- Admx шаблон групповой политики, позволяющий без правки шаблона настраивать любые параметры firefox и thunderbird.
- Автоматическое развертывание сертификатов
- Возможности
- Возможность использования в настройках некоторых подстановочных строк
- Логирование всех действий плагина в консоли ошибок.
- Поддержка одним плагином установки и в firefox и в thunderbird
- Предисловие
- Установка из групповой политики как настроек по-умолчанию (defaultpref) так и заблокированных для пользователя настроек (lockpref).
- Установка плагина шаблонов политик.
- Установка сертификата при помощи групповых политик
Admx шаблон групповой политики, позволяющий без правки шаблона настраивать любые параметры firefox и thunderbird.
С ADMX шаблоном пришлось изрядно повозиться, но оно того стоило. ADMX шаблоны имеют ряд преимуществ над старыми adm:
- Автоматически загружаются при старте консоли редактирования групповой политики
- Возможно организовать центральное хранилище этих шаблонов и они будут доступны с любой рабочей станции администратора
- Они хорошо локализуются и локализация автоматически подгружается в зависимости от языка ОС
Автоматическое развертывание сертификатов
Автоматическое развертывание сертификатов
Чтобы сертификаты компьютеров издавались автоматически посредством политики групп, используя объект групповой политики (GPO) по имени Cert Auto Enrollment Group Policy Object необходимо сконфигурировать корневой СА.
Чтобы сконфигурировать автоматическое развертывание сертификатов с использованием центра сертификации (СА) предприятия, выполните перечисленные ниже шаги.
- На контроллере домена DC1 запустите Server Manager (Диспетчер сервера).
- Раскройте узлы Features (Средства), Group Policy Management (Управление политиками групп), Forest: company.com (Лес: company.com), Domains (Домены) и выберите company.com.
- В дереве консоли щелкните правой кнопкой мыши на домене company.com и выберите в контекстном меню пункт Create GPO in the Domain and Link It Here (Создать объект групповой политики в домене и привязать его).
- Введите имя Cert Auto Enrollment Group Policy Object и щелкните на кнопке ОК.
- Щелкните правой кнопкой мыши на Cert Auto Enrollment Group Policy Object (Объект групповой политики автоматического развертывания сертификатов) и выберите в контекстном меню пункт Edit (Редактировать).
- В дереве консоли Group Policy Management Editor раскройте узлы Computer Configuration (Конфигурация Компьютера), Policies (Политики), Windows Settings (Настройки Windows), Security Settings (Настройки безопасности) и выберите элемент Public Key Policies (Политики открытого ключа).
- В панели деталей щелкните правой кнопкой мыши на Automatic Certificate Request Settings (Настройки автоматического запроса сертификатов) и выберите в контекстном меню пункт New-Automatic Certificate Request .
- В мастере настройки автоматического запроса сертификата (Automatic Certificate Request Setup Wizard) щелкните на кнопке Next (Далее).
- На странице Certificate Template (Шаблон сертификата) щелкните на элементе Computer (Компьютер), щелкните на кнопке Next (Далее) и затем на кнопке Finish (Готово).
- Закройте окна Group Policy Management Editor и Group Policy Management Console.
Возможности
Вот перечень возможностей заложенных в плагин:
Возможность использования в настройках некоторых подстановочных строк
На мой взгляд при настройке таких параметров
network.negotiate-auth.trusted-uris
Логирование всех действий плагина в консоли ошибок.
Пожалуй единственная настройка, которая недоступна из групповой политики и применяется только из профиля пользователя это
extensions.gpo.enablelog
— она включает логирование действий плагина в консоли ошибок. Данная настройка считывается до чтения групповой политики и поэтому повлиять на её значение из GPO невозможно.
Лог в консоли выглядит примерно так:
Поддержка одним плагином установки и в firefox и в thunderbird
На мой взгляд логично, что в компании, где в качестве браузера используется Firefox в качестве почтового клиента будет использоваться Thunderbird. Создавать по плагину для каждой программы когда подход к настройкам полностью идентичен — смысла нет. В то же время иногда настройки, одинаково называющиеся в обоих программах, должны быть в них разными.
Предисловие
Одним из недостатков программных продуктов от Mozilla является их слабая ориентированность на корпоративный сегмент пользователей. К сожалению для управления инсталляциями продуктов Mozilla в крупных компаниях существует не так много инструментов. Построены они бывают на основе:
Мне больше нравится последний подход: он позволяет гибко привязывать настройки к различным группам компьютеров и пользователей, а также все настройки можно делать из консоли групповой политики не углубляясь в написание каких-либо скриптов (в AutoConfig тоже можно формировать настройки на основе данных о пользователе, но там для этого потребуется разработка скриптов на стороне сервера).
К сожалению, плагин GPOFirefox реализован только для Firefox и не имеет некоторого необходимого мне функционала, поэтому пришлось написать собственный, подходящий и для Firefox и для Thunderbird, которым я решил поделиться с сообществом.
Установка из групповой политики как настроек по-умолчанию (defaultpref) так и заблокированных для пользователя настроек (lockpref).
Все настройки доступны из консоли управления политикой
Установка плагина шаблонов политик.
Пока плагин на addons.mozilla.org не опубликован (планирую заняться этим после того как сообщество выскажет своё мнение — возможно перед официальной публикацией внесу какие-нибудь корректировки в соответствии с пожеланиями).
Установка сертификата при помощи групповых политик
Источник:
http://interface31.ru/tech_it/2021/04/ustanovka-sertifikata-pri-pomoshhi-gruppovyh-politik.html
Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ – групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.
Откроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать. Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить – решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.
После чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению.
Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить. В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики открытого ключа – Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.
Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчкуМастер моделирования.
Большинство параметров можно оставить по умолчанию, единственное что следует задать – это пользователя и компьютер для которых вы хотите проверить политику.
Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.
После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:
gpupdateТеперь откроем хранилище сертфификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя – Содержание – Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации.
Как видим – все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.