||
| xdg-user-dirs | | xdg-user-dirs | ||
| Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге пользователя | | Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя | ||
| | | | ||
* | * Отключено — функция сохранения списка пользовательских каталогов отключена | ||
* | * Включено — функция сохранения списка пользовательских каталогов включена | ||
| | | | ||
* Disabled — The function to save the list of user directories is disabled | * Disabled — The function to save the list of user directories is disabled | ||
Строка 813: | Строка 897: | ||
| Эта политика определяет разрешения для Xorg (/usr/bin/Xorg) | | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg) | ||
| | | | ||
* Не | * Не сконфигурировано — любому пользователю разрешено запускать /usr/bin/Xorg | ||
* Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg | * Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg | ||
* Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg | * Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg | ||
Строка 824: | Строка 908: | ||
|} | |} | ||
[[Категория:Active Directory]] | [[Категория:Active Directory]] | ||
[[Категория:Групповые_политики]] | |||
{{Category navigation|title=Групповые политики|category=Групповые_политики|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 20:18, 26 марта 2024
Описание
Через групповые политики реализовано управление настройками control. Все control разделены на категории:
- Безопасность
- Службы
- Сетевые приложения
- Приложения для CD/DVD
- Монтирование
- Виртуализация
- Графическая подсистема
- Аппаратные средства
- СУБД
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{75411A5F-5A46-4616-BB1A-4DE7C3EEDBD1}"
- где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:
Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно выбрать режим доступа для данного control:
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:
Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control:
Таблицы режимов для control по категориям
Безопасность
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Выполнение программы /usr/bin/chage | chage | Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage |
|
|
Выполнение команды /usr/bin/chfn | chfn | Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учетной записи пользователя. Обычный пользователь может изменять поля только для своей учетной записи, с учетом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя). Кроме того, только суперпользователь может использовать опцию -o для изменения неопределенных частей поля GECOS |
|
|
Разрешение на использование /usr/bin/chsh | chsh | Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учетной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учетной записи (могут быть указаны любые значения). Chsh.png |
|
|
Разрешение на использование consolehelper | consolehelper | Эта политика определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM (которую можно настроить так, чтобы доверять всем пользователям консоли или запрашивать пароль по усмотрению системного администратора). Когда это возможно, аутентификация выполняется графически; в противном случае это делается в текстовой консоли, с которой был запущен consolehelper |
|
|
Выполнение программы /usr/bin/gpasswd | gpasswd | Политика определяет права на запуск инструмента /usr/bin/gpasswd |
|
|
Выполнение программы /usr/bin/groupmems | groupmems | Политика определяет права на выполнение программы /usr/bin/groupmems |
|
|
Разрешение на использование /usr/sbin/hddtemp | hddtemp | Разрешение на использование инструмента /usr/sbin/hddtemp — отслеживание температуры жесткого диска |
|
|
Разрешения для /usr/bin/newgrp | newgrp | Эта политика определяет разрешения для /usr/bin/newgrp |
|
|
Создание временных каталогов | pam_mktemp | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей |
|
|
Управление паролями с помощью passwd | passwd | Определяет политику управления паролями с помощью команды /usr/bin/passwd |
|
|
Управление проверками сложности пароля | passwdqc-enforce | Политика управляет паролями для достаточной надежности пароля |
|
|
Разрешения для /bin/su | su | Эта политика определяет разрешения для /bin/su |
|
|
Разрешения для /usr/bin/sudo | sudo | Эта политика определяет разрешения для /usr/bin/sudo |
|
|
Режим передачи родительской среды в sudo | sudoers | Эта политика определяет, передается ли родительская среда (переменные среды) в sudo |
|
|
Разрешения для /usr/bin/sudoreplay | sudoreplay | Эта политика определяет разрешения для /usr/bin/sudoreplay |
|
|
Разрешить команду sudo членам группы «wheel» | sudowheel | Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не настроена или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo. |
|
|
Метод аутентификации | system-auth | Эта политика определяет метод аутентификации пользователя |
|
|
Разрешения для /usr/lib/chkpwd/tcb_chkpwd | tcb_chkpwd | Эта политика определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd |
|
|
Разрешения для /usr/bin/write | write | Эта политика определяет разрешения для /usr/bin/write |
|
|
Службы
- установлен пакет samba-usershares;
- в /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf:
include = /etc/samba/usershares.conf
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права доступа и поведение очереди заданий /usr/bin/at | at | Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at) |
|
|
Режим демона NTP Chrony | chrony | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени |
|
|
Разрешение на использование crontab | crontab | Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab) |
|
|
Режим CUPS | cups | Эта политика определяет поведение CUPS |
|
|
Обратный поиск DNS для запросов OpenLDAP | ldap-reverse-dns-lookup | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP |
|
|
Проверка сертификата при установлении соединений TLS OpenLDAP | ldap-tls-cert-check | Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP |
|
|
Режим работы Postfix MTA | postfix | Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент) |
|
|
Разрешения для /usr/sbin/postqueue | postqueue | Эта политика определяет разрешения для /usr/sbin/postqueue |
|
|
Режим работы Rpcbind | rpcbind | Эта политика определяет режим работы rpcbind (/sbin/rpcbind) |
|
|
Поддержка SFTP на сервере OpenSSH | sftp | Эта политика определяет поддержку SFTP на сервере OpenSSH |
|
|
Поддержка аутентификации OpenSSH-клиентов через GSSAPI | ssh-gssapi-auth | Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI |
|
|
Samba опции | ||||
Гостевой доступ к общим каталогам | smb-conf-usershare-allow-guests | Политика управляет возможностью предоставления гостевого доступа общему ресурсу. Политика управляет параметром «usershare allow guests» в файле /etc/samba/usershares.conf. |
|
|
Доступ к общим каталогам других пользователей | smb-conf-usershare-owner-only | Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога. Политика меняет параметр «usershare owner only» в файле /etc/samba/usershares.conf. |
|
|
Доступ членам группы «sambashare» к управлению общими каталогами | role-sambashare | Политика управляет разрешением членам группы «sambashare» управлять общими каталогами (net usershare).
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares». |
|
|
Доступ членам группы «users» к управлению общими каталогами | role-usershares | Политика управляет разрешением членам группы «users» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares». |
|
|
Разрешение на создание пользовательских общих каталогов | smb-conf-usershares | Политика управляет возможностью создания пользовательских общих каталогов на компьютере (net usershare). Политика управляет параметром «usershare max shares» в файле /etc/samba/usershares.conf. |
|
|
Запрет на создание общих каталогов в системных каталогах | smb-conf-usershare-deny-list | Политика управляет параметром «usershare prefix deny list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix deny list» определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix deny list» заданы каталоги: /etc, /dev, /sys, /proc.
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений. |
|
|
Разрешение на создание общих каталогов в системных каталогах | smb-conf-usershare-allow-list | Политика управляет параметром «usershare prefix allow list» в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр. Параметр «usershare prefix allow list» определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, доступ к общему каталогу будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре «usershare prefix allow list» заданы каталоги: /home, /srv, /mnt, /media, /var.
Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сначала обрабатывается список запрета, а затем уже список разрешений. |
|
|
SSHD опции | ||||
Контроль доступа по группам к серверу OpenSSH | sshd-allow-groups | Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп |
|
|
Группы для контроля доступа к серверу OpenSSH | sshd-allow-groups-list | Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH |
|
|
Поддержка GSSAPI-аутентификации на сервере OpenSSH | sshd-gssapi-auth | Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH |
|
|
Аутентификация по паролю на сервере OpenSSH | sshd-password-auth | Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH |
|
|
Аутентификация суперпользователя на сервере OpenSSH | sshd-permit-root-login | Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH |
|
|
SSSD опции | ||||
Контроль доступа в SSSD через групповые политики | sssd-ad-gpo-access-control | Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO) |
|
|
Игнорирование политик при недоступности GPT | sssd-ad-gpo-ignore-unreadable | Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO) |
|
|
Кэширование учётных данных пользователей | sssd-cache-credentials | Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD |
|
|
Режим привилегий службы SSSD | sssd-drop-privileges | Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root) |
|
|
Обновление DNS-записей прямой зоны | sssd-dyndns-update | Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD |
|
|
Обновление DNS-записей обратной зоны | sssd-dyndns-update-ptr | Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны» |
|
|
Сетевые приложения
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/mtr | mtr | Разрешение на использование сетевого инструмента /usr/bin/mtr |
|
|
Разрешения для /usr/bin/ping | ping | Эта политика определяет разрешения для /usr/bin/ping |
|
|
Разрешения для /usr/sbin/pppd | ppp | Эта политика определяет разрешения для /usr/sbin/pppd |
|
|
Разрешения для wireshark-capture (dumpcap) | wireshark-capture | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap) |
|
|
Приложения для CD/DVD
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/dvd-ram-control | dvd-ram-control | Эта политика определяет права доступа к /usr/bin/dvd-ram-control |
|
|
Разрешение на использование /usr/bin/dvd+rw-booktype | dvd+rw-booktype | Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype |
|
|
Разрешение на использование /usr/bin/dvd+rw-format | dvd+rw-format | Эта политика определяет права доступа к /usr/bin/dvd+rw-format |
|
|
Разрешение на использование /usr/bin/dvd+rw-mediainfo | dvd+rw-mediainfo | Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo |
|
|
Разрешение на использование /usr/bin/growisofs | growisofs | Политика определяет права на использование инструмента /usr/bin/growisofs |
|
|
Монтирование
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Доступ к инструментам FUSE | fusermount | Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3) |
|
|
Разрешения для /bin/mount и /bin/umount | mount | Эта политика определяет разрешения для /bin/mount и /bin/umount |
|
|
Разрешения для /sbin/mount.nfs | nfsmount | Эта политика определяет разрешения для /sbin/mount.nfs |
|
|
Правила подключения USB-накопителей | udisks2 | Эта политика определяет правила подключения USB-накопителей |
|
|
Виртуализация
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешения для VirtualBox | virtualbox | Эта политика определяет разрешения для VirtualBox |
|
|
Графическая подсистема
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Cписок пользователей в greeter (LightDM) | lightdm-greeter-hide-users | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет |
|
|
Стандартные каталоги в home | xdg-user-dirs | Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя |
|
|
Разрешения для Xorg | xorg-server | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg) |
|
|