ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Созданные с помощью групповых политик ярлыки не являются "доверенными" для GNOME и XFCE | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | Sisyphus | Reporter: | Anton Shevtsov <shevtsov.anton> | ||||||
| Component: | gpupdate | Assignee: | Valentin Sokolov <sova> | ||||||
| Status: | CLOSED FIXED | QA Contact: | |||||||
| Severity: | normal | ||||||||
| Priority: | P5 | CC: | eltsovga, greh, kunitskijds, nir, shevchenkodyu, sin | ||||||
| Version: | unstable | ||||||||
| Hardware: | x86_64 | ||||||||
| OS: | Linux | ||||||||
| Attachments: |
|
||||||||
Стенды (Обновленные до Sisyphus):
p11 workstation X86_64
p11 education Xfce X86_64
Версия пакетов:
gpupdate-0.13.4-alt1.noarch
admx-basealt-0.6.0-alt1.noarch
Шаги воспроизведения:
1) Развернуть Samba сервер и подключить к нему клиента и управляющую машину
2) На управляющей машине зайти от имени администратора домена
3) Запустить admc(от имени доменного пользователя):
$ admc
4) Раскрыть список "Объекты групповой политик"
5) Нажать ПКМ на "Default domain policy"и в выпадающем списке выбрать "Изменить"
6) Включить поддержку экспериментальных групповых политик и дополнительные политики:
- Компьютер → Административные шаблоны → Система ALT -> Групповые политики → Экспериментальные групповые политики -> Включено
- Компьютер → Административные шаблоны → Система ALT -> Групповые политики → Механизмы GPUpdate:
Управление ярлыками -> Включено
Управление ярлыками для пользователей -> Включено
Важно! Условие работы этой политики - это вход нового пользователя. То есть отсутствие домашней папки. Соответственно нужно либо создать нового доменного пользователя и проверять для него, либо удалить домашнюю папку текущего пользователя.
7) Настроить ярлык:
Пользователь → Настройки → Настройки системы → Значки:
- Действие: Создать
- Название: chromium
- Тип цели: Объект файловой системы
- Место нахождения: Рабочий стол
- Целевой путь: /usr/bin/chromium
- Аргументы: ya.ru
- Путь к файлу значка: /usr/share/icons/hicolor/48x48/apps/chromium.png
- Быстрая клавиша: можно не указывать
- Запуск: оставить по умолчанию
- Комментарий: можно оставить пустым
На вкладке Общие включить параметр Выполнять в контексте безопасности текущего пользователя
нажать OK
8) Перезагрузить клиентскую систему, авторизоваться доменным пользователем.
9) Попробовать запустить только что созданный ярлык
=========================================
Ожидаемый результат: приложение запускается без предупреждений
Реальный результат: Появляется предупреждение вида
"не вызывающий доверия ярлык"
Примечание: Не воспроизводится на системах с KDE. Воспроизводится в P11
Created attachment 19697 [details]
Пример ошибки в XFCE
gpupdate-0.14.0-alt1 -> sisyphus: Thu Nov 27 2025 Valery Sinelnikov <greh@altlinux> 0.14.0-alt1 - Added: Comprehensive plugin development documentation in English and Russian GDM backup and restore functionality FreeIPA backend configuration and authentication libcng-dpapi dependency for LAPS support systemd-logind dependency to gpupdate service DMApplier plugin for display manager configuration - Changed: Refactored plugin system infrastructure Optimized FreeIPA backend and configuration - Fixed: GPO downloading and error handling Firewall reset command path safety check LAPS applier encryption mechanism Drive letters from GPO application instead of labels GPO processing with trusted domain support Shortcuts created via GPO are now marked as trusted (closes:56019) |
Created attachment 19556 [details] Скриншот ошибки При создании ярлыков средствами GPO, в gnome - они помечены как "не вызывающие доверия" gio set chromium.desktop "metadata::trusted" true вот это решает проблему, но надо дергать руками пользователю p.s. проверено в образе 11.0 и 11.1