Техника и технология » Групови правила на Active Directory: Настройки

Групови правила на Active Directory: Настройки

Техника и технология

Груповите правила са йерархична инфраструктура, която позволява на администратор, който е отговорен за Active Directory, Microsoft, да въведе определени конфигурации за потребители и компютри. Груповите правила могат да се използват и за определяне на политики за потребителите, сигурността и мрежовото ниво на ниво машина.

Дефиниции

Групите на Active Directory помагат на администраторите да определят какво могат да правят потребителите в мрежата, включително файлове, папки и приложения, до които те ще имат достъп. Потребителските колекции и компютърните настройки се наричат ​​обекти на груповите правила, които се администрират от централен интерфейс, наречен конзола за управление. Груповите правила могат да се управляват и с помощта на инструменти на командния ред като gpresult и gpupdate.
В Windows Server 2008 бяха добавени настройки, известни като Избор на групови правила, за да предоставят на администраторите най-добрата посока и гъвкавост.

Active Directory - Какво е това

Обикновено думи Active Directory е услуга, базирана на търговски марки на Microsoft, е неразделна част от архитектурата на Windows. Подобно на други директории, като Novell Directory Services, AD е централизирана и стандартизирана система, която автоматично програмира управлението на мрежата за данни, сигурност и ресурси и ви позволява да взаимодействате с други директории. Active Directory е предназначена специално за разпределени мрежови среди.


Active Directory се превърна в новост за Windows 2000 Server е обновен до версия 2003година, което го прави още по-важна част от операционната система. Windows Server 2003 AD осигурява една директория, наречена услуга за директории, за всички обекти в мрежата, включително потребители, групи, компютри, принтери, правила и разрешения. За потребителя или администратора настройката на Active Directory предоставя един и същ йерархичен изглед, от който можете да управлявате всички мрежови ресурси.

Защо да прилагаме Active Directory

Има много причини за прилагането на тази система. На първо място, Microsoft Active Directory обикновено се счита за значително подобрение спрямо домейните на Windows NT Server 4.0 или дори на самостоятелни сървърни мрежи. AD има централизиран механизъм за администриране на цялата мрежа. Той също така осигурява резервиране и отказоустойчивост при разгръщане на два или повече домейн контролери в домейн.

Услугата автоматично управлява обмена на данни между домейн контролерите, така че мрежата да остане жизнеспособна. Потребителите имат достъп до всички мрежови ресурси, за които са оторизирани чрез еднократно влизане. Всички ресурси в мрежата са защитени от надежден механизъм за сигурност, който проверява удостоверяването на потребителя и разрешенията за достъп за всеки достъп. Дори и с повишена сигурност и контрол на Active Directory, повечето от неговите функции са невидими за крайните потребители. В тази връзка миграцията на потребителите към AD мрежата изисква малко преквалификация. Услугата предлага инструменти за бърз напредък и намаляване на класирането на домейн контролерите и членовете на сървърите. Можете да управлявате и защитавате системата с груповите правила на Active Directory. Той е гъвкавйерархичен организационен модел, който ви позволява лесно да управлявате и детайлизирате конкретно делегиране на административни задължения. AD е в състояние да управлява милиони обекти в рамките на един домейн.

Основни раздели

Групова политика на Active Directory Книгите се организират, като се използват четири типа дялове или контейнерни структури. Тези четири дивизии са гори, области, организационни единици и обекти:
  • Гората - събирането на всеки обект, неговите атрибути и синтаксиса.
  • Домейн - набор от компютри, които използват общ набор от политики, името и базата данни на техните членове.
  • Организационни единици - контейнери, в които домейните могат да бъдат групирани. Те създават йерархия за домейна и създават структура на компанията в географско или организационно отношение.
  • Обекти - физически групи, които не зависят от района и структурата на организационните единици. Сайтовете разграничават местоположението, свързано с ниско- и високоскоростни връзки, и се определят от една или повече IP подмрежи.
    • Горите не се ограничават до география или топология на мрежата. Една гора може да съдържа множество домейни, всяка от които има обща схема. За членове на домейн от една и съща гора дори не е необходима специална LAN или WAN връзка. Една единствена мрежа може също да бъде дом на няколко независими гори. По принцип за всяка правна единица трябва да се използва една гора. Въпреки това, допълнителни гори могат да бъдат желани за изпитвателни и изследователски цели извън производствената гора.

    Домейни

    Активни домейниДиректорията служи като контейнери за политики за сигурност и административни задачи. По подразбиране всички обекти в тях са обект на групови правила. По подобен начин всеки администратор може да управлява всички обекти в домейна. Освен това, всеки домейн има своя собствена уникална база данни. По този начин, удостоверяването се извършва на базата на домейна. След удостоверяване на потребителя на профила, този профил получава достъп до ресурсите. За конфигуриране на групови правила в Active Directory са необходими един или повече домейни. Както бе споменато по-рано, домейнът AD е колекция от компютри, които използват общия набор от политики, името и базата данни на техните членове. Домейнът трябва да има един или повече сървъри, които служат като контролери за домейн (DC) и да съхраняват базата данни, да поддържат политики и да осигуряват удостоверяване за вход.

    Контролери на домейни

    Домейн контролерът на Windows NT (PDC) и контролерът за бекъп домейн (BDC) имат роли, които могат да бъдат присвоени на сървъри в мрежа от компютри, работещи с операционната система Windows. Windows използва идеята за домейн за управление на достъпа до набор от мрежови ресурси (приложения, принтери и т.н.) за група потребители. Потребителят трябва само да влезе в домейна, за да получи достъп до ресурсите, които могат да бъдат разположени на няколко различни сървъра в мрежата.
    Един сървър, известен като основен контролер на домейна, управлява основния потребител на базата данни за домейна. Един или повече сървъри са идентифицирани като готовностКонтролери за домейни. Основният контролер периодично изпращаше копия от базата данни на резервните контролери за домейн. Контролерът на домейн може да въведе като основен домейн контролер в случай на неуспех на PDC сървъра и да помогне за балансиране на натоварването, ако мрежата е достатъчно заета.

    Делегиране и настройка на Active Directory

    В Windows 2000 Server, докато контролерите на домейни бяха запазени, ролите на PDC и BDC сървъра бяха до голяма степен заменени от Active Directory. Вече няма нужда да се създават отделни области за разделяне на административните привилегии. В рамките на ADS можете да делегирате административни привилегии въз основа на организационни единици. Домейните вече не са ограничени до 40 000 потребители. Домейните на AD могат да управляват милиони обекти. Тъй като вече няма PDC или BDC, инсталирането на групови правила на Active Directory използва репликация на умножение и всички контролери на домейн са равностойни.

    Организационна структура

    Организационните единици са много по-гъвкави и по-лесни за управление от областите. Орхидеите ви дават почти неограничена гъвкавост, тъй като можете да премествате, изтривате и създавате нови разделения, ако е необходимо. Въпреки това, домейните са много по-строги в структурата си. Домените могат да бъдат премахнати и възстановени, но този процес дестабилизира околната среда и трябва да се избягва, когато е възможно.
    Сайтовете са колекции от IP подмрежи, които имат бърза и надеждна връзка между всички хостове. Друг начин да създадете сайт е да се свържете сLAN, но не и WAN връзки, тъй като WAN връзките са много по-бавни и по-малко надеждни от LAN връзката. Чрез използването на сайта можете да контролирате и намалявате количеството трафик, който преминава през бавните ви канали в глобалната мрежа. Това може да доведе до по-ефективен трафик за целите на ефективността. Тя може също така да намали разходите за WAN връзка за услуги с плащане на бит.

    Съветникът за инфраструктура и глобалната директория

    Сред другите ключови компоненти на Windows Server Active Directory е съветникът за инфраструктура (IM), който е напълно функционален FSMO (съветник за гъвкави единични операции), който отговаря за автоматичния процес, който улавя известни остарели връзки като фантоми, в базата данни на Active Directory. Фантомите се създават в DC, които изискват препратка между обект в собствената му база данни и обект от друг домейн в гората. Това се случва например, когато добавяте потребители от един домейн към група в друг домейн, в една и съща гора. Фантомите са остарели, когато вече не съдържат най-новите данни, които възникват поради промени в обект от трета страна, представен от фантом. Например, когато даден обект се преименува, премества, премества между домейни или изтрива. Капитанът на инфраструктурата е лично отговорен за намирането и отстраняването на остарели фантоми. Всички промени, направени в резултат на процеса на "фиксиране", трябва да бъдат възстановени на други контролери на домейн. Главният оператор понякога се бърка с глобалната директория (GC), коятоподдържа частично, само за четене копие на всеки домейн в гората и, наред с други неща, се използва за универсално съхранение на групи и обработка на влизане. Тъй като GC съхранява частично копие на всички обекти, те могат да създават междинни връзки без необходимост от фантоми.

    Active Directory и LDAP

    Microsoft включва LDAP (Lightweight Directory Access Protocol) като компонент на Active Directory. LDAP е софтуерен протокол, който позволява на всеки потребител да намери организации, физически лица и други ресурси, като файлове и устройства в мрежата, независимо дали в публичния интернет или в интранет за организацията. В TCP /IP мрежите (включително интернет), системата за имена на домейни (DNS) е система от директории, която се използва за свързване на име на домейн към конкретен мрежов адрес (уникално мрежово местоположение). Може обаче да не знаете името на домейна. LDAP ви позволява да търсите хора, без да знаете къде се намират (въпреки че допълнителна информация ще ви помогне при търсенето). LDAP директорията е организирана в проста йерархична йерархия, състояща се от следните нива:
  • Главната директория (източник на източник или дърво).
  • Държави.
  • Организации.
  • Организационни единици (отдели).
  • Лица (включително хора, файлове и споделени ресурси, като например принтери).
    • LDAP директорията може да бъде разпределена между много сървъри. Всеки сървър може да има репликирана версия на споделената директория, която се синхронизира периодично. Важно е всеки администратор да разбере какво е LDAP. И така, какНамирането на информация в Active Directory и възможността за създаване на LDAP заявки е особено полезно при търсене на информация, съхранявана в базата данни на AD. Поради тази причина много администратори обръщат голямо внимание на овладяването на LDAP филтъра за търсене.

    Управление на групови правила и Active Directory

    Трудно е да се обсъжда AD без да се споменава груповата политика. Администраторите могат да използват групови правила в Microsoft Active Directory, за да определят настройките за потребители и компютри в мрежата. Тези настройки се конфигурират и съхраняват в така наречените обекти на груповите правила (GPO), които след това комуникират с обекти на Active Directory, включително домейни и сайтове. Това е основният механизъм за прилагане на промени в потребителските компютри в средата на Windows. С управлението на груповите правила администраторите могат глобално да персонализират настройките на работния плот на потребителските компютри, да ограничат /разрешат достъп до определени файлове и папки в мрежата.

    Прилагане на груповите политики

    Важно е да се разбере как се използват и прилагат обектите на груповите политики. Следният ред е приемлив за тях: първо, прилагат се правилата за локални машини, след това политиката за сайта, след това политиката за домейна, а след това правилата, които се прилагат за отделни организационни единици. Потребителски или компютърен обект може да принадлежи само на един сайт и един домейн по всяко време, така че те ще получават само обекти на групови правила, които са свързани с този сайт или домейн.

    Структура на обекта

    Обекти на GPO са разбитиДве отделни части: Шаблон за групови правила (GPT) и контейнер за групови правила (GPC). Шаблонът за групова политика е отговорен за запазването на определени параметри, създадени от gpo и е от съществено значение за неговия успех. Той запазва тези настройки в голяма структура от папки и файлове. За да приложите успешно настройките към всички потребителски и компютърни обекти, GPT трябва да се репликира към всички контролери на домейн. Контейнерът за групови правила е част от обекта на груповата политика, съхраняван в Active Directory, разположен на всеки домейн контролер в домейна. GPC е отговорен за поддържането на връзки с клиентски разширения (CSE), GPT пътища, пътеки до софтуерни инсталационни пакети и други справочни аспекти на GPO. GPC не съдържа много информация, свързана със съответния обект на груповата политика, но е необходима за функционалността на GPO. Когато се конфигурират правилата за настройка на софтуера, GPC помага да се поддържат връзки, които са свързани с обекта на груповата политика и съхранява други релационни връзки и пътеки, съхранени в атрибутите на обекта. Разбирането на GPC структурата и начинът за достъп до скрита информация, съхранявана в атрибути, ще се изплати, когато трябва да идентифицирате проблем, свързан с груповите правила.
    В Windows Server 2003 Microsoft пусна решение за управление на групови политики като средство за комбиниране на данни в модул, известно като конзола за управление на групови правила (GPMC). GPMC осигурява интерфейс за управление, върху който се фокусираGPO, което значително опростява администрирането, управлението и местоположението на обектите на груповите политики. Чрез GPMC можете да създавате нови обекти на групови политики, да редактирате и редактирате обекти, да изрязвате /копирате /поставяте обекти на груповите политики, да архивирате обекти и да изпълнявате набор от политики.

    Оптимизация

    Тъй като броят на обектите на управляваните групови политики се увеличава, той засяга производителността на машината в мрежата. Съвет: Когато намалявате производителността, ограничете мрежовите параметри на обекта. Времето за обработка се увеличава директно пропорционално на броя на отделните настройки. Сравнително простите конфигурации, като настройките на работния плот или правилата на Internet Explorer, може да отнемат много време, докато пренасочването на софтуерните папки може сериозно да зареди мрежата, особено по време на пикови периоди. Разделете персонализираните си обекти на груповата политика и след това изключете неизползваната част. Една от най-добрите практики за подобряване на производителността и за намаляване на управленското объркване е да се създадат отделни обекти за параметри, които ще се прилагат за компютри и за отделни потребители.

    Свързани публикации