Выпуск инструмента применения групповых политик gpupdate 0.9.12⁠⁠

Опубликован новый выпуск gpupdate, инструмента для применения групповых политик в дистрибутивах «Альт». Механизмы gpupdate применяют групповые политики на машинах-клиентах как на системном уровне, так и для отдельных пользователей. Инструмент gpupdate является частью альтернативного решения компании «Базальт СПО» по реализации доменной инфраструктуры Active Directory под Linux. Приложение поддерживает работу в доменной инфраструктуре MS AD или Samba DC. Код gpupdate написан на языке Python и распространяется под лицензией GPLv3+. Установить gpupdate можно из стабильной ветки p10 репозиториев ALT.

Принцип работы gpupdate основан на реализации групповых политик в Linux, в составе которого политики хранятся в каталоге SysVol на контроллерах домена. GPOA, подмодуль gpupdate, обращается к SysVol контроллера домена и загружает из него все шаблоны групповых политик GPT для системы и пользователей (каталоги Machine и User) и всю информацию из каталогов. Инструмент gpupdate разбирает файлы с расширением .pol под себя и составляет БД. Из этого реестра GPOA забирает свои данные, сортирует, обрабатывает и начинает по очереди запускать модули "appliers".

Каждый из этих модулей отвечает за свою часть применения настроек. Например, есть модули, связанные с настройками ядра системы, с настройками рабочего стола, периферии, браузера, настройками принтеров. И каждый из модулей берёт ту часть базы, которая к нему относится. Например, applier firefox будет искать в базе строчку с firefox и обрабатывать только эту часть базы - а именно формировать из этой информации файл json в каталоге /etc/firefox/policies (как это сформировано в Linux). Далее при запуске web-браузера он обращается к этому каталогу и запускает все настройки.

Изменения в версии 0.9.11.2:

• Поддерживаются применения для компьютера всех политик web-браузеров Firefox и Chromium.

• Добавлены механизмы применения политик скриптов - logon/logoff/startup/shutdown.

• Механизмы применения параметров системных настроек (preferences): операции с файлами (Files), каталогами (Folders), файлами конфигураций (Ini-files).

• Добавлено новое действие для обновления статуса сервисов в gpupdate-setup - ключ update запускает все необходимые службы при обновлении задействованного gpupdate.

• Улучшено применение пользовательских политик с точки зрения корректной работы и безопасности. Для Systemd появился системный таймер gpupdate.timer и пользовательский таймер gpupdate-user.timer для мониторинга и контроля времени выполнения службы gpupdate.service. Периодичность запуска gpupdate может быть настроена через таймер.

• Оптимизирован режим обработки политики замыкания на себя - «Настройка режима обработки замыкания пользовательской групповой политики». Эта политика позволяет заместить параметры одного объекта групповой политики над параметрами другого объекта для пользователей этого второго объекта.

Особенности версии 0.9.12:

• Добавлен механизм применения для компьютера групповых политик браузера Yandex.

• Механизмы применения параметров системных настроек (preferences): настройки общих сетевых ресурсов для пользователя (network shares).

• Добавлен перебор контроллеров домена (DC) с настроенным каталогом SysVol, если автоматически выбранный контроллер домена оказался с SysVol, в котором отсутствуют групповые политики. По умолчанию перебор контроллеров домена отключён.

• Добавлена возможность генерировать правила для всех действий polkit через групповые политики; под каждый polkit-action можно подготовить admx-шаблон настройки, который отобразится в дереве консоли графического инструмента редактирования конфигураций системы и пользователя GPUI.

• Исправлено отображение политики монтирования дисков для пользователя и добавлена поддержка монтирования для компьютера:

  • Добавлена поддержка опций меток дисков;

  • Исправлена коллизия буквенных имён дисков; буквы дисков присваиваются как в Windows.

  • Заменены точки монтирования для отображения общих ресурсов:

  • /media/gpupdate/drives.system — для системных ресурсов;

  • /media/gpupdate/.drives.system - для скрытых системных ресурсов;

  • /run/media/USERNAME/drives - для общих ресурсов пользователя;

  • /run/media/USERNAME/.drives - для скрытых общих ресурсов пользователя.