Применение групповых политик

Применение политик на участнике домена Эллес обеспечивается утилитой samba-gpupdate (полный путь после установки — /app/inno-samba/sbin/samba-gpupdate).

См. описание доступных параметров в разделе «Работа с samba-gpupdate».

Для применения политик должна быть обеспечена синхронизация SYSVOL (см. подробнее в разделе «Репликация каталога SYSVOL»).

Примеры использования

Некоторые примеры использования утилиты на машине, являющейся участником домена Эллес:

  • применение настроек групповых политик на локальной машине:

    sudo samba-gpupdate

  • принудительное применение настроек групповых политик на участнике домена:

    sudo samba-gpupdate --force
    sudo samba-gpupdate --force --target=Computer
    sudo samba-gpupdate --force --target=User -U<username>

  • отмена применения настроек групповых политик на участнике домена:

    sudo samba-gpupdate --unapply
    sudo samba-gpupdate --unapply --target=Computer
    sudo samba-gpupdate --unapply --target=User -U<username>

  • получение информации о всех групповых политиках, доступных для применения (объекты GPO и реализующие их клиентские расширения):

    sudo samba-gpupdate --rsop -U Administrator
    sudo samba-gpupdate --rsop --target=Computer -U Administrator
    sudo samba-gpupdate --rsop --target=User -U<username>

Настройка автоматического применения политик при использовании Winbind

Для включения автоматического применения политик на машине, присоединенной к домену Эллес с использованием Winbind, достаточно после присоединения добавить в файл smb.conf на участнике в раздел [global] следующую настройку:

apply group policies = Yes

При необходимости также может быть задан интервал запуска скрипта samba-gpupdate (по умолчанию скрипт запускается с интервалом 90–120 минут) в разделе [global] в конфигурационном файле smb.conf в следующем формате:

apply group policies:period = <num>

В параметре num соответствует количеству минут не более 120. При значении 0 используется интервал по умолчанию.

Данная настройка может быть включена централизованно через механизм групповых политик с помощью следующей команды, использующей GUID доменной политики по умолчанию:

samba-tool gpo manage smb_conf set \
    {31B2F340-016D-11D2-945F-00C04FB984F9} 'apply group policies' yes

В этом случае для первого применения GPO на отдельном участнике домена требуется вручную выполнить команду:

samba-gpupdate

Настройка автоматического применения политик при использовании SSSD

Для автоматического применения политик при использовании SSSD требуется установить скрипт samba-gpupdate на введенную в домен машину и настроить автоматический запуск samba-gpupdate с помощью доступных инструментов.

Настройка автоматического применения политик LAPS

Для обеспечения применения групповых политик и поддержки функциональности LAPS на рабочих станциях с ОС Astra Linux, введенных в домен с использованием Winbind или SSSD в связке с Winbind, установите пакет elles-workstation:

  • при установке из репозитория выполните:

    sudo apt install elles-workstation -y

  • при установке из архива выполните (путь к пакету и номер версии приводятся для примера; скорректируйте в соответствии с фактическим расположением файла и используемой версией):

    sudo dpkg -i /packages/inno-samba-1.20.0/elles-workstation_1.20.0_amd64.deb
sudo apt install -f