Created attachment 10047 [details] control_ping Конфигурация стендов: dc p10 server x86_64 dc2 p10 server x86_64 Клиенты: p10 workstation x86_64, p10 workstation K x86_64 Win7 + RSAT gpupdate-0.9.8-alt1.noarch samba-4.14.10-alt2.x86_64 admc-0.8.2-alt1.x86_64 1) На Windows машине зайти под администратором домена и подключиться к серверу через оснастку Управление групповой политикой: Панель управления - Администрирование - Управление групповой политикой. 2) На имени домена ПКМ - Создать подразделение OU. 3) Добавить пользователя test2 в подразделение OU. 4) ПКМ на OU - Создать объект групповой политики - Создать объект Control_ping и связать его с подразделением OU 5) ПКМ на политике Control_ping - изменить. Конфигурация копьютера - Политики - Административные шаблоны - Система ALT - Сетевые приложения - разрешения для /usr/bin/ping Включить - только root - ОК. 6) Перезагрузить клиента, войти как test2 и проверить ping Результат: ping не запрещен. Вывод gpoa --loglevel 0 test2 завершается ошибкой 21-12-09 12:21:57.116|[D00058]| Connection search return org.freedesktop.DBus.Error.NameHasNoOwner|{"connection": "ca.desrt.dconf"} 2021-12-09 12:21:57.116|[D00056]| Kill dbus-daemon and dconf-service in user context|{"dbus_pid": 7222, "dconf_pid": -1} Полный лог в аттаче. Ожидаемый результат: политика применилась успешно для test2. Дополнительно: 1) Поведение воспроизводится как для уже включенной в домен машины, так и для свежедобавленной (в одном случае политика создавалась, когда пользователь test2 уже входил в систему, в другом случае вводила нового клиента и входила в систему уже после добавления политики). 2) Аналогично не работает другое разрешение (в описании лишь пример), например, разрешение на запуск su пользователем 3) Если создать политику не для подразделения, а на весь домен, то она применяется успешно.
Created attachment 10048 [details] ping_root
Created attachment 10049 [details] LOG gpoa --loglevel 0 test2
(Ответ для Vera Blagoveschenskaya на комментарий #0) > > 2) На имени домена ПКМ - Создать подразделение OU. > 3) Добавить пользователя test2 в подразделение OU. > 5) ПКМ на политике Control_ping - изменить. > Конфигурация копьютера - Политики - Административные шаблоны - Система ALT - > Сетевые приложения - разрешения для /usr/bin/ping > Включить - только root - ОК. > 6) Перезагрузить клиента, войти как test2 и проверить ping Вы создаете машинную политику, а проверяете на пользователе. Т.е. тут нужно компьютер добавить в OU
Исп
Забрала на опыты
(Ответ для Vera Blagoveschenskaya на комментарий #5) > Забрала на опыты Елена, спасибо, что указали на неточность. С добавлением в подразделение OU машины, а не пользователя, данный сценарий отработал. На компьютере из OU политика работает для любого доменного пользователя. Насколько я понимаю, аналогичная политика для _пользователя_ , а не для машины, еще не реализована.
(Ответ для Vera Blagoveschenskaya на комментарий #6) > (Ответ для Vera Blagoveschenskaya на комментарий #5) > > Забрала на опыты > > Елена, спасибо, что указали на неточность. > С добавлением в подразделение OU машины, а не пользователя, данный сценарий > отработал. > На компьютере из OU политика работает для любого доменного пользователя. и не доменного тоже, т.к. для всех будет установлена политика control, например: # control ping restricted > Насколько я понимаю, аналогичная политика для _пользователя_ , а не для > машины, еще не реализована. Она и не будет реализована. Т.к. control_applier может быть вызван только машинной политикой, так как не существует "пользовательских" controls.
