Групповые политики/ALT System Control
Описание
Через групповые политики реализовано управление настройками control. Все control разделены на категории:
- Безопасность
- Службы
- Сетевые приложения
- Приложения для CD/DVD
- Монтирование
- Виртуализация
- Графическая подсистема
- Аппаратные средства
- СУБД
Настройка политики
Шаг 1. На машине с установленным RSAT откройте «Управление групповыми политиками».
Шаг 2. Создайте новый объект групповой политики (GPO) и свяжите его с OU, в который входят машины или учетные записи пользователей.
Шаг 3. В контекстном меню GPO, выберите пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейдите в «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT». Здесь есть несколько разделов, соответствующих категориям control:
Шаг 5. Выберите раздел, в правом окне редактора отобразится список политик:
Шаг 6. Дважды щелкните левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно выбрать режим доступа для данного control.
Таблицы режимов для control по категориям
Безопасность
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Выполнение программы /usr/bin/chage | chage | Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage |
|
|
Выполнение команды /usr/bin/chfn | chfn | Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учетной записи пользователя. Обычный пользователь может изменять поля только для своей учетной записи, с учетом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя). Кроме того, только суперпользователь может использовать опцию -o для изменения неопределенных частей поля GECOS |
|
|
Разрешение на использование /usr/bin/chsh | chsh | Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh), которая изменяет оболочку входа пользователя: она определяет имя начальной команды входа пользователя. Обычный пользователь может изменить оболочку входа только для своей учетной записи; суперпользователь может изменить логин для любой учетной записи |
|
|
Разрешение на использование consolehelper | consolehelper | Эта политика определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM (которую можно настроить так, чтобы доверять всем пользователям консоли или запрашивать пароль по усмотрению системного администратора). Когда это возможно, аутентификация выполняется графически; в противном случае это делается в текстовой консоли, с которой был запущен consolehelper |
|
|
Выполнение программы /usr/bin/gpasswd | gpasswd | Политика определяет права на запуск инструмента /usr/bin/gpasswd |
|
|
Выполнение программы /usr/bin/groupmems | groupmems | Политика определяет права на выполнение программы /usr/bin/groupmems |
|
|
Разрешение на использование /usr/sbin/hddtemp | hddtemp | Разрешение на использование инструмента /usr/sbin/hddtemp — отслеживание температуры жесткого диска |
|
|
Разрешения для /usr/bin/newgrp | newgrp | Эта политика определяет разрешения для /usr/bin/newgrp |
|
|
Создание отдельных временных каталогов для пользователей | pam_mktemp | Эта политика определяет, следует ли создавать отдельные временные каталоги для пользователей |
|
|
Управление паролями с помощью passwd | passwd | Определяет политику управления паролями с помощью команды /usr/bin/passwd |
|
|
Управление проверками сложности пароля | passwdqc-enforce | Политика управляет паролями для достаточной надежности пароля |
|
|
Разрешения для /bin/su | su | Эта политика определяет разрешения для /bin/su |
|
|
Разрешения для /usr/bin/sudo | sudo | Эта политика определяет разрешения для /usr/bin/sudo |
|
|
Передача родительской среды в sudo | sudoers | Эта политика определяет, передается ли родительская среда (переменные среды) в sudo |
|
|
Разрешения для /usr/bin/sudoreplay | sudoreplay | Эта политика определяет разрешения для /usr/bin/sudoreplay |
|
|
Запрос пароля sudo для пользователей группы «wheel» | sudowheel | Эта политика определяет, следует ли делать запрос пароля sudo для пользователей группы «wheel» |
|
|
Метод аутентификации | system-auth | Эта политика определяет метод аутентификации пользователя |
|
|
Разрешения для /usr/lib/chkpwd/tcb_chkpwd | tcb_chkpwd | Эта политика определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd |
|
|
Разрешения для /usr/bin/write | write | Эта политика определяет разрешения для /usr/bin/write |
|
|
Службы
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права доступа и поведение очереди заданий /usr/bin/at | at | Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at) |
|
|
Режим демона NTP Chrony | chrony | Эта политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени |
|
|
Разрешение на использование crontab | crontab | Эта политика определяет права доступа к инструменту crontab (/usr/bin/crontab) |
|
|
Режим CUPS | cups | Эта политика определяет поведение CUPS |
|
|
Обратный поиск DNS для запросов OpenLDAP | ldap-reverse-dns-lookup | Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP |
|
|
Проверка сертификата при установлении соединений TLS OpenLDAP | ldap-tls-cert-check | Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP |
|
|
Режим работы Postfix MTA | postfix | Эта политика определяет режим работы MTA Postfix (Почтовый транспортный агент) |
|
|
Разрешения для /usr/bin/postqueue | postqueue | Эта политика определяет разрешения для /usr/bin/postqueue |
|
|
Режим работы Rpcbind | rpcbind | Эта политика определяет режим работы rpcbind (/sbin/rpcbind) |
|
|
Поддержка SFTP на сервере OpenSSH | sftp | Эта политика определяет поддержку SFTP на сервере OpenSSH |
|
|
Белый список допустимых групп пользователей SSHd | sshd-allow-groups | Эта политика определяет функциональность белого списка действительных групп пользователей SSHd |
|
|
Поддержка авторизации API GSS на сервере OpenSSH | sshd-gssapi-auth | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на сервере SSHd |
|
|
Поддержка авторизации пароля на сервере OpenSSH | sshd-password-auth | Эта политика определяет функциональные возможности поддержки авторизации паролей на сервере SSHd |
|
|
Поддержка авторизации API GSS на клиенте SSH | ssh-gssapi-auth | Эта политика определяет функциональные возможности поддержки авторизации с использованием GSS API на клиенте SSH |
|
|
Сетевые приложения
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/mtr | mtr | Разрешение на использование сетевого инструмента /usr/bin/mtr |
|
|
Разрешения для /usr/bin/ping | ping | Эта политика определяет разрешения для /usr/bin/ping |
|
|
Разрешения для /usr/sbin/pppd | ppp | Эта политика определяет разрешения для /usr/sbin/pppd |
|
|
Функциональные возможности и разрешения для wireshark-capture (dumpcap) | wireshark-capture | Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap) |
|
|
Приложения для CD/DVD
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Разрешение на использование /usr/bin/dvd-ram-control | dvd-ram-control | Эта политика определяет права доступа к /usr/bin/dvd-ram-control |
|
|
Разрешение на использование /usr/bin/dvd+rw-booktype | dvd+rw-booktype | Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype |
|
|
Разрешение на использование /usr/bin/dvd+rw-format | dvd+rw-format | Эта политика определяет права доступа к /usr/bin/dvd+rw-format |
|
|
Разрешение на использование /usr/bin/dvd+rw-mediainfo | dvd+rw-mediainfo | Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo |
|
|
Разрешение на использование /usr/bin/growisofs | growisofs | Политика определяет права на использование инструмента /usr/bin/growisofs |
|
|
Монтирование
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права доступа к инструментам монтирования файловых систем FUSE | fusermount | Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3) |
|
|
Разрешения для /bin/mount и /bin/umount | mount | Эта политика определяет разрешения для /bin/mount и /bin/umount |
|
|
Разрешения для /sbin/mount.nfs | nfsmount | Эта политика определяет разрешения для /sbin/mount.nfs |
|
|
Правила подключения USB-накопителей | udisks2 | Эта политика определяет правила подключения USB-накопителей |
|
|
Виртуализация
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Права на устройства QEMU KVM | kvm | Политика определяет права на устройства QEMU KVM |
|
|
Разрешения для VirtualBox | virtualbox | Эта политика определяет разрешения для VirtualBox |
|
|
Графическая подсистема
Политика | Control | Описание | Режимы на русском | Режимы на английском |
---|---|---|---|---|
Показать или скрыть список известных пользователей в greeter (LightDM) | lightdm-greeter-hide-users | Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет |
|
|
Функция для сохранения списка пользовательских каталогов | xdg-user-dirs | Эта политика определяет, работает ли функция сохранения списка пользовательских каталогов (xdg-user-dirs) |
|
|
Разрешения для Xorg | xorg-server | Эта политика определяет разрешения для Xorg (/usr/bin/Xorg) |
|
|