Групови правила на Active Directory: Настройки

Груповите правила са йерархична инфраструктура, която позволява на мрежовия администратор, отговарящ за Microsoft Active Directory, да прилага специфични конфигурации за потребители и компютри. Груповите правила могат да се използват и за определяне на потребителски, защитни и мрежови политики на ниво машина.

дефиниция

Групите на Active Directory помагат на администраторите да определят какво могат да правят потребителите в мрежата, включително файлове, папки и приложения, до които ще имат достъп. Колекциите от потребителски и компютърни настройки се наричат ​​GPO, които се администрират от централен интерфейс, наречен управленска конзола. Груповите правила могат да се контролират и с помощта на инструменти от команден ред, като gpresult и gpupdate.

Най- Windows сървър Добавени бяха настройки за 2008 г., известни като избор на групови политики, за да се осигури по-добър фокус и гъвкавост на администраторите.

Active Directory - какво е това

Казано с прости думи, Active Directory е базирана в Microsoft търговска марка, която е задължителна част от архитектурата на Windows. Подобно на други директории като Novell Directory Services, AD е централизирана и стандартизирана система, която автоматично програмира мрежовото управление на данни, сигурност и ресурси, а също така ви позволява да взаимодействате с други директории. Active Directory е проектиран специално за разпределени мрежови среди.

Active Directory се превърна в нова функция за Windows 2000 Server и бе подобрена през 2003 г., което го прави още по-важна част от операционната система. Windows Server 2003 AD осигурява една връзка, наречена услуга за директории за всички обекти в мрежа, включително потребители, групи, компютри, принтери, правила и разрешения.

За потребител или администратор, създаването на Active Directory осигурява единен йерархичен изглед, от който могат да се управляват всички мрежови ресурси.

Защо да прилагаме Active Directory

Има много причини за прилагането на тази система. На първо място, Microsoft Active Directory обикновено се счита за значително подобрение спрямо домейните на Windows NT Server 4.0 или дори на автономни сървърни мрежи. AD разполага с централизиран административен механизъм в цялата мрежа. Той също така осигурява резервиране и отказоустойчивост при разгръщане на два или повече домейн контролера в домейн.

Услугата автоматично управлява обмена на данни между домейн контролерите, така че мрежата да остане жизнеспособна. Потребителите получават достъп до всички ресурси в мрежата, за които са упълномощени, като използват единично влизане. Всички ресурси в мрежата са защитени от стабилен механизъм за сигурност, който проверява автентификацията на потребителя и авторизацията на ресурсите за всеки достъп.

Дори и с подобрена защита и контрол на Active Directory, повечето от неговите функции са невидими за крайните потребители. В тази връзка миграцията на потребители към AD мрежата изисква малко преквалификация. Услугата предлага средства за бързо усъвършенстване и понижаване на нивото на домейн контролерите и членовете на сървърите. Системата може да се управлява и защитава чрез групови правила на Active Directory. Това е гъвкав йерархичен организационен модел, който улеснява управлението и детайлизирането на конкретно делегиране на административни отговорности. AD е в състояние да управлява милиони обекти в рамките на един домейн.

Основни раздели

Книгите за груповите правила на Active Directory са организирани с помощта на четири типа дялове или контейнерни структури. Тези четири отдела са гори (гори), домейни, организационни единици и уебсайтове:

• Forest - колекция от всеки обект, неговите атрибути и синтаксис.

• Домейн - набор от компютри, които използват общ набор от правила, име и база данни на своите членове.

• Организационните единици са контейнери, в които могат да бъдат групирани домейни. Те създават йерархия за домейна и създават фирмена структура в географски или организационни условия.

• Сайтовете са физически групи, които не зависят от района и структурата на организационните единици. Сайтовете разграничават местата, свързани с ниско- и високоскоростни връзки и са дефинирани от една или няколко IP подмрежи.

Горите не се ограничават до география или топология на мрежата. Една гора може да съдържа множество домейни, всяка от които има обща схема. Членовете на една и съща горска област дори не се нуждаят от специална LAN или WAN връзка. Една единствена мрежа може да бъде дом на няколко независими гори. По принцип една гора трябва да се използва за всяко юридическо лице. Въпреки това, допълнителни гори могат да бъдат желани за изпитвателни и изследователски цели извън производствената гора.

домейни

Домейните на Active Directory служат като контейнери за политики за защита и административни задачи. По подразбиране всички обекти в тях са обект на групови правила. По подобен начин всеки администратор може да управлява всички обекти в домейн. Освен това, всеки домейн има своя собствена уникална база данни. По този начин удостоверяването се основава на домейна. След удостоверяване на потребителски акаунт, тази сметка получава достъп до ресурси.

За да конфигурирате групови политики в Active Directory, са необходими един или повече домейни. Както бе споменато по-рано, AD домейн е набор от компютри, които използват общ набор от правила, името и базата данни на техните членове. Домейнът трябва да има един или повече сървъри, които служат като контролери за домейн (DC) и да съхраняват базата данни, политики за поддръжка и да предоставят удостоверяване за вход.

Контролери за домейни

В Windows NT базовият домейн контролер (PDC) и резервният домейн контролер (BDC) са роли, които могат да бъдат присвоени на сървър в мрежа от компютри, използващи операционната система Windows. Windows използва идеята за домейн, за да контролира достъпа до набор от мрежови ресурси (приложения, принтери и т.н.) за група потребители. Потребителят трябва само да влезе в домейна, за да има достъп до ресурси, които могат да бъдат разположени на няколко различни сървъра в мрежата.

Един сървър, известен като основен домейн контролер, управляваше основната потребителска база данни за домейна. Един или повече сървъри бяха дефинирани като резервни контролери за домейн. Основният контролер периодично изпраща копия на базата данни на резервните контролери за домейн. Контролерът на резервния домейн може да влезе като основен домейн контролер, в случай, че PDC сървърът се провали, и може да помогне да се балансира натоварването, ако мрежата е достатъчно заета.

Делегиране и конфигуриране на Active Directory

В Windows 2000 Server, докато домейн контролерите бяха запазени, ролята на PDC и BDC сървъра беше заменена предимно от Active Directory. Вече не е необходимо да се създават отделни домейни за отделни административни привилегии. Вътре в АД можете да делегирате административни привилегии въз основа на организационни единици. Домейните вече не са ограничени до 40 000 потребители. Домейните на AD могат да управляват милиони обекти. Тъй като няма повече PDC и BDC, настройките на груповите правила на Active Directory прилагат мултимастерна репликация, а всички контролери за домейн са peer-to-peer.

Организационна структура

Организационните единици са много по-гъвкави и по-лесни за управление, отколкото в области. Orgits ви дават почти неограничена гъвкавост, тъй като можете да ги преместите, да ги изтриете и да създадете нови единици, ако е необходимо. Въпреки това, домейните са много по-строги в структурата на настройките. Домените могат да бъдат изтривани и пресъздадени, но този процес дестабилизира околната среда и трябва да се избягва, когато е възможно.

Сайтовете са колекции от IP подмрежи, които имат бърза и надеждна връзка между всички хостове. Друг начин за създаване на сайт е да се свържете към локална мрежа, но не и към WAN връзка, тъй като WAN връзките са много по-бавни и по-малко надеждни от LAN връзките. С помощта на сайтове можете да контролирате и намалявате количеството трафик, който преминава през бавните глобални мрежови канали. Това може да доведе до по-ефективен трафик за изпълнение на задачи. Тя може също така да намали разходите за WAN връзка за услуги с плащане на бит.

Съветник за инфраструктура и глобална директория

Други ключови компоненти на Windows Server в Active Directory включват съветника за инфраструктура (IM), който е пълнофункционална FSMO услуга (съветник за гъвкава единична операция), който отговаря за автоматизиран процес, който улавя остарели връзки, известни като фантоми, в базата данни на Active Directory.

Фантомите се създават в DC, които изискват препратка между обект в собствената му база данни и обект от друг домейн в гората. Това се случва например, когато добавите потребител от един домейн към група в друг домейн в същата гора. Фантомите се считат за остарели, когато вече не съдържат актуализирани данни поради промени в чужд обект, представен от фантома. Например, когато даден обект се преименува, премества, премества между домейни или изтрива. Капитанът на инфраструктурата е единствено отговорен за намирането и отстраняването на остарели фантоми. Всички промени, направени в резултат на процеса на "поправка", трябва да бъдат репликирани на други контролери на домейн.

Съветникът за инфраструктура понякога се бърка с глобалния каталог (GC), който поддържа частично, само за четене копие на всеки домейн в гората и, наред с други неща, се използва за универсално групово съхранение и обработка на данни за вход. Тъй като GC съхраняват частично копие на всички обекти, те могат да създават крос-домейн препратки без необходимост от фантоми.

Active Directory и LDAP

Microsoft включва LDAP (Lightweight Directory Access Protocol) като компонент на Active Directory. LDAP е софтуерен протокол, който позволява на всеки потребител да намери организации, физически лица и други ресурси, като файлове и устройства в мрежа, независимо дали в публичния интернет или в корпоративна интранет мрежа.

В TCP / IP мрежи (включително интернет), системата за име на домейн (DNS) е система от директории, използвана за свързване на име на домейн с конкретен мрежов адрес (уникално мрежово местоположение). Може обаче да не знаете името на домейна. LDAP ви позволява да търсите хора, без да знаете къде се намират (въпреки че допълнителната информация ще помогне при търсенето).

LDAP директорията е организирана в проста йерархична йерархия, състояща се от следните нива:

• Основната директория (източник на местоположение или източник на дървото).

• Държава.

• Организация.

• Организационни единици (отдели).

• Физически лица (включително хора, файлове и акции като принтери).

LDAP директория може да се разпространява на много сървъри. Всеки сървър може да има репликирана версия на споделена директория, която се синхронизира периодично.

За всеки администратор е важно да се разбере какво е LDAP. Тъй като търсенето на информация в Active Directory и възможността за създаване на LDAP заявки са особено полезни при търсене на информация, съхранявана в AD база данни. Поради тази причина много администратори обръщат голямо внимание на овладяването на LDAP филтъра за търсене.

Групови правила и управление на Active Directory

Трудно е да се обсъжда AD без да се споменава груповата политика. Администраторите могат да използват групови правила в Microsoft Active Directory, за да определят настройки за потребители и компютри в мрежа. Тези настройки се конфигурират и съхраняват в така наречените обекти на груповите правила (GPO), които след това се асоциират с обекти на Active Directory, включително домейни и сайтове. Това е основният механизъм за прилагане на промени в компютрите за потребители в средата на Windows.

Благодарение на Group Policy Management, администраторите могат глобално да конфигурират настройките на работния плот на потребителските компютри, да ограничат / разрешат достъп до определени файлове и папки в мрежата.

Приложение за групови правила

Важно е да се разбере как се използват и прилагат общите правила за ползване. Следната процедура е приемлива за тях: първо се прилагат политиките на локалните машини, след това правилата за сайтовете, след това политиките за домейна и след това правилата се прилагат към отделни организационни единици. Потребител или компютърен обект могат да принадлежат само на един сайт и един домейн по всяко време, така че те ще получават само обекти от общ характер, които са свързани с този сайт или домейн.

Структура на обекта

Груповите обсъждания са разделени на две отделни части: шаблон за групови правила (GPT) и контейнер за групови правила (GPC). Шаблонът за групова политика е отговорен за запазването на определени параметри, създадени в обекта на груповата политика, и е от съществено значение за неговия успех. Той запазва тези настройки в голяма папка и файлова структура. За да бъдат успешно приложени настройките към всички потребителски и компютърни обекти, GPT трябва да бъде репликиран за всички контролери в домейна.

GPO е част от GPO, съхраняван в Active Directory, който се намира на всеки контролер на домейн в домейна. GPC е отговорен за поддържането на препратки към клиентски разширения (ПТ), пътя до GPT, пътеките до инсталационните пакети на софтуера и други референтни аспекти на обекта на поведение. GPC не съдържа много информация, свързана със съответния GPO, но е необходим за функционалността на GPO. Когато се конфигурират правилата за инсталиране на софтуер, GPC помага да се поддържат връзките, свързани с GPO и съхранява други релационни връзки и пътеки, съхранени в атрибутите на обекта. Познаването на структурата на GPC и как да получите достъп до скритата информация, съхранявана в атрибутите, ще се изплати, когато трябва да идентифицирате проблем, свързан с груповите правила.

В Windows Server 2003 Microsoft пусна решение за управление на групови политики като средство за събиране на данни под формата на конзола, известна като конзола за управление на групови правила (GPMC). GPMC осигурява интерфейс за управление, ориентиран към GPO, който значително опростява администрирането, управлението и местоположението на обектите за общ характер. Чрез GPMC можете да създавате нови GPO, да редактирате и редактирате обекти, да изрязвате / копирате / поставяте GPO, да създавате резервни копия на обекти и да изпълнявате получения набор от политики.

оптимизация

С увеличаването на броя на управляваните GPO, производителността се отразява на машините в мрежата. Съвет: когато производителността намалява, ограничете мрежовите параметри на обекта. Времето за обработка нараства директно пропорционално на броя на отделните настройки. Сравнително простите конфигурации, като настройките на работния плот или правилата на Internet Explorer, може да не отнемат много време, докато пренасочването на софтуерните папки може сериозно да зареди мрежа, особено по време на пикови периоди.

Отделете персонализираните GPO и след това деактивирайте неизползваната част. Една от най-добрите практики както за подобряване на производителността, така и за намаляване на управленското объркване е да се създадат отделни обекти за параметрите, които ще се прилагат за компютрите и отделни за потребителите.