Подробный гайд: Настройка групповых политик в ALT Server 11.11
Важно:
- На момент написания официальная документация BaseALT доступна для версии 11.1. Версия 11.11 может иметь незначительные отличия, но базовая архитектура групповых политик остаётся неизменной.
Что такое групповые политики в ALT?
Групповые политики (ГП) — это механизм централизованного управления настройками компьютеров и пользователей в корпоративной среде.
Они позволяют:
- Задавать правила конфигурации, переопределяющие локальные настройки по умолчанию
- Привязывать политики к подразделениям (OU), сайтам или отдельным объектам домена
- Автоматически применять настройки при загрузке компьютера или входе пользователя
В дистрибутивах ALT для применения групповых политик используется инструмент gpupdate, рассчитанный на работу на машинах, введённых в домен Samba.
Предварительные требования
- Развёрнутый домен Альт Домен (Samba AD)
- Рабочие станции, введённые в домен
- Учётная запись администратора домена
- Доступ к репозиториям BaseALT
Пошаговая инструкция настройки
Шаг 1: Установка административных шаблонов на контроллере домена
# Установка пакетов политик и утилиты установки ADMX
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-thunderbird admx-msi-setup
# Загрузка и установка ADMX-файлов от Microsoft
# admx-msi-setup
По умолчанию
admx-msi-setupустанавливает последнюю версию ADMX от Microsoft. Для указания другого источника используйте параметры-dи-s.
Шаг 2: Копирование политик в SYSVOL
# Копирование локальных ADMX-файлов в сетевой каталог sysvol
# samba-tool gpo admxload -U Administrator
Политики будут размещены в /var/lib/samba/sysvol/<DOMAIN>/Policies/
Шаг 3: Ввод рабочих станций в домен с включением ГП
При вводе машины в домен через Alterator:
- Откройте модуль Ввод в домен
- Введите данные администратора
- Отметьте пункт «Включить групповые политики»
Политики применятся автоматически после перезагрузки.
Если машина уже в домене, включите ГП вручную через ЦУС → Система → Групповые политики, выбрав профиль (
server,workstationилиdomain-controller).
Шаг 4: Установка инструментов управления на административной машине
# Установка ADMC (управление доменом) и GPUI (редактирование политик)
# apt-get install admc gpui
# Установка необходимых ADMX-файлов для работы GPUI
# apt-get install admx-basealt admx-msi-setup
# admx-msi-setup
GPUI не читает ADMX-файлы напрямую с контроллера домена — они должны быть установлены локально.
Шаг 5: Получение билета Kerberos и запуск ADMC
# Получение билета для администратора домена
$ kinit administrator
Password for administrator@TEST.ALT:
# Запуск ADMC
$ admc
Создание и настройка групповой политики (пример)
Пример: Разрешить выполнение ping только для root
1. Создание подразделения (OU)
- В ADMC: контекстное меню домена → Создать → Подразделение
- Введите имя (например,
IT_Department) и нажмите ОК
2. Перемещение объектов в подразделение
- Контекстное меню пользователя/компьютера → Переместить…
- Выберите созданное подразделение
3. Создание и привязка политики
- В подразделе: Объекты групповой политики → Создать политику и связать с этим подразделением
- Введите имя политики (например,
Restrict_Ping)
4. Редактирование параметров политики
- Контекстное меню политики → Изменить… (откроется GPUI)
- Перейдите: Компьютер → Административные шаблоны → Система ALT → Сетевые приложения
- Найдите политику «Разрешения для /usr/bin/ping»
- Настройте:
- Включено
- Кому разрешено выполнять:
Только root - Нажмите ОК
5. Применение политики на клиенте
# Принудительное обновление политик
# gpupdate --force
# Или проверка с подробным логом
# gpoa --loglevel 0
6. Проверка результата
$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# Только root может выполнить:
# control ping
restricted
Управление через командную строку
Настройка gpupdate через конфигурационный файл
Файл: /etc/gpupdate/gpupdate.ini
[main]
enabled = yes
profile = server
auto_update = yes
update_interval = 3600
Основные команды
# Включение групповых политик с профилем
# gpupdate-setup write enable server
# Принудительное применение политик
# gpupdate --force
# Проверка статуса применения
# gpoa --status
# Детальное логирование для отладки
# gpoa --loglevel 0
Доступные категории политик в ALT
| Категория | Описание | Пакет ADMX |
|---|---|---|
| Браузеры | Управление Firefox, Chromium, Yandex Browser | admx-firefox, admx-chromium |
| Почта | Настройка Thunderbird | admx-thunderbird |
| Безопасность | Запрет USB, контроль доступа | admx-basealt |
| Системные | Управление службами systemd, Polkit | admx-basealt |
| Графическая среда | Настройки GNOME, MATE, KDE (эксп.) | admx-basealt |
| Сеть | Подключение сетевых дисков, переменные среды | admx-basealt |
| Файлы | Общие каталоги, скрипты, ярлыки (эксп.) | admx-basealt |
Политики, помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе «Групповые политики».
Диагностика и отладка
# Просмотр применённых политик с детализацией
# gpoa --loglevel 0
# Проверка реестра групповых политик
# gpoa --show-registry
# Просмотр логов применения
# journalctl -u gpupdate.service
# Проверка подключения к домену
# net ads testjoin
# klist
Порядок применения политик
Групповые политики обрабатываются в следующем порядке:
- Локальные политики (настройки самого компьютера)
- Политики сайта (если настроены)
- Политики домена
- Политики подразделений (OU) — применяются последними и имеют наивысший приоритет
Политики (Policies) нельзя отменить на клиенте — они «накладываются» поверх настроек приложений. Предпочтения (Preferences) могут быть изменены пользователем после применения.
Совет:
- Для массового развёртывания политик используйте структуру подразделений (OU), соответствующую организационной структуре вашей компании — это упростит управление и наследование настроек.