Управление групповыми политиками для изменения smb.conf

Назначение групповых политик по изменению файла smb.conf — обеспечить изменение существующих глобальных настроек (раздел [global]) в файлах smb.conf на клиентских машинах под управлением ОС Linux в домене Эллес.

Настройки, применяемые в рамках данных политик, хранятся в файле MACHINE/Registry.pol в подкаталоге соответствующего объекта GPO в SysVol в формате записей реестра (см. подраздел «Изменение настроек групповых политик в GPO (через Registry.pol)»).

Серверное расширение (SSE) для политик по изменению smb.conf распространяется в виде административного шаблона в формате ADMX (см. подраздел «Установка административных шаблонов на контроллере домена»).

Клиентское расширение (CSE) непосредственно изменяет файл smb.conf: оно открывает существующий файл smb.conf, анализирует текущие глобальные настройки, изменяет их в соответствии с GPO и записывает файл на диск.

В процессе изменения могут быть перезаписаны внесенные в smb.conf пользовательские элементы форматирования и комментарии.

Добавление групповой политики для изменения smb.conf

Для задания или изменения глобальных настроек в файле smb.conf с помощью групповой политики используется следующий формат вызова:

samba-tool gpo manage smb_conf set <gpo> <setting> <value> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.

Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример добавления в smb.conf настройки apply group policies со значением yes для включения автоматического применения групповых политик на клиентских машинах, введенных в домен с использованием Winbind:

Настройте политику:

samba-tool gpo manage smb_conf set {31B2F340-016D-11D2-945F-00C04FB984F9} \
    'apply group policies' yes

Для проверки доступности политики на клиентской машине с ОС Linux — участнике домена выполните:

sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Policy
=================================================================
  CSE: gp_smb_conf_ext
  -----------------------------------------------------------
    Policy Type: smb.conf
    -----------------------------------------------------------
    [ apply group policies ] = 1
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

Обновите политики на клиентской машине:
```
sudo /app/inno-samba/sbin/samba-gpupdate --force
```

Сравните файлы:

diff -u /app/inno-samba/etc/smb.conf.BAK /app/inno-samba/etc/smb.conf
--- /app/inno-samba/etc/smb.conf.BAK
+++ /app/inno-samba/etc/smb.conf
@@ -1,5 +1,6 @@
 # Global parameters
 [global]
+   apply group policies = Yes
    kerberos method = secrets and keytab
...

Пример отмены настройки apply group policies:

samba-tool gpo manage smb_conf set {31B2F340-016D-11D2-945F-00C04FB984F9} \
   'apply group policies'

Получение информации о групповой политике для изменения smb.conf

Для получения информации об объекте GPO, обеспечивающем изменение настроек в файле smb.conf на клиентских машинах, в SysVol используется следующий формат вызова:

samba-tool gpo manage smb_conf list <gpo> [options]

Подкоманда выводит содержимое файла MACHINE\Registry.pol для указанного объекта GPO.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения настроек, применяемых в рамках групповой политики по изменению smb.conf:

samba-tool gpo manage smb_conf list {31B2F340-016D-11D2-945F-00C04FB984F9}
apply group policies= True