Подробный гайд: Установка Alt Education 11 через GPO
В дистрибутивах ALTLinux, включая Alt Education 11, групповые политики (GPO) реализованы через интеграцию с Samba4 и доменной инфраструктурой «Альт Домен». Это позволяет централизованно управлять рабочими станциями, включая установку и удаление программного обеспечения.
Требования
Серверная часть:
- Контроллер домена на базе «Альт Сервер» 11 или другой дистрибутив ALTLinux с развернутым Samba4
- Сетевой доступ к контроллеру домена
- Права администратора домена
Клиентская часть:
- Рабочие станции с установленной Alt Education 11
- Сетевое подключение к контроллеру домена
- Права локального администратора
Шаг 1: Развертывание «Альт Домен»
Если у вас еще нет контроллера домена, разверните «Альт Домен» на сервере:
# Установка необходимых пакетов
apt-get update
apt-get install samba-dc samba-dc-adcli
# Настройка контроллера домена
samba-tool domain provision --use-rfc2307 --interactive
Следуйте инструкциям мастера настройки, указав:
- Имя домена (например,
school.local) - Имя NetBIOS (например,
SCHOOL) - Пароль администратора домена
Запустите и включите Samba:
systemctl enable --now samba
Шаг 2: Установка административных шаблонов на контроллере домена
Установите ADMX-файлы и утилиты управления политиками:
# Установка базовых шаблонов ALT и утилит
apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-thunderbird admx-msi-setup
# Установка ADMX-файлов Microsoft
admx-msi-setup
После установки шаблоны будут находиться в каталоге /usr/share/PolicyDefinitions.
Скопируйте ADMX-файлы в сетевой каталог SYSVOL:
samba-tool gpo admxload -U Administrator
Введите пароль администратора домена при запросе.
Шаг 3: Установка инструментов администрирования
На машине администратора (может быть контроллер домена или отдельная рабочая станция) установите инструменты управления:
apt-get install admc gpui
ADMC (Active Directory Management Console) — аналог Microsoft ADUC и GPMC для управления объектами домена и групповыми политиками
GPUI (Group Policy User Interface) — редактор групповых политик, аналог GPE
Шаг 4: Создание групповой политики для установки ПО
Вариант А: Через графический интерфейс (GPUI)
1. Запустите GPUI:
gpui
2. Подключитесь к контроллеру домена, указав его адрес и учетные данные администратора.
3. Создайте новую групповую политику или отредактируйте существующую:
- Правой кнопкой мыши → «Создать» → укажите имя политики (например, «Установка образовательного ПО»)
4. Откройте свойства политики и перейдите в раздел:
- Конфигурация компьютера → Конфигурация ALT → Установка пакетов
5. Добавьте пакеты для установки:
- Нажмите «Добавить»
- Укажите имена пакетов из репозиториев Alt Education (например,
libreoffice,gimp,freecad,kumir) - Выберите действие: «Установить»
6. Сохраните изменения.
Вариант Б: Через ADMC
1. Запустите ADMC:
admc
- Подключитесь к домену с правами администратора.
- Перейдите в раздел «Group Policy Management» (Управление групповой политикой).
- Создайте новую GPO или отредактируйте существующую.
- Правой кнопкой мыши → «Edit» (Изменить) — откроется GPUI для редактирования.
- Настройте установку пакетов, как описано выше.
Шаг 5: Привязка политики к подразделению (OU)
1. В ADMC создайте подразделение (OU) для компьютеров, на которые должна применяться политика:
- Правой кнопкой мыши на домене → «Создать» → «Organizational Unit»
- Укажите имя (например, «Computer_Classes»)
2. Переместите компьютеры в созданное OU или оставьте их в текущем расположении.
3. Привяжите групповую политику к OU:
- Правой кнопкой мыши на OU → «Link an Existing GPO»
- Выберите созданную политику установки ПО
Шаг 6: Настройка клиентских рабочих станций
Ввод в домен
1. На клиентской машине откройте Центр управления системой (ЦУС):
alterator
2. Перейдите в раздел «Домен» или «Ввод в домен».
3. Укажите:
- Тип домена: Active Directory
- Адрес контроллера домена (например,
dc.school.local) - Имя домена (например,
SCHOOL) - Учетные данные администратора домена
4. Важно:
В окне ввода имени и пароля отметьте пункт «Включить групповые политики»
5. Завершите ввод в домен и перезагрузите систему.
Альтернативный способ через командную строку
Если машина уже введена в домен, включите групповые политики вручную:
# Установка необходимых пакетов
apt-get update
apt-get install gpupdate oddjob-gpupdate alterator-gpupdate
# Включение групповых политик с профилем рабочей станции
gpupdate-setup enable workstation
# Перезагрузка
reboot
Проверка статуса:
# Проверка, включены ли политики
gpupdate-setup
# Должно вывести: enabled
# Проверка активного профиля
gpupdate-setup active-policy
# Должно вывести: workstation
Шаг 7: Применение и проверка политик
Автоматическое применение
Групповые политики применяются автоматически:
- Политики компьютера — при загрузке системы и далее раз в час
- Политики пользователя — при входе пользователя в систему и далее раз в час
Принудительное применение
Для немедленного применения политик выполните:
gpupdate
Проверка установки пакетов
После применения политики проверьте, установились ли пакеты:
# Проверка установки конкретного пакета
apt-cache policy libreoffice
# Просмотр установленных пакетов
rpm -qa | grep libreoffice
Просмотр логов
Логи применения групповых политик находятся в:
# Логи gpupdate
journalctl -u gpupdate
# Детальная информация
cat /var/log/gpupdate.log
Шаг 8: Конфигурация gpupdate (опционально)
При необходимости можно настроить параметры gpupdate в файле /etc/gpupdate/gpupdate.ini:
[gpoa]
backend = samba
local-policy = workstation
[samba]
dc = dc.school.local
Параметры:
backend— способ получения настроек (samba)local-policy— профиль локальной политики (workstation, server, ad-domain-controller)dc— явное указание контроллера домена
Решение проблем
Ошибка E00057: Ошибка установки пакета
Причина:
Пакет отсутствует в репозиториях, неправильное имя пакета, отсутствие подключения к сети или отсутствует пакет packagekit.
Решение:
# Проверка наличия пакета в репозитории
apt-cache search имя_пакета
# Установка packagekit (обязателен для работы установки через GPO)
apt-get install packagekit
# Проверка сетевого подключения
ping dc.school.local
# Обновление списков пакетов
apt-get update
Ошибка E00058: Ошибка удаления пакета
Причина:
Пакет не установлен или отсутствует packagekit.
Решение:
apt-get install packagekit
Политики не применяются
1. Проверьте, что машина введена в домен:
net ads info
2. Проверьте статус gpupdate:
gpupdate-setup
3. Проверьте связь с контроллером домена:
ping dc.school.local
nslookup dc.school.local
4. Проверьте логи:
journalctl -u gpupdate -n 50
5. Принудительно примените политики:
gpupdate --force
Пример: Установка полного набора ПО для компьютерного класса
Создайте политику со следующими пакетами:
Офисные приложения:
libreofficelibreoffice-langpack-ru
Графика и мультимедиа:
gimpinkscapeaudacityvlc
Программирование:
kumirpython3geanycodeblocks
3D-моделирование:
freecadblender
Специализированное ПО Alt Education:
alt-education-preschoolalt-education-school
Заключение
После настройки групповых политик все рабочие станции в домене будут автоматически получать и устанавливать указанное программное обеспечение. Политики обновляются раз в час, что обеспечивает актуальность конфигурации. Для внесения изменений достаточно отредактировать групповую политику на контроллере домена — изменения применятся на всех клиентах автоматически.
Для дополнительного управления можно использовать RSAT (Remote Server Administration Tools) с Windows-машин, если требуется централизованное управление из Windows-среды
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.