Применение групповых политик

Применение политик на участнике домена Эллес обеспечивается утилитой samba-gpupdate (полный путь после установки — /app/inno-samba/sbin/samba-gpupdate).

См. описание доступных параметров в разделе «Работа с samba-gpupdate».

Для применения политик должна быть обеспечена синхронизация SYSVOL (см. подробнее в разделе «Репликация каталога SYSVOL»).

Некоторые примеры использования утилиты на машине, являющейся участником домена Эллес:

применение настроек групповых политик на локальной машине:
```
sudo samba-gpupdate
```
принудительное применение настроек групповых политик на участнике домена:
```
sudo samba-gpupdate --force
```
```
sudo samba-gpupdate --force --target=Computer
```
```
sudo samba-gpupdate --force --target=User -U<username>
```

отмена применения настроек групповых политик на участнике домена:

sudo samba-gpupdate --unapply

sudo samba-gpupdate --unapply --target=Computer

sudo samba-gpupdate --unapply --target=User -U<username>

получение информации о всех групповых политиках, доступных для применения (объекты GPO и реализующие их клиентские расширения):
```
sudo samba-gpupdate --rsop -U Administrator
```
```
sudo samba-gpupdate --rsop --target=Computer -U Administrator
```
```
sudo samba-gpupdate --rsop --target=User -U<username> -U Administrator
```

Настройка автоматического применения политик при использовании Winbind

Для включения автоматического применения политик на машине, присоединенной к домену Эллес с использованием Winbind, достаточно после присоединения добавить в файл smb.conf на участнике в раздел [global] следующую настройку:

apply group policies = Yes

При необходимости также может быть задан интервал запуска скрипта samba-gpupdate (по умолчанию скрипт запускается с интервалом 90–120 минут) в разделе [global] в конфигурационном файле smb.conf в следующем формате:

apply group policies:period = <num>

В параметре num соответствует количеству минут не более 120. При значении 0 используется интервал по умолчанию.

Данная настройка может быть включена централизованно через механизм групповых политик с помощью следующей команды, использующей GUID доменной политики по умолчанию:

samba-tool gpo manage smb_conf set \
    {31B2F340-016D-11D2-945F-00C04FB984F9} 'apply group policies' yes

В этом случае для первого применения GPO на отдельном участнике домена требуется вручную выполнить команду:

samba-gpupdate

Настройка автоматического применения политик при использовании SSSD

Для автоматического применения политик при использовании SSSD требуется установить скрипт samba-gpupdate на введенную в домен машину и настроить автоматический запуск samba-gpupdate с помощью доступных инструментов.