From da33e6f644c577dc8273a2d42a9b3dac376624d6 Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Fri, 21 Oct 2022 15:22:30 +0400 Subject: [PATCH 1/9] Fix adml for scripts polisy --- en-US/basealtgrouppolicies.adml | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index 948b7f4b..837e57f7 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -105,8 +105,8 @@ Script execution module for machine This policy enables disables the scripting group policy execution engine for computers. - Script execution module for users - This policy enables disables the scripting group policy execution engine for users. + Script execution module for users + This policy enables disables the scripting group policy execution engine for users. From bc46d2e612df51a62abe15d8f67b096c4c9b5b6c Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Wed, 26 Oct 2022 18:38:49 +0400 Subject: [PATCH 2/9] New admx enabling mechanism of Yandex-browser group policies --- BaseALTGroupPolicies.admx | 10 ++++++++++ en-US/basealtgrouppolicies.adml | 2 ++ ru-RU/basealtgrouppolicies.adml | 2 ++ 3 files changed, 14 insertions(+) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index 9ce67c84..fb9f96b5 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -330,5 +330,15 @@ + + + + + + + + + + diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index 837e57f7..fb4a9974 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -108,6 +108,8 @@ Script execution module for users This policy enables disables the scripting group policy execution engine for users. + Yandex browser +      This policy enables group policy Yandex-browser applier feature. diff --git a/ru-RU/basealtgrouppolicies.adml b/ru-RU/basealtgrouppolicies.adml index 8decc8ae..1f2687e6 100755 --- a/ru-RU/basealtgrouppolicies.adml +++ b/ru-RU/basealtgrouppolicies.adml @@ -108,6 +108,8 @@ Модуль выполнения сценариев для пользователей Эта политика включает/отключает модуль выполнения групповых политик сценариев для пользователей. + Настройка браузера Yandex +      Эта политика включает применение механизма групповых политик Yandex-браузера. From 362006c8470666ea0ce9d4cfc8f3bd446947c8ff Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Fri, 28 Oct 2022 11:34:22 +0400 Subject: [PATCH 3/9] Admx for group policy - deny removable storage --- BaseALTGroupPolicies.admx | 20 ++++++++++++++++++++ en-US/basealtgrouppolicies.adml | 17 +++++++++++++++++ ru-RU/basealtgrouppolicies.adml | 17 +++++++++++++++++ 3 files changed, 54 insertions(+) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index fb9f96b5..a8fabd9d 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -340,5 +340,25 @@ + + + + + + + + + + + + + + + + + + + + diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index fb4a9974..510c4993 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -110,6 +110,23 @@ Yandex browser       This policy enables group policy Yandex-browser applier feature. + + All Removable Storage classes: Deny all access +      Configure access to all removable storage classes. + +This policy setting takes precedence over any individual removable storage policy settings. To manage individual classes, use the policy settings available for each class. + +If you enable this policy setting, no access is allowed to any removable storage class. + +If you disable or do not configure this policy setting, write and read accesses are allowed to all removable storage classes. + All Removable Storage classes: Deny all access +      Configure access to all removable storage classes. + +This policy setting takes precedence over any individual removable storage policy settings. To manage individual classes, use the policy settings available for each class. + +If you enable this policy setting, no access is allowed to any removable storage class. + +If you disable or do not configure this policy setting, write and read accesses are allowed to all removable storage classes. diff --git a/ru-RU/basealtgrouppolicies.adml b/ru-RU/basealtgrouppolicies.adml index 1f2687e6..d8c810ed 100755 --- a/ru-RU/basealtgrouppolicies.adml +++ b/ru-RU/basealtgrouppolicies.adml @@ -110,6 +110,23 @@ Настройка браузера Yandex       Эта политика включает применение механизма групповых политик Yandex-браузера. + + Доступ к съемным запоминающим устройствам +      Настройте доступ ко всем классам съемных носителей. + +Этот параметр политики имеет приоритет над любыми отдельными параметрами политики съемных носителей. Для управления отдельными классами используйте параметры политики, доступные для каждого класса. + +Если вы включите этот параметр политики, доступ к любому классу съемных носителей будет запрещен. + +Если вы отключите или не настроите этот параметр политики, доступ на запись и чтение будет разрешен для всех классов съемных носителей. + Доступ к съемным запоминающим устройствам +      Настройте доступ ко всем классам съемных носителей. + +Этот параметр политики имеет приоритет над любыми отдельными параметрами политики съемных носителей. Для управления отдельными классами используйте параметры политики, доступные для каждого класса. + +Если вы включите этот параметр политики, доступ к любому классу съемных носителей будет запрещен. + +Если вы отключите или не настроите этот параметр политики, доступ на запись и чтение будет разрешен для всех классов съемных носителей. From 5d1690b040679604d24c383f1eec8578efd24a14 Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Thu, 15 Dec 2022 16:23:04 +0400 Subject: [PATCH 4/9] Added new group policy for polkit-actions --- BaseALTPolkit.admx | 21 +++++++++++++++++++++ en-US/basealtpolkit.adml | 12 ++++++++++++ ru-RU/basealtpolkit.adml | 12 ++++++++++++ 3 files changed, 45 insertions(+) create mode 100644 BaseALTPolkit.admx create mode 100644 en-US/basealtpolkit.adml create mode 100644 ru-RU/basealtpolkit.adml diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx new file mode 100644 index 00000000..b4895bc2 --- /dev/null +++ b/BaseALTPolkit.admx @@ -0,0 +1,21 @@ + + + + + + + + + + + + + + + + + + + + + diff --git a/en-US/basealtpolkit.adml b/en-US/basealtpolkit.adml new file mode 100644 index 00000000..cd701c5a --- /dev/null +++ b/en-US/basealtpolkit.adml @@ -0,0 +1,12 @@ + + + + ALT Group Policies definitions + This file contains the polkits policies definitions used by ALT operating system. + + + Mount a filesystem + Authentication is required to mount the filesystem + + + diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml new file mode 100644 index 00000000..c1c0e27e --- /dev/null +++ b/ru-RU/basealtpolkit.adml @@ -0,0 +1,12 @@ + + + + Определения политик безопасности операционной системы Альт + Этот файл содержит определения политик безопасности операционной системы Альт. + + + Смонтировать файловую систему + Для монтирования файловой системы требуется аутентификация + + + From fe2c38ab24bef99c72b524fc9595645334ae22dc Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Mon, 26 Dec 2022 13:55:07 +0400 Subject: [PATCH 5/9] Add new admx for polkit actions --- BaseALT.admx | 3 + BaseALTPolkit.admx | 314 +++++++++++++++++++++++++++++++++++++-- en-US/basealt.adml | 2 + en-US/basealtpolkit.adml | 110 +++++++++++++- ru-RU/basealt.adml | 2 + ru-RU/basealtpolkit.adml | 154 ++++++++++++++++++- 6 files changed, 572 insertions(+), 13 deletions(-) diff --git a/BaseALT.admx b/BaseALT.admx index 2442b224..d8aa9948 100644 --- a/BaseALT.admx +++ b/BaseALT.admx @@ -133,5 +133,8 @@ + + + diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx index b4895bc2..3a878844 100644 --- a/BaseALTPolkit.admx +++ b/BaseALTPolkit.admx @@ -7,15 +7,311 @@ - - - - - - - - - + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + diff --git a/en-US/basealt.adml b/en-US/basealt.adml index aaa888e2..866f195c 100644 --- a/en-US/basealt.adml +++ b/en-US/basealt.adml @@ -58,6 +58,8 @@ Windows manager Marco settings Keyboard settings Keyboard settings + Polkit rules + Polkit rules diff --git a/en-US/basealtpolkit.adml b/en-US/basealtpolkit.adml index cd701c5a..2a30764e 100644 --- a/en-US/basealtpolkit.adml +++ b/en-US/basealtpolkit.adml @@ -5,8 +5,114 @@ This file contains the polkits policies definitions used by ALT operating system. - Mount a filesystem - Authentication is required to mount the filesystem + Permission to mount a file system + Permission to mount a file system + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a file system + Permission to mount a file system + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a file system from a device connected to another workstation + Permission to mount a file system from a device connected to another workstation + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a filesystem on a system device + Permission to mount a filesystem on a system device + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + No + Yes + Auth_self + Auth_admin + Auth_self_keep + Auth_admin_keep + general mount ban + general mount ban + + + Restriction Options: + Block + Blocking changes to this setting by the user. Custom policies for this setting will be ignored. + + + Restriction Options: + Block + locking changes to this setting by the user. Custom policies for this setting will be ignored. + + diff --git a/ru-RU/basealt.adml b/ru-RU/basealt.adml index 182d4cb6..dba674ee 100644 --- a/ru-RU/basealt.adml +++ b/ru-RU/basealt.adml @@ -58,6 +58,8 @@ Настройки оконного менеджера Marco Настройки клавиатуры Настройки клавиатуры + Polkit правила + Polkit правила diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml index c1c0e27e..016fa5aa 100644 --- a/ru-RU/basealtpolkit.adml +++ b/ru-RU/basealtpolkit.adml @@ -5,8 +5,158 @@ Этот файл содержит определения политик безопасности операционной системы Альт. - Смонтировать файловую систему - Для монтирования файловой системы требуется аутентификация + Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы на системном устройстве + Разрешение на монтирование файловой системы на системном устройстве + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы на системном устройстве + Разрешение на монтирование файловой системы на системном устройстве + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + No + Yes + Auth_self + Auth_admin + Auth_self_keep + Auth_admin_keep + Общий запрет на монтирование + Общий запрет на монтирование + + + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + + + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + + From 20455c34351062d15e611155fe028e28582decaf Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Mon, 26 Dec 2022 13:56:58 +0400 Subject: [PATCH 6/9] Fixed bug in admx-files --- BaseALTGroupPolicies.admx | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index a8fabd9d..6dff6aac 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -350,7 +350,7 @@ - + From 0888b82f8d3bb2a69ce5e6f21506075bf65f0364 Mon Sep 17 00:00:00 2001 From: Valentin Sokolov Date: Fri, 20 Jan 2023 21:11:38 +0400 Subject: [PATCH 7/9] Edited 3 polkit policies for mounting the file system and added a new one to manage all three. --- BaseALTPolkit.admx | 194 ++++++++++++++++++++++++++++++++++++--- ru-RU/basealtpolkit.adml | 47 ++++++++-- 2 files changed, 219 insertions(+), 22 deletions(-) diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx index 3a878844..e5a32099 100644 --- a/BaseALTPolkit.admx +++ b/BaseALTPolkit.admx @@ -16,7 +16,7 @@ - + No @@ -48,7 +48,7 @@ - + @@ -59,15 +59,15 @@ + presentation="$(presentation.OrgFreedesktopUdisks2FileSystemMount-pr)"> - + No @@ -99,7 +99,7 @@ - + @@ -118,7 +118,7 @@ - + No @@ -150,7 +150,7 @@ - + @@ -161,7 +161,7 @@ - + No @@ -201,7 +201,7 @@ - + @@ -220,7 +220,7 @@ - + No @@ -252,7 +252,7 @@ - + @@ -271,7 +271,171 @@ - + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + No @@ -303,7 +467,7 @@ - + diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml index 016fa5aa..a8d51389 100644 --- a/ru-RU/basealtpolkit.adml +++ b/ru-RU/basealtpolkit.adml @@ -5,7 +5,8 @@ Этот файл содержит определения политик безопасности операционной системы Альт. - Разрешение на монтирование файловой системы + + Разрешение на монтирование файловой системы Разрешение на монтирование файловой системы Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -27,8 +28,8 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы - Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -136,6 +137,28 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + Общая политика монтирования устройств + Эта политика включает в себя управление тремя политиками монтирования файловой системы. + + Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + + Включить - включаются одновременно три политики: Разрешение на монтирование файловой системы, разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту и разрешение на монтирование файловой системы на системном устройстве; + + Возможные значения: + + «No» - Заблокировать разрешения; + + «Yes» - Предоставить разрешения; + + «Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + + «Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + + «Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + + «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + No Yes @@ -143,17 +166,27 @@ Auth_admin Auth_self_keep Auth_admin_keep - Общий запрет на монтирование - Общий запрет на монтирование + + + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + - Варианты ограничений: + Варианты ограничений: Блокировать Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. - Варианты ограничений: + Варианты ограничений: Блокировать Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. From 92811824f75129b8d0fc140135091fa7e4680d3b Mon Sep 17 00:00:00 2001 From: Valentin Sokolov Date: Fri, 27 Jan 2023 11:23:36 +0400 Subject: [PATCH 8/9] Added general mount policy for user --- BaseALTPolkit.admx | 166 ++++++++++++++++++++++++++++++++++++++------- 1 file changed, 141 insertions(+), 25 deletions(-) diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx index e5a32099..1535c95c 100644 --- a/BaseALTPolkit.admx +++ b/BaseALTPolkit.admx @@ -63,7 +63,7 @@ key="Software\BaseALT\Policies\Polkit" name="org.freedesktop.udisks2.filesystem-mount-user" valuename="org.freedesktop.udisks2.filesystem-mount" - presentation="$(presentation.OrgFreedesktopUdisks2FileSystemMount-pr)"> + presentation="$(presentation.OrgFreedesktopUdisks2FileSystemMountUser-pr)"> @@ -99,14 +99,6 @@ - - - - - - - - - - - - - - - - - - - - - - - - + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + From 3f859c3babcae52b4dd5c5a89b0bdf85560c2acf Mon Sep 17 00:00:00 2001 From: Valentin Sokolov Date: Fri, 27 Jan 2023 11:37:40 +0400 Subject: [PATCH 9/9] Added description to general mount policy for user --- ru-RU/basealtpolkit.adml | 104 +++++++++++++++++++++++++++------------ 1 file changed, 72 insertions(+), 32 deletions(-) diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml index a8d51389..748f2a8a 100644 --- a/ru-RU/basealtpolkit.adml +++ b/ru-RU/basealtpolkit.adml @@ -6,8 +6,10 @@ - Разрешение на монтирование файловой системы - Разрешение на монтирование файловой системы + Разрешение на автомонтирование съёмных запоминающих устройств. + Разрешение на автомонтирование съёмных запоминающих устройств. + +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств. Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -28,8 +30,10 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы - Разрешение на монтирование файловой системы + Разрешение на автомонтирование съёмных запоминающих устройств. + Разрешение на автомонтирование съёмных запоминающих устройств. + +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств. Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -50,8 +54,10 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту - Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на автомонтирование съёмных запоминающих устройств в удалённых сеансах. + Разрешение на автомонтирование съёмных запоминающих устройств в удалённых сеансах. + +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -72,8 +78,10 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту - Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на автомонтирование съёмных запоминающих устройств в удалённых сеансах + Разрешение на автомонтирование съёмных запоминающих устройств в удалённых сеансах. + +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -94,8 +102,8 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы на системном устройстве - Разрешение на монтирование файловой системы на системном устройстве + Разрешение на автомонтирование системных разделов + Разрешение на автомонтирование системных разделов Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -116,8 +124,10 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Разрешение на монтирование файловой системы на системном устройстве - Разрешение на монтирование файловой системы на системном устройстве + Разрешение на автомонтирование системных разделов + Разрешение на автомонтирование системных разделов + +Данная политика предоставляет или ограничивает разрешения на автомонтирование cистемных разделов. Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; @@ -138,28 +148,55 @@ «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). - Общая политика монтирования устройств - Эта политика включает в себя управление тремя политиками монтирования файловой системы. + Общая политика автомонтирования + Общая политика автомонтирования + +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств, автомонтирование системных разделов, автомонтирование съёмных запоминающих устройств в удалённых сеансах. + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами;; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Общая политика автомонтирования + Общая политика автомонтирования - Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; +Данная политика предоставляет или ограничивает разрешения на автомонтирование съёмных запоминающих устройств, автомонтирование системных разделов, автомонтирование съёмных запоминающих устройств в удалённых сеансах. - Включить - включаются одновременно три политики: Разрешение на монтирование файловой системы, разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту и разрешение на монтирование файловой системы на системном устройстве; +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; - Возможные значения: +Включить - разрешение на монтирование с установленными правами;; - «No» - Заблокировать разрешения; +Возможные значения: - «Yes» - Предоставить разрешения; +«No» - Заблокировать разрешения; - «Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; +«Yes» - Предоставить разрешения; - «Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; - «Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; - «Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + No Yes Auth_self @@ -170,25 +207,28 @@ - Варианты ограничений: + Варианты ограничений на автомонтирование съёмных запоминающих устройств: Блокировать - Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. - Варианты ограничений: + Блокировка изменений данной настройки политикой пользователя. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. + Варианты ограничений на автомонтирование съёмных запоминающих устройств в удалённых сеансах: Блокировать - Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. - Варианты ограничений: + Блокировка изменений данной настройки политикой пользователя. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. + Варианты ограничений на автомонтирование системных разделов: Блокировать - Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + Блокировка изменений данной настройки политикой пользователя. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. + + + Варианты ограничений на автомонтирование съёмных запоминающих устройств: + Варианты ограничений на автомонтирование съёмных запоминающих устройств в удалённых сеансах: + Варианты ограничений на автомонтирование системных разделов: Варианты ограничений: Блокировать - Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + Блокировка изменений данной настройки политикой пользователя. Блокировка политики делает её приоритетнее аналогичной политики для пользователя. Варианты ограничений: - Блокировать - Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы.