The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск инструмента применения групповых политик gpupdate 0.9.12

19.01.2023 15:22

Опубликован новый выпуск gpupdate, инструмента для применения групповых политик в дистрибутивах «Альт». Механизмы gpupdate применяют групповые политики на машинах-клиентах как на системном уровне, так и для отдельных пользователей. Инструмент gpupdate является частью альтернативного решения компании «Базальт СПО» по реализации доменной инфраструктуры Active Directory под Linux. Приложение поддерживает работу в доменной инфраструктуре MS AD или Samba DC. Код gpupdate написан на языке Python и распространяется под лицензией GPLv3+. Установить gpupdate можно из стабильной ветки p10 репозиториев ALT.

Принцип работы gpupdate основан на реализации групповых политик в Linux, в составе которого политики хранятся в каталоге SysVol на контроллерах домена. GPOA, подмодуль gpupdate, обращается к SysVol контроллера домена и загружает из него все шаблоны групповых политик GPT для системы и пользователей (каталоги Machine и User) и всю информацию из каталогов. Инструмент gpupdate разбирает файлы с расширением .pol под себя и составляет БД. Из этого реестра GPOA забирает свои данные, сортирует, обрабатывает и начинает по очереди запускать модули "appliers".

Каждый из этих модулей отвечает за свою часть применения настроек. Например, есть модули, связанные с настройками ядра системы, с настройками рабочего стола, периферии, браузера, настройками принтеров. И каждый из модулей берёт ту часть базы, которая к нему относится. Например, applier firefox будет искать в базе строчку с firefox и обрабатывать только эту часть базы - а именно формировать из этой информации файл json в каталоге /etc/firefox/policies (как это сформировано в Linux). Далее при запуске web-браузера он обращается к этому каталогу и запускает все настройки.

Изменения в версии 0.9.11.2:

  • Поддерживаются применения для компьютера всех политик web-браузеров Firefox и Chromium.
  • Добавлены механизмы применения политик скриптов - logon/logoff/startup/shutdown.
  • Механизмы применения параметров системных настроек (preferences): операции с файлами (Files), каталогами (Folders), файлами конфигураций (Ini-files).
  • Добавлено новое действие для обновления статуса сервисов в gpupdate-setup - ключ update запускает все необходимые службы при обновлении задействованного gpupdate.
  • Улучшено применение пользовательских политик с точки зрения корректной работы и безопасности. Для Systemd появился системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer для мониторинга и контроля времени выполнения службы gpupdate.service. Периодичность запуска gpupdate может быть настроена через таймер.
  • Оптимизирован режим обработки политики замыкания на себя - «Настройка режима обработки замыкания пользовательской групповой политики». Эта политика позволяет заместить параметры одного объекта групповой политики над параметрами другого объекта для пользователей этого второго объекта.

Особенности версии 0.9.12:

  • Добавлен механизм применения для компьютера групповых политик браузера Yandex.
  • Механизмы применения параметров системных настроек (preferences): настройки общих сетевых ресурсов для пользователя (network shares).
  • Добавлен перебор контроллеров домена (DC) с настроенным каталогом SysVol, если автоматически выбранный контроллер домена оказался с SysVol, в котором отсутствуют групповые политики. По умолчанию перебор контроллеров домена отключён.
  • Добавлена возможность генерировать правила для всех действий polkit через групповые политики; под каждый polkit-action можно подготовить admx-шаблон настройки, который отобразится в дереве консоли графического инструмента редактирования конфигураций системы и пользователя GPUI.
  • Исправлено отображение политики монтирования дисков для пользователя и добавлена поддержка монтирования для компьютера:
    • Добавлена поддержка опций меток дисков;
    • Исправлена коллизия буквенных имён дисков; буквы дисков присваиваются как в Windows.
    • Заменены точки монтирования для отображения общих ресурсов:
    • /media/gpupdate/drives.system — для системных ресурсов;
    • /media/gpupdate/.drives.system - для скрытых системных ресурсов;
    • /run/media/USERNAME/drives - для общих ресурсов пользователя;
    • /run/media/USERNAME/.drives - для скрытых общих ресурсов пользователя.


  1. Главная ссылка к новости (https://lists.altlinux.org/pip...)
Автор новости: Мария Фоканова
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58509-gpupdate
Ключевые слова: gpupdate, ldap, samba
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Привет (?), 17:57, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Приведите примеры когда это полезно.
     
     
  • 2.2, Аноним (2), 18:09, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Когда надо применять доменные политики к linux-машинам.
    Ваш кэп.
     
  • 2.14, Аноним (14), 01:22, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Когда хочется продавать винду учреждениям, но ты не майкрософт и у тебя на руках только линукс.
     

  • 1.3, Аноним (3), 18:17, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из описания похоже, что оно под рутом работает. Ну или какие-то хитрые capabilities.
     
  • 1.10, pashev.ru (?), 20:00, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это типа Puppet/Ansible? )
     
     
  • 2.12, Аноним (12), 20:13, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет. Это типа групповые политики для тех кто "хочу как у майкрософт"
     

  • 1.11, Аноним (11), 20:05, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Active Directory под Linux
    >Samba

    Спасибо, не надо нам ethernalblue и wannacry.

     
     
  • 2.13, Аноним (13), 20:46, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как будто админчика в конторе кто-то будет спрашивать, что ему надо, а что не надо.
     
  • 2.17, Тот_Самый_Анонимус_ (?), 06:42, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >не надо нам

    Вам и не предлагают. мамкины какеры вообще лесом идут.

    А вот инструменты администрирования — вещь нужная.

     
     
  • 3.23, aname (?), 13:52, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Админам локалхоста действительно не надо
     

  • 1.15, Аноним (15), 01:26, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поразительно Догнать и перегнать в действии MS заявляет уже больше 10 лет, ч... большой текст свёрнут, показать
     
     
  • 2.16, Аноним (16), 03:16, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так у альта бюджет будет поменьше майкрософтовского. Выбрали простейшее и уже всем известное, не все вкурсе про новые технологии.
     
  • 2.18, Alex (??), 08:07, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А кто сказал, что gpo мертво? Я уверен, что более чем 90% организаций мало-мальски приходят к домену и самое безобидное и внедряемое решение - это как раз Актив Директори с политиками. Быстро развернул, настроил и ты уже "бог" сети.
    Сделали бы они это лет 5 назад... Но все равно АЛЬТовцы молодцы, это нужный и правильный шаг, пусть и немного назад.
     
     
  • 3.24, Аноним (15), 14:12, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это сказал Microsoft и на это есть причины - как инструмент они не подходят ни ... большой текст свёрнут, показать
     
     
  • 4.25, Пофигист (?), 17:55, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поставил + за достаточно развернутое высказывание. Конечно гпо давно устарело. Но пока его окончательно не стёрли как 16битные проги, оно увы будет долго :(
     
     
  • 5.29, Vladimir (??), 18:29, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это почему устарело?
     
  • 2.26, ivan_erohin (?), 23:20, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > System Center Configuration Manager

    я помню времена, когда это называлось "SMS".
    да, иненно как спам, приходящий на телефоны.
    я почитал книгу от МС, впечатлился и в тестлабе попробовал развернуть.
    оно поставило жирнейшего клиента на каждую рабочую станцию.
    после чего я плюнул и забил.
    интересно, сейчас что-то изменилось ?

     
     
  • 3.28, Аноним (15), 21:35, 22/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > интересно, сейчас что-то изменилось ?

    Нет и не изменится никогда.

    Задачи, которые выполняются через SMS, он же SCCM, он же MEM - это задачи инвентарного учёта, массового развертывания и управления конечным оборудованием пользователей. Ближайшее что похоже на него в Linux - puppet. Его агент учитывает не только огромное количество служб и вариантов конфигурации пользователя, но и то что операционные системы там могут быть разные вплоть до Android. Жирность же - это понятие весьма относительное, люди под Windows ставят антивирус, каждый из которых, по сути, тоже жирный Endpoint Manager, но только под узкоспециализированные задачи. Развёртывание SCCM/MEM - это вопрос ITIL/ITSM, а не вопрос условных попугаев производительности рабочей станции.

    При этом его не ставят на сервера, потому что там нет пользовательского участия при конфигурировании и установке ПО. Это касается также любых терминальных серверов и серверов виртуализации. Особенно это касается инфраструктуры виртуализации рабочих столов. Если ваши пользователи используют виртуальные рабочие столы и сессионные терминалы, особенно с тонкими клиентами, то вместо SCCM вы используете системы учета и управления родные для этих систем. Либо вы используете решения по оркестрации вроде SCOrch, Ansible или сами пишите что-то поверх DSC.

     

  • 1.22, aname (?), 13:50, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Линукс- Линуксом, а доменные политики хочется
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру