Групповые политики/Развёртывание: различия между версиями

Материал из ALT Linux Wiki
Строка 32: Строка 32:
#:[[Изображение:Components-win.png|Включение компонентов удаленного администрирования]]
#:[[Изображение:Components-win.png|Включение компонентов удаленного администрирования]]
#:Если данных компонентов нет в списке, то можно установить данные средства отсюда https://www.microsoft.com/ru-ru/download/details.aspx?id=7887  
#:Если данных компонентов нет в списке, то можно установить данные средства отсюда https://www.microsoft.com/ru-ru/download/details.aspx?id=7887  
# Для задания конфигурации с помощью RSAT необходимо скачать файлы административных шаблонов (файлы ADMX) и зависящие от языка файлы ADML из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории <code>\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions</code>:
# Включить компоненты удаленного администрирования.
#:Этот шаг можно пропустить, если административные шаблоны были установлены на [[Групповые_политики/Развёртывание#Настройка_сервера_Samba_AD_DC|контроллере домена]].
#:Для задания конфигурации с помощью RSAT необходимо скачать файлы административных шаблонов (файлы ADMX) и зависящие от языка файлы ADML из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории <code>\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions</code>:
#:[[Изображение:PolicyDefinitions.png|Хранилище для файлов ADMX и ADML]]
#:[[Изображение:PolicyDefinitions.png|Хранилище для файлов ADMX и ADML]]
#: Корректно установленные административные шаблоны будут отображены в оснастке «Редактор управления групповыми политиками» («Group Policy Management Editor») (gpme.msc) в разделе «Конфигурация компьютера» → «Политики» → «Административные шаблоны» → «Система ALT» («Computer Configuration» → «Policies» → «Administrative Templates» → «ALT System»)
# Корректно установленные административные шаблоны будут отображены в оснастке «Редактор управления групповыми политиками» («Group Policy Management Editor») (gpme.msc) в разделе «Конфигурация компьютера» → «Политики» → «Административные шаблоны» → «Система ALT» («Computer Configuration» → «Policies» → «Administrative Templates» → «ALT System»)
#:[[Изображение:Alt-gpedit-msc.png|Политики настройки систем ALT в консоли gpme.msc]]
#:[[Изображение:Alt-gpedit-msc.png|Политики настройки систем ALT в консоли gpme.msc]]


Версия от 17:18, 13 августа 2021

Развёртывание групповых политик на Альт 9.1

Настройка сервера Samba AD DC

  1. Развернуть сервер Samba AD DC по инструкции ActiveDirectory/DC
  2. Установить административные шаблоны. Для этого установить пакет admx-basealt и скопировать каталог /usr/share/PolicyDefinitions в /var/lib/samba/sysvol/test.alt/Policies/: 
    # apt-get install admx-basealt
# cp -r /usr/share/PolicyDefinitions /var/lib/samba/sysvol/test.alt/Policies/

Настройка рабочей станции

Ввести рабочую станцию в домен Active Directory по инструкции

При вводе в домен отметить пункт «Включить групповые политики»:

Включение групповых политик при вводе в домен AD

Примечание:

Если рабочая станция уже находится в домене, включить групповые политики можно в модуле ЦУС «Групповые политики» (пакет alterator-gpupdate):

Модуль ЦУС «Групповые политики»


Настройка RSAT на Windows 7

  1. Ввести машину в домен.
  2. Включить компоненты удаленного администрирования: «Панель управления» → «Программы» → «Включение или отключение компонентов Windows»:
    Панель управления
  3. Включить следующие компоненты:
    • «Средства удаленного администрирования сервера» → «Средства администрирования возможностей» → «Средства управления групповыми политиками»;
    • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам» → «Оснастки и программы командной строки доменных служб Active Directory»;
    • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам» → «Центр администрирования Active Directory»;
    • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства серверов DNS».
    Включение компонентов удаленного администрирования
    Если данных компонентов нет в списке, то можно установить данные средства отсюда https://www.microsoft.com/ru-ru/download/details.aspx?id=7887
  4. Включить компоненты удаленного администрирования.
    Этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена.
    Для задания конфигурации с помощью RSAT необходимо скачать файлы административных шаблонов (файлы ADMX) и зависящие от языка файлы ADML из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions:
    Хранилище для файлов ADMX и ADML
  5. Корректно установленные административные шаблоны будут отображены в оснастке «Редактор управления групповыми политиками» («Group Policy Management Editor») (gpme.msc) в разделе «Конфигурация компьютера» → «Политики» → «Административные шаблоны» → «Система ALT» («Computer Configuration» → «Policies» → «Administrative Templates» → «ALT System»)
    Политики настройки систем ALT в консоли gpme.msc

Добавление доменных устройств в группу членства GPO

  1. Войти в систему администратором домена (Administrator).
  2. Запустить программу «Active Directory — пользователи и компьютеры».
  3. В контекстном меню домена выбрать пункт «Создать» → «Подразделение»:
    Создать новое подразделение
  4. В открывшемся окне ввести название подразделения (например, OU) и нажать кнопку «Ок».
  5. Переместить компьютеры и пользователей домена в подразделение OU:
    Компьютеры и пользователи в подразделении OU

Создание политики для подразделения

  1. Запустить оснастку «Управление групповой политикой» (gpmc.msc).
  2. В контекстном меню подразделения («Управление групповой политикой» → «Лес: test.alt» → «Домены» → «test.alt» → «OU») выбрать пункт «Создать объект групповой политики в этом домене и связать его...»:
    Новый объект групповой политики
  3. В открывшемся окне ввести название политики и нажать кнопку «Ок»:
    Новый объект групповой политики

По умолчанию на всех новых объектах групповой политики в домене присутствуют разрешения для группы «Authenticated Users»:

Группа «Authenticated Users»

Эта группа включает в себя всех пользователей и компьютеры домена. Это означает, что данная политика будет применяться на всех компьютерах и для всех пользователей, которые попадают в область её действия.

Можно изменить этот фильтр безопасности, чтобы политика применялась только к членам определенной группы безопасности домена (или конкретным пользователям/компьютерам). Для этого в поле «Фильтры безопасности» следует удалить группу «Authenticated Users» и добавить требуемую группу AD (для группы, добавленной в «Фильтры безопасности» на вкладке «Делегирование», в списке разрешений, открывается при нажатии кнопки «Дополнительно...», должны присутствовать права «Чтение» и «Применить групповую политику»):

Политика применяется только к членам группы mygroup

Настройка политики

Для редактирования политики следует в контекстном меню созданной политики выбрать пункт «Изменить»:

Редактирование политики

Откроется окно редактирования групповых политик:

Редактирование политики

Ссылки

Samba
Групповые политики/ADMC • Samba/Cluster • ActiveDirectory/DC • Fileserver start • ActiveDirectory/FileShare • Групповые политики/GPUI • Samba/idmapldap • Samba/InterdomainTrustRelationships • ActiveDirectory/Login • SambaDC/MIT • Samba/recycle • Samba • Samba/Cluster/FreeIPA • Samba/Fileserver/AD-auth • SambaAD start • SambaADClient и клонирование диска • SambaDC/Squid • Smbnetfs • Test AD Join • Samba/Usershares • Групповые политики • Диагностические инструменты • Общие папки • Групповые политики/Развёртывание • Устранение неполадок участников домена Samba