База знаний
Войти

Управление иерархией и параметрами групповых политик

Отображение списка доступных политик

Для отображения списка доступных политик необходимо наличие у пользователя прав на чтение политик.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

Для отображения списка доступных политик в CLI используется команда вида:

$ ipa ddpo-find [критерии] --[параметры] --[общие опции]

Для отображения политик для конкретного подразделения необходимо выполнить команду:

$ ipa ou-show [имя подразделения] [--parentou DN или RDN имя родительского подразделения] [--all]

Главное окно перспективы "Групповые политики" графического интерфейса Dynamic Directory выглядит, как показано на рисунке 69.

Рисунок 69 – Главное окно перспективы "Групповые политики" графического интерфейса Dynamic Directory

В левой панели дерева отображается иерархическая структура подразделений службы каталогов. В правой панели списка выводятся подразделения нижнего уровня иерархии и политики, связанные с выбранным ОП.

Перемещение по иерархической структуре осуществляется с помощью выбора ОП в левой панели дерева.

Отображение иерархической структуры контейнера политики

Отображение иерархической структуры контейнера политики возможно при наличии у пользователя прав на чтение политик и шаблонов политик.

Операция доступна через интерфейс командной строки и графический интерфейс Dynamic Directory.

В CLI для отображения иерархической структуры в интерфейсе командной строки используется команда:

$ ipa ddpt-find [имя_параметра_политики]

Выполнение этой команды найдет все доступные шаблоны параметров политик. Атрибут section будет содержать информацию о месте параметра политики в иерархии параметров данной политики.

В графическом интерфейсе Dynamic Directory для доступа к иерархической структуре параметров политики необходимо выбрать нужную политику и в контекстном меню выбрать пункт "Изменить параметры". В результате будет отображено окно "Свойства объекта – Групповая политика Dynamic Directory" с содержимым иерархической структуры контейнера политики (рисунок 70).

Рисунок 70 – Окно настройки политики

В левой панели окна будет отображена иерархическая структура политики. В правой панели будут отображены вложенные секции и параметры.

Перемещение по иерархической структуре осуществляется с помощью выбора в левой панели элементов политики.

Создание, изменение и удаление контейнеров политик

Для работы с контейнерами политик пользователь должен иметь права на чтение, создание, изменение и удаление политик.

Операция доступна через CLI и графический интерфейс Системы.

В CLI создание, изменение, удаление контейнеров политик осуществляется с помощью команд вида:

$ ipa ddpo_[add/mod/del/find/show] [имя_политики] --[параметры] --[общие опции]

Штатный веб-интерфейс не позволяет управлять политиками.

В графическом интерфейсе Dynamic Directory при выборе подразделения в панели инструментов доступны все инструменты по созданию, изменению и удалению контейнеров политики.

Для создания новой политики в контекстном меню необходимо выбрать пункт "Создать политику". После этого откроется соответствующее окно для ввода первоначальных данных о политике (рисунок 71).

Рисунок 71 – Окно создания политики

После ввода имени и описания политики необходимо нажать кнопку ОК в нижней части окна. Окно будет закрыто, в главном окне интерфейса будет отображена запись о политике.

Также политику можно скопировать. Для этого нужно вызвать контекстное меню на политике и выбрать "Создать копию политики (Copy policy)" (рисунок 72).

Рисунок 72 – Создание копии политики

Далее заполнить обязательное поле "Имя:" и "Описание:" (при необходимости), нажать кнопку ОК (рисунок 73).

Рисунок 73 – Форма создания копии политики

Для изменения информации о политике необходимо, находясь в главном окне графического интерфейса Dynamic Directory, в правой панели вызвать контекстное меню нужной политики и выбрать пункт "Изменить параметры". В результате будет открыто соответствующее окно (рисунок 74).

Рисунок 74 – Окно изменения параметров политики

Удаление политик производится через контекстное меню политики в правой панели списка выбором пункта Удалить или нажатием на пиктограмму (крест) на панели инструментов. Система выдаст запрос на подтверждение удаления объекта. После выбора кнопки Да объект будет удален из Системы.

Управление групповыми политиками Microsoft Active Directory

Для настройки управления групповыми политиками Microsoft Active Directory (далее MS AD) необходимо предварительно подготовить ADMX/ADML- файлы.

Следует отметить, что в операционных системах семейства Linux файловая система является регистрозависимой, в отличие от Windows, где она регистронезависима. Необходимо обеспечить точное соответствие имен ADMX/ADML-файлов и самым простым способом является перевод имен в нижний регистр.

Примечание – Для перевода имен файлов в нижний регистр можно воспользоваться скриптом "rename_to_lowercase.py", входящим в состав дистрибутива. Скрипт требует указания пути до каталога, который будет рекурсивно переименован вместе со всеми вложенными файлами и каталогами. Например, если ADMX файлы находятся в домашней директории пользователя admin (/home/admin/admx), необходимо выполнить скрипт через команду:

$ /usr/bin/rename_to_lowercase.py

Далее нужно перейти в меню "Файл → Параметры", поставить флажок "Использовать групповые политики MS AD", указать пути к файлам шаблона ADMX и перевода ADML и нажать кнопку ОК.

Заполнение поля "Путь к файлам перевода ADML (базовый язык)*" необходимо, если переведены не все параметры групповых политик, указанные в шаблонах ADMX. Пример заполнения полей для использования групповых политик MS AD показан на рисунке 75.

Рисунок 75 – Включение возможности использования групповых политик MS AD

После включения возможности использования групповых политик MS AD, необходимо перезапустить программу.

После перезапуска программы в перспективе "Групповые политики" появится возможность создания групповых политик Active Directory аналогично созданию групповых политик Dynamic Directory (рисунок 76).

Рисунок 76 – Создание групповой политики ADPO

Редактирование параметров групповой политики Active Directory (рисунок 77) происходит аналогично редактированию параметров групповых политик Dynamic Directory и описано в п. Изменение значений параметров политики.

Рисунок 77 – Редактирование групповой политики ADPO