Групповые политики/Развёртывание: различия между версиями

Установка административных шаблонов и инструментов управления ГП

Настройка сервера Samba AD DC

Установка административных шаблонов:

1. Установить пакеты политик admx-basealt, admx-yandex-browser, admx-chromium, admx-firefox и утилиту admx-msi-setup:

   # apt-get install admx-basealt admx-yandex-browser admx-chromium admx-firefox admx-msi-setup
   

   Доступны следующие пакеты политик:

   • admx-basealt — ADMX-файлы, специфичные для BaseALT;
   • admx-yandex-browser — ADMX-файлы для управления настройками Яндекс.Браузера;
   • admx-firefox — ADMX-файлы для управления настройками браузера Mozilla Firefox;
   • admx-chromium — ADMX-файлы для управления настройками браузера Google Chrome.

2. Запустить утилиту admx-msi-setup, которая загрузит и установит ADMX-файлы от Microsoft:

   # admx-msi-setup
   

3. После установки, политики будут находиться в каталоге /usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):

   # samba-tool gpo admxload -U Administrator
   

# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]

Removing admx-msi-setup temporary files...

Настройка рабочей станции

Административные инструменты устанавливаются на рабочей станции, введённой в домен. Ввести рабочую станцию в домен Active Directory можно по инструкции.

Примечание: Если необходимо, чтобы на рабочей станции применялись групповые политики, при вводе её в доменследует отметить пункт «Включить групповые политики»:

Если рабочая станция уже находится в домене, включить групповые политики можно в модуле ЦУС «Групповые политики» (пакет alterator-gpupdate):

Для возможности удалённого управления базой данных конфигурации установить пакет admc:

# apt-get install admc

Для возможности редактирования настроек клиентской конфигурации установить пакет gpui:

# apt-get install gpui

# apt-get install apt-get install admx-basealt admx-yandex-browser admx-chromium admx-firefox admx-msi-setup

# admx-msi-setup

Настройка RSAT на Windows 7

Примечание. Управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно. Для поддержки более поздних версий требуется отсутствующий в Samba сервер службы ADWS (https://bugzilla.samba.org/show_bug.cgi?id=11231).

Настройка RSAT на Windows 7:

1. Ввести машину в домен.
2. Включить компоненты удаленного администрирования: «Панель управления» → «Программы» → «Включение или отключение компонентов Windows»:

   

3. Включить следующие компоненты:
   • «Средства удаленного администрирования сервера» → «Средства администрирования возможностей» → «Средства управления групповыми политиками»;
   • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам» → «Оснастки и программы командной строки доменных служб Active Directory»;
   • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам» → «Центр администрирования Active Directory»;
   • «Средства удаленного администрирования сервера» → «Средства администрирования ролей» → «Средства серверов DNS».

   

   Если данных компонентов нет в списке, то можно установить данные средства отсюда https://www.microsoft.com/ru-ru/download/details.aspx?id=7887

4. Включить компоненты удаленного администрирования.

   Этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена.

   Для задания конфигурации с помощью RSAT необходимо скачать файлы административных шаблонов (файлы ADMX) и зависящие от языка файлы ADML из репозитория https://github.com/altlinux/admx-basealt и разместить их в директории \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions:

   

5. Корректно установленные административные шаблоны будут отображены в оснастке «Редактор управления групповыми политиками» («Group Policy Management Editor») (gpme.msc) в разделе «Конфигурация компьютера» → «Политики» → «Административные шаблоны» → «Система ALT» («Computer Configuration» → «Policies» → «Administrative Templates» → «ALT System»)

   

Пример создания ГП

На рабочей станции

Добавление доменных устройств в группу членства GPO (инструмент ADMC)

1. Получить ключ Kerberos для администратора домена. Например, так:

   $ kinit administrator
   

2. Запустить ADMC из меню («Системные»→«ADMC») или командой admc:

   $ admc
   

3. В контекстном меню домена выбрать пункт «Создать» → «Подразделение»:

   

4. В открывшемся окне ввести название подразделения (например, OU) и нажать кнопку «ОК»:

   

5. Переместить компьютеры и пользователей домена в подразделение OU (см. Групповые_политики/ADMC#Переместить_пользователя):

   

Создание политики для подразделения (инструмент ADMC)

1. В контекстном меню подразделения (в папке «Объекты групповой политики») выбрать пункт «Создать политику и связать с этим подразделением»:

   

2. В открывшемся окне ввести название политики и нажать кнопку «ОК»:

   

По умолчанию на всех новых объектах групповой политики в домене присутствуют разрешения для группы «Authenticated Users», которая включает в себя всех пользователей и компьютеры домена. Это означает, что данная политика будет применяться на всех компьютерах и для всех пользователей, которые попадают в область её действия.

Если необходимо сузить круг объектов, к которым будет применяться данная политика, то необходимо выполнить следующие действия:

1. Перейти в «Свойства» необходимой групповой политики:

   

2. Перейти во вкладку «Безопасность» и у группы «Authenticated Users» убрать разрешение на «Применение групповых политик»:

   

3. Для добавления нового объекта нажать «Добавить...» и выбрать необходимый объект, к которому будет применяться групповая политика. В данном примере будет добавлен пользователь user:

   

4. Нажимаем кнопку «Ок»:

   

5. Выставляем разрешение на «Чтение» и «Применение групповых политик» и нажимаем кнопку «Применить»:

   

   Примечание: При выставлении всех разрешений групповые политики применяться не будут.

Если же, наоборот, определенному объекту следует запретить применение групповой политики:

1. Оставляем у группы «Authenticated Users» разрешение на «Применение групповых политик»:

   

2. У необходимого объекта ставим галочку на запрет «Применения групповых политик»:

   

Редактирование параметров политики (инструмент GPUI)

Для редактирования политики следует в контекстном меню созданной политики (инструмент ADMC) выбрать пункт «Изменить…»:

Откроется окно модуля редактирования настроек клиентской конфигурации (GPUI):

Пример настройки политики включения/выключения различных служб (сервисов systemd): Групповые_Политики/ALT_System_SystemdUnits

На машине Windows

Добавление доменных устройств в группу членства GPO

1. Войти в систему администратором домена (Administrator).
2. Запустить программу «Active Directory — пользователи и компьютеры».
3. В контекстном меню домена выбрать пункт «Создать» → «Подразделение»:

   

4. В открывшемся окне ввести название подразделения (например, OU) и нажать кнопку «Ок».
5. Переместить компьютеры и пользователей домена в подразделение OU:

   

Создание политики для подразделения (инструмент gpmc.msc)

1. Запустить оснастку «Управление групповой политикой» (gpmc.msc).
2. В контекстном меню подразделения («Управление групповой политикой» → «Лес: test.alt» → «Домены» → «test.alt» → «OU») выбрать пункт «Создать объект групповой политики в этом домене и связать его...»:

   

3. В открывшемся окне ввести название политики и нажать кнопку «Ок»:

   

По умолчанию на всех новых объектах групповой политики в домене присутствуют разрешения для группы «Authenticated Users»:

Эта группа включает в себя всех пользователей и компьютеры домена. Это означает, что данная политика будет применяться на всех компьютерах и для всех пользователей, которые попадают в область её действия.

Можно изменить этот фильтр безопасности, чтобы политика применялась только к членам определенной группы безопасности домена (или конкретным пользователям/компьютерам). Для этого в поле «Фильтры безопасности» следует у группы «Authenticated Users» убрать право «Применить групповую политику». Сделать это можно, перейдя на вкладку «Делегирование» и нажав кнопку «Дополнительно...». Далее необходимо добавить требуемую группу AD и выставить права «Чтение» и «Применить групповую политику»:

Редактирование параметров политики (инструмент gpme.msc)

Для редактирования политики следует в контекстном меню созданной политики выбрать пункт «Изменить»:

Откроется окно редактирования групповых политик:

Пример настройки политики управления ярлыками: Групповые_политики/Управление_ярлыками

Ссылки

• Настройка RSAT на Windows