Technika a technológia » Zásady skupiny Active Directory: Nastavenia

Zásady skupiny Active Directory: Nastavenia

Technika a technológia

Zásady skupiny sú hierarchickou infraštruktúrou, ktorá umožňuje správcovi, ktorý je zodpovedný za službu Active Directory, Microsoft, implementovať určité konfigurácie pre používateľov a počítače. Zásady skupiny môžu byť použité aj na určenie pravidiel používateľa, bezpečnosti a siete na úrovni zariadenia.

Definície

Skupiny služby Active Directory pomáhajú správcom určiť, čo môžu používatelia v sieti robiť, vrátane súborov, priečinkov a aplikácií, ku ktorým budú mať prístup. Zbierky používateľov a nastavenia počítača sa nazývajú objekty skupinovej politiky, ktoré sa spravujú z centrálneho rozhrania nazývaného konzola na správu. Zásady skupiny je možné spravovať aj pomocou nástrojov príkazového riadku, ako sú gpresult a gpupdate.
Windows Server 2008 bol pridaný nastavenia známe ako "Zásady skupiny" Choices poskytnúť správcom najlepšie smer a flexibilitu.

Active Directory - čo to je

Jednoduché slová Služba Active Directory je adresárová služba založená na ochranných známkach spoločnosti Microsoft, ktorá je neoddeliteľnou súčasťou architektúry Windows. Rovnako ako ostatné adresárové služby, ako je služba Novell Directory Services, je AD centralizovaný a štandardizovaný systém, ktorý automaticky spravuje správu siete pre dáta, bezpečnosť a zdroje a umožňuje interakciu s inými adresármi. Služba Active Directory je účelne navrhnutá pre distribuované sieťové prostredia.


Služba Active Directory sa stala novinkou pre systém Windows 2000 Server, ktorá bola inovovaná na verziu 2003rok, čím sa stáva ešte dôležitejšou súčasťou operačného systému. Systém Windows Server 2003 poskytuje jediný adresár nazývaný adresárová služba pre všetky objekty v sieti vrátane používateľov, skupín, počítačov, tlačiarní, pravidiel a oprávnení. Pre užívateľa alebo správcu nastavenie služby Active Directory poskytuje jeden hierarchický vzhľad, z ktorého môžete spravovať všetky sieťové zdroje.

Prečo implementovať službu Active Directory

Existuje mnoho dôvodov na implementáciu tohto systému. Po prvé, služba Microsoft Active Directory sa vo všeobecnosti považuje za výrazné zlepšenie v porovnaní s doménami Windows NT Server 4.0 alebo dokonca so samostatnými serverovými sieťami. AD má centralizovaný mechanizmus na správu celej siete. Poskytuje tiež redundanciu a odolnosť voči chybám pri nasadení dvoch alebo viacerých radičov domény do domény.

Služba automaticky spravuje výmenu dát medzi radičmi domény, aby sieť zostala životaschopná. Používatelia majú prístup ku všetkým sieťovým zdrojom, pre ktoré sú oprávnení prostredníctvom jedinej prihlásenia. Všetky zdroje v sieti sú chránené spoľahlivým bezpečnostným mechanizmom, ktorý overuje oprávnenie používateľa a autorizačné oprávnenia pre každý prístup. Dokonca aj s vyššou bezpečnosťou a ovládaním služby Active Directory, väčšina jeho funkcií je koncovým používateľom neviditeľná. V tomto ohľade migrácia používateľov do siete AD vyžaduje len malú rekvalifikáciu. Služba ponúka nástroje na rýchle napredovanie a zníženie poradia radičov domén a členských serverov. Systém môžete spravovať a chrániť pomocou zásad skupiny služby Active Directory. Je to flexibilnéhierarchický organizačný model, ktorý vám umožní jednoducho spravovať a podrobne špecifikovať delegovanie administratívnych povinností. Služba AD je schopná spravovať milióny objektov v rámci jednej domény.

Základné oddiely

Zásady skupiny služby Active Directory Knihy sa organizujú pomocou štyroch typov oddielov alebo štruktúr kontajnerov. Tieto štyri divízie sú lesy, domény, organizačné jednotky a lokality:
  • Les - zbierka každého objektu, jeho atribúty a syntax.
  • Doména - súbor počítačov, ktorý používa spoločný súbor pravidiel, meno a databázu svojich členov.
  • Organizačné jednotky - kontajnery, v ktorých možno zoskupiť domény. Vytvárajú hierarchiu pre doménu a vytvárajú štruktúru spoločnosti v geografickom alebo organizačnom zmysle.
  • Lokality - fyzické skupiny, ktoré nezávisia od oblasti a štruktúry organizačných jednotiek. Webové lokality rozlišujú umiestnenie, ktoré je pripojené k nízkym a vysokorýchlostným pripojeniam a určené jednou alebo viacerými podsieťami IP.
    • Lesy sa neobmedzujú na geografiu alebo topológiu siete. Jeden dom môže obsahovať viacero domén, z ktorých každý má všeobecnú schému. Pre členov domény toho istého lesa sa nevyžaduje ani vyhradené pripojenie k sieti LAN alebo WAN. Jediná sieť môže byť tiež domovom niekoľkých nezávislých lesov. Vo všeobecnosti sa pre každú právnickú osobu musí použiť jeden les. Dodatočné lesy však môžu byť vhodné na testovanie a výskumné účely mimo produkčného lesa.

    Domény

    Domény ActiveAdresár slúži ako kontajner pre bezpečnostné pravidlá a administratívne priradenia. Štandardne všetky objekty v nich podliehajú skupinovým pravidlám. Podobne každý správca môže spravovať všetky objekty v rámci domény. Okrem toho má každá doména vlastnú jedinečnú databázu. Autentifikácia sa teda vykonáva na základe domény. Po autentifikácii používateľa účtu získa tento účet prístup k zdrojom. Na konfiguráciu zásad skupiny v službe Active Directory sa vyžaduje jedna alebo viacero domén. Ako bolo uvedené vyššie, doména AD je kolekcia počítačov, ktoré používajú všeobecnú sadu pravidiel, meno a databázu svojich členov. Doména musí mať jeden alebo viac serverov, ktoré slúžia ako radiče domén (DCs) a ukladajú databázu, dodržiavajú zásady a poskytujú autentifikáciu pre prihlasovacie údaje.

    Ovládače domén

    Doménový radič Windows Control Panel (PDC) a Backup Domain Controller (BDC) majú role, ktoré možno priradiť k serverom v sieti počítačov s operačným systémom Windows. Systém Windows použil námet domény na riadenie prístupu k súboru sieťových zdrojov (aplikácie, tlačiarne atď.) Pre skupinu používateľov. Používateľ potrebuje iba prihlásenie do domény na prístup k zdrojom, ktoré môžu byť umiestnené na viacerých rôznych serveroch v sieti.
    Jeden server, známy ako hlavný regulátor domény, spravoval hlavného používateľa databázy pre doménu. Jeden alebo viac serverov bolo označených ako pohotovostný režimOvládače domény. Primárny kontrolór periodicky odosielal kópie databázy záložných radičov domény. Riadiaci systém domény môže vstúpiť ako primárny radič domény v prípade, že server PDC zlyhá a môže pomôcť vyváženiu pracovného zaťaženia, ak je sieť dostatočne zaneprázdnená.

    Delegácia a nastavenie služby Active Directory

    V systéme Windows 2000 Server, zatiaľ čo radiče domény boli uložené, role serverov PDC a BDC boli vo veľkej miere nahradené službou Active Directory. Už nie je potrebné vytvárať samostatné domény pre rozdelenie oprávnení správcu. V rámci ADS môžete delegovať oprávnenia správcu na základe organizačných jednotiek. Domény už nie sú obmedzené na hranicu 40 000 používateľov. Domény AD môžu spravovať milióny objektov. Keďže už nie je PDC alebo BDC, nastavenie zásad skupiny Active Directory používa replikáciu násobenia a všetky radiče domény sú peer-to-peer.

    Organizačná štruktúra

    Organizačné jednotky sú oveľa pružnejšie a ľahšie spravovateľné ako domény. Orchidey vám poskytujú takmer neobmedzenú flexibilitu, pretože podľa potreby môžete presúvať, mazať a vytvárať nové divízie. Avšak domény sú vo svojom štruktúre nastavenia oveľa prísnejšie. Domény je možné odstrániť a znovu vytvoriť, ale tento proces destabilizuje životné prostredie a malo by sa ho vyhnúť vždy, keď je to možné.
    Stránky sú kolekcie podsietí IP, ktoré majú rýchle a spoľahlivé spojenie medzi všetkými hostiteľmi. Ďalším spôsobom vytvorenia stránky je pripojenieLAN, ale nie pripojenia WAN, pretože pripojenia WAN sú oveľa pomalšie a menej spoľahlivé ako pripojenie k sieti LAN. Užívaním webu, môžete kontrolovať a znížiť množstvo prevádzky, ktorý prechádza vašej malou šírkou pásma WAN. To môže viesť k efektívnejšiemu toku návštevnosti pre výkonnostné ciele. Môže tiež znížiť náklady na pripojenie WAN pre služby typu pay-per-bit.

    Master of infraštruktúry a globálny katalóg

    Medzi ďalšie kľúčové komponenty Windows Server Active Directory je hlavný server infraštruktúry (IM), čo je plne vybavený servis FSMO (Flexible Single Master Operations), ktorý je zodpovedný za automatizovaného procesu, ktorý zachytáva zastarané odkazy známych ako fantómov, v databáze služby Active Directory. Fantómy vytvorené vo Washingtone, ktoré vyžadujú krížové odkazy medzi objektom vo svojej vlastnej databázy a objekt z inej domény v lese. K tomu dochádza napríklad pri pridanie používateľa z jednej domény do skupiny v inej doméne v rovnakom lese. Phantoms považované za zastarané, keď už neobsahujú najnovšie údaje vyplývajúce z dôvodu zmien v cudzej predmety zastúpené prízrak. Napríklad, keď cieľový objekt je premenovaný, presúvaný, presunutý medzi doménami alebo vymazaný. Master Infrastructure Master je osobne zodpovedný za hľadanie a odstraňovanie zastaraných fantómov. Akékoľvek zmeny vykonané v dôsledku procesu "opravy", potom musia byť obnovené do iných radičov domény. Kapitán infraštruktúry je niekedy zamieňaný s globálnym adresárom (GC), ktorýpodporuje kopírovanie každej domény v doméne len na čítanie a okrem iného sa používa na univerzálne ukladanie skupín a spracovanie prihlasovania. Keďže GC ukladá čiastočnú kópiu všetkých objektov, môžu vytvárať interdomainové odkazy bez potreby fantómov.

    Služba Active Directory a LDAP

    Spoločnosť Microsoft zahŕňa protokol LDAP (Lightweight Directory Access Protocol) ako súčasť služby Active Directory. LDAP je softvérový protokol, ktorý umožňuje každému používateľovi nájsť organizácie, jednotlivcov a iné zdroje, ako sú súbory a zariadenia v sieti, či už na verejnom internete alebo na intranete pre organizáciu. V sieťach TCP /IP (vrátane internetu) je Domain Name System (DNS) adresárový systém používaný na viazanie názvu domény na konkrétnu sieťovú adresu (jedinečné sieťové umiestnenie). Názov domény však možno nebudete vedieť. LDAP umožňuje vyhľadať ľudí bez toho, aby vedeli, kde sa nachádzajú (aj keď vám pri vyhľadávaní pomôžu ďalšie informácie). Adresár LDAP je usporiadaný v jednoduchej hierarchickej hierarchii pozostávajúcej z nasledujúcich úrovní:
  • Koreňový adresár (zdroj alebo zdroj stromu).
  • Krajiny.
  • Organizácie.
  • Organizačné jednotky (oddelenia).
  • Jednotlivci (vrátane ľudí, súborov a zdieľaných zdrojov, ako sú tlačiarne).
    • Adresár LDAP môže byť distribuovaný medzi mnohými servermi. Každý server môže mať replikovanú verziu zdieľaného adresára, ktorá sa periodicky synchronizuje. Je dôležité, aby každý správca pochopil, čo je LDAP. Tak akoHľadanie informácií v službe Active Directory a možnosť vytvárania dopytov LDAP je obzvlášť užitočné pri vyhľadávaní informácií uložených v databáze AD. Z tohto dôvodu mnohí administrátori venujú veľkú pozornosť zvládnutiu vyhľadávacieho filtra LDAP.

    Správa zásad skupiny a Active Directory

    Je ťažké diskutovať o AD bez uvedenia skupinovej politiky. Administrátori môžu v službe Microsoft Active Directory použiť pravidlá skupiny, aby určili nastavenia pre používateľov a počítače v sieti. Tieto nastavenia sú nakonfigurované a uložené v takzvaných objektoch Zásady skupiny (GPO), ktoré potom komunikujú s objektmi služby Active Directory vrátane domén a lokalít. Toto je hlavný mechanizmus pre aplikáciu zmien používateľských počítačov v prostredí Windows. Pri správe zásad skupiny môžu administrátori globálne prispôsobiť nastavenia pracovnej plochy v používateľských počítačoch, obmedziť alebo povoliť prístup k určitým súborom a priečinkom v sieti.

    Uplatňovanie skupinových politík

    Je dôležité pochopiť, ako sa používajú a používajú objekty politiky skupiny. Nasledujúca objednávka je pre ne prijateľná: po prvé, uplatňujú sa zásady lokálnych počítačov, potom pravidlá stránok, potom zásady domény a potom pravidlá, ktoré sa vzťahujú na jednotlivé organizačné jednotky. Vlastný alebo počítačový objekt môže v akomkoľvek okamihu patriť iba k jednému serveru a k jednej doméne, takže budú dostávať iba objekty politiky skupiny, ktoré sú priradené k danému webu alebo doméne.

    Objektová štruktúra

    Objekty GPO sú rozdelenéDve samostatné časti: šablóna politiky skupiny (GPT) a kontajner skupiny politiky (GPC). Šablóna politiky skupiny je zodpovedná za zachovanie určitých parametrov vytvorených gpo a je nevyhnutná pre jej úspech. Tieto nastavenia ukladá vo veľkej štruktúre priečinkov a súborov. Ak chcete úspešne aplikovať nastavenia na všetky objekty používateľa a počítača, GPT musí byť replikované všetkým radičom domény. Kontajner Zásady skupiny je súčasťou objektu Zásady skupiny, ktorý je uložený v službe Active Directory a nachádza sa na každom radiči domény v doméne. Spoločnosť GPC je zodpovedná za udržiavanie odkazov na rozšírenia klienta (CSE), cesty GPT, cesty k inštalačným balíkom softvéru a ďalšie referenčné aspekty objektov GPO. GPC neobsahuje veľa informácií súvisiacich s príslušným objektom politiky skupiny, ale je potrebná pre funkčnosť GPO. Keď sú nakonfigurované politiky nastavenia softvéru, GPC pomáha udržiavať odkazy, ktoré sú spojené s objektom politiky skupiny a ukladá iné relačné odkazy a cesty uložené v atribútoch objektu. Pochopenie štruktúry GPC a spôsobu prístupu ku skrytým informáciám uloženým v atribútoch sa vyplatí, keď potrebujete identifikovať problém súvisiaci s pravidlami skupiny.
    V systéme Windows Server 2003 spoločnosť Microsoft vydala riešenie na správu skupinových politík ako nástroj na kombináciu údajov v rámci systému snap, známeho ako Konzola správy zásad skupiny (GPMC). GPMC poskytuje rozhranie pre správu, ktoré sa zameriava naGPO, čo výrazne zjednodušuje správu, správu a umiestnenie objektov politiky skupiny. Prostredníctvom modulu GPMC môžete vytvoriť nové objekty zásad skupiny, upravovať a upravovať objekty, odstraňovať /kopírovať /vkladať objekty politiky skupiny, zálohovať objekty a vykonávať výslednú sadu pravidiel.

    Optimalizácia

    Keď počet objektov spravovaných skupín politiky narastá, ovplyvňuje výkon zariadenia v sieti. Tip: Pri znižovaní výkonu obmedzíte sieťové parametre objektu. Doba spracovania sa zvyšuje priamo v pomere k počtu individuálnych nastavení. Relatívne jednoduché konfigurácie, napríklad nastavenia počítača alebo pravidlá programu Internet Explorer, môžu trvať dlho, zatiaľ čo presmerovanie softvérových priečinkov môže vážne načítať sieť, najmä počas špičkových období. Rozdeľte svoje vlastné objekty Zásady skupiny a potom vypnite nepoužitú časť. Jednou z najlepších postupov na zvýšenie produktivity a znižovanie managerial zmätok je vytvorenie samostatných objektov pre parametre, ktoré sa budú používať na počítače a pre jednotlivých používateľov.

    Súvisiace publikácie