Technika i technologia » Zasady grupy Active Directory: Ustawienia

Zasady grupy Active Directory: Ustawienia

Technika i technologia

Zasady grupy to hierarchiczna infrastruktura, która pozwala administratorowi odpowiedzialnemu za Active Directory, Microsoft, implementować określone konfiguracje dla użytkowników i komputerów. Zasad grupy można również używać do określania zasad dotyczących użytkowników, zabezpieczeń i zasad sieciowych na poziomie komputera.

Definicje

Grupy Active Directory pomagają administratorom określić, co użytkownicy mogą robić w sieci, w tym pliki, foldery i aplikacje, do których będą mieli dostęp. Zbiory użytkowników i ustawienia komputera są nazywane obiektami zasad grupy, które są administrowane z centralnego interfejsu nazywanego konsolą zarządzania. Zasadami grupy można również zarządzać za pomocą narzędzi wiersza poleceń, takich jak gpresult i gpupdate.
W systemie Windows Server 2008 dodano ustawienia znane jako Wybory zasad grupy, aby zapewnić administratorom najlepszą orientację i elastyczność.

Active Directory - co to jest

Proste słowa Active Directory to usługa katalogowa oparta na znakach towarowych Microsoft, jest integralną częścią architektury systemu Windows. Podobnie jak inne usługi katalogowe, takie jak Novell Directory Services, AD to scentralizowany i ustandaryzowany system, który automatycznie programuje zarządzanie siecią dla danych, bezpieczeństwa i zasobów oraz umożliwia interakcję z innymi katalogami. Usługa Active Directory została zaprojektowana celowo w rozproszonych środowiskach sieciowych.


Usługa Active Directory stała się nowością dla systemu Windows 2000 Server, który został uaktualniony do wersji 2003roku, co czyni go jeszcze ważniejszą częścią systemu operacyjnego. Usługa Windows Server 2003 AD udostępnia pojedynczy katalog nazywany usługą katalogową dla wszystkich obiektów w sieci, w tym użytkowników, grup, komputerów, drukarek, zasad i uprawnień. Dla użytkownika lub administratora ustawienie Active Directory zapewnia pojedynczy hierarchiczny wygląd, z którego można zarządzać wszystkimi zasobami sieciowymi.

Po co wdrażać Active Directory

Jest wiele powodów, dla których warto wdrożyć ten system. Po pierwsze, Microsoft Active Directory jest ogólnie uważany za znaczące ulepszenie w stosunku do domen Windows NT Server 4.0 lub nawet niezależnych sieci serwerów. AD ma scentralizowany mechanizm administrowania całą siecią. Zapewnia także redundancję i odporność na uszkodzenia podczas wdrażania dwóch lub większej liczby kontrolerów domeny w domenie.

Usługa automatycznie zarządza wymianą danych między kontrolerami domeny, aby sieć pozostała opłacalna. Użytkownicy mają dostęp do wszystkich zasobów sieciowych, do których są uprawnieni przez pojedyncze logowanie. Wszystkie zasoby w sieci są chronione przez niezawodny mechanizm bezpieczeństwa, który weryfikuje uwierzytelnianie użytkownika i uprawnienia uprawnień dla każdego dostępu. Nawet przy zwiększonym bezpieczeństwie i kontroli Active Directory większość jego funkcji jest niewidoczna dla użytkowników końcowych. W związku z tym migracja użytkowników do sieci AD wymaga niewielkiego przekwalifikowania. Usługa oferuje narzędzia do szybkiego rozwoju i obniżania rankingu kontrolerów domen i serwerów członkowskich. Możesz zarządzać i chronić system za pomocą Zasad grupy Active Directory. Jest elastycznyhierarchiczny model organizacyjny, który pozwala w łatwy sposób zarządzać i szczegółowo określać delegowanie obowiązków administracyjnych. AD jest w stanie zarządzać milionami obiektów w ramach jednej domeny.

Sekcje podstawowe

Książki zasad grupowych Active Directory są zorganizowane przy użyciu czterech typów partycji lub struktur kontenerowych. Te cztery działy to lasy, domeny, jednostki organizacyjne i witryny:
  • Las - kolekcja każdego obiektu, jego atrybuty i składnia.
  • Domena - zestaw komputerów wykorzystujących wspólny zestaw zasad, nazwę i bazę danych swoich członków.
  • Jednostki organizacyjne - Pojemniki, w których można grupować domeny. Tworzą hierarchię dla domeny i tworzą strukturę firmy pod względem geograficznym lub organizacyjnym.
  • Strony - grupy fizyczne, które nie zależą od obszaru i struktury jednostek organizacyjnych. Witryny rozróżniają lokalizację połączoną przez połączenia o niskiej i wysokiej przepustowości i są określane przez jedną lub więcej podsieci IP.
    • Lasy nie są ograniczone do geografii lub topologii sieci. Jeden las może zawierać wiele domen, z których każda ma ogólny schemat. W przypadku członków domeny z tego samego lasu nawet dedykowane połączenie LAN lub WAN nie jest wymagane. Pojedyncza sieć może być również domem wielu niezależnych lasów. Zasadniczo jeden las musi być używany dla każdej osoby prawnej. Jednak dodatkowe lasy mogą być pożądane w celach testowych i badawczych poza lasem produkcyjnym.

    Domeny

    Domeny AktywneKatalog służy jako kontenery dla polityk bezpieczeństwa i przydziałów administracyjnych. Domyślnie wszystkie znajdujące się w nich obiekty podlegają zasadom grupowym. Podobnie każdy administrator może zarządzać wszystkimi obiektami w domenie. Ponadto każda domena ma swoją własną unikalną bazę danych. Tak więc uwierzytelnianie odbywa się na podstawie domeny. Po uwierzytelnieniu użytkownika konta to konto uzyskuje dostęp do zasobów. Jedna lub więcej domen jest wymagana do skonfigurowania zasad grupy w usłudze Active Directory. Jak wspomniano wcześniej, domena AD jest zbiorem komputerów, które używają ogólnego zestawu zasad, nazwy i bazy danych swoich członków. Domena musi mieć jeden lub więcej serwerów, które służą jako kontrolery domeny (DC) i przechowywać bazę danych, utrzymywać zasady i zapewniać uwierzytelnianie dla identyfikatorów logowania.

    Kontrolery domeny

    Kontroler domeny systemu Windows NT (PDC) i kontroler domeny kopii zapasowej (BDC) mają role, które można przypisać do serwerów w sieci komputerów z systemem operacyjnym Windows. System Windows używał pomysłu domeny do zarządzania dostępem do zbioru zasobów sieciowych (aplikacji, drukarek itp.) Dla grupy użytkowników. Użytkownik musi tylko zalogować się do domeny, aby uzyskać dostęp do zasobów, które mogą znajdować się na kilku różnych serwerach w sieci.
    Jeden serwer, znany jako główny kontroler domeny, zarządzał głównym użytkownikiem bazy danych dla domeny. Jeden lub więcej serwerów zostało zidentyfikowanych jako stan gotowościKontrolery domeny. Główny kontroler okresowo wysyłał kopie bazy danych zapasowych kontrolerów domeny. Kontroler domeny może wprowadzić jako podstawowy kontroler domeny w przypadku awarii serwera PDC i może pomóc zrównoważyć obciążenie pracą, jeśli sieć jest wystarczająco obciążona.

    Delegowanie i konfigurowanie usługi Active Directory

    W systemie Windows 2000 Server, podczas gdy kontrolery domeny były zapisywane, role serwera PDC i BDC zostały w dużej mierze zastąpione przez usługę Active Directory. Nie ma już potrzeby tworzenia oddzielnych domen dla podziału uprawnień administracyjnych. W ramach usługi ADS możesz delegować uprawnienia administracyjne na podstawie jednostek organizacyjnych. Domeny nie są już ograniczone do limitu 40 000 użytkowników. Domeny AD mogą zarządzać milionami obiektów. Ponieważ nie ma już kontrolera PDC ani BDC, Instalator zasad grupy usługi Active Directory używa replikacji mnożenia, a wszystkie kontrolery domeny są urządzeniami typu peer-to-peer.

    Struktura organizacyjna

    Jednostki organizacyjne są znacznie bardziej elastyczne i łatwiejsze do zarządzania niż domeny. Storczyki zapewniają niemal nieograniczoną elastyczność, ponieważ można przenosić, usuwać i tworzyć nowe podziały w miarę potrzeb. Domeny są jednak znacznie sztywniejsze w swoich ustawieniach struktury. Domeny mogą być usuwane i ponownie tworzone, ale proces ten destabilizuje środowisko i powinno się go unikać, gdy tylko jest to możliwe.
    Witryny to kolekcje podsieci IP, które mają szybkie i niezawodne połączenie między wszystkimi hostami. Innym sposobem na utworzenie witryny jest nawiązanie połączeniaLAN, ale nie połączeń WAN, a także połączenie WAN jest znacznie wolniejsze i mniej wiarygodne niż połączenia LAN. Za pośrednictwem witryny, można kontrolować i ograniczyć ilość ruchu, który przechodzi przez twój niskiej przepustowości sieci WAN. Może to prowadzić do bardziej efektywnego przepływu ruchu dla celów skuteczności. Może również obniżyć koszt połączenia WAN dla usług typu "pay-per-bit".

    Pan infrastruktury i globalnego

    Inne kluczowe składniki systemu Windows Server Active Directory jest infrastruktura master (IM), który jest w pełni funkcjonalny serwis FSMO (Flexible Single Master Operations), odpowiedzialny za zautomatyzowanego procesu, który przechwytuje nieaktualnych linków znane jako fantomy w bazie danych Active Directory. Fantomy tworzone w Waszyngtonie, które wymagają odsyłaczy między obiektem w ramach własnej bazy danych i obiekt z innej domeny w lesie. Dzieje się tak na przykład, gdy dodasz użytkownika z jednej domeny do grupy w innej domenie, w tym samym lesie. Phantoms uważane przestarzałe, kiedy już nie zawierać najnowsze dane wynikające z tytułu zmian ciał obcych reprezentowana fantom. Na przykład, gdy obiekt docelowy zostanie zmieniony, przeniesiony, przeniesiony między domenami lub usunięty. Administrator infrastruktury jest osobiście odpowiedzialny za znajdowanie i naprawianie przestarzałych fantomów. Wszelkie zmiany wprowadzone w wyniku procesu "naprawienia" muszą zostać odtworzone na innych kontrolerach domeny. Wzorzec infrastruktury jest czasami mylony z katalogiem globalnym (GC), któryobsługuje częściową, tylko do odczytu kopię każdej domeny w lesie, a między innymi służy do uniwersalnego przechowywania grup i logowania do przetwarzania. Ponieważ GC przechowuje częściową kopię wszystkich obiektów, może tworzyć łącza między domenami bez potrzeby fantomów.

    Active Directory i LDAP

    Microsoft włącza LDAP (Lightweight Directory Access Protocol) jako składnik Active Directory. LDAP to protokół oprogramowania, który pozwala każdemu użytkownikowi znaleźć organizacje, osoby i inne zasoby, takie jak pliki i urządzenia w sieci, w publicznym Internecie lub w intranecie organizacji. W sieciach TCP /IP (w tym w Internecie) system nazw domen (DNS) jest systemem katalogowym służącym do wiązania nazwy domeny z określonym adresem sieciowym (unikalna lokalizacja sieciowa). Jednak możesz nie znać nazwy domeny. LDAP umożliwia wyszukiwanie osób bez znajomości ich lokalizacji (chociaż dodatkowe informacje pomogą ci w wyszukiwaniu). Katalog LDAP jest zorganizowany w prostej hierarchicznej hierarchii, składającej się z następujących poziomów:
  • Katalog główny (źródło lub drzewo źródłowe).
  • Kraje.
  • Organizacje.
  • Jednostki organizacyjne (departamenty).
  • Osoby fizyczne (w tym osoby, pliki i udostępnione zasoby, takie jak drukarki).
    • Katalog LDAP może być rozpowszechniany na wielu serwerach. Każdy serwer może mieć replikowaną wersję katalogu współdzielonego, który jest okresowo synchronizowany. Dla każdego administratora ważne jest zrozumienie, co to jest LDAP. Więc jakZnajdowanie informacji w Active Directory i możliwość tworzenia zapytań LDAP jest szczególnie przydatna podczas wyszukiwania informacji przechowywanych w bazie danych AD. Z tego powodu wielu administratorów przywiązuje dużą wagę do opanowania filtru wyszukiwania LDAP.

    Zarządzanie zasadami grupy i Active Directory

    Trudno dyskutować o AD, nie wspominając o zasadach grupy. Administratorzy mogą używać zasad grup w Microsoft Active Directory, aby określić ustawienia dla użytkowników i komputerów w sieci. Te ustawienia są konfigurowane i przechowywane w tak zwanych obiektach zasad grupy (GPO), które następnie komunikują się z obiektami usługi Active Directory, w tym z domenami i lokacjami. Jest to główny mechanizm wprowadzania zmian na komputerach użytkowników w środowisku Windows. Dzięki zarządzaniu zasadami grupy administratorzy mogą globalnie dostosowywać ustawienia pulpitu na komputerach użytkowników, ograniczać /zezwalać na dostęp do niektórych plików i folderów w sieci.

    Zastosowanie zasad grupowych

    Ważne jest, aby zrozumieć, w jaki sposób wykorzystywane są i są stosowane obiekty polityki grupowej. Następująca kolejność jest dla nich akceptowalna: najpierw stosowane są lokalne zasady komputera, następnie zasady witryny, a następnie zasady domeny, a następnie zasady mające zastosowanie do poszczególnych jednostek organizacyjnych. Obiekt niestandardowy lub komputer może należeć tylko do jednej witryny i jednej domeny w danym czasie, więc będą otrzymywać tylko obiekty zasad grupy powiązane z daną witryną lub domeną.

    Struktura obiektu

    Obiekty GPO są podzielone naDwie oddzielne części: szablon zasad grupy (GPT) i kontener zasad grupy (GPC). Szablon zasad grupy jest odpowiedzialny za zachowanie pewnych parametrów stworzonych przez gpo i ma zasadnicze znaczenie dla jego sukcesu. Zapisuje te ustawienia w dużej strukturze folderów i plików. Aby pomyślnie zastosować ustawienia do wszystkich obiektów użytkowników i komputerów, GPT musi być replikowany na wszystkie kontrolery domeny. Kontener zasad grupy jest częścią obiektu zasad grupy przechowywanego w usłudze Active Directory, znajdującego się na każdym kontrolerze domeny w domenie. GPC odpowiada za utrzymanie łączy rozszerzeń klientów (CSE), ścieżek GPT, ścieżek do pakietów instalacyjnych oprogramowania i innych referencyjnych aspektów GPO. GPC nie zawiera wielu informacji związanych z odpowiednim obiektem polityki grupowej, ale jest to niezbędne dla funkcjonalności GPO. Po skonfigurowaniu zasad konfiguracji oprogramowania GPC pomaga utrzymywać łącza, które są powiązane z obiektem zasad grupy i przechowuje inne relacyjne łącza i ścieżki przechowywane w atrybutach obiektów. Zrozumienie struktury GPC i sposobu dostępu do ukrytych informacji przechowywanych w atrybutach opłaci się, gdy trzeba będzie zidentyfikować problem związany z zasadami grupy.
    W systemie Windows Server 2003 firma Microsoft opublikowała rozwiązanie do zarządzania zasadami grupy jako narzędzie do łączenia danych w mgnieniu oka, znane jako konsola zarządzania zasadami grupy (GPMC). Konsola zarządzania zasadami grupy udostępnia interfejs zarządzania, na którym się koncentrujeGPO, co znacznie upraszcza administrację, zarządzanie i lokalizację obiektów polityki grupowej. Za pomocą konsoli zarządzania zasadami grupy można tworzyć nowe obiekty zasad grup, edytować i edytować obiekty, wycinać /kopiować /wklejać obiekty zasad grupy, tworzyć kopie zapasowe obiektów i wykonywać zestaw reguł.

    Optymalizacja

    Wraz ze wzrostem liczby obiektów zasad grupy zarządzanej wpływa na wydajność maszyny w sieci. Wskazówka: zmniejszając wydajność, ogranicz parametry sieciowe obiektu. Czas przetwarzania jest zwiększany bezpośrednio proporcjonalnie do liczby indywidualnych ustawień. Stosunkowo proste konfiguracje, takie jak ustawienia pulpitu lub zasady programu Internet Explorer, mogą zająć dużo czasu, a przekierowanie folderów oprogramowania może poważnie załadować sieć, szczególnie w okresach szczytu. Podziel niestandardowe obiekty zasad grupy, a następnie wyłącz nieużywaną część. Jedną z najlepszych praktyk w zakresie zwiększania wydajności i zmniejszania chaosu menedżerskiego jest tworzenie osobnych obiektów dla parametrów, które będą stosowane do komputerów i dla indywidualnych użytkowników.

    Powiązane publikacje