#55269 – Документация docs-alt-workstation, п.⁠⁠ 54.2. Пример создания групповой политики: дополнить настройку групповой политики для подразделения

Bug 55269 - Документация docs-alt-workstation, п.⁠⁠ 54.2. Пример создания групповой политики: дополнить настройку групповой политики для подразделения

Summary: Документация docs-alt-workstation, п.⁠⁠ 54.2. Пример создания групповой полит...

Status:	CLOSED NOTABUG

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	docs-alt-workstation (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	lepata@altlinux.org
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-07-18 17:03 MSK by Tatyana Gagina
Modified:	2025-07-18 17:07 MSK (History)
CC List:	6 users (show)

See Also:

Attachments
изменения применены (130.32 KB, image/png) 2025-07-18 17:03 MSK, Tatyana Gagina	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Tatyana Gagina 2025-07-18 17:03:18 MSK

Created attachment 19133 [details]
изменения применены

Версия: docs-alt-workstation-11.1-alt1

Развёрнут контроллер домена Samba (P11 Server x86-64) + клиент Samba (P11 Wokstation x86-64)

Шаги: 
В документации перейти к пункту 54.2. Пример создания групповой политики → создать согласно документации групповую политику на клиенте:
* в папке Объекты групповой политики выбрать пункт Создать политику и связать с этим подразделением;
* ввести название политики Control_ping → ОК;
* в контекстном меню политики Control_ping  выбрать пункт Изменить…;
* в GPUI Компьютер → Административные шаблоны → Система ALT → Сетевые приложения;
* Разрешения для /usr/bin/ping → Включено → Кому разрешено выполнять → Только root → ОК;
* в нижней панели сообщение "Применены изменения для политики: Разрешения для /usr/bin/ping" (см. скриншот "изменения применены").
* выполнить: $ ping localhost и после $ /usr/bin/ping localhost

Результат: пинг проходит: 
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost.localdomain (127.0.0.1): icmp_seq=1 ttl=64 time=0.016 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_seq=2 ttl=64 time=0.023 ms
64 bytes from localhost.localdomain (127.0.0.1): icmp_seq=3 ttl=64 time=0.018 ms
..............................................
171 packets transmitted, 171 received, 0% packet loss, time 174092ms
rtt min/avg/max/mdev = 0.016/0.031/0.051/0.006 ms

То есть, после обновления политики на клиенте, выполнять команду ping может пользватель, хотя в политике  прописывались ограничения для него.

При просмотре:
# control ping
public

Ожидаемый результат: после обновления политики на клиенте, выполнять команду ping может только администратор:
$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе

# control ping
restricted

Workaround: помогает перезагрузка (после перезагрузки достигнут желаемый результат).

Итог: 
Стоит дополнить в документации, что после создания групповой политики нужно перезагрузить систему (не посчитала бы это очевидным).

Comment 1 Elena Mishina 2025-07-18 17:07:49 MSK

В документации написано:
После обновления политики на клиенте, выполнять команду ping сможет только администратор.

Для обновления политики на клиенте не обязательно перезагружаться. 

Более подробное описание работы ГП доступно в другом документе и выходит за рамки данного.