Выпуск инструмента применения групповых политик gpupdate 0.9.12

19.01.2023 15:22

Опубликован новый выпуск gpupdate, инструмента для применения групповых политик в дистрибутивах «Альт». Механизмы gpupdate применяют групповые политики на машинах-клиентах как на системном уровне, так и для отдельных пользователей. Инструмент gpupdate является частью альтернативного решения компании «Базальт СПО» по реализации доменной инфраструктуры Active Directory под Linux. Приложение поддерживает работу в доменной инфраструктуре MS AD или Samba DC. Код gpupdate написан на языке Python и распространяется под лицензией GPLv3+. Установить gpupdate можно из стабильной ветки p10 репозиториев ALT.

Принцип работы gpupdate основан на реализации групповых политик в Linux, в составе которого политики хранятся в каталоге SysVol на контроллерах домена. GPOA, подмодуль gpupdate, обращается к SysVol контроллера домена и загружает из него все шаблоны групповых политик GPT для системы и пользователей (каталоги Machine и User) и всю информацию из каталогов. Инструмент gpupdate разбирает файлы с расширением .pol под себя и составляет БД. Из этого реестра GPOA забирает свои данные, сортирует, обрабатывает и начинает по очереди запускать модули "appliers".

Каждый из этих модулей отвечает за свою часть применения настроек. Например, есть модули, связанные с настройками ядра системы, с настройками рабочего стола, периферии, браузера, настройками принтеров. И каждый из модулей берёт ту часть базы, которая к нему относится. Например, applier firefox будет искать в базе строчку с firefox и обрабатывать только эту часть базы - а именно формировать из этой информации файл json в каталоге /etc/firefox/policies (как это сформировано в Linux). Далее при запуске web-браузера он обращается к этому каталогу и запускает все настройки.

Изменения в версии 0.9.11.2:

Поддерживаются применения для компьютера всех политик web-браузеров Firefox и Chromium.
Добавлены механизмы применения политик скриптов - logon/logoff/startup/shutdown.
Механизмы применения параметров системных настроек (preferences): операции с файлами (Files), каталогами (Folders), файлами конфигураций (Ini-files).
Добавлено новое действие для обновления статуса сервисов в gpupdate-setup - ключ update запускает все необходимые службы при обновлении задействованного gpupdate.
Улучшено применение пользовательских политик с точки зрения корректной работы и безопасности. Для Systemd появился системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer для мониторинга и контроля времени выполнения службы gpupdate.service. Периодичность запуска gpupdate может быть настроена через таймер.
Оптимизирован режим обработки политики замыкания на себя - «Настройка режима обработки замыкания пользовательской групповой политики». Эта политика позволяет заместить параметры одного объекта групповой политики над параметрами другого объекта для пользователей этого второго объекта.

Особенности версии 0.9.12:

Добавлен механизм применения для компьютера групповых политик браузера Yandex.
Механизмы применения параметров системных настроек (preferences): настройки общих сетевых ресурсов для пользователя (network shares).
Добавлен перебор контроллеров домена (DC) с настроенным каталогом SysVol, если автоматически выбранный контроллер домена оказался с SysVol, в котором отсутствуют групповые политики. По умолчанию перебор контроллеров домена отключён.
Добавлена возможность генерировать правила для всех действий polkit через групповые политики; под каждый polkit-action можно подготовить admx-шаблон настройки, который отобразится в дереве консоли графического инструмента редактирования конфигураций системы и пользователя GPUI.
Исправлено отображение политики монтирования дисков для пользователя и добавлена поддержка монтирования для компьютера:
- Добавлена поддержка опций меток дисков;
- Исправлена коллизия буквенных имён дисков; буквы дисков присваиваются как в Windows.
- Заменены точки монтирования для отображения общих ресурсов:
- /media/gpupdate/drives.system — для системных ресурсов;
- /media/gpupdate/.drives.system - для скрытых системных ресурсов;
- /run/media/USERNAME/drives - для общих ресурсов пользователя;
- /run/media/USERNAME/.drives - для скрытых общих ресурсов пользователя.

исправить +10 +/–

Главная ссылка к новости (https://lists.altlinux.org/pip...)

Автор новости: Мария Фоканова

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58509-gpupdate

Ключевые слова: gpupdate, ldap, samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.1, Привет (?), 17:57, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Приведите примеры когда это полезно.

2.2, Аноним (2), 18:09, 19/01/2023 [^] [^^] [^^^] [ответить]	+14 +/–
Когда надо применять доменные политики к linux-машинам. Ваш кэп.

2.14, Аноним (14), 01:22, 20/01/2023 [^] [^^] [^^^] [ответить]	–4 +/–
Когда хочется продавать винду учреждениям, но ты не майкрософт и у тебя на руках только линукс.

1.3, Аноним (3), 18:17, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Из описания похоже, что оно под рутом работает. Ну или какие-то хитрые capabilities.

1.10, pashev.ru (?), 20:00, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это типа Puppet/Ansible? )

2.12, Аноним (12), 20:13, 19/01/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Нет. Это типа групповые политики для тех кто "хочу как у майкрософт"

1.11, Аноним (11), 20:05, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Active Directory под Linux >Samba Спасибо, не надо нам ethernalblue и wannacry.

2.13, Аноним (13), 20:46, 19/01/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Как будто админчика в конторе кто-то будет спрашивать, что ему надо, а что не надо.

2.17, Тот_Самый_Анонимус_ (?), 06:42, 20/01/2023 [^] [^^] [^^^] [ответить]

+1 +/–

>не надо нам

Вам и не предлагают. мамкины какеры вообще лесом идут.

А вот инструменты администрирования — вещь нужная.

3.23, aname (?), 13:52, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Админам локалхоста действительно не надо

1.15, Аноним (15), 01:26, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поразительно Догнать и перегнать в действии MS заявляет уже больше 10 лет, ч... большой текст свёрнут, показать

2.16, Аноним (16), 03:16, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Ну так у альта бюджет будет поменьше майкрософтовского. Выбрали простейшее и уже всем известное, не все вкурсе про новые технологии.

2.18, Alex (??), 08:07, 20/01/2023 [^] [^^] [^^^] [ответить]	+3 +/–
А кто сказал, что gpo мертво? Я уверен, что более чем 90% организаций мало-мальски приходят к домену и самое безобидное и внедряемое решение - это как раз Актив Директори с политиками. Быстро развернул, настроил и ты уже "бог" сети. Сделали бы они это лет 5 назад... Но все равно АЛЬТовцы молодцы, это нужный и правильный шаг, пусть и немного назад.

3.24, Аноним (15), 14:12, 20/01/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Это сказал Microsoft и на это есть причины - как инструмент они не подходят ни ... большой текст свёрнут, показать

4.25, Пофигист (?), 17:55, 20/01/2023 [^] [^^] [^^^] [ответить]	+/–
Поставил + за достаточно развернутое высказывание. Конечно гпо давно устарело. Но пока его окончательно не стёрли как 16битные проги, оно увы будет долго :(

5.29, Vladimir (??), 18:29, 25/01/2023 [^] [^^] [^^^] [ответить]	+/–
Это почему устарело?

2.26, ivan_erohin (?), 23:20, 20/01/2023 [^] [^^] [^^^] [ответить]	+/–
> System Center Configuration Manager я помню времена, когда это называлось "SMS". да, иненно как спам, приходящий на телефоны. я почитал книгу от МС, впечатлился и в тестлабе попробовал развернуть. оно поставило жирнейшего клиента на каждую рабочую станцию. после чего я плюнул и забил. интересно, сейчас что-то изменилось ?

3.28, Аноним (15), 21:35, 22/01/2023 [^] [^^] [^^^] [ответить]

+/–

> интересно, сейчас что-то изменилось ?

Нет и не изменится никогда.

Задачи, которые выполняются через SMS, он же SCCM, он же MEM - это задачи инвентарного учёта, массового развертывания и управления конечным оборудованием пользователей. Ближайшее что похоже на него в Linux - puppet. Его агент учитывает не только огромное количество служб и вариантов конфигурации пользователя, но и то что операционные системы там могут быть разные вплоть до Android. Жирность же - это понятие весьма относительное, люди под Windows ставят антивирус, каждый из которых, по сути, тоже жирный Endpoint Manager, но только под узкоспециализированные задачи. Развёртывание SCCM/MEM - это вопрос ITIL/ITSM, а не вопрос условных попугаев производительности рабочей станции.

При этом его не ставят на сервера, потому что там нет пользовательского участия при конфигурировании и установке ПО. Это касается также любых терминальных серверов и серверов виртуализации. Особенно это касается инфраструктуры виртуализации рабочих столов. Если ваши пользователи используют виртуальные рабочие столы и сессионные терминалы, особенно с тонкими клиентами, то вместо SCCM вы используете системы учета и управления родные для этих систем. Либо вы используете решения по оркестрации вроде SCOrch, Ansible или сами пишите что-то поверх DSC.

1.22, aname (?), 13:50, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Линукс- Линуксом, а доменные политики хочется

2.27, Аноним (-), 10:36, 21/01/2023 Скрыто ботом-модератором [к модератору]	+/–

3.30, aname (?), 15:54, 29/02/2024 Скрыто ботом-модератором [к модератору]	+/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: