Групповые политики/ALT System Control: различия между версиями
(→Службы) |
|||
Строка 239: | Строка 239: | ||
=== Службы === | === Службы === | ||
{| class="wikitable" | {| class="wikitable" | ||
! Политика | |||
! Control | ! Control | ||
! Описание | ! Описание | ||
Строка 245: | Строка 246: | ||
|- | |- | ||
| Права доступа и поведение очереди заданий /usr/bin/at | | Права доступа и поведение очереди заданий /usr/bin/at | ||
| at | |||
| Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at) | | Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at) | ||
| | | | ||
Строка 256: | Строка 258: | ||
|- | |- | ||
| Режим демона NTP Chrony | | Режим демона NTP Chrony | ||
| chrony | |||
| Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени | | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени | ||
| | | | ||
Строка 265: | Строка 268: | ||
|- | |- | ||
| Разрешение на использование crontab | | Разрешение на использование crontab | ||
| crontab | |||
| Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab) | | Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab) | ||
| | | | ||
Строка 274: | Строка 278: | ||
|- | |- | ||
| Режим CUPS | | Режим CUPS | ||
| cups | |||
| Эта политика определяет поведение CUPS | | Эта политика определяет поведение CUPS | ||
| | | | ||
Строка 283: | Строка 288: | ||
|- | |- | ||
| Обратный поиск DNS для запросов OpenLDAP | | Обратный поиск DNS для запросов OpenLDAP | ||
| ldap-reverse-dns-lookup | |||
| Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP | | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP | ||
| | | | ||
Строка 294: | Строка 300: | ||
|- | |- | ||
| Проверка сертификата при установлении соединений TLS OpenLDAP | | Проверка сертификата при установлении соединений TLS OpenLDAP | ||
| ldap-tls-cert-check | |||
| Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP | | Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP | ||
| | | | ||
Строка 309: | Строка 316: | ||
|- | |- | ||
| Режим работы Postfix MTA | | Режим работы Postfix MTA | ||
| postfix | |||
| Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент) | | Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент) | ||
| | | | ||
Строка 320: | Строка 328: | ||
|- | |- | ||
| Разрешения для /usr/bin/postqueue | | Разрешения для /usr/bin/postqueue | ||
| postqueue | |||
| Эта политика определяет разрешения для /usr/bin/postqueue | | Эта политика определяет разрешения для /usr/bin/postqueue | ||
| | | | ||
Строка 331: | Строка 340: | ||
|- | |- | ||
| Режим работы Rpcbind | | Режим работы Rpcbind | ||
| rpcbind | |||
| Эта политика определяет режим работы rpcbind (/sbin/rpcbind) | | Эта политика определяет режим работы rpcbind (/sbin/rpcbind) | ||
| | | | ||
Строка 340: | Строка 350: | ||
|- | |- | ||
| Поддержка SFTP на сервере OpenSSH | | Поддержка SFTP на сервере OpenSSH | ||
| sftp | |||
| Эта политика определяет поддержку SFTP на сервере OpenSSH | | Эта политика определяет поддержку SFTP на сервере OpenSSH | ||
| | | | ||
Строка 349: | Строка 360: | ||
|- | |- | ||
| Белый список допустимых групп пользователей SSHd | | Белый список допустимых групп пользователей SSHd | ||
| sshd-allow-groups | |||
| Эта политика определяет функциональность белого списка действительных групп пользователей SSHd | | Эта политика определяет функциональность белого списка действительных групп пользователей SSHd | ||
| | | | ||
Строка 358: | Строка 370: | ||
|- | |- | ||
| Поддержка авторизации API GSS на сервере OpenSSH | | Поддержка авторизации API GSS на сервере OpenSSH | ||
| sshd-gssapi-auth | |||
| Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на сервере SSHd | | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на сервере SSHd | ||
| | | | ||
Строка 367: | Строка 380: | ||
|- | |- | ||
| Поддержка авторизации пароля на сервере OpenSSH | | Поддержка авторизации пароля на сервере OpenSSH | ||
| sshd-password-auth | |||
| Эта политика определяет функциональные возможности поддержки авторизации паролей на сервере SSHd | | Эта политика определяет функциональные возможности поддержки авторизации паролей на сервере SSHd | ||
| | | | ||
Строка 376: | Строка 390: | ||
|- | |- | ||
| Поддержка авторизации API GSS на клиенте SSH | | Поддержка авторизации API GSS на клиенте SSH | ||
| ssh-gssapi-auth | |||
| Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на клиенте SSH | | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на клиенте SSH | ||
| | | |
Версия от 17:42, 17 сентября 2020
Описание
Через групповые политики реализовано управление настройками control. Все control разделены на категории:
- Безопасность
- Службы
- Сетевые приложения
- Приложения для CD/DVD
- Монтирование
- Виртуализация
- Графическая подсистема
- Аппаратные средства
- СУБД
Настройка политики
Шаг 1. На машине с установленным RSAT откройте «Управление групповыми политиками».
Шаг 2. Создайте новый объект групповой политики (GPO) и свяжите его с OU, в который входят машины или учетные записи пользователей.
Шаг 3. В контекстном меню GPO, выберите пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейдите в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:
Шаг 5. Выберите раздел, в правом окне редактора отобразится список политик:
Шаг 6. Дважды щелкните левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control.
Таблицы режимов для control по категориям
Безопасность
Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|
Выполнение программы /usr/bin/chage | Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage |
|
|
Выполнение команды /usr/bin/chfn | Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учетной записи пользователя. Обычный пользователь может изменять поля только для своей учетной записи, с учетом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя). Кроме того, только суперпользователь может использовать опцию -o для изменения неопределенных частей поля GECOS |
|
|
Разрешение на использование /usr/bin/chsh | Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh), которая изменяет оболочку входа пользователя: она определяет имя начальной команды входа пользователя. Обычный пользователь может изменить оболочку входа только для своей учетной записи; суперпользователь может изменить логин для любой учетной записи |
|
|
Разрешение на использование consolehelper | Эта политика определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM (которую можно настроить так, чтобы доверять всем пользователям консоли или запрашивать пароль по усмотрению системного администратора). Когда это возможно, аутентификация выполняется графически; в противном случае это делается в текстовой консоли, с которой был запущен consolehelper |
|
|
Выполнение программы /usr/bin/gpasswd | Политика определяет права на запуск инструмента /usr/bin/gpasswd |
|
|
Выполнение программы /usr/bin/groupmems | Политика определяет права на выполнение программы /usr/bin/groupmems |
|
|
Разрешение на использование /usr/sbin/hddtemp | Разрешение на использование инструмента /usr/sbin/hddtemp — отслеживание температуры жесткого диска |
|
|
Разрешения для /usr/bin/newgrp | Эта политика определяет разрешения для /usr/bin/newgrp |
|
|
Создание отдельных временных каталогов для пользователей | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей |
|
|
Управление паролями с помощью passwd | Определяет политику управления паролями с помощью команды /usr/bin/passwd |
|
|
Управление проверками сложности пароля | Политика управляет паролями для достаточной надежности пароля |
|
|
Разрешения для /bin/su | Эта политика определяет разрешения для /bin/su |
|
|
Разрешения для /usr/bin/sudo | Эта политика определяет разрешения для /usr/bin/sudo |
|
|
Передача родительской среды в sudo | Эта политика определяет, передается ли родительская среда (переменные среды) в sudo |
|
|
Разрешения для /usr/bin/sudoreplay | Эта политика определяет разрешения для /usr/bin/sudoreplay |
|
|
Запрос пароля sudo для пользователей группы «wheel» | Эта политика определяет, следует ли делать запрос пароля sudo для пользователей группы «wheel» |
|
|
Метод аутентификации | Эта политика определяет метод аутентификации пользователя |
|
|
Разрешения для /usr/lib/chkpwd/tcb_chkpwd | Эта политика определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd |
|
|
Разрешения для /usr/bin/write | Эта политика определяет разрешения для /usr/bin/write |
|
|
Службы
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права доступа и поведение очереди заданий /usr/bin/at | at | Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at) |
|
|
Режим демона NTP Chrony | chrony | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени |
|
|
Разрешение на использование crontab | crontab | Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab) |
|
|
Режим CUPS | cups | Эта политика определяет поведение CUPS |
|
|
Обратный поиск DNS для запросов OpenLDAP | ldap-reverse-dns-lookup | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP |
|
|
Проверка сертификата при установлении соединений TLS OpenLDAP | ldap-tls-cert-check | Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP |
|
|
Режим работы Postfix MTA | postfix | Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент) |
|
|
Разрешения для /usr/bin/postqueue | postqueue | Эта политика определяет разрешения для /usr/bin/postqueue |
|
|
Режим работы Rpcbind | rpcbind | Эта политика определяет режим работы rpcbind (/sbin/rpcbind) |
|
|
Поддержка SFTP на сервере OpenSSH | sftp | Эта политика определяет поддержку SFTP на сервере OpenSSH |
|
|
Белый список допустимых групп пользователей SSHd | sshd-allow-groups | Эта политика определяет функциональность белого списка действительных групп пользователей SSHd |
|
|
Поддержка авторизации API GSS на сервере OpenSSH | sshd-gssapi-auth | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на сервере SSHd |
|
|
Поддержка авторизации пароля на сервере OpenSSH | sshd-password-auth | Эта политика определяет функциональные возможности поддержки авторизации паролей на сервере SSHd |
|
|
Поддержка авторизации API GSS на клиенте SSH | ssh-gssapi-auth | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на клиенте SSH |
|
|
Сетевые приложения
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/mtr | mtr | Разрешение на использование сетевого инструмента /usr/bin/mtr |
|
|
Разрешения для /usr/bin/ping | ping | Эта политика определяет разрешения для /usr/bin/ping |
|
|
Разрешения для /usr/sbin/pppd | ppp | Эта политика определяет разрешения для /usr/sbin/pppd |
|
|
Функциональные возможности и разрешения для wireshark-capture (dumpcap) | wireshark-capture | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap) |
|
|
Приложения для CD/DVD
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/dvd-ram-control | dvd-ram-control | Эта политика определяет права доступа к /usr/bin/dvd-ram-control |
|
|
Разрешение на использование /usr/bin/dvd+rw-booktype | dvd+rw-booktype | Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype |
|
|
Разрешение на использование /usr/bin/dvd+rw-format | dvd+rw-format | Эта политика определяет права доступа к /usr/bin/dvd+rw-format |
|
|
Разрешение на использование /usr/bin/dvd+rw-mediainfo | dvd+rw-mediainfo | Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo |
|
|
Разрешение на использование /usr/bin/growisofs | growisofs | Политика определяет права на использование инструмента /usr/bin/growisofs |
|
|
Монтирование
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права доступа к инструментам монтирования файловых систем FUSE | fusermount | Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3) |
|
|
Разрешения для /bin/mount и /bin/umount | mount | Эта политика определяет разрешения для /bin/mount и /bin/umount |
|
|
Разрешения для /sbin/mount.nfs | nfsmount | Эта политика определяет разрешения для /sbin/mount.nfs |
|
|
Правила подключения USB-накопителей | udisks2 | Эта политика определяет правила подключения USB-накопителей |
|
|
Виртуализация
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права на устройства QEMU KVM | kvm | Политика определяет права на устройства QEMU KVM |
|
|
Разрешения для VirtualBox | virtualbox | Эта политика определяет разрешения для VirtualBox |
|
|
Графическая подсистема
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Показать или скрыть список известных пользователей в greeter (LightDM) | lightdm-greeter-hide-users | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет |
|
|
Функция для сохранения списка пользовательских каталогов | xdg-user-dirs | Эта политика определяет, работает ли функция сохранения списка пользовательских каталогов (xdg-user-dirs) |
|
|
Разрешения для Xorg | xorg-server | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg) |
|
|