Групповые политики

В подразделе осуществляется управление групповыми политиками: создание, настройка и удаление групповых политик, назначение политик на подразделение и др.

Список групповых политик

В подразделе приведен список групповых политик с указанием имени, версии, даты изменения и имени пользователя, внесшего изменения.

В списке доступен поиск по имени политики, версии и автору изменений. Для этого в поле поиска начать вводить значение, результат поиска будет выводиться по мере ввода.

Для просмотра информации о политике нажать на соответствующую политику в списке. Будет открыта карточка политики с информацией о ней.

В левом нижнем углу указано количество групповых политик, а в правом нижнем углу кнопки переключения страниц.

Создание групповой политики

Для создания новой групповой политики нажать кнопку [Новая групповая политика], будет открыта карточка создания новой групповой политики.

На карточке на вкладке Основное заполнить обязательно поле Имя групповой политики, а также при необходимости добавить ее описание в поле Описание групповой политики.

Остальные вкладки станут доступны для редактирования после сохранения групповой политики (см. раздел Групповые политикиГрупповые политикиНастройка групповой политикиКонфигурация политики).

Для сохранения новой групповой политики необходимо нажать на кнопку сохранения в правом верхнем углу. После сохранения групповой политики на вкладке Основное отобразится информация о датах создания и изменения политики, версии политики и авторе изменений.

Для закрытия карточки и возврата к списку групповых политик нажать на кнопку закрытия.

Настройка групповой политики

Настройка групповой политики выполняется на ее карточке. Для открытия карточки необходимо в списке групповых политик нажать на соответствующую политику.

Важно

При внесении изменений в настройку групповой политики, ее версия меняется автоматически.

В карточке управление групповой политикой осуществляется на вкладках:

  • Основное;

  • Конфигурация политики;

  • Параметры компьютеров;

  • Параметры пользователей;

  • Подразделения.

Для закрытия карточки и возврата к списку групповых политик необходимо нажать на кнопку закрытия.

Основное

На вкладке отображается информация о групповой политике: ее название, описание, дата создания, дата изменения, версия изменения и имя пользователя, внесшего последние изменения.

Для редактирования доступны имя групповой политики и ее описание.

Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.

Конфигурация политики

На вкладке приведен в табличном виде список параметров пользователей и параметров компьютеров, применяемых в данной групповой политике. Параметры могут быть как «коробочные» (предустановленные), так и созданные пользователем. Для каждого параметра указывается его название, тип (параметр пользователя или компьютера), папка хранения параметра (в каталоге параметров пользователей или в каталоге параметров компьютеров), и состояние параметра.

В списке доступен поиск по названию параметра и каталогу параметра. Для этого в верхнем левом углу вкладки в поле поиска ввести значение.

В списке доступна фильтрация по значениям столбцов Тип и Состояние, для этого необходимо нажать на значок фильтра рядом с названием соответствующего столбца и отметить требуемые значения для фильтрации.

При нажатии на параметр будет выполнен переход на вкладку Параметры пользователя или Параметры компьютера (в зависимости от типа параметра), к форме настройки данного параметра.

Для удаления из групповой политики параметра или одновременно нескольких параметров необходимо в списке отметить требуемые параметры и нажать кнопку [Удалить].

Чтоб отметить все имеющиеся параметры — установить флаг выбора всех записей в заголовке таблицы.

В левом нижнем углу указано количество параметров, а в правом нижнем углу кнопки переключения страниц.

Параметры компьютеров/пользователей (далее «Параметры»)

На вкладке осуществляется настройка параметров и их включение в состав данной групповой политики.

В левой части страницы приведен каталог с параметрами в иерархическом виде.

Доступен поиск папки или параметра. Для этого в соответствующем поле поиска начать вводить название параметра или папки, результат поиска будет выводиться по мере ввода.

В папке Дополнительные параметры отображаются параметры, созданные пользователем на вкладке Параметры компьютеров и Параметры пользователей.

При выборе параметра справа будет отображена форма настройки параметра, состоящая из трех логических блоков. Каждый блок содержит атрибуты, значения которых задаются с помощью одного или нескольких полей.

Блоки 1 и 2 аналогичны для любого параметра. Атрибуты блока 3 уникальны для каждого параметра. Детальная информация по настройке атрибутов и общее назначение параметра описаны в справке (? в правом верхнем углу).

Блок 1 Основное

Блок предназначен для управления состоянием параметра, значение по умолчанию Выключено. Когда состояние параметра установлено как Включено, он применяется к объектам назначенного подразделения.

Изменения вступают в силу по расписанию (по умолчанию в течение 80 минут). В противном случае, когда состояние Выключено, применение параметра к объектам не происходит, тогда настройки параметра могут быть изменены локально средствами графического интерфейса операционной системы.

Также присутствует специальное поле, чтобы можно было оставить комментарий к настраиваемому параметру.

Блок 2 Требования к ОС

Блок предназначен для применения параметра только на компьютеры в домене, операционная система (ОС) которых соответствует требованиям, указанным в этом блоке.

Для заполнения поля Параметр ОС необходимо выбрать атрибут из выпадающего списка. Выпадающий список сформирован из данных словаря grains, где хранится информация о целевом хосте. Возможные варианты для выбора:

  • os - операционная система;

  • os_family - семейство операционных систем;

  • osarch - разрядность операционной системы;

  • oscodename - кодовое имя операционной системы;

  • osfinger - информация о версии операционной системы и других ее особенностях;

  • osfullname - полное название операционной системы. Обычно содержит название операционной системы, версию и сопутствующую информацию о версии;

  • osmajorrelease - основной номер версии операционной системы;

  • osrelease - полный номер версии операционной системы.

Поле Оператор содержит выпадающий список из операторов сравнения:

  • = - полное соответствие;

  • ~ - частичное соответствие.

Поле Значение содержит конкретное значение, по которому требуется фильтровать ОС. Перед настройкой рекомендуется проверить значения параметров ОС на конкретном компьютере в домене, указав в терминале команду sudo aldpro-salt-call grains.items.

Примеры фильтров:

  • применение параметра на компьютерах с ОС Astra Linux - фильтр OS~astra;

  • применение параметра на компьютерах с ОС РЕД ОС версии 7.Х - фильтр osfinger~RED OS-7;

  • применение параметра на компьютерах с ОС ALT Linux версии 10.4 - фильтр oscodename~ALT Workstation 10.4.

Фильтр по умолчанию OS~astra ограничивает параметр компьютерами с ОС Astra Linux.

Для добавления фильтра необходимо нажать рядом с заголовком блока, для удаления — значок корзины. Если задано несколько фильтров, то для отбора данных используется логическая операция ИЛИ.

Для сохранения настроек параметра необходимо в форме нажать кнопку [Применить], при этом параметр будет добавлен в конфигурацию групповой политики.

Подразделения

На вкладке настраивается список подразделений, к пользователям и компьютерам которых будет применяться данная групповая политика. При этом групповая политика также будет применяться к пользователям и компьютерам дочерних подразделений.

Список подразделений с назначенными групповыми политиками

На вкладке приведен список подразделений, на которые назначена данная групповая политика, с указанием названия подразделения, приоритетом политики и принудительного наследования ее параметров.

В списке доступен поиск по названию подразделения. Для этого в поле поиска начать вводить значение, результат поиска будет выводиться по мере ввода.

Для доступа к функционалу нужно настроить привилегии. Список необходимых привилегий приведен в таблице ниже.

Привилегия

Описание

На что распространяется

Group Policies - Read

Привилегия позволяет: Видеть список групповых политик (Групповые политики/Групповые политики); Видеть карточки групповых политик (Групповые политики/Групповые политики/<Групповая политика>)

На весь домен

Group Policies User Parameters - Manage

Привилегия позволяет: Видеть список групповых политик в карточке подразделения (Пользователи и компьютеры/Организационная структура/<Подразделение>/вкладка Групповые политики); Видеть карточки групповых политик в карточке подразделения (Пользователи и компьютеры/Организационная структура/<Подразделение>/вкладка Групповые политики/<Групповая политика>)

На весь домен

Group Policy Membership - Manage

Привилегия позволяет: Добавлять и удалять политики для подразделений (Групповые политики/Групповые политики/<Групповая политика>/вкладка Подразделения); Добавлять, удалять и изменять приоритет политик для подразделений (Пользователи и компьютеры/Организационная структура/<Подразделение>/вкладка Групповые политики)

Выбранное подразделение

В левом нижнем углу указано количество подразделений, которым назначена данная групповая политика.

Назначение групповой политики на подразделение

Для назначения на подразделение групповой политики с заданными параметрами нажать кнопку [Добавить подразделение]. На карточке необходимо выбрать подразделение, на которое будет назначена данная групповая политика. При нажатии на кнопку [Выбрать] рядом с полем Подразделение открывается модальное окно с вложенной иерархической структурой подразделений и поиском.

После выбора подразделения появляется кнопка [Изменить]. При нажатии на кнопку открывается модальное окно с вложенной иерархической структурой подразделений и поиском. Эта же кнопка присутствует, когда необходимо изменить уже имеющееся подразделение. Поле Расположение подразделения в организационной структуре заполняется автоматически при выборе подразделения.

Также на карточке необходимо назначить приоритет применения групповой политики.

Если необходимо, чтобы дочерние подразделения наследовали параметры данной групповой политики, даже если где-то наследование отключено, необходимо установить флаг Наследовать принудительно.

На одно подразделение может быть назначено несколько групповых политик, но с разным приоритетом — приоритет должен быть уникальным числовым значением. Значение приоритета не может быть больше количества групповых политик, назначенных на это подразделение. Если на выбранное подразделение уже назначены другие групповые политики, то они и их приоритет будут отображены в блоке Групповые политики, ранее назначенные на подразделения.

Если каждая из групповых политик, назначенных одному подразделению, задает непересекающийся набор параметров, то к подразделению применяются все параметры назначенных политик.

Если несколько политик, назначенных одному подразделению, то применяется алгоритм разрешения конфликтов (см. Наследование и суммирование параметров групповых политик).

Для применения изменений нажать на кнопку сохранения в правом верхнем углу.

Для закрытия карточки и возврата к списку подразделений нажать на кнопку закрытия.

Изменение приоритета и порядка наследования назначенной групповой политики

Изменение приоритета и порядка наследования назначенной на подразделение групповой политики осуществляется на карточке подразделения. Для открытия карточки необходимо на вкладке Подразделения нажать на соответствующее подразделение.

Изменение приоритета определяет порядок применения групповых политик, т.е. какие настройки будут применены к объекту.

Для изменения приоритета применения групповой политики в поле Приоритет групповой политики задать новое значение.

Флаг Наследовать принудительно позволяет сделать наследование параметров соответствующего объекта обязательным для всех дочерних подразделений, даже если где-то наследование отключено. Связанные ГПО, отмеченные флагом Принудительно, применяются после обычных ГПО, поэтому переопределяют их значения.

Для включения принудительного наследования параметров ГПО, необходимо установить флаг Наследовать принудительно.

Для применения изменений нажать на кнопку сохранения в правом верхнем углу.

Для закрытия карточки и возврата к списку подразделений нажать на кнопку закрытия.

Удаление назначения групповой политики на подразделение

Удаление назначения групповой политики на подразделение выполняется путем удаления подразделения из списка.

Удалить подразделение или одновременно несколько подразделений из списка можно, отметив требуемые подразделения и нажав кнопку [Удалить].

Чтобы отметить все имеющиеся подразделения — отметить пункт Подразделение.

Также удалить назначенние групповой политики можно на карточке подразделения. Для открытия карточки на вкладке Подразделения нажать на соответствующее подразделение, затем на карточке нажать кнопку [Удалить подразделение]. После подтверждения удаления будет выполнен переход к списку подразделений.

Удаление групповой политики

Удаления групповой политики осуществляется из ее карточки на вкладке Основное. Для открытия карточки необходимо в списке групповых политик нажать на политику. Затем на карточке нажать кнопку [Удалить групповую политику]. После подтверждения удаления будет выполнен переход к списку групповых политик.